Nov vrhunec digitalne transformacije v slovenskem zdravstvu: do podatkov zdravstvenega stanja Primorcev kar prek Googla

Wordpress ocitno tako zaupa v svojo kodo, da ti kar sami ponujajo gostovanje CMSja, ki ga koristi precej zelo znanih/obiskanih spletnih strani.

Ce furas posodobljeno Wordpress instalacijo, mislim da ni potrebno posebej skrbeti za vdore. Na hitro sem preletel lanske CVEje, in za skoraj vse kriticne ranljivosti potrebujes vsaj uporabniski racun, ce ne ze kar visje pravice. Tukaj se niti ni slo za kaksno ranljivost, ampak shranjevanje datotek na javno lokacijo, ter ocitno se vkljuceno listanje direktorija oz. listanje datotek nekje v samem CMSju).

Ne obdeluj sensitive PII podatkov na tej platformi in ne bo panike.

Nekdo je grdo šel mimo vsega, kar bi mu katerikoli varnostni standard narekoval (pred tem pa še zdrava pamet).

Pa kaj moaš danes res biti 5x certificiran in imeti doktorat, da boš vedel, da se občutljivih dokumentov ne shranjuje na strežniku, ki je javno dostopen?

Če bi se držali principa, da noben javno izpostavljen strežnik po definiciji ni varen, zaradi česa na njemu NIKOLI ne boš hranil ničesar, kar bi lahko povzročilo težave ob vdoru ali sesutju, se danes o tem 'škandalu' (šlampariji?) sploh nebi pogovarjali.

Mislim, da res ni treba imeti doktorat za to, da se držiš tega načela?

Ne, ni problem Wordpress. Problem je, kako so ga uporabljali. Tudi če bi te podatke imeli na enak način hranjene na internem strežniku (brez javnega dostopa), bi se še vedno šlo za grd fail, saj niti pod razno nebi smeli imeti vsi uporabniki bolnišničnega omrežja imeti dostop do teh podatkov.

Dejansko bi bilo bolje, če bi si te napotnice pošiljali na interne mail naslove! Ni idealno, vskakor pa bolje, kot da jih daš kar vsakemu, ki ima 5 min viška, na vpogled.

No, sledljivost dostopa do podatkov je najbrž bila zagotovljena kar preko Google Analytics?

Bi bilo v Sloveniji sploh kaznivo, če bi neko podjetje zbiralo vse te "nerodno in nenamerno" deljene podatke ter nudilo razna svetovanja npr. zavarovalnicam, kadrovskim službam, političnim strankam pri preverjanju kandidatov?

Sicer si težko predstavljam, da bi v Sloveniji to ostalo skrito - nekdo bi se že pritožil čez storitev ali ceno...

Samo za pojasnilo. CMS tu sploh ne igra vloge, da ne bi tema zasla. Poanta je da tovrstni CMSji niso namenjeni temu, kar si je omenjen zavod zamislil. Namenjeni so public predstavitvi, in ce tam pac zgodi deface, ni neke skode razen imidza. Aplikacija, web, ki pa je namenjena poslovanju pa definitivno ni varna v tovrstnih sistemih. Pa obracaj kakor ves in znas.

Se enkrat, ce sistem ni nacrtovan z varnostjo v prvem planu, ne bo nikoli varen. Velikokrat sem bil pozvan, k nadgradnji sistema z varnostjo. Tega ni. Samo to razlozit narocniku ni enostavno, tako da se nato narocnik ne odloci za spremebe. In potem imamo take...

Na KPK smo razvili podoben sistem, da so zavezanci izpolnili podatke preko spletnega obrazca, podatki pa so se potem zapisali na web server.

Vendar!

Podatki so se zapisali v šifrirani obliki (one way, dešifriranje na serverju ni bilo mogoče), šifriranje in shranjevanje cache-ja se je dogajalo v RAMu (disk cache je bil onemogočen), poleg tega so se podatki večkrat dnevno (kljub temu, da so bili šifrirani) prenašali dol iz serverja.

Seveda tudi ta rešitev ni 100% varna (tako kot nobena ne), je pa zelo blizu temu.

Ampak slovenske IT firme so pametne in vedo vse same. Še zlasti na področju varnosti.

poweroff je 12. mar 2019 ob 09:13 izjavil:

Na KPK smo razvili podoben sistem, da so zavezanci izpolnili podatke preko spletnega obrazca, podatki pa so se potem zapisali na web server.

