Novice » Zasebnost » Nov vrhunec digitalne transformacije v slovenskem zdravstvu: do podatkov zdravstvenega stanja Primorcev kar prek Googla
Saul Goodman ::
poglej, imeti čim bolj eksotično rešitev je security through obscurity. če noben ne pozna tvojega cms-a to še ne pomeni, da nima lukenj. wordpress ima svoj namen na spletu in se ga da lepo integrirati, kar dokazujejo velike firme. isto kot drupal. joomla gre tud men na kurac, o njih ne bom povedal nč lepga. :D
popularnost je v tem primeru prednost. hitro se odkrijo varnostne luknje, hitro nastajajo popravki, hitro dobijo napadalci narejene PoC-e na githubu, ampak hitro pride informacija in update tudi do vzdrževalcev, ki lahko tako luknjo pokrpajo. v tej tekmi zmagaš, če ažurno vzdržuješ spletno stran.
popularnost je v tem primeru prednost. hitro se odkrijo varnostne luknje, hitro nastajajo popravki, hitro dobijo napadalci narejene PoC-e na githubu, ampak hitro pride informacija in update tudi do vzdrževalcev, ki lahko tako luknjo pokrpajo. v tej tekmi zmagaš, če ažurno vzdržuješ spletno stran.
techfreak :) ::
Wordpress ocitno tako zaupa v svojo kodo, da ti kar sami ponujajo gostovanje CMSja, ki ga koristi precej zelo znanih/obiskanih spletnih strani.
Ce furas posodobljeno Wordpress instalacijo, mislim da ni potrebno posebej skrbeti za vdore. Na hitro sem preletel lanske CVEje, in za skoraj vse kriticne ranljivosti potrebujes vsaj uporabniski racun, ce ne ze kar visje pravice. Tukaj se niti ni slo za kaksno ranljivost, ampak shranjevanje datotek na javno lokacijo, ter ocitno se vkljuceno listanje direktorija oz. listanje datotek nekje v samem CMSju).
Ne obdeluj sensitive PII podatkov na tej platformi in ne bo panike.
Ce furas posodobljeno Wordpress instalacijo, mislim da ni potrebno posebej skrbeti za vdore. Na hitro sem preletel lanske CVEje, in za skoraj vse kriticne ranljivosti potrebujes vsaj uporabniski racun, ce ne ze kar visje pravice. Tukaj se niti ni slo za kaksno ranljivost, ampak shranjevanje datotek na javno lokacijo, ter ocitno se vkljuceno listanje direktorija oz. listanje datotek nekje v samem CMSju).
Ne obdeluj sensitive PII podatkov na tej platformi in ne bo panike.
Saul Goodman ::
techfreak :) je izjavil:
Wordpress ocitno tako zaupa v svojo kodo, da ti kar sami ponujajo gostovanje CMSja, ki ga koristi precej zelo znanih/obiskanih spletnih strani.
Ce furas posodobljeno Wordpress instalacijo, mislim da ni potrebno posebej skrbeti za vdore. Na hitro sem preletel lanske CVEje, in za skoraj vse kriticne ranljivosti potrebujes vsaj uporabniski racun, ce ne ze kar visje pravice. Tukaj se niti ni slo za kaksno ranljivost, ampak shranjevanje datotek na javno lokacijo, ter ocitno se vkljuceno listanje direktorija oz. listanje datotek nekje v samem CMSju).
Ne obdeluj sensitive PII podatkov na tej platformi in ne bo panike.
amen
SeMiNeSanja ::
Nekdo je grdo šel mimo vsega, kar bi mu katerikoli varnostni standard narekoval (pred tem pa še zdrava pamet).
Pa kaj moaš danes res biti 5x certificiran in imeti doktorat, da boš vedel, da se občutljivih dokumentov ne shranjuje na strežniku, ki je javno dostopen?
Če bi se držali principa, da noben javno izpostavljen strežnik po definiciji ni varen, zaradi česa na njemu NIKOLI ne boš hranil ničesar, kar bi lahko povzročilo težave ob vdoru ali sesutju, se danes o tem 'škandalu' (šlampariji?) sploh nebi pogovarjali.
Mislim, da res ni treba imeti doktorat za to, da se držiš tega načela?
Ne, ni problem Wordpress. Problem je, kako so ga uporabljali. Tudi če bi te podatke imeli na enak način hranjene na internem strežniku (brez javnega dostopa), bi se še vedno šlo za grd fail, saj niti pod razno nebi smeli imeti vsi uporabniki bolnišničnega omrežja imeti dostop do teh podatkov.
Dejansko bi bilo bolje, če bi si te napotnice pošiljali na interne mail naslove! Ni idealno, vskakor pa bolje, kot da jih daš kar vsakemu, ki ima 5 min viška, na vpogled.
No, sledljivost dostopa do podatkov je najbrž bila zagotovljena kar preko Google Analytics?
Pa kaj moaš danes res biti 5x certificiran in imeti doktorat, da boš vedel, da se občutljivih dokumentov ne shranjuje na strežniku, ki je javno dostopen?
Če bi se držali principa, da noben javno izpostavljen strežnik po definiciji ni varen, zaradi česa na njemu NIKOLI ne boš hranil ničesar, kar bi lahko povzročilo težave ob vdoru ali sesutju, se danes o tem 'škandalu' (šlampariji?) sploh nebi pogovarjali.
Mislim, da res ni treba imeti doktorat za to, da se držiš tega načela?
Ne, ni problem Wordpress. Problem je, kako so ga uporabljali. Tudi če bi te podatke imeli na enak način hranjene na internem strežniku (brez javnega dostopa), bi se še vedno šlo za grd fail, saj niti pod razno nebi smeli imeti vsi uporabniki bolnišničnega omrežja imeti dostop do teh podatkov.
Dejansko bi bilo bolje, če bi si te napotnice pošiljali na interne mail naslove! Ni idealno, vskakor pa bolje, kot da jih daš kar vsakemu, ki ima 5 min viška, na vpogled.
No, sledljivost dostopa do podatkov je najbrž bila zagotovljena kar preko Google Analytics?
BlaY0 ::
SeMiNeSanja je izjavil:
Nekdo je grdo šel mimo vsega, kar bi mu katerikoli varnostni standard narekoval (pred tem pa še zdrava pamet).
Kakšen standard? Katerega od "teh" standardov pa je treba upoštevati? Kdo nadzira ali je vse po "teh" standardih?
Ko bo za obratovanje spletnega portala nekega javnega zavoda potrebno pridobiti uporabno dovoljenje, takrat bodo pa naši osebni podatki že recimo nekje 75% varni.
Zgodovina sprememb…
- spremenilo: BlaY0 ()
Bwaze6 ::
Bi bilo v Sloveniji sploh kaznivo, če bi neko podjetje zbiralo vse te "nerodno in nenamerno" deljene podatke ter nudilo razna svetovanja npr. zavarovalnicam, kadrovskim službam, političnim strankam pri preverjanju kandidatov?
Sicer si težko predstavljam, da bi v Sloveniji to ostalo skrito - nekdo bi se že pritožil čez storitev ali ceno...
Sicer si težko predstavljam, da bi v Sloveniji to ostalo skrito - nekdo bi se že pritožil čez storitev ali ceno...
vahid ::
techfreak :) je izjavil:
Wordpress ocitno tako zaupa v svojo kodo, da ti kar sami ponujajo gostovanje CMSja, ki ga koristi precej zelo znanih/obiskanih spletnih strani.
