Slovenija
4336 ogledov

Kako zdravstvene ustanove skrbijo za vaše podatke? Slabo.

slovenija01.04.09, nevroloska klinika, zdravniske sestre, zdravniki, pacjenti, l Nik Rovan
Informacijski pooblaščenec je v sistematičnem nadzoru zdravstvenih ustanov ugotovil, da velika večina nima varnih povezav pri elektronskem naročanju. Podatki, ki jim jih posredujete, bi nepridipravi lahko tako ukradli ...

Analiza, ki jo je opravil Informacijski pooblaščenec RS, je pokazala, da izmed 21 zdravstvenih domov in bolnišnic, ki omogočajo naročanje preko spleta, kar 13 institucij ni upoštevala zahteve po šifrirani povezavi. Spletne strani tako niso zagotavljale varnih povezav, na primer z uporabo protokola HTTPS oziroma drugega ustreznega šifriranja. Podatki, ki bi jih nepridipravi lahko prestregli, so tako dodatno zaščiteni, saj jih odkriptirata lahko samo napravi, ki med seboj komunicirata.

Sistematično kršenje kršenje zakonodaje na področju občutljivih osebnih podatkov je informacijski pooblaščenec ugotovil v nadzorih, ki so sledili razkritju strokovnjaka za informacijsko varnost Mateja Kovačiča, da je lani zaradi nezaščitenega dostopa neznancu uspelo vdreti na spletno stran UKC Ljubljana in s tem do dostopa zdravstvene dokumentacije. Pacientom in javnosti so vdor zamolčali, do njegovega javnega opozorila pa UKC Ljubljana tudi ni popravil nepravilnosti.

Nadzor pokazal zaskrbljujoče stanje ...

Nadzor, ki je sledil razkritju, je, kot rečeno, pokazal slabo stanje tudi na v drugih zdravstvenih ustanovah. Ker je šlo za kršitve sistemske narave, pa so se pri informacijskem pooblaščencu odločili, da "skladno z načelom sorazmernosti in ekonomičnosti inšpekcijskega postopka v izogib podvajanju inšpekcijskih postopkov in nesmotrne porabe javnih sredstev" najprej izdajo opozorilo vsem kršiteljem. 
 
Konec marca so tako pozvali Združenje zdravstvenih domov, da naj pozove svoje člane, da kršitve zakona o varstvu osebnih podatkov, ki jim nalaga zavarovanje občutljivih osebnih podatkov, odpravijo v najkrajšem možnem roku, sicer bodo po preteku 30 dni uvedli inšpekcijske postopke po uradni dolžnosti.
 
Do tega trenutka je večina že odpravila kršitve, izjema ostajata še Bolnišnica v Sežani in Zdravstveni dom Metlika. Kot so zagotovili informacijskemu pooblaščencu, bodo nepravilnosti odpravili do septembra.
 

Gorazd Božič: Slabo stanje ne presneča

"Slabo stanje na določenih področju nas na SI-CERT pravzaprav ne preseneča," se ja na vprašanje Žurnal24 odzval Gorazd Božič, vodja SI-CERT, kjer opažajo manko informacijske varnosti tako v delih javnega sektorja kot tudi v zasebnem sektorju - predvsem pri manjših podjetjih.

Enega izmed razlogov za takšno stanje vidi v zmanjševanju pomena zaščite podatkov informacijske varnosti, po drugi strani pa poleg lastnikov sistema izpostavlja tudi ponudnike rešitev, ki tako slabo zasnovano zaščito naročniku sploh prodajo. "Zato ni nujno, da je krivda le in zgolj samo pri zdravstvenih zavodih."

Šifriranje povezave pri prenosu osebnih podatkov mora danes biti osnova, digitalna potrdila (certifikate) je možno pridobiti tudi brezplačno, recimo na letsencrypt.org. Vnos podatkov preko nešifrirane povezave je lahko predmet prestrezanja, pri čemer je rizik pri pošiljanju preko ožičenega omrežja manjši, kot če uporabljamo wi-fi povezave, sploh še, če je to neko javno dostopno omrežje.

Gorazd Božič, vodja SI-CERT

Pri podjetju Unistar LC, ki se ukvarja z informacijsko varnostjo in med svojimi referencami izpostavlja tudi več zdravstvenih indtitucij, so sicer izpostavili, da je informatizacija na področju varovanja informacij prinesla napredek, saj so bile informacije v fizični obliki izpostavljene razkritju ali izgubi. "Tako menimo, da je informatizacija zdravstva prinesla napredek predvsem v zavedanju o pomenu informacijske varnosti," je izpostavil izvršni direktor družbe Pavle Jazbec in nadaljeval, da zdravstvene ustanove v to področje vlagajo toliko sredstev in časa, kot si ga lahko privoščijo. Pri tem izpostavlja tudi manjko nadzora, na primer ministrstva za zdravje, nad vpeljanimi rešitvami.

Se le obetajo spremembe?

Oba sogovornika s področja informacijske varnosti sicer dvig nivoja varnosti pričakujeta z implementacijo evropske direktive o varnosti omrežji in informacij (NIS), ki jo bo Slovenija vključila v novi zakon o informacijski varnosti. Pomembno pa bo tudi dvigniti zavest glede varnosti. "V prihodnjih letih tako pričakujemo predvsem več vlaganj v informacijsko varnost, ki pa ne pomeni nujno in samo uveljavitve tehničnih kontrol. Veliko poudarka bo moralo slovensko zdravstvo, pa tudi druge branže nameniti ozaveščanju uporabnikov," je  napovedal Jazbec, ki pričakuje, da bodo nato državljanom zagotovili tudi primerno stopnjo zasebnosti.

barbara.erzen@zurnal24.si

Komentarjev 3
  • e213b2535978aaf6e413f72233bf2dc07a5a81a8 11:29 03.avgust 2017.

    Mene ne skrbi varnost podatkov,ampak varnost nas pacientov,saj ranocelniki v hlastanju po zaslužku vse posege opravljajo po sistemu,kaj pa tale qurac ve,kako se opravljajo raznorazni posegi??

  • Milan Novak 21:22 01.avgust 2017.

    Pod to vlado in to ministrico je vse mogoče !

  • speris 17:03 31.julij 2017.

    Mene bolj zanima kaksen software uporabljajo za narocila. Ima vsaka ustanova svoj sistem ali vsi uporabljajo isto zadevo? Ce ima vsaka ustanova svoj sistem potem je tukaj lahko se ogromno lukenj in moznost za izgubo podatkov.