Nepriklausomas kibernetinio saugumo analitikas Darius Povilaitis 15min redakcijai pranešė aptikęs kritinę saugumo spragą e.sveikatos sistemoje: peržiūrėjęs išoriškai matomus pacientus aprašančius duomenis, pagal kuriuos galima kreiptis į duomenų bazę, jis susikūrė nesudėtingą nuorodą, kuria pasinaudojus pateikiamas pacientų sąrašas pagal tam tikrą pavardę.
Sąraše matomi tokie duomenys, kaip paciento vardas, asmens kodas, registracijos kodas vidinėje e.sveikatos sistemoje, šeiminė padėtis, gyvenamosios vietos registravimo adresas, susijusių asmenų registracijos kodai vidinėje e.sveikatos sistemoje, taip pat – paciento ir susijusių asmenų telefono numeriai bei elektroninio pašto adresai, jeigu tokie duomenys yra įvesti į sistemą.
Anot D.Povilaičio, pagal pavardę pateikiamas asmenų sąrašas yra „trumpinamas“, t. y. iš kelių šimtų ar tūkstančių pacientų su tokia pačia pavarde gali būti rodomi tik keli pirmieji, išrikiavus pagal vardą abėcėline tvarka, tačiau jis neabejoja, kad paiešką galima atlikti ir pagal asmens kodą, todėl teoriškai piktavaliai asmenys gali atsisiųsti absoliučiai visų e.sveikatos sistemoje registruotų asmenų duomenų rinkinį.
Sveikatos apsaugos ministras Aurelijus Veryga praėjusiais metais yra teigęs, kad iki šiol e.sveikatos sistemos kūrimui ir tobulinimui išleista apie 40 mln. eurų.
Valstybinė įmonė „Registrų centras“, vykdanti techninę e.sveikatos paslaugos teikimo dalį, po žiniasklaidos užklausos nedelsiant išjungė išorinę prieigą prie pacientų duomenų ir skubiai sukvietė „Registrų centro“ ir sistemos diegėjų ekspertų grupę incidentui šalinti.
„Registrų centro“ atstovė spaudai Kristina Petrošienė informavo, kad apribojus sistemos funkcionalumą žmonės laikinai negalės išrašyti įgaliojimų kitiems asmenims (pvz., nupirkti jiems vaistų) ir pasižiūrėti savo sveikatos istorijų. Gydymo procesas, e. receptų išrašymas, registracija pas gydytojus ir gydytojų darbas nėra paveiktas ir vyksta sklandžiai bei saugiai. Anot jos, pasinaudojus šia spraga asmenų sveikatos, t.y. ypatingieji, duomenys nebuvo pasiekiami ir nenutekėjo.
Valstybinės duomenų apsaugos inspekcijos (VDAI) atstovai informavo, kad pagal neseniai pradėjusį galioti Bendrąjį duomenų apsaugos reglamentą, „Registrų centras“ privalės per 72 valandas nuo incidento registravimo informuoti VDAI apie incidentą, o tuomet bus atliekamas individualus situacijos vertinimas. Pačiu blogiausiu atveju „Registrų centrui“ tokia klaida gali kainuoti iki 4 procentų metinės apyvartos, tačiau, anot VDAI atstovų, situacija gali baigtis ir be finansinės žalos valstybinei įmonei.