Seveda in to na shared instanci, ne? Saj niso nori...
techfreak :) je izjavil:
Ce furas posodobljeno Wordpress instalacijo, mislim da ni potrebno posebej skrbeti za vdore. Na hitro sem preletel lanske CVEje, in za skoraj vse kriticne ranljivosti potrebujes vsaj uporabniski racun, ce ne ze kar visje pravice. Tukaj se niti ni slo za kaksno ranljivost, ampak shranjevanje datotek na javno lokacijo, ter ocitno se vkljuceno listanje direktorija oz. listanje datotek nekje v samem CMSju).
Ne obdeluj sensitive PII podatkov na tej platformi in ne bo panike.
Pazi, postal sem samo cveje za vanilla wordpress. Potem imas pa zadaj se plugine. In tole je letelo na WP sam, ne pa na bolnisnico, tam so pac salabajzerji.
Morda je se nekaj ljudi, ki tole razumejo...
https://www.delo.si/mnenja/kolumne/ce-padem-me-pocakajte-154864.html
https://www.delo.si/mnenja/kolumne/ce-padem-me-pocakajte-154864.html
Zgodovina sprememb…
- spremenilo: vahid ()
malisvizec ::
Samo za pojasnilo. CMS tu sploh ne igra vloge, da ne bi tema zasla. Poanta je da tovrstni CMSji niso namenjeni temu, kar si je omenjen zavod zamislil. Namenjeni so public predstavitvi, in ce tam pac zgodi deface, ni neke skode razen imidza. Aplikacija, web, ki pa je namenjena poslovanju pa definitivno ni varna v tovrstnih sistemih. Pa obracaj kakor ves in znas.
Se enkrat, ce sistem ni nacrtovan z varnostjo v prvem planu, ne bo nikoli varen. Velikokrat sem bil pozvan, k nadgradnji sistema z varnostjo. Tega ni. Samo to razlozit narocniku ni enostavno, tako da se nato narocnik ne odloci za spremebe. In potem imamo take...
Se enkrat, ce sistem ni nacrtovan z varnostjo v prvem planu, ne bo nikoli varen. Velikokrat sem bil pozvan, k nadgradnji sistema z varnostjo. Tega ni. Samo to razlozit narocniku ni enostavno, tako da se nato narocnik ne odloci za spremebe. In potem imamo take...
matijadmin ::
Bi bilo v Sloveniji sploh kaznivo, če bi neko podjetje zbiralo vse te "nerodno in nenamerno" deljene podatke ter nudilo razna svetovanja npr. zavarovalnicam, kadrovskim službam, političnim strankam pri preverjanju kandidatov?
Sicer si težko predstavljam, da bi v Sloveniji to ostalo skrito - nekdo bi se že pritožil čez storitev ali ceno...
Da. Kvalificirano KD zlorabe občutljivih osebnih podatkov je to in se kaznuje z zaporom do dveh let.
Vrnite nam techno!
poweroff ::
Na KPK smo razvili podoben sistem, da so zavezanci izpolnili podatke preko spletnega obrazca, podatki pa so se potem zapisali na web server.
Vendar!
Podatki so se zapisali v šifrirani obliki (one way, dešifriranje na serverju ni bilo mogoče), šifriranje in shranjevanje cache-ja se je dogajalo v RAMu (disk cache je bil onemogočen), poleg tega so se podatki večkrat dnevno (kljub temu, da so bili šifrirani) prenašali dol iz serverja.
Seveda tudi ta rešitev ni 100% varna (tako kot nobena ne), je pa zelo blizu temu.
Ampak slovenske IT firme so pametne in vedo vse same. Še zlasti na področju varnosti.
Vendar!
Podatki so se zapisali v šifrirani obliki (one way, dešifriranje na serverju ni bilo mogoče), šifriranje in shranjevanje cache-ja se je dogajalo v RAMu (disk cache je bil onemogočen), poleg tega so se podatki večkrat dnevno (kljub temu, da so bili šifrirani) prenašali dol iz serverja.
Seveda tudi ta rešitev ni 100% varna (tako kot nobena ne), je pa zelo blizu temu.
Ampak slovenske IT firme so pametne in vedo vse same. Še zlasti na področju varnosti.
sudo poweroff
Bwaze6 ::
Vem da je to čisto teoretično in off-topic, ampak če ta firma občutljivih zdravstvenih podatkov ne bi posredovala naprej, pač pa bi jih uporabljala za interno generiranje bolj splošnih priporočil in ocen - a ima država sploh kak vzvod za vpogled v baze podatkov, ki jih podjetja generirajo o nas?
matijadmin ::
Na KPK smo razvili podoben sistem, da so zavezanci izpolnili podatke preko spletnega obrazca, podatki pa so se potem zapisali na web server.
Vendar!
Podatki so se zapisali v šifrirani obliki (one way, dešifriranje na serverju ni bilo mogoče), šifriranje in shranjevanje cache-ja se je dogajalo v RAMu (disk cache je bil onemogočen), poleg tega so se podatki večkrat dnevno (kljub temu, da so bili šifrirani) prenašali dol iz serverja.
Seveda tudi ta rešitev ni 100% varna (tako kot nobena ne), je pa zelo blizu temu.
Ampak slovenske IT firme so pametne in vedo vse same. Še zlasti na področju varnosti.
Asimetrična kripto., z javnim ključem na strežniku vse šifriraš in potem z zasebnim nekje globoko v zaledju, kamor se prenašajo ti podatki, dešifriraš.
Vrnite nam techno!
matijadmin ::
Vem da je to čisto teoretično in off-topic, ampak če ta firma občutljivih zdravstvenih podatkov ne bi posredovala naprej, pač pa bi jih uporabljala za interno generiranje bolj splošnih priporočil in ocen - a ima država sploh kak vzvod za vpogled v baze podatkov, ki jih podjetja generirajo o nas?
Nima podlage za obdelavo (ne v zakonu niti osebnega pisnega privoljenja posameznika), tako da je v prekršku. Če bi pa (tudi samo izsledke o posamezniku in ne izvornih podatkov) posredoval komu tretjemu, gre za KD.
Ob utemeljenem sumu na KD, lahko s hišno preiskavo policija obišče storilce.
Kar zadeva kršitve ZVOP-a in GDPR-ja, je pristojna IP. Ona lahko opravi inšpekcijski nadzor praktično kadar koli, po prijavi ali naključno. Problem je, kako kompetentne osebe (inšpektorji) izvajajo nadzor, jaz jim lahko izvozim iz svojih baz nekaj, kar je videti zakonito, preostalega, kar hranim protipravno, pa ne. Saj ne zasežejo strežnikov, nosilcev podatkov niti se jim ne sanja (večini), kaj počne programer, sistemski administrator, ko jim pripravlja podatke. Do sedaj je to baje še zmeraj delovalo, izid takega nadzora pa je bil, da niso ugotovili kršitev kljub njihovemu dejanskemu obstoju!
Vrnite nam techno!
poweroff ::
https://web.archive.org/web/20141012023... - glede na Wayback machine, je bila kot avtor spletne strani navedena firma Emigma. Ista firma je navedena kot avtor tudi danes.
Tole so pa transakcije med SB Izola in to firmo:
https://erar.si/placnik/27715/prejemnik...
Tole so pa transakcije med SB Izola in to firmo:
https://erar.si/placnik/27715/prejemnik...
sudo poweroff
matijadmin ::
Torej je za ta epski fail v implementaciji najverjetneje kriva (tudi) Emigma.
