Net už 40 milijonų eurų sukurta elektroninė sveikatos sistema e.sveikata buvo kiaura, bet kai joje žiojinčią skylę parodė kibernetinio saugumo ekspertas Darius Povilaitis, jį ėmė persekioti policija.
Pareigūnus užsiundė sveikatos apsaugos ministras Aurelijus Veryga. Jis užsirūstino, kad šis specialistas spragą pirmiausia parodė ne už tai atsakingoms institucijoms, o visiems šios sistemos vartotojams.
D.Povilaitis sukūrė ir internete paviešino vaizdo klipą, kuriame parodė, kaip šioje sistemoje galima aptikti kitų pacientų asmens duomenis – pavardes, adresus ir asmens kodus.
A.Veryga baiminosi, kad bandydamas parodyti skylę, ekspertas galėjo pasisavinti 20 pacientų duomenis, tačiau net nebandė ieškoti tų, kas šią e.sveikatos sistemos spragą paliko.
Domino ir ryšiai su klinikomis
Dėl to sveikatos apsaugos ministras antradienį buvo iškviestas į Seimą, kur jo ir Registrų centro vadovo Sauliaus Urbanavičiaus pasiaiškinimo laukė konservatorių frakcijos nariai.
Politikai domėjosi ne tik tuo, kas prisiims atsakomybę dėl duomenų apsaugos spragų e.sveikatos sistemoje, kuriai tobulinti Sveikatos apsaugos ministerija prašo dar 2,5 milijono eurų.
Konservatoriams pasirodė įtartina, kodėl A.Veryga taip aktyviai puolė ginti e.sveikatos.
„Ar ministras nėra gavęs e.sveikatos kūrėjų pinigų?“ – įtarinėjo Antanas Matulas. O Jurgis Razma priminė, kad elektroninės sistemos diegėjai, kaip ir pats A.Veryga, yra susiję su Kauno klinikomis.
Ministras nepaneigė, jog per dešimtmetį galėjo skaityti paskaitas ar vesti mokymus šios sistemos diegėjams.
Konservatorių lyderis Gabrielius Landsbergis į šiuos klausimus norėjo aiškesnio atsakymo ir paprašė A.Verygos ateityje šiuos faktus patikslinti.
Pagal pavardę nesprendžia
G.Landsbergis ministrui priekaištavo, kad, siekdamas nuteisti negerovių valstybės valdyme pastebėjusį žmogų, jis prisideda prie bolševikinės teisinės sistemos kūrimo.
A.Verygai buvo priminta ir tai, jog elektroninėje sistemoje pavojingų spragų pastebėjęs vilnietis D.Povilaitis – 1991-ųjų Sausio 13-ąją žuvusio Apolinaro Juozo Povilaičio sūnus.
A.Veryga gynėsi vien iš pavardės ir šeimos istorijos negalintis spręsti, kokių kėslų turėjo apie blogai veikiančią sistemą viešai paskelbęs asmuo.
„Aš negaliu stebuklingu būdu nuspėti, ar žmogus gera ar bloga valia kažką norėjo padaryti“, – kalbėjo valstiečių atstovas.
Jis teigė neturintis jokių asmeniškumų ir paisantis asmens duomenis saugančių įstatymų: „Nežinau, ar jūs man norite pasakyti, kad turiu nesilaikyti įstatymo ir Duomenų apsaugos reglamento?“
Anot ministro, D.Povilaičiui jokia atsakomybė negresia, jei jis tikrai neturėjo piktavališkų tikslų.
Institucijomis nepasitiki
„Bet ar persekiojimas už kritiką neprieštarauja Konstitucijai?“ – frakcijos posėdyje svarstė konservatoriai. Irenos Degutienės teigimu, žmonės apie iškilusias problemas kartais prabyla viešai, nes konkrečiomis institucijomis paprasčiausiai nepasitiki.
Beje, panašiai „Lietuvos ryto“ televizijos laidoje prieš kelias savaites yra aiškinęs ir premjero patarėjas Skirmantas Malinauskas: „Mes nė vieno žmogaus nepriversime eiti į instituciją, kuria jis nepasitiki.“
Įspėjimai – be atsako
– Kuo taip išgąsdinote sveikatos apsaugos ministrą? – „Lietuvos rytas“ paklausė kibernetinio saugumo specialisto D.Povilaičio.
– Norėdamas įgalioti savo šeimos narį atstovauti man gydymo įstaigose įsitikinau, kad bet kuris asmuo šioje sistemoje galėjo sužinoti visą informaciją apie bet kurį žmogų.
Ten buvo vieši gyventojų registrų duomenys.
Kai viešai nurodžiau, kad yra tokia problema, ilgą laiką buvo tylu, bet vieną dieną netikėtai apsilankė pareigūnai ir pareiškė įtarimus.
Tuomet kreipiausi į žiniasklaidą ir pateikiau dar daugiau informacijos. Atskleidžiau tai, kad šioje sistemoje kiekvienam pacientui pasiekiama visa informacija net apie gydytojus.
– Kaip?
– Kai vartotojas portale e.sveikata prisiregistruoja kaip pacientas, sistema parodo reikalingo gydytojo vardą ir pavardę. Iš tiesų apie gydytoją ten yra daug daugiau informacijos. Toliau – kiekvieno reikalas, ar ją tikrinti.
