Nov vrhunec digitalne transformacije v slovenskem zdravstvu: do podatkov zdravstvenega stanja Primorcev kar prek Googla

Qcube je 11. mar 2019 ob 18:51 izjavil:

Možno bi bilo tudi da se je en obiskovalec/pacient uspel povezat v notranje omrežje preko wifija in začel premikat datoteke za zabavo.

BlaY0 je 11. mar 2019 ob 18:56 izjavil:

Pa da ne bo pomote, varnost informacijskih sistemov je nekaj kar je zadnja briga ne samo direktorjem ubogih zdravstvenih domov ampak tudi direktorjem firm kot so Yahoo, Sony, JP Chase Morgan, Verizon............................

aerie je 11. mar 2019 ob 19:02 izjavil:

BlaY0 je 11. mar 2019 ob 18:56 izjavil:

Pa da ne bo pomote, varnost informacijskih sistemov je nekaj kar je zadnja briga ne samo direktorjem ubogih zdravstvenih domov ampak tudi direktorjem firm kot so Yahoo, Sony, JP Chase Morgan, Verizon............................

Jep. Žal je res. To nas že tepe in nas še bo v bližnji prihodnosti. Dokler se ne bomo spametovali. Če danes opozarjaš o tem te ožigosajo za paranoika ali pa vsaj za lokalnega nergača ;)

malisvizec je 11. mar 2019 ob 19:08 izjavil:

Potem pa si pač uporabniki "pomagajo sami".

Googlov iskalnik je v zadetkih poleg povezav ponudil tudi predogledne sličice, iz katerih ni mogoče razbrati izvorne vsebine samega dokumenta.
...
V skladu z zakonodajo so o omenjenem dogodku ter postopku reševanja sproti obveščali informacijskega pooblaščenca. "Podrobna analiza dogodka je pokazala, da ni prišlo do nobenega uhajanja osebnih ali katerihkoli drugih podatkov iz našega internega bolnišničnega informacijskega sistema," so zatrdili.

rezultati iskanja

gokky je 11. mar 2019 ob 16:18 izjavil:

darkotri je 11. mar 2019 ob 12:53 izjavil:

...Kaznujejo lahko upravljalca le po ZVOP1, ker ZVOP2 še ni bil sprejet, torej so zneski zanemarljivi. Lahko pa padejo civilne tožbe proti bolnišnici oz izvajalcu, ki je to šlamparijo dopustil.

Ne bo čisto nujno držalo. Kršitev je bila storjena, ko že velja GDPR. Res pa je, da naša zakonodaja ne predvideva upravnih glob (ker nekdo na to pač ni pomislil, da bi dodal h GDPR, ko se je le-ta sprejemala). Vendar pa velja tudi dejstvo, da prekršek lahko kaznujejo še 2 leti po storjenem prekršku (zastaralni rok). Posledično, če bo ZVOP-2, ki naj bi izenačil upravne globe, sprejet prej kot v 2 letih, se lahko zavlačevanje pooblaščenca izkaže kot drago za SPB Izola. :-/

MMKK je 11. mar 2019 ob 20:26 izjavil:

Kot zdravnik in rekreativni informatik se velikokrat držim za glavo, ko poslušam izjave IP, na žalost pa še bolj, ko gledam kolege.
Če imate res podatke o pacientih, vas pozivam, da jih pošljete pacientom z navodili po tožbi SB Izola. Lahko jih pošljete tudi zdravniški zbornici. IP je lani šel odločno nasproti zbornici, sploh psihiatrom, ki so rekli, da sistema ne bodo uporabljali, pa nis(m)o imeli dokazov, da je vdor možen (ker vse kar mi naredimo je očitno dovoljeno in "lagalni breeach"). Neetično pa je naročit vdor. Sedaj nam je sistem zakonsko vsiljen, zbornica pa je bila utišana z zgornjim mnenjem IP.

Saul Goodman je 11. mar 2019 ob 17:53 izjavil:

matijadmin je 11. mar 2019 ob 13:25 izjavil:

Saul Goodman je 11. mar 2019 ob 13:04 izjavil:

Tody je 11. mar 2019 ob 13:01 izjavil:

Že to da uporabljaš Wordpres za take zadeve ... Jaz resno mislim da zdravstvene sestre nimajo nobene potreb po pisanju bloga ali usvarjanje spletne strani v službi...

wordpress je za spletno stran, ki jo imajo, čist ok izbira. sam nekdo ti mora pač povedat, da ne uploadaj datotek s podatki pacientov, a ne. ker nimajo tam kaj početi.