Vrnite nam techno!
poweroff ::
Po strokovni plati najverjetneje ja. Ampak pravna odgovornost je pa odgovornost tistega, ki je a) podal specifikacije za informacijski sistem in b) tistega, ki je informacijski sistem prevzel.
Mimogrede, Emigma je največ poslovala z mestno občino Koper:
https://erar.si/prejemnik/55593763/#tra...
Mimogrede, Emigma je največ poslovala z mestno občino Koper:
https://erar.si/prejemnik/55593763/#tra...
sudo poweroff
matijadmin ::
V času datiranja mnogih (kronološko najstarejših objavljenih) dokumentov, tj. l. 2016, je Emigma še prejemala nakazala od SB Izola. Zelo verjetno za ta ponesrečeni vtičnih za naročanje, to naj direktor javno pojasni!
Jasno kot beli dan.
Po strokovni plati najverjetneje ja. Ampak pravna odgovornost je pa odgovornost tistega, ki je a) podal specifikacije za informacijski sistem in b) tistega, ki je informacijski sistem prevzel.
Mimogrede, Emigma je največ poslovala z mestno občino Koper:
https://erar.si/prejemnik/55593763/#tra...
Jasno kot beli dan.
Vrnite nam techno!
Zgodovina sprememb…
- spremenil: matijadmin ()
Gajec ::
Preventivno gledano, kako je stanje z zdravstveno dokumentacijo npr. v ljubljanskih zdravstvenih ustanovah?
Najprej glede osebnih zdravnikov. Imajo kartoteke že kaj digitalizirane ali še vedno izključno fizično v mapi v železnih omarah?
Naprej glede specialistov v UKC - ti kot sklepam po tipkanju izvidov vse skupaj hranijo digitalno ali še vedno le fizično sprintano?
Na e-zdravje imaš svoje (in za otroke do 16 let) izvide gor še preden jih dobiš po pošti...
Ampak verjetno le, če si registriran na https://zvem.ezdrav.si/e-zdravje ?
Spura ::
IP je instanca ki nima priziva, oni pac ne bodo dali kazni javnim entitetam (zakaj bi se zameril ljudem) in nihce jim ne more kontrirat tko da je ta varnostni incident tako kot vsi pred njimi adacta.
bajsibajsi ::
Saul Goodman je izjavil:
Je pa e-zdravje en tak sistem z ene 30.000 dostopnimi točkami (nihče v resnici ne ve, kolk računalnikov imamo v sistemu). Varnost je odvisna od etičnega ravnanja uporabnikov.
- Praktično noben računalnik ni kriptiran
- Podatki na računalniku so začiteni z windows gesli (smeha vredno)
- Sam program za delo s pacienti je zaščiten z geslom, ki je po navadi napisano na monitorju ali na zadnji strani čip kartice zdravnika (profesionalne). Ki je ponavadi pri sestri, ki se z njo prijavlja.
- Dostop v hrbtenico e-zdravja, kjer so naloženi vsi izvidi, vseh pacinetov, ne samo od izbranega zdravnika, je omogočen zdravnikom, sestram pa omejeno, zato sestre velikokrat uporabljajo zdravniške osebne certifikate ali kartice, da lahko opravljajo svoje delo.
- pacineti izvide pošiljajo na majl, ravno tako precej ustanov izvide pošilja na dom z majlom.
- po majlu (po navadi z gmaila) pošljejo tudi izvid fizioterapevti. izvid je v najboljšem primeru zararan, geslo pride z naslednjim majlom :-)
- do uvedbe e-zdravja ZZZS in NIJZ nista mogla povezati imena in priimka z diagnozo. Sedaj se vsaka naložena napotnica ali recept, shranita pri njih (na napotnici so ime priimek, naslov, kronične diagnoze in kronična terapija)
- aja, omrežja znotraj ustanov pogosto delujejo na WI-fi jih. Ker je tako bolj prikladno
A boš rekel, da je dostop do e-zdravja vdor? Se mi zdi da je bolj plaz podatkov, ki rinejo ven čez odprta vrata :-) Po mnenju IP, pretirano podeljevanje pravic ni problem, problem je kršitev pooblastil posameznika. Skratka ne sistem, zaposleni.
iz prve roke, vse to je res. dr. je ponavad "prepomemben" za vnos lastnih gesel v sistem, vse to delijo s sestrami in kartice ležijo po mizah, nihče ne skrbi za njih. geslo je pa "11111111" pri večini zdravnikov. kot zunanji izvajalec te prakse ne moreš spremeniti, ker ni posluha vodstva in ker se doktorji in sestre niso pripravljeni učit. simple. prav upirajo se. in takle mamo. jaz se izogibam vsem, ki operirajo z osebnimi podatki kot hudič križa, ker vem kako jih boli kurac.
Jaz zgublam živce tu intenzivno zadnjih 10 let. Ampak to sploh ne bi smela bit debata. Sistem za tako občutljive podatke bi moral biti narejen tako, da ne dovoli dostopa opicam. Pika. Al igraš po pravilih, al pa ne moreš delat.
Je pa glavni problem implementacija rešitev 7 proizvajalcev, ki vodijo v 10 različnih avtentikacijskih metod. Jaz sem z 2019 za našo ambulanto naredil vse tako kot je treba in moram zjutraj vnesti enkripcijski pin, pol windows geslo (in vsakič ko se užge screen saver), nato geslo za program za pacinete, posebi geslo in 2FA za dostop v ezdravje in ločeno geslo in 2FA v posebej rešitev za komuniciranje s pacineti in e-naročanje. Aja, pa seveda geslo za osebni certifikat, ko začnem komunicirat z NIJZjem in nekaterimi zavarovalnicami in geslo (PIN), za dostop do nekaterih storitev ZZZS, ker je ZZZS še vedno edini, ki ni posvojil certifikatov (edini avtentikacijski mehanizem je digitalno potrdilo na čip kartici). Ne pretiravam, zjutraj traja 5-10 minut, da se logiram v vse storitve. Ker so ponudniki nekompatibilni, od vrha pa ni komande kaj naj bi uporabljali... In pol se folk znajde po svoje.
Tu ni problem v ponudnikih, ampak v nezainteresiranosti, nekompetentnosti, sekundarnih interesih itd odgovornih v javnem sektorju! Vseh tvojih 10 prijav uspesno resi ustrezno implementiran AD, ki ga ima v tujini vsaka bolnisnica. Tako pa (zunanji) tehniki v nasi najvecji bolnisnici na roke posodabljajo javo.
Zgodovina sprememb…
- spremenilo: bajsibajsi ()
BlaY0 ::
Ta primer je privlekel na plano še enega okostnjaka izpred parih let, ki je dosti podoben, če gledamo s perspektive pacientov. Pa da vidmo kako se bodo zadeve razpletale...
MMKK ::
bajsibajsi je izjavil:
Tu ni problem v ponudnikih, ampak v nezainteresiranosti, nekompetentnosti, sekundarnih interesih itd odgovornih v javnem sektorju! Vseh tvojih 10 prijav uspesno resi ustrezno implementiran AD, ki ga ima v tujini vsaka bolnisnica. Tako pa (zunanji) tehniki v nasi najvecji bolnisnici na roke posodabljajo javo.