Vendar!

Podatki so se zapisali v šifrirani obliki (one way, dešifriranje na serverju ni bilo mogoče), šifriranje in shranjevanje cache-ja se je dogajalo v RAMu (disk cache je bil onemogočen), poleg tega so se podatki večkrat dnevno (kljub temu, da so bili šifrirani) prenašali dol iz serverja.

Seveda tudi ta rešitev ni 100% varna (tako kot nobena ne), je pa zelo blizu temu.

Ampak slovenske IT firme so pametne in vedo vse same. Še zlasti na področju varnosti.

Asimetrična kripto., z javnim ključem na strežniku vse šifriraš in potem z zasebnim nekje globoko v zaledju, kamor se prenašajo ti podatki, dešifriraš.

https://web.archive.org/web/20141012023... - glede na Wayback machine, je bila kot avtor spletne strani navedena firma Emigma. Ista firma je navedena kot avtor tudi danes.

Tole so pa transakcije med SB Izola in to firmo:
https://erar.si/placnik/27715/prejemnik...

Po strokovni plati najverjetneje ja. Ampak pravna odgovornost je pa odgovornost tistega, ki je a) podal specifikacije za informacijski sistem in b) tistega, ki je informacijski sistem prevzel.

Mimogrede, Emigma je največ poslovala z mestno občino Koper:
https://erar.si/prejemnik/55593763/#tra...

DamijanD je 11. mar 2019 ob 17:32 izjavil:

Gajec je 11. mar 2019 ob 14:49 izjavil:

Preventivno gledano, kako je stanje z zdravstveno dokumentacijo npr. v ljubljanskih zdravstvenih ustanovah?
Najprej glede osebnih zdravnikov. Imajo kartoteke že kaj digitalizirane ali še vedno izključno fizično v mapi v železnih omarah?
Naprej glede specialistov v UKC - ti kot sklepam po tipkanju izvidov vse skupaj hranijo digitalno ali še vedno le fizično sprintano?

Na e-zdravje imaš svoje (in za otroke do 16 let) izvide gor še preden jih dobiš po pošti...

Ampak verjetno le, če si registriran na https://zvem.ezdrav.si/e-zdravje ?

MMKK je 11. mar 2019 ob 21:12 izjavil:

Saul Goodman je 11. mar 2019 ob 21:00 izjavil:

MMKK je 11. mar 2019 ob 20:46 izjavil:

Je pa e-zdravje en tak sistem z ene 30.000 dostopnimi točkami (nihče v resnici ne ve, kolk računalnikov imamo v sistemu). Varnost je odvisna od etičnega ravnanja uporabnikov.
- Praktično noben računalnik ni kriptiran
- Podatki na računalniku so začiteni z windows gesli (smeha vredno)
- Sam program za delo s pacienti je zaščiten z geslom, ki je po navadi napisano na monitorju ali na zadnji strani čip kartice zdravnika (profesionalne). Ki je ponavadi pri sestri, ki se z njo prijavlja.
- Dostop v hrbtenico e-zdravja, kjer so naloženi vsi izvidi, vseh pacinetov, ne samo od izbranega zdravnika, je omogočen zdravnikom, sestram pa omejeno, zato sestre velikokrat uporabljajo zdravniške osebne certifikate ali kartice, da lahko opravljajo svoje delo.
- pacineti izvide pošiljajo na majl, ravno tako precej ustanov izvide pošilja na dom z majlom.
- po majlu (po navadi z gmaila) pošljejo tudi izvid fizioterapevti. izvid je v najboljšem primeru zararan, geslo pride z naslednjim majlom :-)
- do uvedbe e-zdravja ZZZS in NIJZ nista mogla povezati imena in priimka z diagnozo. Sedaj se vsaka naložena napotnica ali recept, shranita pri njih (na napotnici so ime priimek, naslov, kronične diagnoze in kronična terapija)
- aja, omrežja znotraj ustanov pogosto delujejo na WI-fi jih. Ker je tako bolj prikladno

A boš rekel, da je dostop do e-zdravja vdor? Se mi zdi da je bolj plaz podatkov, ki rinejo ven čez odprta vrata :-) Po mnenju IP, pretirano podeljevanje pravic ni problem, problem je kršitev pooblastil posameznika. Skratka ne sistem, zaposleni.

iz prve roke, vse to je res. dr. je ponavad "prepomemben" za vnos lastnih gesel v sistem, vse to delijo s sestrami in kartice ležijo po mizah, nihče ne skrbi za njih. geslo je pa "11111111" pri večini zdravnikov. kot zunanji izvajalec te prakse ne moreš spremeniti, ker ni posluha vodstva in ker se doktorji in sestre niso pripravljeni učit. simple. prav upirajo se. in takle mamo. jaz se izogibam vsem, ki operirajo z osebnimi podatki kot hudič križa, ker vem kako jih boli kurac.

