Tiskane izdaje
Ljubljana – Neznanec je vdrl na spletno stran UKC Ljubljana, prek katere pacienti rezervirajo termin obiska pri zdravniku z napotnico. Dostopni so bili občutljivi in osebni podatki pacientov, vključno z njihovimi napotnicami, ter osebni podatki zaposlenih.
Pacienti si na spletni strani napotnica.kclj.si rezervirajo datum obiska v UKC Ljubljana. Poleg imena in priimka je obvezno poslati še podatke o datumu rojstva, mobilno telefonsko številko in skenirati napotnico z obeh strani. Vsi ti podatki zaradi ranljivosti spletne strani niso bili ustrezno zavarovani.
O vdoru na spletno stran napotnica.kclj.si bo danes na portalu Slo-Tech in v svojem blogu pisal tudi Matej Kovačič, strokovnjak za informacijsko varnost, ki je od informacijskega pooblaščenca po zakonu o dostopu do informacij javnega značaja pridobil dokumente o tem primeru.
Informacijski pooblaščenec si je septembra lani po prijavi ranljivosti spletne strani UKC Ljubljana to ogledal in ugotovil, da omogoča nezaščiten dostop do večjega števila zdravstvene in druge dokumentacije, skupaj z napotnicami, ter do osebnih podatkov večjega števila zaposlenih. Te podatke je bilo mogoče pridobiti z vpisom določenega naslova url v spletni brskalnik.
Varnostno luknjo odpravili
UKC Ljubljana je informacijskemu pooblaščencu še isti dan, ko ga je ta obvestil o varnostnem incidentu, sporočil, da so varnostno luknjo odpravili.
Ranljivost je odkril anonimni napadalec, ki je nato obvestil informacijskega pooblaščenca. Napadalec je poznal naslov url, ki je omogočal dostop do podatkov. Zelo verjetno je bil dobro poučen o informacijskem sistemu, v okviru katerega so se osebni podatki obdelovali, so informacijskemu pooblaščencu še pojasnili v UKC Ljubljana. Poslal je tudi dnevniški zapis, iz katerega je razvidno, da je poleg inšpektorja do podatkov dostopal zgolj napadalec.
V pojasnilu informacijskemu pooblaščencu so v UKC navedli, da so vzpostavili intervencijsko skupino strokovnjakov. Poleg tega so omejili pravice uporabnikov aplikacije Napotnica, odvzeli pravico za branje in pisanje dokumentov, ki jih naloži uporabnik aplikacije, spremenili aplikativna gesla v aplikacijah, ki so komunicirale z aplikacijo Napotnica, v testni scenarij dodali zahtevo, da se posebej testira tudi ta - sicer odpravljena - varnostna luknja, ter sprejeli druge tehnične ukrepe za zagotavljanje višje stopnje varnosti.
Informacijski pooblaščenec je ugotovil, da je UKC odpravil nepravilnosti, in je postopek inšpekcijskega nadzora ustavil.
Inšpekcijski postopek hitro ustavljen
Matej Kovačič je opozoril, da iz dokumentacije ni videti, da bi informacijski pooblaščenec preveril, kako so bili ukrepi UKC Ljubljana izvedeni in kako učinkoviti so bili, ampak je razmeroma hitro ustavil inšpekcijski postopek. Poleg tega je poudaril, da je pol leta po inšpekcijskem pregledu spletišče ljubljanskega kliničnega centra še vedno dostopno le po nešifrirani povezavi HTTP.
Po njegovem mnenju je tudi vprašanje, ali se je kakšen tak napad na to spletišče zgodil že kdaj prej in - ali je bila to edina šibka točka v sistemu UKC. Spomnimo, Kovačič je pred časom razkril tudi ranljivost Ajpesovega sistema, pri čemer se je pozneje izkazalo, da je bilo nepravilnosti kar nekaj. »Avto, ki nima enega kolesa, zelo verjetno nima le te težave. Morda mu pušča bencin, nima varnostnih pasov in tako naprej,« je ponazoril.
Pacientom in javnosti vdor zamolčali
Po njegovih besedah je zelo velika težava, da ni nihče obvestil ne morebitnih oškodovancev ne javnosti o tem vdoru: »Ne gre za lov na čarovnice, ampak za to, da se opozori na neko težavo, da se naredi analiza, zakaj se je napaka zgodila, in ugotovi, kateri ukrepi so bili sprejeti. S tem bi na podobne težave opozorili tudi druge in pokazali, kakšne bi morale biti dobre prakse na tem področju.«