No, nisem profi računalniča, a kolikor mi je znano, bi nekaj AD odnesel to na lokalnem nivoju, velike večine pa ne, ker gre v osnovi za zahteve na strani ponudnika storitve, ki so različne, pa še spreminjajo se pogosto (tudi mesečno). Tudi Software-ji za obdelavo pacientov so večinoma lokalne inštalacije, se pravi brez enkripcije in vnosom startup pina pred startupom PCja, ne gre (če resno jemlješ varovanje podatkov). AD s tem nima nič.
Če pa ti rata tole zbrko z AD rešit, pa lepo prosim na plan z rešitvijo, tako jo kupi 1000 zdravnikov po Sloveniji. Osebni zdravnik se recimo mora pri vsakem pacientu povezati z ZZZS, NIJZ in zavarovalnicami dopolnilnih zavarovanj. NIJZ zahteva avtentikacijo pri njih (čeprav bi v teoriji lahko preprosto preko IPseca povezal moj in njihov router, pa so preleni, da bi to podprli. Še več, če to uporabiš, pisno zahtevajo, da jim predaš svoj router v upravljanje!?).
Tako ostane za manjše izvajalce zgolj z njihove strani vsiljen ciscoVPN client, ki ga moraš poganjati vsak dan, na SMS pa dobiš 2FA. Za vsakega userja posebej, s tem da računaj, da na enem PCju delajo tudi po 3 ali 4 osebe, vsaka dobi svoj 2FA SMS! Javnim zavodom je MZ zagotovilo Ciscove Routerje, ki imajo VPN do NIJZjevega routerja in se temu izognejo.
ZZZS zahteva avtentikacijo pri njih, preko uporabe čitalcev kartic (ne, tipkovnica ne prime!) na karticah so čisto navadna digitalna potrdila in zahteva z njihove strani je, da VSAKIČ vneseš pin, ko pošlješ dokument - npr. e-recept! Lokalna inštalacija tega ne zahteva, to je zahteva zgolj pri uporabi storitev ZZZS. Nimajo implementiranega dostopa z digitalnimi potrdili, drugačnimi od njihove opreme. In ja, prav ste prebrali. Če 80 letna mama pride po 10 receptov, je treba izdati 10 različnih dokumentov (bognedaj, da bi na enega napisali 10 zdravil, to bi bilo preveč simpl), pin vpisati 10x. In potem se sprašujejo, zakaj dohraji to dajo delat študentom ali sestram. Ali zakaj so družinski zdravniki administrativno obremenjeni. To je totalna zguba časa in kompetenc.
To, ko sem govoril, da so proizvajalci nekompatibilni, pa najbolj pride do izraza, ko hočeš poslat izvid kolegu. No, ne moreš. Ker računalniške hiše med sabo niso kompatibilne. AD gor al pa dol. In ne, na urgenci ne vidijo vaših podatkov od vašega osebnega zdravnika in NE, nič ni na vaših karticah, lahko pa ginekolog v Murski brska po vaših izvidih, ki so bili naloženi v hrbtenico ezdravja (četudi je to magnet iz Izole :-) Po mnenju IP to ni problem, a jih je to mnenje danes z Milojko ugriznilo v rit.
Pa tudi ne drži, da imajo bolnišnice v tujini to rešeno elegantno in brez težav. Praktično kjerkoli sem bil po evropi in ZDA, je stanje podobno - varnost podatkov v bolnišnicah je večinoma krepko na nižjem nivoju kot recimo bančnih storitev, takoj ko imajo več ponudnikov, so ti nekompatibilni in nepovezljivi.Edina razika med nami in njimi je, da ne dovoljujejo izjem.
Vedno je problem ta "distribucijski" model. Če bi e-zdravje postavilo osnovo in bi se proizvajalci morali prilagodit enotnim varnostnim protokolom, bi to delovalo, seveda tudi z večimi ponudniki. A v SLO je trenutno tako, da se e-zdravje prilagaja rešitvam, ki jih ponujajo ponudniki. In potem imaš back-ende, ki zagotovijo kompatibilnost. In ti back-endi so velikokrat samo gašenje požara oz. začasna rešitev. Nič pa ni bolj trajnega kot začasne rešitve. No, pa kdaj se kaj najde tudi na googlu očitno.
Zgodovina sprememb…
- spremenil: imagodei ()
ToniT ::
VPN do NIJZ je možen tudi za zasebnike. Pred kratkim smo to implementirali pri zasebnici, tako da smo rešili problem 2fa avtentifikacije za vsako sestro in zdravnika - zadeva je rešena podobno oz. enako kot v javnih zavodih.
Recepte lahko podpisuješ s kvalificiranim digitalnim potrdilom od sigence ali poštarce, tako da ne rabiš klofati PIN-a za vsak recept ali napotnico.
Kar se pa tiče izvidov pa je sistem pač tak, kot je. Ali ga pošlješ v hrbtenico ali pa ga imaš pri sebi in ga drugi ne vidijo.
Recepte lahko podpisuješ s kvalificiranim digitalnim potrdilom od sigence ali poštarce, tako da ne rabiš klofati PIN-a za vsak recept ali napotnico.
Kar se pa tiče izvidov pa je sistem pač tak, kot je. Ali ga pošlješ v hrbtenico ali pa ga imaš pri sebi in ga drugi ne vidijo.
aerie ::
In ja, prav ste prebrali. Če 80 letna mama pride po 10 receptov, je treba izdati 10 različnih dokumentov (bognedaj, da bi na enega napisali 10 zdravil, to bi bilo preveč simpl), pin vpisati 10x.
Recepti za določenega pacienta se dajo v paket in pošlješ paket z vsemi recepti. Vtipkaš PIN le 1x ali pa uporabljaš certifikat in ti PINa ni treba tipkat.
In potem se sprašujejo, zakaj dohraji to dajo delat študentom ali sestram. Ali zakaj so družinski zdravniki administrativno obremenjeni. To je totalna zguba časa in kompetenc.
Ne razumem zakaj ne bi bili zdravniki administrativno obremenjeni. Kaj pa počnete tako posebnega? Opravljate pač čisto navaden poklic, kot vsak drug.
aerie ::
dejanslo ::
/Offtopic
Ti si tudi en tak fakin. Izvoli, uvozi jih, po letu ali dveh jih velika večina šiba dalje v EU. Slovenija jim je samo odskočna deska. Zdravnik (ali delavec za trakom, frizer, sestra, maser, trgovka, farmacevt, pravnik, programer...) tehta med plusi in minusi dela pri nas ali v tujini. Pogoji dela in delovni pogoji niso močan faktor, ki bi govoril v prid dela pri nas. Še najbolj vežejo ljudi stvari, ki niso povezane z delom, npr družinsko življenje, prijatelji itd. Kaj pa veže Srba, ki je že itak 500 km od družine in prijateljev, na delo tu? A dober zdravstveni sistem podprt z učinkovitim IT in dobra plača?
Za uspešen uvoz, kar tem malo bolj severno od nas kar dobro uspeva, je potrebna dobra podlaga. Če pa dogajanje v zdravstvu v zadnjem času, vključno s tem incidentom, ne govori, da smo daleč od dobro delujoče podlage, pol pa tudi ne vem. Politika se na stroko in njihova priporočila požvižga in ne bo reševala zdravstva, dokler javnost tega ne bo resneje zahtevala. V celotni državi pa premoremo 1 novinarko, ki resneje spremlja področje, ostali le oportunistično naskakujejo incidente kot je ta. The way I see it, currently, no bright future is ahead.
