Četrtek, 16. 3. 2017, 15.34
7 let, 1 mesec
Kdo skriva varnostne luknje zbirk z našimi občutljivimi osebnimi podatki
Je (bila) zdravniška dokumentacija v ljubljanskem kliničnem centru na stežaj odprta?
Slovenski tehnološki portal slo-tech.com opozarja, da se je lani v Sloveniji zgodil eden večjih incidentov na področju varstva osebnih podatkov v zdravstvu. Ogroženi naj bi bili tako podatki zaposlenih kot osebni podatki pacientov.
Pri slo-tech.com so zapisali, da je bila javnosti, torej tudi nepooblaščenim in celo zlonamernim osebam, dostopna zdravniška dokumentacija, vključno z napotnicami z zelo občutljivimi osebnimi podatki pacientov. Vse to je bilo po njihovih dognanjih dostopno na spletu, kajti spletni strežnik zdravstvene ustanove sploh ni uporabljal zaščitene povezave (https).
V UKC o vdoru "glede na to, da niso bili odtujeni podatki, javnosti niso obveščali", so pa "o vdoru obvestili namenski organ SI-CERT", so nam pojasnili.
Zakaj o tem nič ne vemo?
Avtor prispevka na slo-tech.com se ob tem sprašuje, zakaj se takšen dogodek skriva, namesto da bi na podlagi tega sprejeli ukrepe, ki bi preprečili ponavljanje takšnih dogodkov.
Ob tem s prstom kaže na ustanove, ki bi, kot so zapisali, pravzaprav morale biti prve med varuhi naših podatkov.
Kaj se je zgodilo
Zgodilo se je naslednje: septembra 2016 je informacijski pooblaščenec prejel prijavo, da Univerzitetni klinični center Ljubljana naj ne bi ustrezno zavaroval osebnih in občutljivih osebnih podatkov na svoji spletni strani http://napotnica.kclj.si, kjer se bolniki lahko prek spleta naročijo na preglede v tej ustanovi.
Prijavitelj je zapisal, da ta spletna stran, na kateri morajo pacienti za pričakovano storitev vnesti svoje osebne in občutljive zdravstvene podatke, vključno s skenirami napotnicami, ni bila zaščitena z varno povezavo.
Prenos občutljivih osebnih in zdravstvenih podatkov v spletni aplikaciji za naročanje ljubljanskega kliničnega centra še vedno ne poteka po zaščiteni (https), temveč po navadni (http) povezavi. "Povezava bo zaščitena ta mesec," obljubljajo.
Krivijo tistega, ki je opozoril na napako
Inšpekcijski pregled, ki ga je 9. septembra 2016 opravil informacijski pooblaščenec, je pokazal, da je bilo s preprosto spremembo naslova (URL) mogoče odpreti "podstran, ki vsebuje osebne podatke zaposlenih, in sicer ime in priimek in naslov elektronske pošte", ter pridobiti "dostop do večjega števila zdravniške dokumentacije, vključno z napotnicami, ki vključujejo osebne in občutljive osebne podatke", še navajajo na slo-tech.com
Na zapisnik, ki ga je na podlagi ugotovitev sestavil informacijski pooblaščenec, so v UKC Ljubljana odgovorili, da je za omenjeno ranljivost kriv "anonimni napadalec", ki je "obvestil IP". Ni govora o pomanjkljivi varnosti ali drugih nepopolnostih pri zasnovi, v UKC so se sklicevali na timsko delo, kjer je sodeloval nekdo "zelo verjetno dobro podučen o informacijskem sistemu, v okviru katerega so se osebni podatki obdelovali".
Kaj se je spremenilo do danes?
Pogled na omenjeno spletno stran danes razkriva, da je varnost malenkost okrepljena ter da dostop do občutljivih podatkov iz zbirke in brskanje po njej nista več mogoča, medtem ko spletno naročanje še vedno poteka po navadni (http), ne po varni (https) povezavi.
To je protizakonito, kajti zakon o varstvu osebnih podatkov v 14. členu določa, da se "pri prenosu občutljivih osebnih podatkov prek telekomunikacijskih omrežij šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom".
Ustavili postopek, ker so bili zadovoljni s takratnim pojasnilom
Do podatkov iz računalniške zbirke sicer naj ne bi širše dostopali, vsaj ne do dneva, ko so opravili omenjeni pregled, saj so v dnevnikih dostopa zaznali samo dva naslova IP – tistega iz urada informacijskega pooblaščenca in tistega, ki najbrž pripada prijavitelju pomanjkljivosti.
Informacijski pooblaščenec je postopek ustavil, ker je bil zadovoljen s seznamom ukrepov, ki jih je predlagal UKC. Toda ali je to dovolj, se sprašujejo na slo-tech.com. Ali bi moral informacijski pooblaščenec sam zaseči dnevniške zapise spletnega strežnika in jih neodvisno analizirati? Ali bi moral preveriti, ali so se predlagani varnostni ukrepi dejansko izvedli?
Je bilo torej dovolj, da se je seznanil z napovedmi iz poročila, ali bi moral svoj nadzor nadaljevati?
V pojasnilih UKC nič novega
Ko smo UKC Ljubljana prosili za pojasnilo, smo prejeli ponovitev odgovora: "Do vdora je prišlo v spletno aplikacijo napotnica.kclj.si zaradi napake v programski kodi, ki je tehničnemu ekspertu s podrobnim poznavanjem uporabljenih tehnologij omogočila nepooblaščen dostop."
Še enkrat so pojasnili, da so "9. 9. 2016 od informacijskega pooblaščenca dobili obvestilo o napadu na aplikacijo napotnica.kclj.si" in da so "zaprli dostop do aplikacije, zaščitili arhivske datoteke, vzpostavili intervencijsko skupino, ki je v istem dnevu odpravila napako v programski kodi".
Zatrdili so še, da ne pred 9. 9. 2016 ne pozneje niso zaznali vdorov in da "bo zaščitena povezava do spletišča (napotnica.kclj.si) vzpostavljena v tem mesecu". Do podatkov o pacientih ni bilo dostopa, so še odgovorili.
Ali je za varnostno luknjo kriv tisti, ki je na njo opozoril, ali tisti, ki ni preprečil njenega nastanka in je po prejetem opozorilu ni kar se da hitro odpravil?
UKC: Podatki niso bili odtujeni, zato nismo obveščali
Zapisali so, da "pogodbeni izvajalci redno preverjajo morebitne pomanjkljivosti sistema" in da "načrtujejo tudi varnostni pregled neodvisnega izvajalca". Podobno so zapisali že v septembrskem odgovoru informacijskemu pooblaščencu.
Na vprašanje, zakaj o tem dogodku niso obvestili javnosti, kar bi gotovo pospešilo odpravljanje napake, so odgovorili, da so "o vdoru obvestili namenski organ SI-CERT" in da "glede na to, da niso bili odtujeni podatki, javnosti niso obveščali".