Jaz zgublam živce tu intenzivno zadnjih 10 let. Ampak to sploh ne bi smela bit debata. Sistem za tako občutljive podatke bi moral biti narejen tako, da ne dovoli dostopa opicam. Pika. Al igraš po pravilih, al pa ne moreš delat.
Je pa glavni problem implementacija rešitev 7 proizvajalcev, ki vodijo v 10 različnih avtentikacijskih metod. Jaz sem z 2019 za našo ambulanto naredil vse tako kot je treba in moram zjutraj vnesti enkripcijski pin, pol windows geslo (in vsakič ko se užge screen saver), nato geslo za program za pacinete, posebi geslo in 2FA za dostop v ezdravje in ločeno geslo in 2FA v posebej rešitev za komuniciranje s pacineti in e-naročanje. Aja, pa seveda geslo za osebni certifikat, ko začnem komunicirat z NIJZjem in nekaterimi zavarovalnicami in geslo (PIN), za dostop do nekaterih storitev ZZZS, ker je ZZZS še vedno edini, ki ni posvojil certifikatov (edini avtentikacijski mehanizem je digitalno potrdilo na čip kartici). Ne pretiravam, zjutraj traja 5-10 minut, da se logiram v vse storitve. Ker so ponudniki nekompatibilni, od vrha pa ni komande kaj naj bi uporabljali... In pol se folk znajde po svoje.

Tu ni problem v ponudnikih, ampak v nezainteresiranosti, nekompetentnosti, sekundarnih interesih itd odgovornih v javnem sektorju! Vseh tvojih 10 prijav uspesno resi ustrezno implementiran AD, ki ga ima v tujini vsaka bolnisnica. Tako pa (zunanji) tehniki v nasi najvecji bolnisnici na roke posodabljajo javo.

bajsibajsi je 12. mar 2019 ob 11:57 izjavil:

Tu ni problem v ponudnikih, ampak v nezainteresiranosti, nekompetentnosti, sekundarnih interesih itd odgovornih v javnem sektorju! Vseh tvojih 10 prijav uspesno resi ustrezno implementiran AD, ki ga ima v tujini vsaka bolnisnica. Tako pa (zunanji) tehniki v nasi najvecji bolnisnici na roke posodabljajo javo.

No, nisem profi računalniča, a kolikor mi je znano, bi nekaj AD odnesel to na lokalnem nivoju, velike večine pa ne, ker gre v osnovi za zahteve na strani ponudnika storitve, ki so različne, pa še spreminjajo se pogosto (tudi mesečno). Tudi Software-ji za obdelavo pacientov so večinoma lokalne inštalacije, se pravi brez enkripcije in vnosom startup pina pred startupom PCja, ne gre (če resno jemlješ varovanje podatkov). AD s tem nima nič.
Če pa ti rata tole zbrko z AD rešit, pa lepo prosim na plan z rešitvijo, tako jo kupi 1000 zdravnikov po Sloveniji. Osebni zdravnik se recimo mora pri vsakem pacientu povezati z ZZZS, NIJZ in zavarovalnicami dopolnilnih zavarovanj. NIJZ zahteva avtentikacijo pri njih (čeprav bi v teoriji lahko preprosto preko IPseca povezal moj in njihov router, pa so preleni, da bi to podprli. Še več, če to uporabiš, pisno zahtevajo, da jim predaš svoj router v upravljanje!?).
Tako ostane za manjše izvajalce zgolj z njihove strani vsiljen ciscoVPN client, ki ga moraš poganjati vsak dan, na SMS pa dobiš 2FA. Za vsakega userja posebej, s tem da računaj, da na enem PCju delajo tudi po 3 ali 4 osebe, vsaka dobi svoj 2FA SMS! Javnim zavodom je MZ zagotovilo Ciscove Routerje, ki imajo VPN do NIJZjevega routerja in se temu izognejo.
ZZZS zahteva avtentikacijo pri njih, preko uporabe čitalcev kartic (ne, tipkovnica ne prime!) na karticah so čisto navadna digitalna potrdila in zahteva z njihove strani je, da VSAKIČ vneseš pin, ko pošlješ dokument - npr. e-recept! Lokalna inštalacija tega ne zahteva, to je zahteva zgolj pri uporabi storitev ZZZS. Nimajo implementiranega dostopa z digitalnimi potrdili, drugačnimi od njihove opreme. In ja, prav ste prebrali. Če 80 letna mama pride po 10 receptov, je treba izdati 10 različnih dokumentov (bognedaj, da bi na enega napisali 10 zdravil, to bi bilo preveč simpl), pin vpisati 10x. In potem se sprašujejo, zakaj dohraji to dajo delat študentom ali sestram. Ali zakaj so družinski zdravniki administrativno obremenjeni. To je totalna zguba časa in kompetenc.