Ti si tudi en tak fakin. Izvoli, uvozi jih, po letu ali dveh jih velika večina šiba dalje v EU. Slovenija jim je samo odskočna deska. Zdravnik (ali delavec za trakom, frizer, sestra, maser, trgovka, farmacevt, pravnik, programer...) tehta med plusi in minusi dela pri nas ali v tujini. Pogoji dela in delovni pogoji niso močan faktor, ki bi govoril v prid dela pri nas. Še najbolj vežejo ljudi stvari, ki niso povezane z delom, npr družinsko življenje, prijatelji itd. Kaj pa veže Srba, ki je že itak 500 km od družine in prijateljev, na delo tu? A dober zdravstveni sistem podprt z učinkovitim IT in dobra plača?
Za uspešen uvoz, kar tem malo bolj severno od nas kar dobro uspeva, je potrebna dobra podlaga. Če pa dogajanje v zdravstvu v zadnjem času, vključno s tem incidentom, ne govori, da smo daleč od dobro delujoče podlage, pol pa tudi ne vem. Politika se na stroko in njihova priporočila požvižga in ne bo reševala zdravstva, dokler javnost tega ne bo resneje zahtevala. V celotni državi pa premoremo 1 novinarko, ki resneje spremlja področje, ostali le oportunistično naskakujejo incidente kot je ta. The way I see it, currently, no bright future is ahead.
There`s More Than One Way To Do It
Zgodovina sprememb…
- spremenil: dejanslo ()
MMKK ::
VPN do NIJZ je možen tudi za zasebnike. Pred kratkim smo to implementirali pri zasebnici, tako da smo rešili problem 2fa avtentifikacije za vsako sestro in zdravnika - zadeva je rešena podobno oz. enako kot v javnih zavodih.
Recepte lahko podpisuješ s kvalificiranim digitalnim potrdilom od sigence ali poštarce, tako da ne rabiš klofati PIN-a za vsak recept ali napotnico.
Kar se pa tiče izvidov pa je sistem pač tak, kot je. Ali ga pošlješ v hrbtenico ali pa ga imaš pri sebi in ga drugi ne vidijo.
Jap, poznam rešitev. Zahtevajo Cisco Router, cena okrog 400€. Kje jih boš vzel, v denarju za paciente to ni predvideno. Ali to vzameš od plače zdravnika, sestre ali zavrneš 10 pacinetov. Pa da vidimo junaka... Denar ki ga nakaže ZZZS a paciente je en sam. Javnim zavodom so je opremo subvencioniralo ministrstvo. Ampak gre se pa za javno zdravstvo, za oskrbo vseh državljanov, ki ga zagotavlja država.
Če ste ravno to naredili, me pa zanima nekaj drugega - NIJZ je po implementaciji takšne rešitve skrbnik routerja - a to se ti pa ne zdi sporno. Sam prašam, ne godrnjam...sam jaz nisem najbolj navdušen, da so oni skrbnik moje mrežne opreme...
Res je, za oddajo e-recepta in e-napotnice lahko uporabiš digitalno potrdilo SigenCA ali Poštarca (to je vezano na e-zdravje), čeprav večina zavodov ohranja profesionalne kartice, ker nimajo razdelanih userjev na PCju in osebje pač ni pripravljeno inštalirati sojih osebnih digitalnih potrdil na računalnike, ki jih uporablja še 10 drugih oseb. Pustmo to, kolk je to enostavno narest...
Pri pinih sem imel primarno v glavi komunikacijo z ZZZS - ko pacient pride na obisk in prebereš njegovo kartico, sistem dostopi do ZZZS baze, vsak dostop OBVEZNO zahteva PIN. Druge avtentikacije ZZZS ne prizna. Prav tako, ko izdaš naročilnico za medicinsko tehnični pripomoček.
MMKK ::
Ne razumem zakaj ne bi bili zdravniki administrativno obremenjeni. Kaj pa počnete tako posebnega? Opravljate pač čisto navaden poklic, kot vsak drug.
dejva rečt takole... hodiš na faks, zato da se izučiš za računalničarja. Pol pa na delovnem mestu, kjer si v 8 urah že do sedaj komaj uspel realizirati svoj ozko specifičen strokoven input, nekdo od tebe dodatno zahteva, da opraviš še 30% dela, ki ga lahko opravi tajnica. Neplačano seveda. Zato se bunijo... Ne bi bil problem, če bi rekli, da je ob tem pač 30% manj ljudi v čakalnici... Povprečen osebni zdravnik ima dnevno 60-70 kontaktov (eni tudi preko 100). Obremenitve diagnosticiranja in gruntanja ustreznega zdravljenja/pojasnjevanja se niso zmanjšale, zgolj dodali so vse tole e-zdravje čez. In ne, v trenutni ureditvi je sistem kreeepko počasnejši celo od papirja (tudi pri tistih, ki naklofajo preko 250 znakov/min). V glavnem zato, ker se pripravljalec ni mogel upreti vsemu kar ponuja tehnologija in so v vse te software spravili še vse kar bi bilo fajn spremljat. Ker tehnologija to zbiranje in obdelavo sedaj omogoča... napotnico in recept oddaš precej hitreje, a podrubrik, ki jih moraš ponekod izpolnit je neskončno več.
Glavna stvar pa je ta, da vse to pravzaprav bolj malo koristi bolniku ali zdravniku, ampak je v resnici vse skupaj ena taka glorificirana davčna blagajna ZZZS, z nacepljeno SPSS statistiko, ki jo k sebi vleče NIJZ. Ko pa hočeš ven dobit zgodovino ali statistiko posameznih težav svojih pacinetov, se pa že zatakne...
Zgodovina sprememb…
- spremenil: imagodei ()
ToniT ::
Če ste ravno to naredili, me pa zanima nekaj drugega - NIJZ je po implementaciji takšne rešitve skrbnik routerja - a to se ti pa ne zdi sporno. Sam prašam, ne godrnjam...sam jaz nisem najbolj navdušen, da so oni skrbnik moje mrežne opreme...
V bistvu tu nimaš kaj dosti besede - ali se greš tega ali ne... Tudi jaz nisem navdušen, ampak tako pač je... Pomembno je, da je zdravnica in ostalo osebje zadovoljno, ker ne rabijo več dodatnega logiranja v VPN.
Res je, za oddajo e-recepta in e-napotnice lahko uporabiš digitalno potrdilo SigenCA ali Poštarca (to je vezano na e-zdravje), čeprav večina zavodov ohranja profesionalne kartice, ker nimajo razdelanih userjev na PCju in osebje pač ni pripravljeno inštalirati sojih osebnih digitalnih potrdil na računalnike, ki jih uporablja še 10 drugih oseb. Pustmo to, kolk je to enostavno narest...
To, da nimajo razdelanih userjev, je neupoštevanje GDPR... Seveda je najbolj enostavno imeti na računalniku ikono račke in je to povezava v sistem (kot je to pred kratkim povedal nekdo na enem strokovnem srečanju). Saj ni pomembna varnost, važno je, da je čim bolj enostavno.
Pri pinih sem imel primarno v glavi komunikacijo z ZZZS - ko pacient pride na obisk in prebereš njegovo kartico, sistem dostopi do ZZZS baze, vsak dostop OBVEZNO zahteva PIN. Druge avtentikacije ZZZS ne prizna. Prav tako, ko izdaš naročilnico za medicinsko tehnični pripomoček.
