Niemcy: czy aplikacje zalecane przez lekarzy są bezpieczne?
Pacjenci korzystający z aplikacji Edupression używali jej licząc, że pomoże im w problemach ze zdrowiem psychicznym. Niektórym została zalecona wprost przez lekarza jako narzędzie łagodzące objawy depresji. W aplikacji prowadzili dziennik objawów, uczyli się, co pomaga w przypadku dręczących myśli czy zaburzeń snu. 5 maja firma Sofy GmbH z siedzibą w Austrii poinformowała 2000 użytkowników o naruszeniu ich danych – przy czym nie chodziło jednie o dane osobowe, ale też o informacje zdrowotne, z wpisani dot. myśli samobójczych włącznie.
Za całą sprawą mają stać aktywiści zajmujący się bezpieczeństwem danych, a same dane nie zostały nigdzie opublikowane. Firma poinformowana o problemie załatała lukę bezpieczeństwa zaznaczając jednocześnie, że utracone dane mogą teoretycznie zostać użyte niezgodnie z prawem.
Za atakiem stoi grupa hakerska “Zerforschung” (niem. “badania”), zwracająca uwagę na luki w zabezpieczeniach systemów i aplikacji. Reprezentująca grupę Lilith Wittmann opowiedziała w wywiadzie udzielonym portalowi Zeit Online, że ze względu na słabe zabezpieczenia interfejsu możliwy był dostęp do danych 2000 użytkowników. I nie jest to pierwszy przypadek, w którym ujawniono luki w zabezpieczeniach aplikacji reklamowanych przez lekarzy czy firmy ubezpieczeniowe. Haktywiści Zerforschung odkryli już wcześniej luki w zabezpieczeniach aplikacji Novego przeznaczonej dla osób z depresją oraz programu Cancado dla pacjentek z rakiem piersi.
Novego, Cancado i Edupression mają ze sobą jeszcze coś wspólnego. To tzw. cyfrowe aplikacje medyczne (niem. digitale Gesundheitsanwendungen, w skrócie DiGA), które zostały zatwierdzone jako narzędzia medyczne, mogą być przepisywane przez lekarzy i finansowane przez służbę zdrowia.
Informacje dot. zdrowia to dane szczególnie wrażliwe. Pojawia się więc pytanie: dlaczego nie są lepiej chronione?
Producent chcący wprowadzić na rynek urządzenie, które znajdzie się na liście DiGA w Federalnym Instytucie Leków i Urządzeń Medycznych, musi udowodnić jego skuteczność i bezpieczeństwo. Teoretycznie jedno i drugie jest trudne do zdobycia, ale że ustawodawca chce promować innowacje w sektorze zdrowia, dla aplikacji ustanowił tzw. uproszczoną procedurę. W praktyce, by zostać wciągniętym na listę wystarczy, że świadczeniodawca (tutaj: firma stojąca za daną aplikacją) wstępnie wykaże przybliżoną skuteczność. Na przeprowadzenie badań i udowodnienie “pozytywnych efektów” ma kolejny rok – przez który aplikacja jest refundowana i przepisywana przez lekarzy. Do udowodnienia bezpieczeństwa zaś wystarczy test penetracyjny, polegający na zleceniu zewnętrznemu podmiotowi sprawdzenia bezpieczeństwa programu poprzez próbę znalezienia słabych punktów. Edupression taki test przeszedł.
Tyle, że – o ile w przypadku innych rozwiązań medycznych, jak np. protez czy rozruszników serca, ustawodawca wskazuje konkretne podmioty do przeprowadzenia testów, to producenci DiGA dostają wolną rękę i mogą sami wybrać, kto przetestuje ich bezpieczeństwo.
W praktyce to, czy producent aplikacji dostanie się na listę refundowanych produktów i na tym zarobi (w przypadku Edupression recepta to koszt 300 Euro, uzupełniająca – 150 Euro) zależy do tego, jak szybko jego produkt przejdzie testy bezpieczeństwa. A to wywiera presję na firmy zewnętrzne z branży IT, które takie kontrole przeprowadzają. Siłą rzeczy te, które przymkną oko na nieprawidłowości, będą przez producentów aplikacji częściej wybierane.
Mimo, iż przedstawiciel firmy Daniel Amann twierdził, iż dostęp do danych wymagał specjalistycznej wiedzy technicznej, programistycznej i znajomości technologii webowych, to atak przeprowadzony przez Zerforschung nie był askomplikowany – nie polegał na włamywaniu się czy używaniu złośliwego oprogramowania, a na wypróbowywaniu różnych cyfr w końcówce adresu URL. Potwierdził to magazyn Zeit Online, mający dostęp do raportu, które grupa hakerska wysłała do Sofy GmbH.
Finalnie Edupression został poproszony przez BfArM o wyjaśnienie “czy i dlaczego producent aplikacji uważa środki bezpieczeństwa za “wystarczające i niezawodne oraz jakie dalsze środki podejmie, aby zapobiec podobnym incydentom”.
Dotąd problemy związane z ochroną i bezpieczeństwem danych wystąpiły w przypadku 5 aplikacji DiGA. 3 dotyczyły przechowywania danych użytkowników o amerykańskich dostawców, wbrew wymogom prawnym. 2 dotyczyły wycieku danych. Z Edupression to łącznie 6 aplikacji, z 45 umieszczonych na liście. Problem dotyczy więc co siódmej.
Urząd BfArM nie pozostaje jednak bezczynny. Może prowadzić dochodzenia, wydawać ostrzeżenia czy usunąć z listy DiGA, jeśli dana aplikacja nie spełnia jej wymogów. Do tej pory stało się tak w 4 przypadkach. Jednak w przypadku Edupression możliwości urzędu się kończą – musi zaakceptować test penetracyjny przeprowadzony przez dowolnego usługodawcę, nie może przeprowadzić go sam. W efekcie tego luki w zabezpieczeniach wychodzą na jaw dopiero w efekcie działań w lepszym przypadku – etycznych hakerów, w gorszym – przestępców. A, jak wykazała naukowczyni z Duke University w USA, istnieje czarny rynek danych dot. depresji. Handlarze sprzedawali w internecie nazwiska, adresy i diagnozy chorób psychicznych amerykańskich obywateli.
Jest jeszcze coś. Anke Virks, prawniczka w Federalnym Komisarzu Ochrony Danych i Wolności Informacji zwraca uwagę, że w tego typu aplikacjach standardem powinna być pseudonimizacja. Wraz z Federalnym Urzędem Bezpieczeństwa Informacji urząd ten doradzał BfArM, jak w przyszłości powinny wyglądać kryteria testowe IT dla aplikacji zdrowotnych. Wytyczne BfArM jednoznacznie stwierdzają, że świadczeniodawcom nie wolno gromadzić danych umożliwiających identyfikację osoby fizycznej. Sytuacja, w której informacje o myślach samobójczych są bezpośrednio powiązane z nazwiskami osób i dodatkowo są dla atakujących dostępne w niezaszyfrowanej formie, jest niedopuszczana.“Producenci są zobowiązani na mocy prawa o ochronie danych do przestrzegania przepisów GDPR.” – mówi Virks.
Tekst na podstawie artykułu Evy Wolfangel https://www.zeit.de/digital/datenschutz/2023-05/gesundheitsapp-datenschutz-depression-edupression-sicherheitsluecke
Ps. Tak, wiem, że tekst jest mocno niedopracowany, wrzucam ze względu na wartość informacyjną, nie literacką