Aš atskleidžiau tokį duomenų apsaugos pavojų, bet neabejoju, kad per keletą metų nutekėjo privati informacija apie tūkstančius gydytojų.
– Kokia dabar jūsų situacija, ar esate oficialiai sulaukęs įtarimų?
– Dėl to, kad visuomenei atskleidžiau elektroninės sveikatos trūkumus, yra pradėtas ikiteisminis tyrimas.
Nelabai suprantu, ar esu kaltinamas tuo, kad tas spragas aptikau ir kad paviešinau.
Per apklausą daviau parodymus, man buvo pareikšti įtarimai dėl neteisėto neviešų elektroninių duomenų pasisavinimo ir paskleidimo.
– Iš Sveikatos apsaugos ministerijos sulaukėte priekaištų, kad aptikęs spragų nesikreipėte į atsakingas institucijas. Kodėl niekam apie tai nepranešėte?
– Su tomis tarnybomis esu turėjęs nemažai praktikos.
Dar 2014–2015 metais valstybiniame sektoriuje buvo didžiulių saugumo problemų.
Apie tai mes pranešėme ir Vidaus reikalų, ir Krašto apsaugos ministerijoms, kai kurios institucijos davė leidimus patikrinti savo sistemas. Mes tai padarėme, pateikėme rezultatus. Bet kas iš to?
2016 metais šifruodami vieną vartotojo kompiuterį aptikome, kad nesaugūs yra mažiausiai 200 kompiuterių.
Ta informacija taip pat buvo pateikta atsakingoms institucijoms, bet vėl niekas nereagavo.
Saugumo problemų esu aptikęs ministerijų, savivaldybių ir kitų įstaigų interneto svetainėse. Bet kol viena tų svetainių po mano pranešimo buvo uždaryta, užtruko apie du mėnesius.
– Kaip aptinkate saugumo spragas valstybinių įstaigų interneto svetainėse?
– Iš esmės man net nereikia nieko daryti.
Aš turiu tokias sistemas, kurios pačios per trumpą laiką tas spragas suranda, ir žinau, kuri įstaiga turi problemų. Kai joms apie tai parašau, paprastai niekas nereaguoja.
Todėl kai aptikau problemų elektroninėje sveikatos sistemoje, pasirinkau paprasčiausią kelią – tai paviešinti.
– Vadinasi, sulaukėte įtarimų už tai, kad padarėte tai, kas lyg ir priklauso kibernetinio saugumo specialistui?
– Negaliu pasakyti, kad tai tiesioginis mano darbas.
Manęs niekas nesamdė, tačiau pamatęs problemą neužsimerkiau.
Kurį laiką galvojau, ką man su ta informacija daryti. Problema buvo rimta, todėl nusprendžiau ją paskelbti. Juk sistemą reikėjo kažkaip tvarkyti.
– Kai paskelbėte tą informaciją, kas nors iš Sveikatos apsaugos ministerijos bandė su jumis susisiekti ir pasiaiškinti, kaip spręsti tą problemą ir ką daryti toliau?
– Iš Sveikatos apsaugos ministerijos niekas nesusisiekė. Kai žurnalistai kreipėsi į Registrų centrą, sulaukiau skambučio iš šios įstaigos.
Apie šią problemą viską jiems papasakojau.
Nors su valstybinėmis įstaigomis turiu liūdnos patirties, galbūt Registrų centras elgiasi kitaip.
– Ar dabar nesigailite, kad viešai prabilote apie elektroninės sveikatos sistemos saugumo problemas?
– Galima pasakyti, kad tas paviešinimas buvo net naudingas.
Pasklidus žiniai apie duomenų saugumo problemas, tam tikram laikui buvo apribotas prisijungimas prie šios sistemos ir ji buvo tvarkoma.
Galbūt šis mano žingsnis pakenkė jų reputacijai, bet ir taip jos reputacija buvo labai bloga.
Negi už 40 milijonų eurų sugebėta sukurti tik tokią šleivą, kreivą sistemą?
– Kaip manote, kuo baigsis ši istorija?
– Apklausos ir pareikšti įtarimai man tikrai nekelia džiaugsmo, o kuo tai baigsis, nedrįstu net prognozuoti.
Mane stebina tik valstybės požiūris, kad apie problemas negalima kalbėti.
Jei apie jas prabyli, pats ir lieki kaltas. Jeigu nesakai nieko, vadinasi, problemų nėra. Tai vadinamoji stručio pozicija – įkiši galvą į smėlį ir manai, kad tavęs niekas nemato.
– Ar valstybės institucijų interneto svetainėse įžiūrite daug saugumo problemų?
– Neseniai prabilta apie pavojus, kad kai kurios įstaigos naudoja rusišką programinę įrangą.
Tai smulkmena, manau, kad yra galimybių vieno klavišo paspaudimu perimti visos valstybės sistemos duomenis.
Mano nuomone, nesaugūs ir patys elektroniniai valdžios vartai, užtektų prie jų prisijungti kurioje nors mums nedraugiškoje šalyje. Bet tai nelabai kam įdomu, o jei apie tai pasakysiu, vėl būsiu kaltas.