To seveda ni res. Za branje pacienta in njegovih podatkov vpišeš PIN samo enkrat (prvič ali ob prijavi v program). Za naročilnice pa je res potreben vnos PIN-a za vsako posebej. (Pa še to moram preveriti.) Sicer mi je ena zdravnica rekla, da je to možno tudi z digitalnim potrdilom (ker bi ona to tudi želela imeti urejeno na tak način), vendar nimam potrditve od ZZZS.
Rešitve obstajajo, je pa vprašanje, koliko smo pripravljeni narediti za to, da jih lahko uporabljamo.
Zgodovina sprememb…
- spremenil: ToniT ()
stb ::
Saul Goodman je izjavil:
Je pa e-zdravje en tak sistem z ene 30.000 dostopnimi točkami (nihče v resnici ne ve, kolk računalnikov imamo v sistemu). Varnost je odvisna od etičnega ravnanja uporabnikov.
- Praktično noben računalnik ni kriptiran
- Podatki na računalniku so začiteni z windows gesli (smeha vredno)
- Sam program za delo s pacienti je zaščiten z geslom, ki je po navadi napisano na monitorju ali na zadnji strani čip kartice zdravnika (profesionalne). Ki je ponavadi pri sestri, ki se z njo prijavlja.
- Dostop v hrbtenico e-zdravja, kjer so naloženi vsi izvidi, vseh pacinetov, ne samo od izbranega zdravnika, je omogočen zdravnikom, sestram pa omejeno, zato sestre velikokrat uporabljajo zdravniške osebne certifikate ali kartice, da lahko opravljajo svoje delo.
- pacineti izvide pošiljajo na majl, ravno tako precej ustanov izvide pošilja na dom z majlom.
- po majlu (po navadi z gmaila) pošljejo tudi izvid fizioterapevti. izvid je v najboljšem primeru zararan, geslo pride z naslednjim majlom :-)
- do uvedbe e-zdravja ZZZS in NIJZ nista mogla povezati imena in priimka z diagnozo. Sedaj se vsaka naložena napotnica ali recept, shranita pri njih (na napotnici so ime priimek, naslov, kronične diagnoze in kronična terapija)
- aja, omrežja znotraj ustanov pogosto delujejo na WI-fi jih. Ker je tako bolj prikladno
A boš rekel, da je dostop do e-zdravja vdor? Se mi zdi da je bolj plaz podatkov, ki rinejo ven čez odprta vrata :-) Po mnenju IP, pretirano podeljevanje pravic ni problem, problem je kršitev pooblastil posameznika. Skratka ne sistem, zaposleni.
iz prve roke, vse to je res. dr. je ponavad "prepomemben" za vnos lastnih gesel v sistem, vse to delijo s sestrami in kartice ležijo po mizah, nihče ne skrbi za njih. geslo je pa "11111111" pri večini zdravnikov. kot zunanji izvajalec te prakse ne moreš spremeniti, ker ni posluha vodstva in ker se doktorji in sestre niso pripravljeni učit. simple. prav upirajo se. in takle mamo. jaz se izogibam vsem, ki operirajo z osebnimi podatki kot hudič križa, ker vem kako jih boli kurac.
Če politiki sami vnašajo svoja gesla, bi jih pa lahko tudi zdravniki, a ne?
Saul Goodman ::
Saul Goodman je izjavil:
Je pa e-zdravje en tak sistem z ene 30.000 dostopnimi točkami (nihče v resnici ne ve, kolk računalnikov imamo v sistemu). Varnost je odvisna od etičnega ravnanja uporabnikov.
- Praktično noben računalnik ni kriptiran
- Podatki na računalniku so začiteni z windows gesli (smeha vredno)
- Sam program za delo s pacienti je zaščiten z geslom, ki je po navadi napisano na monitorju ali na zadnji strani čip kartice zdravnika (profesionalne). Ki je ponavadi pri sestri, ki se z njo prijavlja.
- Dostop v hrbtenico e-zdravja, kjer so naloženi vsi izvidi, vseh pacinetov, ne samo od izbranega zdravnika, je omogočen zdravnikom, sestram pa omejeno, zato sestre velikokrat uporabljajo zdravniške osebne certifikate ali kartice, da lahko opravljajo svoje delo.
- pacineti izvide pošiljajo na majl, ravno tako precej ustanov izvide pošilja na dom z majlom.
- po majlu (po navadi z gmaila) pošljejo tudi izvid fizioterapevti. izvid je v najboljšem primeru zararan, geslo pride z naslednjim majlom :-)
- do uvedbe e-zdravja ZZZS in NIJZ nista mogla povezati imena in priimka z diagnozo. Sedaj se vsaka naložena napotnica ali recept, shranita pri njih (na napotnici so ime priimek, naslov, kronične diagnoze in kronična terapija)
- aja, omrežja znotraj ustanov pogosto delujejo na WI-fi jih. Ker je tako bolj prikladno
A boš rekel, da je dostop do e-zdravja vdor? Se mi zdi da je bolj plaz podatkov, ki rinejo ven čez odprta vrata :-) Po mnenju IP, pretirano podeljevanje pravic ni problem, problem je kršitev pooblastil posameznika. Skratka ne sistem, zaposleni.
iz prve roke, vse to je res. dr. je ponavad "prepomemben" za vnos lastnih gesel v sistem, vse to delijo s sestrami in kartice ležijo po mizah, nihče ne skrbi za njih. geslo je pa "11111111" pri večini zdravnikov. kot zunanji izvajalec te prakse ne moreš spremeniti, ker ni posluha vodstva in ker se doktorji in sestre niso pripravljeni učit. simple. prav upirajo se. in takle mamo. jaz se izogibam vsem, ki operirajo z osebnimi podatki kot hudič križa, ker vem kako jih boli kurac.
Če politiki sami vnašajo svoja gesla, bi jih pa lahko tudi zdravniki, a ne?
mogoče politiki v tujini. naši politiki potrebujejo enga iz IT-ja na vsaki seji v DZ ali pa na vladi, ker se večini zatakne že pri prijavi z VPN, ko pritegnejo ven svoj laptop. gre celo tako daleč, da IT-jevec pozna njihove PIN-e, ker ga oni ne.in jih pred njimi vpisuje za njih, ker sami nimajo pojma kaj je ta magija.
MMKK ::
Če ste ravno to naredili, me pa zanima nekaj drugega - NIJZ je po implementaciji takšne rešitve skrbnik routerja - a to se ti pa ne zdi sporno. Sam prašam, ne godrnjam...sam jaz nisem najbolj navdušen, da so oni skrbnik moje mrežne opreme...
V bistvu tu nimaš kaj dosti besede - ali se greš tega ali ne... Tudi jaz nisem navdušen, ampak tako pač je... Pomembno je, da je zdravnica in ostalo osebje zadovoljno, ker ne rabijo več dodatnega logiranja v VPN.
Uf, to pa je nevarna miselnost...tudi tole v izoli bi lahko bila posledica te logike - večkrat sem že videl, da je informatik predlagal eno, a zaradi enostavnosti, so se odločili za nelegalno pot. Nimaš dosti izbire pravijo... No, jaz se tega ne grem.
Res je, za oddajo e-recepta in e-napotnice lahko uporabiš digitalno potrdilo SigenCA ali Poštarca (to je vezano na e-zdravje), čeprav večina zavodov ohranja profesionalne kartice, ker nimajo razdelanih userjev na PCju in osebje pač ni pripravljeno inštalirati sojih osebnih digitalnih potrdil na računalnike, ki jih uporablja še 10 drugih oseb. Pustmo to, kolk je to enostavno narest...