WP je eno sranje. A priori.

Kdo je tja shranjeval, ne vemo. Lahk, da uporabniki, kar je nenavadno, saj sestre nimajo dostopa za urednikovanje običajno, lahko pa aplikacija.

no ja, za predstavitvene spletne strani, kar sb-izola je, primerno zavarovana wordpress namestitev _ni_ navadno sranje. veliko bolje wordpress, kot pa kakšni custom made CMS-i, ki jih ponuja prenekateri izdelovalec spletnih strani v sloveniji.

logov nimajo dovolj, da bi lahko prodajali buče, kdo je vse dostopal do teh dokumentov, ker se server logi periodično brišejo. govoriti o NAPADALCU je SMEŠNO, saj do javno dostopnih informacij lahko legalno dostopa VSAK. so že slišali za OSINT? google-fu is a thing.

bor0t je 11. mar 2019 ob 17:53 izjavil:

Po moje so imeli online obrazec za naročanje na pregled ali preiskavo in napotnica je bila priloga v obrazcu.

Qcube je 11. mar 2019 ob 18:51 izjavil:

Možno bi bilo tudi da se je en obiskovalec/pacient uspel povezat v notranje omrežje preko wifija in začel premikat datoteke za zabavo.

b3D_950 je 11. mar 2019 ob 19:24 izjavil:

Možno, da so datoteke/podatki še iz pred leta 2016 in jih ni nihče brisal, ko so prenovili spletno stran. Torej, da so datoteke nalagali pocienti/bolniki preko spletne strani.

poweroff je 11. mar 2019 ob 20:02 izjavil:

Torej, na 24ur.com pravijo (povzemajo izjave SB Izola) takole:

Googlov iskalnik je v zadetkih poleg povezav ponudil tudi predogledne sličice, iz katerih ni mogoče razbrati izvorne vsebine samega dokumenta.
...
V skladu z zakonodajo so o omenjenem dogodku ter postopku reševanja sproti obveščali informacijskega pooblaščenca. "Podrobna analiza dogodka je pokazala, da ni prišlo do nobenega uhajanja osebnih ali katerihkoli drugih podatkov iz našega internega bolnišničnega informacijskega sistema," so zatrdili.

Kar seveda ne drži.

Primer št. 1:

Primer št. 2:

Tukaj sicer ni mogoče videti osebnih podatkov... se jih pa vidi tukaj ter rojstni datumi):

Primer št. 3 (zabrisana so imena datotek, ki vsebujejo ime in priimek pacienta):

Primer št. 4 (zabrisani so rojstni datumi):

rezultati iskanja

In tega je še in še... Tako da mi ne prodajati zgodbic, da "ni mogoče razbrati izvorne vsebine samega dokumenta", ali da je "podrobna analiza dogodka pokazala, da ni prišlo do nobenega uhajanja osebnih ali katerihkoli drugih podatkov iz našega internega bolnišničnega informacijskega sistema".

Naj povedo kakšna je bila ta podrobna analiza in kdo jo je izvajal!

Torej, na 24ur.com pravijo (povzemajo izjave SB Izola) takole:


Menda ja si Google vsebine ni izmislil?! Najprej morajo fajli biti v celoti objavljeni in dostopni, potem jih Google, oz. iskalniki indeksirajo! Predpogoj, oni pa lažejo in se zapletajo.

Saul Goodman je 11. mar 2019 ob 19:05 izjavil:

BlaY0 je 11. mar 2019 ob 18:56 izjavil:

Saul Goodman je 11. mar 2019 ob 18:16 izjavil:

nibba please. wordpress je ena boljših rešitev za predstavitvene spletne strani. danes 99% spleta poganja wordpress, joomla in drupal. VSI trije imajo občasne težave z varnostnimi ranljivostmi. kaj je njihova prednost? ponavadi je ranljivost odkrita še preden najebeš in popravek je na voljo razmeroma hitro. GOVORIMO o CMS-ih, ne o pluginih. če ti napišeš gnil plugin, to ni problem wordpressa.

