Vdor v sistem UKC Ljubljana: Razkriti podatki pacientov

Foto: Saša Despot
Foto: Saša Despot
Lani je zaradi nezaščitenega dostopa neznancu uspelo vdreti na spletno stran UKC Ljubljana in s tem do dostopa zdravstvene dokumentacije. Kot razkriva strokovnjak za infromacijsko varnost Matej Kovačič, so pacientom in javnosti vdor zamolčali.
Oglej si celoten članek

Zaradi nezaščitene povezave UKC Ljubljana je neznancu lani uspel vdor v sistem UKC Ljubljana. "Dostopna je bila zdravniška dokumentacija, vključno z napotnicami, ki vsebujejo zelo občutljive osebne podatke pacientov," je razkril strokovnjak za informacijsko varnost Matej Kovačič na portalu Slo-Tech, a ob tem opozarja, da je še bolj sporen kot vdor dejstvo, da so incident prikrili, čeprav so zanj vedele tudi državne institucije.

Za vdor je vedel tudi informacijski pooblaščenec in Si-Cert

V septembru 2016 je informacijski pooblaščenec prejel prijavo, v kateri je bilo navedeno, da naj UKC Ljubljana ne bi ustrezno zavaroval osebnih in občutljivih osebnih podatkov na svoji spletni strani. Kot izpostavlja zapisnik informacijskega pooblaščenca, ki ga je Kovačič pridobil, je šlo za interni del spletne strani, ki pacientom omogoča prijavljanje na preglede v UKC Ljubljana preko spleta.

Inšpekcijski pregled, ki je bil opravljen 9. septembra 2016, je pokazal, da je bilo s preprosto spremembo URL naslova mogoče odpreti "podstran, ki vsebuje osebne podatke zaposlenih, in sicer ime in priimek in naslov elektronske pošte" ter pridobiti "dostop do večjega števila zdravniške dokumentacije, vključno z napotnicami, ki vključujejo osebne in občutljive osebne podatke."

Po obvestilu informacijskega pooblaščenca je UKC Ljubljana še isti dan sporočil, da so varnostno luknjo odpravili.

Zakaj ni bilo dodatnih preiskav?

A Matej Kovačič je ob tem opozoril, da iz dokumentacije, ki so jo pridobili, ni videti, da bi informacijski pooblaščenec preveril, kako so bili ukrepi UKC Ljubljana izvedeni in kako učinkoviti so bili. Prav tako ni razvidno, da bi informacijski pooblaščenec preveril navedbo, da so izvedli "druge tehnične ukrepe za zagotavljanje višje stopnje varnosti"

Poleg tega je pol leta po inšpekcijskem pregledu omenjena spletna stran še vedno dostopno le po nešifrirani povezavi HTTP.

UKC Ljubljana: V tem mesecu bo vzpostavljena tudi šifrirana povezava 

Na UKC Ljubljana so nam pojasnili, da je do omenjenega vdora prišlo 9. septembra, torej na dan, ko je informacijski pooblaščenec tudi prijel prijavo. Še isti dan so napako odpravili. "Ne prej ne po tem datumu vdorov nismo zaznali," pravijo v največji slovenski zdravstveni ustanovi in pojasnili, da so o vdoru obvestili tudi Si-Cert.

Kot kaže zadnja napoved, pa so se odzvali tudi na kritiko Kovačiča in zagotovili, da bodo poleg ukrepov, ki so jih sprejeli po vdoru, še ta mesec vzpostavili tudi šifrirano povezavo do spletišča.

Obveščanje javnosti pa po njihovem mnenju ni bilo potrebno, "glede na to, da niso bili odtujeni podatki". Rezultat njihove analize pa naj bi pokazal, da neznanec, ki je vdrl v sistem in tako razril ranljivost, ni dostopal do podatkov pacientov.

barbara.erzen@zurnal24.si

Obišči žurnal24.si

Komentarjev 3

  • 16:17 16. Marec 2017.

    Zdravstvena reforma naj bi posodobila in poenostavila lažje dostope do informacij , naročanja, itd ..............seveda za določeno kasto !

  • 15:20 16. Marec 2017.

    Me zanima če bo Informacijski pooblaščenec končno nalimal UKC zasluženo kazen za malomarno ravnanje z osebnimi podatki pacientov?

Več novic

Zurnal24.si uporablja piškotke z namenom zagotavljanja boljše uporabniške izkušnje, funkcionalnosti in prikaza oglasnih sistemov, zaradi katerih je naša storitev brezplačna in je brez piškotkov ne bi mogli omogočati. Če boste nadaljevali brskanje po spletnem mestu zurnal24.si, sklepamo, da se z uporabo piškotkov strinjate. Za nadaljevanje uporabe spletnega mesta zurnal24.si kliknite na "Strinjam se". Nastavitve za piškotke lahko nadzirate in spreminjate v svojem spletnem brskalniku. Več o tem si lahko preberete tukaj.