To, da nimajo razdelanih userjev, je neupoštevanje GDPR... Seveda je najbolj enostavno imeti na računalniku ikono račke in je to povezava v sistem (kot je to pred kratkim povedal nekdo na enem strokovnem srečanju). Saj ni pomembna varnost, važno je, da je čim bolj enostavno.
Jap, je kršitev ja...sam vsem dol visi...
Pri pinih sem imel primarno v glavi komunikacijo z ZZZS - ko pacient pride na obisk in prebereš njegovo kartico, sistem dostopi do ZZZS baze, vsak dostop OBVEZNO zahteva PIN. Druge avtentikacije ZZZS ne prizna. Prav tako, ko izdaš naročilnico za medicinsko tehnični pripomoček.
To seveda ni res. Za branje pacienta in njegovih podatkov vpišeš PIN samo enkrat (prvič ali ob prijavi v program). Za naročilnice pa je res potreben vnos PIN-a za vsako posebej. (Pa še to moram preveriti.) Sicer mi je ena zdravnica rekla, da je to možno tudi z digitalnim potrdilom (ker bi ona to tudi želela imeti urejeno na tak način), vendar nimam potrditve od ZZZS.
Rešitve obstajajo, je pa vprašanje, koliko smo pripravljeni narediti za to, da jih lahko uporabljamo.
Ugotavljam, da imajo različne softwarske hiše avtentikacijo rešeno različno. In ko jih vprašaš zakaj takšne avtentikacije, pravijo, da tako zahteva ZZZS, NIJZ...po pa slišim, da ponekod vseeno gre drugače. No, na ZZZS se z osebnim digitalnim potrdilom vseeno (še) ne moreš avtenticirat. So preveč denarja zapravili pri razpisu za čitalce, da bi jih sedaj opustili :-)
ToniT ::
V bistvu tu nimaš kaj dosti besede - ali se greš tega ali ne... Tudi jaz nisem navdušen, ampak tako pač je... Pomembno je, da je zdravnica in ostalo osebje zadovoljno, ker ne rabijo več dodatnega logiranja v VPN.
Uf, to pa je nevarna miselnost...tudi tole v izoli bi lahko bila posledica te logike - večkrat sem že videl, da je informatik predlagal eno, a zaradi enostavnosti, so se odločili za nelegalno pot. Nimaš dosti izbire pravijo... No, jaz se tega ne grem.
Ta zadeva ni nelegalna, ampak je v skladu s politiko vključevanja v zNet. Oni pač ne pustijo dostopa do njihovega routerja in sami skrbijo za njega.
Tudi v javnih zavodih nimaš dostopa do njihovega routerja. Ti samo dobiš navodilo, kako morajo biti stvari nasdtavljene in to je to....
Vse ostalo pa je pač potrebno urediti pri sebi.
Ugotavljam, da imajo različne softwarske hiše avtentikacijo rešeno različno. In ko jih vprašaš zakaj takšne avtentikacije, pravijo, da tako zahteva ZZZS, NIJZ...po pa slišim, da ponekod vseeno gre drugače. No, na ZZZS se z osebnim digitalnim potrdilom vseeno (še) ne moreš avtenticirat. So preveč denarja zapravili pri razpisu za čitalce, da bi jih sedaj opustili :-)
Poznam skoraj vse programske rešitve, ki se uporabljajo izven bolnišnic, razen Hipokrata. Za njih ne vem, kako imajo urejeno, ostali pa imajo enkratno prijavo s PIN v ZZZS in potem zadeva deluje "cel dan".
MMKK ::
V bistvu tu nimaš kaj dosti besede - ali se greš tega ali ne... Tudi jaz nisem navdušen, ampak tako pač je... Pomembno je, da je zdravnica in ostalo osebje zadovoljno, ker ne rabijo več dodatnega logiranja v VPN.
ToniT, čist iz firbca...kako ste pri zdravnici, kjer je router v upravljanju NIJZ zaščitili notranje omrežje?
Že tako je praktično nemogoče najti router, ki ne bi imel varnostnih pomanjkljivosti (vključno s Ciscom), res pa se mi zdi sporno, da potem še upravljanje predam v roke NIJZ in sem od odvisen od njihovega patchanja lukenj in moralne drže, da se držijo stran od mojega notranjega omrežja....
ToniT, čist iz firbca...kako ste pri zdravnici, kjer je router v upravljanju NIJZ zaščitili notranje omrežje?
Že tako je praktično nemogoče najti router, ki ne bi imel varnostnih pomanjkljivosti (vključno s Ciscom), res pa se mi zdi sporno, da potem še upravljanje predam v roke NIJZ in sem od odvisen od njihovega patchanja lukenj in moralne drže, da se držijo stran od mojega notranjega omrežja....
tony1 ::
Tvoje notranje omrežje moraš seveda zaščititi z lastnim firewallom, "terminali" za dostop v omrežje NIJZ pa morajo biti v svojem VLANu.
MMKK ::
Neumno vprašanje..., ampak ker vidim svašta, me je predvsem zanimalo, če ste firewealle in VLANe configurirali na namenski, ločeni opremi, ali kar na njihovem routerju.
ToniT ::
V bistvu tu nimaš kaj dosti besede - ali se greš tega ali ne... Tudi jaz nisem navdušen, ampak tako pač je... Pomembno je, da je zdravnica in ostalo osebje zadovoljno, ker ne rabijo več dodatnega logiranja v VPN.
ToniT, čist iz firbca...kako ste pri zdravnici, kjer je router v upravljanju NIJZ zaščitili notranje omrežje?
Že tako je praktično nemogoče najti router, ki ne bi imel varnostnih pomanjkljivosti (vključno s Ciscom), res pa se mi zdi sporno, da potem še upravljanje predam v roke NIJZ in sem od odvisen od njihovega patchanja lukenj in moralne drže, da se držijo stran od mojega notranjega omrežja....
Na router od NIJZ smo se povezali preko lastnega routerja in vmesnega IP naslovnega prostora.
MMKK ::
Pa ste uporabili predpisana Cisco 892 FSP ali Cisco ASA5506, al kaj drugega?.
Če prav razumem gre za isto napravo za kreiranje VPN do njih in VLANov s firewalli do notranjega omrežja, VENDAR ima NIJZ administratorski dostop do te naprave (lahko prosto popravlja firewall pravila)?
Never mind, sem prebral še enkrat, kaj si napisal :-)
Če prav razumem gre za isto napravo za kreiranje VPN do njih in VLANov s firewalli do notranjega omrežja, VENDAR ima NIJZ administratorski dostop do te naprave (lahko prosto popravlja firewall pravila)?
Never mind, sem prebral še enkrat, kaj si napisal :-)
Zgodovina sprememb…
- spremenilo: MMKK ()
tony1 ::
Ne, do škatle NIJZ nimaš dostopa. Zate je to black box o kateri ne veš nič, razen tega, da prek nje dobiš dostop do NIJZ.
Za svoj firewall pa seveda uporabiš poljubno napravo, najpomembneje je, da takšno, ki jo znaš nastavljati.
Glede Cisco routerja NIJZ se ne sekiraj preveč, ker sam ne boš veliko spremenil. Z drugo opremo enostavno ne znajo delati.
Za svoj firewall pa seveda uporabiš poljubno napravo, najpomembneje je, da takšno, ki jo znaš nastavljati.