Če študent postavi recimo javnemu zavodu WP stran, pokasira 130 EUR in ga potem nikjer več ni, je to problem. WP portal je lahko OK, če je pravilno nadzorovan in redno posodabljan, samo potem pa ni več tako poceni, čeprav po moje če vedno cenejši od custom rešitve.

Pa da ne bo pomote, varnost informacijskih sistemov je nekaj kar je zadnja briga ne samo direktorjem ubogih zdravstvenih domov ampak tudi direktorjem firm kot so Yahoo, Sony, JP Chase Morgan, Verizon............................

Qcube je 11. mar 2019 ob 18:51 izjavil:

Možno bi bilo tudi da se je en obiskovalec/pacient uspel povezat v notranje omrežje preko wifija in začel premikat datoteke za zabavo.

Ne samo to... lahko so sestre pogruntale kako si med sabo lahko delijo datoteke in pri tem "zlorabile" pomankljivosti v nastavitvah web servisa.

ja, ja, ampak moramo potem pravilno naslovit šalabajzerja: to je izvajalec in ne wordpress platforma. tudi sam sem kot študent naklepal nekaj spletnih strani. nihče od naročnikov v tistih časih ni bil pripravljen na vzdrževalne pogodbe, jih je pa drago stalo, ko je bila panika in so potrebovali gasilca.

in če ni vzdrževalne pogodbe, ni vzdrževanja. jaz sem pri takih umaknil podpis na dnu strani, saj nisem želel biti povezan z njihovo soon-to-be-šalabajzerijo.

Saul Goodman je 11. mar 2019 ob 21:00 izjavil:

MMKK je 11. mar 2019 ob 20:46 izjavil:

Je pa e-zdravje en tak sistem z ene 30.000 dostopnimi točkami (nihče v resnici ne ve, kolk računalnikov imamo v sistemu). Varnost je odvisna od etičnega ravnanja uporabnikov.
- Praktično noben računalnik ni kriptiran
- Podatki na računalniku so začiteni z windows gesli (smeha vredno)
- Sam program za delo s pacienti je zaščiten z geslom, ki je po navadi napisano na monitorju ali na zadnji strani čip kartice zdravnika (profesionalne). Ki je ponavadi pri sestri, ki se z njo prijavlja.
- Dostop v hrbtenico e-zdravja, kjer so naloženi vsi izvidi, vseh pacinetov, ne samo od izbranega zdravnika, je omogočen zdravnikom, sestram pa omejeno, zato sestre velikokrat uporabljajo zdravniške osebne certifikate ali kartice, da lahko opravljajo svoje delo.
- pacineti izvide pošiljajo na majl, ravno tako precej ustanov izvide pošilja na dom z majlom.
- po majlu (po navadi z gmaila) pošljejo tudi izvid fizioterapevti. izvid je v najboljšem primeru zararan, geslo pride z naslednjim majlom :-)
- do uvedbe e-zdravja ZZZS in NIJZ nista mogla povezati imena in priimka z diagnozo. Sedaj se vsaka naložena napotnica ali recept, shranita pri njih (na napotnici so ime priimek, naslov, kronične diagnoze in kronična terapija)
- aja, omrežja znotraj ustanov pogosto delujejo na WI-fi jih. Ker je tako bolj prikladno

A boš rekel, da je dostop do e-zdravja vdor? Se mi zdi da je bolj plaz podatkov, ki rinejo ven čez odprta vrata :-) Po mnenju IP, pretirano podeljevanje pravic ni problem, problem je kršitev pooblastil posameznika. Skratka ne sistem, zaposleni.

iz prve roke, vse to je res. dr. je ponavad "prepomemben" za vnos lastnih gesel v sistem, vse to delijo s sestrami in kartice ležijo po mizah, nihče ne skrbi za njih. geslo je pa "11111111" pri večini zdravnikov. kot zunanji izvajalec te prakse ne moreš spremeniti, ker ni posluha vodstva in ker se doktorji in sestre niso pripravljeni učit. simple. prav upirajo se. in takle mamo. jaz se izogibam vsem, ki operirajo z osebnimi podatki kot hudič križa, ker vem kako jih boli kurac.

vahid je 11. mar 2019 ob 21:03 izjavil:

Saul Goodman je 11. mar 2019 ob 19:05 izjavil:

BlaY0 je 11. mar 2019 ob 18:56 izjavil:

Saul Goodman je 11. mar 2019 ob 18:16 izjavil:

nibba please. wordpress je ena boljših rešitev za predstavitvene spletne strani. danes 99% spleta poganja wordpress, joomla in drupal. VSI trije imajo občasne težave z varnostnimi ranljivostmi. kaj je njihova prednost? ponavadi je ranljivost odkrita še preden najebeš in popravek je na voljo razmeroma hitro. GOVORIMO o CMS-ih, ne o pluginih. če ti napišeš gnil plugin, to ni problem wordpressa.

