Dňa 16.9.2020, slovenská bezpečnostná IT spoločnosť Nethemba oznámila, že identifikovala triviálnu zraniteľnosť aplikácie Moje eZdravie, ktorá jej umožnila získať informácie o vyše 390 000 slovenských pacientoch testovaných na nový koronavírus.
Čo je aplikácia Moje eZdravie?
Aplikácia Moje eZdravie bola vyvinutá Národným centrom zdravotníckych informácií (ďalej ako ,,NCZI“) už na počiatku pandémie za účelom zhromažďovania a poskytovania aktuálnych informácií o opatreniach a nariadeniach týkajúcich sa koronavírusu. Prostredníctvom aplikácie sa tiež môžno objednať na PCR vyšetrenie COVID-19 vyplnením krátkeho formulára.
Prečo a v akom rozsahu došlo k úniku osobných údajov pacientov?
Činnosť IT spoločnosti Nethemba, ktorej sa podarilo získať prístup k spomínaným dátam, spočíva okrem iného aj v odkrývaní systémových bezpečnostných chýb pomocou penetračných testov vykonávaných odborníkmi, nazývanými aj ako ,,etickí hackeri“.
Nethemba uviedla, že sa bez akýchkoľvek komplikácií dostala k osobným údajom pacientov v rozsahu ich mena, priezviska, rodného čísla, dátumu narodenia, pohlavia, mobilného čísla, miesta pobytu, informácií o klinických príznakoch (teplota, kašeľ, malátnosť a pod.), kód vzorky, dátumu presného odberu vzorky, laboratória, ktorý test vykonal, lekára žiadateľa, čísla protokolu, dátumu prijatia a vyšetrenia, druhu testu a aj samotného výsledku. Z pohľadu ochrany osobných údajov, ide o veľmi širokú škálu citlivých údajov, ktorých bezpečnosť mal zaistiť prevádzkovateľ. Podľa spoločnosti Nethemba, sa k týmto údajom z aplikácie dostali bez potreby akejkoľvek autentifikácie, či špeciálnych technických znalostí. Slabo zabezpečené boli pritom citlivé údaje takmer 400 000 ľudí. Tieto mohli byť jednoducho zneužité na cielené útoky sociálneho inžinierstva (phishing, vishing a pod.).
Čo sa stane s uniknutými osobnými údajmi pacientov?
Spoločnosť Nethemba, po získaní týchto osobných údajov, uvedený bezpečnostný incident bez zbytočných odkladov nahlásila a verejne sa zaviazala, že žiadne zo získaných osobných údajov pacientov nijakým spôsobom nezneužije. Navyše je potrebné dodať, že vyššie uvedený rozsah získaných osobných údajov sa týkal výlučne pacientov resp. žiadateľov o vykonanie testu na COVID-19 prostredníctvom aplikácie Moje eZdravie a nedotýka sa služieb akými sú napr. erecept, evyšetrenie, elektronická zdravotná knižka a pod.
Boli osobné údaje týkajúce sa zdravia pacientov spracúvané v súlade so zákonom?
Spracúvanie akýchkoľvek osobných údajov, na základe ktorých je možné identifikovať fyzickú osobu, môže byť vykonávané len v súlade s právnymi predpismi, a to predovšetkým v súlade s Nariadením Európskeho parlamentu a rady č. 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len „GDPR“) a zákonom č. 18/2018 Z. z. o ochrane osobných údajov (ďalej len „zákon o OOU“).
Svojim počínaním NCZI ako prevádzkovateľ aplikácie Moje eZdravie porušil viaceré ustanovenia GDPR, najmä Článok 5 GDPR týkajúci sa základných zásad spracúvania osobných údajov, podľa ktorých môžu byť osobné údaje spracúvané len spôsobom, ktorý ,,zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení.“
Prevádzkovateľ okrem iného závažným spôsobom porušil aj Článok 24 GDPR týkajúci sa zodpovednosti prevádzkovateľa pri spracúvaní osobných údajov, ako aj samotný Článok 32 GDPR týkajúci sa bezpečnosti spracúvania.
Svoje pochybenie a nesprávny postup pri spracúvaní osobných údajov pacientov priznáva aj generálny riaditeľ NCZI Peter Bielik, ktorý okrem iného spoločnosti Nethemba vyjadril aj vďaku pre odhalenie bezpečnostných medzier v aplikácii.
Zároveň je potrebné dodať, že Úrad na ochranu osobných údajov dňa 18.9.2020 prijal o tomto bezpečnostnom incidente týkajúcom sa aplikácie Moje eZdravie oznámenie, a na základe zistených skutočností začal aj samotné konanie o ochrane osobných údajov.