Že tako je praktično nemogoče najti router, ki ne bi imel varnostnih pomanjkljivosti (vključno s Ciscom), res pa se mi zdi sporno, da potem še upravljanje predam v roke NIJZ in sem od odvisen od njihovega patchanja lukenj in moralne drže, da se držijo stran od mojega notranjega omrežja....
Glede Cisco routerja NIJZ se ne sekiraj preveč, ker sam ne boš veliko spremenil. Z drugo opremo enostavno ne znajo delati.
Zgodovina sprememb…
- spremenil: tony1 ()
MMKK ::
Kaj pa če hočeš imet vpn do službenega omrežja? Verjetno je NIJZjev router tisti, ki je konfiguriran na podatke ISPja... ..Mogoče bi bilo pol vseeno bolje imet svoj router z 2wan-oma...pa naj čarajo na njihovi strani kakor želijo
Saj zdej bom pa nehal :-)...hvala ti za vse odgovore!
Saj zdej bom pa nehal :-)...hvala ti za vse odgovore!
Zgodovina sprememb…
- spremenilo: MMKK ()
tony1 ::
Potem pa od ISPja nafehtaš 2 javna IPja... Včasih je bilo to zastonj, danes pa bi verjetno hoteli imeti poslovni dostop in nekaj desetakov bodo zaračunali enkratnih administrativnih stroškov...
Morda bo celo ceneje pripeljati še dodatnega ISPja v bajto...
Rešitev je še več, na primer na svoj javni IP priheftaš svoj firewall, in če NIJZjev IPSEC tunel podpira NAT-traversal, spraviš IPSEC promet čez tvoj firewall do njihovega; vse druge porte pa uporabljaš zase (npr. SSL VPN)...
Morda bo celo ceneje pripeljati še dodatnega ISPja v bajto...
Rešitev je še več, na primer na svoj javni IP priheftaš svoj firewall, in če NIJZjev IPSEC tunel podpira NAT-traversal, spraviš IPSEC promet čez tvoj firewall do njihovega; vse druge porte pa uporabljaš zase (npr. SSL VPN)...
Zgodovina sprememb…
- spremenil: tony1 ()
MMKK ::
Odkrito rečeno, bi se raje izognil kakršnimkoli passthrough-jem preko NIJZjevega routerja. Ker če so oni administratorji, lahko namensko ali nenamensko spremenijo nastavitve in sem u temi... Bom videl kaj je možno dobiti od ISPja...
Pa ste vi postavil zadevo na statičnem al dinamičnem IPju?
hvala ti še enkrat za info...
Pa ste vi postavil zadevo na statičnem al dinamičnem IPju?
hvala ti še enkrat za info...
tony1 ::
Ne, praktičnih izkušenj z NIJZjem nimam, ampak ko imaš enkrat v rokah kladu je vsak problem podoben žeblju.
Nisem mislil skozi NIJZjev router, ampak skozi tvoj firewall, NIJZjev router pa postaviš "nižje", pod tvoj firewall...
IPSEC VPN tunele se seveda vedno postavlja na statičnem IPju...
Nisem mislil skozi NIJZjev router, ampak skozi tvoj firewall, NIJZjev router pa postaviš "nižje", pod tvoj firewall...
IPSEC VPN tunele se seveda vedno postavlja na statičnem IPju...
Zgodovina sprememb…
- spremenil: tony1 ()
SeMiNeSanja ::
MMKK ::
Kr neki jih poznam, ki bi ti razložili, da se z dyn.dns-om da vse zrihtat :-) Sploh če je en na statiki...
SeMiNeSanja ::
Odkrito rečeno, bi se raje izognil kakršnimkoli passthrough-jem preko NIJZjevega routerja. Ker če so oni administratorji, lahko namensko ali nenamensko spremenijo nastavitve in sem u temi... Bom videl kaj je možno dobiti od ISPja...
Pa ste vi postavil zadevo na statičnem al dinamičnem IPju?
hvala ti še enkrat za info...
Od ISP ne pričakuj čudežev.
Kot ti je že povedal Toni, jih daš ali paralelno na dodatni IP naslov ali pa njihovo škatlo postaviš izza svoje požarne pregrade in porte forwardiraš do nje.
V bistvu dokaj standardni postopki... ali pa ne vem v čem je problem, ker sem prebral samo par zadnjih postov.
MMKK ::
Lej, sprašujem v glavnem same osnovne stvari, večinoma neumnosti, primarno zaradi tega, ker nisem vedel kako v resnici postavijo zadevo, previden pa sem zgolj zaradi tega, ker imajo (po tem ko je skunfiguriran na lokaciji pri tebi) administratorske pravice do njega in so edini upravljalec.
SeMiNeSanja ::
Lej, sprašujem v glavnem same osnovne stvari, večinoma neumnosti, primarno zaradi tega, ker nisem vedel kako v resnici postavijo zadevo, previden pa sem zgolj zaradi tega, ker imajo (po tem ko je skunfiguriran na lokaciji pri tebi) administratorske pravice do njega in so edini upravljalec.
Noja... ampak če jih na svojem firewall-u porineš na 'stranski tir' (na lasten izoliran LAN ali VLAN), lahko tam počno, kar jim je volja. No, jaz bi jim še dodatno omejil promet, da proti ven ni druge destinacije kot njihov IPSec Gateway na portih, ki jih potrebujejo za IPSec (no, recimo, da jim še ICMP pustiš za diagnostiko).
Tako jih izoliraš in se od tu naprej ne sekiraš več zaradi tega, ker imajo admin pravice.
V bistvu so te zadeve razmeroma preproste za izvesti in zavarovati s sodobnimi požarnimi pregradami.
Je pa zanimivo, da kar porinejo svoj blackbox. Očitno so morali preceniti, da je preveč negotovosti, če omogočijo, da ima vsak svojo pasmo IPSec-a.
Saj v principu je IPSec 'standard'... dokler ne naletiš na težave s 'standardom'.
Drugače pa je večinoma problem v različnem poimenovanju parametrov od proizvajalca do proizvajalca.
Dva, ki sta 'majstra', si izmenjata tabelo v kateri se dogovorita za 'skupni imenovalec' in stvar je skonfigurirana v parih minutah.
Problem pa je, da (pre)pogosto nimaš opravka z 'majstrom'. Potem pa se začnejo težave z razumevanjem oz. 'prevajanjem' imen parametrov. Na koncu se tri dni zajebavaš, pa še zmeri nisi prišel na skupni imenovalec in stvar ne deluje.
Samo upam, da so našli nekaj, kar je cenovno upravičljivo za 'samo VPN' furat...
Neumnosti pa je treba spraševati... samo bedaki te obsojajo, če sprašuješ neumnosti. Bolje 3x vprašat, kot 1x zamočiti :)
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Nov vrhunec digitalne transformacije v slovenskem zdravstvu: do podatkov zdravstveneg (strani: 1 2 3 4 )Oddelek: Novice / Zasebnost | 45224 (31581) | SeMiNeSanja |
» | Ima bolnišnica Izola problem z razumevanjem delovanja interneta? (strani: 1 2 )Oddelek: Novice / Zasebnost | 27296 (20251) | MMKK |
» | Piškotki kot dimna zavesa spletne varnosti in zasebnostiOddelek: Novice / Zasebnost | 15074 (12644) | ExtraBacon |
» | Odgovorno razkritje ali neodgovorno nerazkritje (strani: 1 2 3 )Oddelek: Novice / NWO | 53043 (43180) | fujtajksel |