Anonimni heker je lansko jesen odkril ranljivost informacijskega sistema UKC Ljubljana in o tem obvestil informacijskega pooblaščenca. Ta si je spletno stran UKC Ljubljana napotnica.kclj.si tudi ogledal in ugotovil, da ta dejansko omogoča nezaščiten dostop do večjega števila zdravstvene in druge dokumentacije, med drugim tudi do napotnic in osebnih podatkov večjega števila zaposlenih. Vsakdo, ki je imel določen naslov url, je namreč lahko dostopal do teh podatkov, pišejo v današnjem Delu. Spletni strežnik naše največje bolnišnice pa sploh ni uporabljal HTTPS zaščitene povezave.
Klinični center je še isti dan, ko jih je informacijski pooblaščenec obvestil o ranljivosti, sporočil, da so odpravili varnostno luknjo in vzpostavili intervencijsko skupino strokovnjakov. Pojasnili so tudi, da so omejili pravice uporabnikov aplikacije Napotnica, odvzeli pravico za branje in pisanje dokumentov, ki jih naložijo uporabniki, ter sprejeli še vrsto drugih tehničnih ukrepov za večjo varnost, povzema časnik Delo.
UKC Ljubljana je informacijskem pooblaščencu zagotovil, da je njihov sistem zdaj varen. Kot dokaz so mu posredovali dnevniški zapis s seznamom IP naslovov, ki so dostopali do spornih URL naslovov. Iz dokumenta je bilo razvidno, da sta do občutljivih strani dostopala le dva IP naslova – eden je pripadal informacijskemu pooblaščencu, drugi pa najverjteneje anonimnemu hekerju, ki je možnost vdora prijavil.
Vdor v sistem javnosti zamolčali
Strokovnjak za informacijsko varnost Matej Kovačič na portalu Slo-Tech obsežno opiše ta varnostni incident. Sam sicer opozarja, da je informacijski pooblaščenec postopek zaključil zelo hitro ter da iz dokumentacije ni razvidno, da bi sam preveril, kako so bili izvedeni ti varnostni ukrepi UKC Ljubljana.
Pol leta po inšpekcijskem pregledu je spletišče ljubljanskega kliničnega centra, kot pravi Kovačič, še vedno dostopno le po nešifrirani povezavi HTTP. Strokovnjak poudarja tudi, da pooblaščenec o pomanjkljivosti ni obvestil javnosti, čeprav so bili "ogroženi občutljivi osebni podatki številnih posameznikov".
"Namesto, da bi se poročilo javno objavilo, s čimer se bi se na podobne težave opozorilo tudi druge ter pokazalo kakšne bi morale biti dobre prakse na tem področju, se dokumente o takšnih incidentih skriva. Ne gre za to, da bi se iskalo krivce in izvajalo lov na čarovnice. Do napak vedno prihaja in bo prihajalo. Problem je pometanje pod preprogo in prikrivanje, posledično pa se enake napake pojavljajo vedno znova in znova," je še zapisal Kovačič in se sprašuje, ali je to bila edina šibka točka informacijskega sistema UKC Ljubljana.
Šifrirana povezava bo še ta mesec
V UKC Ljubljana so za 24ur.com pojasnili, da so vdrli v spletno aplikacijo napotnica.kclj.si ''zaradi napake v programski kodi, ki je tehničnemu ekspertu s podrobnim poznavanjem uporabljenih tehnologij omogočila nepooblaščen dostop''.
Glede ukrepov so povedali, da so 9. septembra 2016 od Informacijskega pooblaščenca RS dobili obvestilo napadu na aplikacijo napotnica.kclj.si. ''Zaprli smo dostop do aplikacije napotnica.kclj.si, zaščitili arhivske datoteke, vzpostavili intervencijsko skupino, ki je v istem dnevu odpravila napako v programski kodi. Pogodbeni izvajalci redno preverjajo morebitne pomanjkljivosti sistema, načrtujemo pa tudi varnostni pregled neodvisnega izvajalca.'' Po tem datumu vdorov niso zaznali.
Glede kritik, da je spletišče še vedno dostopno le po nešifrirani povezavi, pa so dejali, da bo šifrirana povezava vzpostavljena še ta mesec. Javnosti o vdoru niso obveščali, prav tako ne pacientov, ker podatki niso bili ukradeni, so pa obvestili SI_CERT, ki je pristojno za takšne vdore, so pojasnili.
UKC dobil globo
V uradu Informacijskega pooblaščenca so opozorili, da se je prijava, na podlagi katere so ukrepali, ni nanašala ''na celotno spletno stran http://napotnica.kclj.si, pač pa le na del namenjen interni rabi zaposlenih pri UKC – samo ta del je bil namreč predmet prijave in torej tudi inšpekcijskega postopka''.
Tudi pri pooblaščencu so ugotovili, da so do osebnih podatkov nepooblaščeno dostopali le z enega IP-naslova in da so v UKC takoj odpravili nepravilnosti. ''Inšpekcijski postopek je bil zato s sklepom ustavljen, v sklepu pa tudi izrecno zapisano, da bo zaradi ugotovljenega neustreznega zavarovanja zoper UKC uveden prekrškovni postopek. UKC in odgovorni osebi je bila nato izrečena globa,'' so pojasnili.
KOMENTARJI (15)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.