E. sveikatos spragą aptikęs specialistas: ši sistema tokių pinigų neverta
Bent jau ta e. svei­ka­tos da­lis, ku­ri skir­ta pa­cien­tams, ti­krai nė­ra ver­ta pi­ni­gų, ku­rie į ją in­ves­tuo­ti LRT RA­DI­JUI sa­ko e. svei­ka­tos sau­gu­mo spra­gą at­ra­dęs ki­ber­ne­ti­nio sau­gu­mo ana­li­ti­kas Da­rius Po­vi­lai­tis. „Man su­nku pa­sa­ky­ti apie ki­tas da­lis, ka­dan­gi ne­su jų ma­tęs. Gal ten kaž­kas yra, bet šiuo at­ve­ju ta pa­cien­to da­lis ti­krai nė­ra to­kių pi­ni­gų ver­ta“, – tvir­ti­na D. Po­vi­lai­tis.

Gavus informaciją apie saugumo spragą e. sveikatos centrinės infrastruktūros Pacientų portale, pastarojo prieiga pirmadienį buvo apribota – žmonės laikinai negali išrašyti įgaliojimų kitiems asmenims (pvz., nupirkti jiems vaistų) ir pasižiūrėti savo sveikatos istorijų, rašoma pranešime spaudai.

Kaip teigia e. sistemoje saugumo spragą atradęs D. Povilaitis, tai padaryti nebuvo sudėtinga. Anot pašnekovo, tai galėjo padaryti bet kuris programuotojas.

Pasinaudojus šia spraga asmenų sveikatos, t. y. ypatingieji, duomenys nebuvo pasiekiami ir nenutekėjo, informuoja Registrų centras.

Gydymo procesas, e. receptų išrašymas, registracija pas gydytojus ir gydytojų darbas nebuvo paveiktas ir vyksta sklandžiai bei saugiai.

Skubiai suburta Registrų centro ir sistemos diegėjų ekspertų grupė incidentą šalina. Tikimasi, kad spragą pavyks likviduoti artimiausiu metu.

Pirminiais duomenimis, spraga iki Pacientų portalo uždarymo sudarė galimybę prisijungusiems rasti pacientų asmens (ne sveikatos) duomenis. Pacientų portalas nevaidina kritinio vaidmens e. sveikatos struktūroje ir yra daugiau skirtas pacientų informavimui apie paciento įrašus, saugomus ESPBI IS.

Spragą aptiko ieškodamas asmeninės informacijos

Kaip teigia e. sistemoje saugumo spragą atradęs D. Povilaitis, tai padaryti nebuvo sudėtinga. Anot pašnekovo, tai galėjo padaryti bet kuris programuotojas.

„Aš dirbu šioje srityje, bet šiuo atveju ieškojau tam tikros informacijos asmeniniais tikslais dėl sveikatos ir pamačiau tam tikrą dalyką, kuris krito į akis. Kai krito į akis, aš pasidomėjau, kas gi tai. Pasirodė, kad tai yra gana rimta saugumo spraga“, – pasakoja D. Povilaitis.

Komentuoti, ar gyventojų asmens duomenys galėjo būti pavogti, D. Povilaitis nesiryžo: „Nuo komentarų susilaikysiu. Neturiu informacijos, negaliu nieko pasakyti.“

Specialisto tvirtinimu, užlopyti rastą spragą neturėtų būti sudėtinga. Tiesiog reikia įdiegti kontrolės mechanizmą, kuris reikalautų pateikti visus reikalaujamus parametrus, o ne vieną iš jų: „Pati spraga susidėjo iš to, kad tu galėjai įvesti vieną parametrą vietoje, tarkime, trijų. Pavyzdžiui, informaciją apie asmenį galėjai gauti vien tik pagal pavardę.“

D. Povilaičio vertinimu, tai yra tinklapio architektūros klaida. Specialistas svarsto, kad reikalavimai turbūt kilo bekuriant sistemą, nors iš tiesų visa tai turėjo būti apmąstyta dar prieš pradedant darbus.

„Turėjo būti numatyta projektavimo metu, kad, pavyzdžiui, tu duosi informaciją apie asmenį ir visi tie parametrai turės būti aprašyti dokumentacijoje ir atiduoti programuotojams. Turbūt šiuo atveju programuotojai darė taip, kaip jiems pasakė, o reikalavimai nebuvo iškelti. Aš taip manyčiau“, – sako D. Povilaitis.

Nuo 2005 m. e. sistemos kūrimui jau išleista 40 mln. eurų. Vertindamas informaciją, prie kurios gali prieiti pacientai, D. Povilaitis teigia, kad šių pinigų sistema nėra verta.

„Kadangi kitų dalių nesu matęs, man sunku pasakyti, bet pagal tą paciento dalį, į kurią buvau nuėjęs... neradau jokios informacijos apie save. Ta paciento dalis tikrai nėra labai didelė, portalas nėra labai sudėtingas. Man sunku pasakyti apie kitas dalis, kadangi nesu jų matęs. Gal ten kažkas yra, bet šiuo atveju ta paciento dalis tikrai nėra tokių pinigų verta“, – teigia D. Povilaitis.