To, ko sem govoril, da so proizvajalci nekompatibilni, pa najbolj pride do izraza, ko hočeš poslat izvid kolegu. No, ne moreš. Ker računalniške hiše med sabo niso kompatibilne. AD gor al pa dol. In ne, na urgenci ne vidijo vaših podatkov od vašega osebnega zdravnika in NE, nič ni na vaših karticah, lahko pa ginekolog v Murski brska po vaših izvidih, ki so bili naloženi v hrbtenico ezdravja (četudi je to magnet iz Izole :-) Po mnenju IP to ni problem, a jih je to mnenje danes z Milojko ugriznilo v rit.

Pa tudi ne drži, da imajo bolnišnice v tujini to rešeno elegantno in brez težav. Praktično kjerkoli sem bil po evropi in ZDA, je stanje podobno - varnost podatkov v bolnišnicah je večinoma krepko na nižjem nivoju kot recimo bančnih storitev, takoj ko imajo več ponudnikov, so ti nekompatibilni in nepovezljivi.Edina razika med nami in njimi je, da ne dovoljujejo izjem.

Vedno je problem ta "distribucijski" model. Če bi e-zdravje postavilo osnovo in bi se proizvajalci morali prilagodit enotnim varnostnim protokolom, bi to delovalo, seveda tudi z večimi ponudniki. A v SLO je trenutno tako, da se e-zdravje prilagaja rešitvam, ki jih ponujajo ponudniki. In potem imaš back-ende, ki zagotovijo kompatibilnost. In ti back-endi so velikokrat samo gašenje požara oz. začasna rešitev. Nič pa ni bolj trajnega kot začasne rešitve. No, pa kdaj se kaj najde tudi na googlu očitno.

MMKK je 12. mar 2019 ob 15:53 izjavil:

In ja, prav ste prebrali. Če 80 letna mama pride po 10 receptov, je treba izdati 10 različnih dokumentov (bognedaj, da bi na enega napisali 10 zdravil, to bi bilo preveč simpl), pin vpisati 10x.

Recepti za določenega pacienta se dajo v paket in pošlješ paket z vsemi recepti. Vtipkaš PIN le 1x ali pa uporabljaš certifikat in ti PINa ni treba tipkat.

MMKK je 12. mar 2019 ob 15:53 izjavil:

In potem se sprašujejo, zakaj dohraji to dajo delat študentom ali sestram. Ali zakaj so družinski zdravniki administrativno obremenjeni. To je totalna zguba časa in kompetenc.

Ne razumem zakaj ne bi bili zdravniki administrativno obremenjeni. Kaj pa počnete tako posebnega? Opravljate pač čisto navaden poklic, kot vsak drug.

tony1 je 12. mar 2019 ob 20:02 izjavil:

Zato ker jih je v naši državi veliko premalo, tajnic vseh vrst in sort je pa dovolj.

Če jih je veliko premalo se jih naj pa veliko uvozi. Srbi npr. imajo odlično medicinsko fakulteto. Ne vidim problema v tem, razen v tem da njim zelo paše, da jih je kao premalo.