Če študent postavi recimo javnemu zavodu WP stran, pokasira 130 EUR in ga potem nikjer več ni, je to problem. WP portal je lahko OK, če je pravilno nadzorovan in redno posodabljan, samo potem pa ni več tako poceni, čeprav po moje če vedno cenejši od custom rešitve.

Pa da ne bo pomote, varnost informacijskih sistemov je nekaj kar je zadnja briga ne samo direktorjem ubogih zdravstvenih domov ampak tudi direktorjem firm kot so Yahoo, Sony, JP Chase Morgan, Verizon............................

Qcube je 11. mar 2019 ob 18:51 izjavil:

Možno bi bilo tudi da se je en obiskovalec/pacient uspel povezat v notranje omrežje preko wifija in začel premikat datoteke za zabavo.

Ne samo to... lahko so sestre pogruntale kako si med sabo lahko delijo datoteke in pri tem "zlorabile" pomankljivosti v nastavitvah web servisa.

ja, ja, ampak moramo potem pravilno naslovit šalabajzerja: to je izvajalec in ne wordpress platforma. tudi sam sem kot študent naklepal nekaj spletnih strani. nihče od naročnikov v tistih časih ni bil pripravljen na vzdrževalne pogodbe, jih je pa drago stalo, ko je bila panika in so potrebovali gasilca.

in če ni vzdrževalne pogodbe, ni vzdrževanja. jaz sem pri takih umaknil podpis na dnu strani, saj nisem želel biti povezan z njihovo soon-to-be-šalabajzerijo.

Ne, wordpress platforma je kriva, ne samo, da je polna bugiv in security problemov, ki ne samo, da so sami zase neobvladljivi ampak za povrh se potencirani z raznimi plugini. Da fases notri trackanje obiskovalcev, brez, da bi sploh vedel, v osnovnem paketu, je samo vrh ledene gore. To, koliki spleta uporablja wordpress je samo zalostna statistika kako njegovi postavljalci, polni nezadostnega znanja in pohlepa po denarju, predlagajo neprimerne resitve vsakemu naivcu, ki jih kupi. Je cisto preprosto, ce ti danes kdorkoli predlaga wordpress, podvomi v njegovo strokovnost. V 99% primerov je mazac.

poweroff je 11. mar 2019 ob 20:02 izjavil:

Torej, na 24ur.com pravijo (povzemajo izjave SB Izola) takole:

Googlov iskalnik je v zadetkih poleg povezav ponudil tudi predogledne sličice, iz katerih ni mogoče razbrati izvorne vsebine samega dokumenta.
...
V skladu z zakonodajo so o omenjenem dogodku ter postopku reševanja sproti obveščali informacijskega pooblaščenca. "Podrobna analiza dogodka je pokazala, da ni prišlo do nobenega uhajanja osebnih ali katerihkoli drugih podatkov iz našega internega bolnišničnega informacijskega sistema," so zatrdili.

Kar seveda ne drži.

Primer št. 1:

Primer št. 2:

Tukaj sicer ni mogoče videti osebnih podatkov... se jih pa vidi tukaj ter rojstni datumi):

Primer št. 3 (zabrisana so imena datotek, ki vsebujejo ime in priimek pacienta):

Primer št. 4 (zabrisani so rojstni datumi):

rezultati iskanja

In tega je še in še... Tako da mi ne prodajati zgodbic, da "ni mogoče razbrati izvorne vsebine samega dokumenta", ali da je "podrobna analiza dogodka pokazala, da ni prišlo do nobenega uhajanja osebnih ali katerihkoli drugih podatkov iz našega internega bolnišničnega informacijskega sistema".

Naj povedo kakšna je bila ta podrobna analiza in kdo jo je izvajal!

vahid je 11. mar 2019 ob 21:03 izjavil:

Ne, wordpress platforma je kriva, ne samo, da je polna bugiv in security problemov, ki ne samo, da so sami zase neobvladljivi ampak za povrh se potencirani z raznimi plugini.