ToniT je 12. mar 2019 ob 18:40 izjavil:

VPN do NIJZ je možen tudi za zasebnike. Pred kratkim smo to implementirali pri zasebnici, tako da smo rešili problem 2fa avtentifikacije za vsako sestro in zdravnika - zadeva je rešena podobno oz. enako kot v javnih zavodih.
Recepte lahko podpisuješ s kvalificiranim digitalnim potrdilom od sigence ali poštarce, tako da ne rabiš klofati PIN-a za vsak recept ali napotnico.
Kar se pa tiče izvidov pa je sistem pač tak, kot je. Ali ga pošlješ v hrbtenico ali pa ga imaš pri sebi in ga drugi ne vidijo.

Jap, poznam rešitev. Zahtevajo Cisco Router, cena okrog 400€. Kje jih boš vzel, v denarju za paciente to ni predvideno. Ali to vzameš od plače zdravnika, sestre ali zavrneš 10 pacinetov. Pa da vidimo junaka... Denar ki ga nakaže ZZZS a paciente je en sam. Javnim zavodom so je opremo subvencioniralo ministrstvo. Ampak gre se pa za javno zdravstvo, za oskrbo vseh državljanov, ki ga zagotavlja država.
Če ste ravno to naredili, me pa zanima nekaj drugega - NIJZ je po implementaciji takšne rešitve skrbnik routerja - a to se ti pa ne zdi sporno. Sam prašam, ne godrnjam...sam jaz nisem najbolj navdušen, da so oni skrbnik moje mrežne opreme...

Res je, za oddajo e-recepta in e-napotnice lahko uporabiš digitalno potrdilo SigenCA ali Poštarca (to je vezano na e-zdravje), čeprav večina zavodov ohranja profesionalne kartice, ker nimajo razdelanih userjev na PCju in osebje pač ni pripravljeno inštalirati sojih osebnih digitalnih potrdil na računalnike, ki jih uporablja še 10 drugih oseb. Pustmo to, kolk je to enostavno narest...
Pri pinih sem imel primarno v glavi komunikacijo z ZZZS - ko pacient pride na obisk in prebereš njegovo kartico, sistem dostopi do ZZZS baze, vsak dostop OBVEZNO zahteva PIN. Druge avtentikacije ZZZS ne prizna. Prav tako, ko izdaš naročilnico za medicinsko tehnični pripomoček.

MMKK je 12. mar 2019 ob 21:37 izjavil:

Če ste ravno to naredili, me pa zanima nekaj drugega - NIJZ je po implementaciji takšne rešitve skrbnik routerja - a to se ti pa ne zdi sporno. Sam prašam, ne godrnjam...sam jaz nisem najbolj navdušen, da so oni skrbnik moje mrežne opreme...

V bistvu tu nimaš kaj dosti besede - ali se greš tega ali ne... Tudi jaz nisem navdušen, ampak tako pač je... Pomembno je, da je zdravnica in ostalo osebje zadovoljno, ker ne rabijo več dodatnega logiranja v VPN.

MMKK je 12. mar 2019 ob 21:37 izjavil:

Res je, za oddajo e-recepta in e-napotnice lahko uporabiš digitalno potrdilo SigenCA ali Poštarca (to je vezano na e-zdravje), čeprav večina zavodov ohranja profesionalne kartice, ker nimajo razdelanih userjev na PCju in osebje pač ni pripravljeno inštalirati sojih osebnih digitalnih potrdil na računalnike, ki jih uporablja še 10 drugih oseb. Pustmo to, kolk je to enostavno narest...

To, da nimajo razdelanih userjev, je neupoštevanje GDPR... Seveda je najbolj enostavno imeti na računalniku ikono račke in je to povezava v sistem (kot je to pred kratkim povedal nekdo na enem strokovnem srečanju). Saj ni pomembna varnost, važno je, da je čim bolj enostavno.

MMKK je 12. mar 2019 ob 21:37 izjavil:

Pri pinih sem imel primarno v glavi komunikacijo z ZZZS - ko pacient pride na obisk in prebereš njegovo kartico, sistem dostopi do ZZZS baze, vsak dostop OBVEZNO zahteva PIN. Druge avtentikacije ZZZS ne prizna. Prav tako, ko izdaš naročilnico za medicinsko tehnični pripomoček.

To seveda ni res. Za branje pacienta in njegovih podatkov vpišeš PIN samo enkrat (prvič ali ob prijavi v program). Za naročilnice pa je res potreben vnos PIN-a za vsako posebej. (Pa še to moram preveriti.) Sicer mi je ena zdravnica rekla, da je to možno tudi z digitalnim potrdilom (ker bi ona to tudi želela imeti urejeno na tak način), vendar nimam potrditve od ZZZS.

Rešitve obstajajo, je pa vprašanje, koliko smo pripravljeni narediti za to, da jih lahko uporabljamo.

stb je 13. mar 2019 ob 20:28 izjavil:

Saul Goodman je 11. mar 2019 ob 21:00 izjavil:

MMKK je 11. mar 2019 ob 20:46 izjavil:

Je pa e-zdravje en tak sistem z ene 30.000 dostopnimi točkami (nihče v resnici ne ve, kolk računalnikov imamo v sistemu). Varnost je odvisna od etičnega ravnanja uporabnikov.
- Praktično noben računalnik ni kriptiran
- Podatki na računalniku so začiteni z windows gesli (smeha vredno)
- Sam program za delo s pacienti je zaščiten z geslom, ki je po navadi napisano na monitorju ali na zadnji strani čip kartice zdravnika (profesionalne). Ki je ponavadi pri sestri, ki se z njo prijavlja.
- Dostop v hrbtenico e-zdravja, kjer so naloženi vsi izvidi, vseh pacinetov, ne samo od izbranega zdravnika, je omogočen zdravnikom, sestram pa omejeno, zato sestre velikokrat uporabljajo zdravniške osebne certifikate ali kartice, da lahko opravljajo svoje delo.
- pacineti izvide pošiljajo na majl, ravno tako precej ustanov izvide pošilja na dom z majlom.
- po majlu (po navadi z gmaila) pošljejo tudi izvid fizioterapevti. izvid je v najboljšem primeru zararan, geslo pride z naslednjim majlom :-)
- do uvedbe e-zdravja ZZZS in NIJZ nista mogla povezati imena in priimka z diagnozo. Sedaj se vsaka naložena napotnica ali recept, shranita pri njih (na napotnici so ime priimek, naslov, kronične diagnoze in kronična terapija)
- aja, omrežja znotraj ustanov pogosto delujejo na WI-fi jih. Ker je tako bolj prikladno

A boš rekel, da je dostop do e-zdravja vdor? Se mi zdi da je bolj plaz podatkov, ki rinejo ven čez odprta vrata :-) Po mnenju IP, pretirano podeljevanje pravic ni problem, problem je kršitev pooblastil posameznika. Skratka ne sistem, zaposleni.

iz prve roke, vse to je res. dr. je ponavad "prepomemben" za vnos lastnih gesel v sistem, vse to delijo s sestrami in kartice ležijo po mizah, nihče ne skrbi za njih. geslo je pa "11111111" pri večini zdravnikov. kot zunanji izvajalec te prakse ne moreš spremeniti, ker ni posluha vodstva in ker se doktorji in sestre niso pripravljeni učit. simple. prav upirajo se. in takle mamo. jaz se izogibam vsem, ki operirajo z osebnimi podatki kot hudič križa, ker vem kako jih boli kurac.

Če politiki sami vnašajo svoja gesla, bi jih pa lahko tudi zdravniki, a ne?

mogoče politiki v tujini. naši politiki potrebujejo enga iz IT-ja na vsaki seji v DZ ali pa na vladi, ker se večini zatakne že pri prijavi z VPN, ko pritegnejo ven svoj laptop. gre celo tako daleč, da IT-jevec pozna njihove PIN-e, ker ga oni ne.in jih pred njimi vpisuje za njih, ker sami nimajo pojma kaj je ta magija.

MMKK je 17. mar 2019 ob 17:46 izjavil:

V bistvu tu nimaš kaj dosti besede - ali se greš tega ali ne... Tudi jaz nisem navdušen, ampak tako pač je... Pomembno je, da je zdravnica in ostalo osebje zadovoljno, ker ne rabijo več dodatnega logiranja v VPN.

Uf, to pa je nevarna miselnost...tudi tole v izoli bi lahko bila posledica te logike - večkrat sem že videl, da je informatik predlagal eno, a zaradi enostavnosti, so se odločili za nelegalno pot. Nimaš dosti izbire pravijo... No, jaz se tega ne grem.

Ta zadeva ni nelegalna, ampak je v skladu s politiko vključevanja v zNet. Oni pač ne pustijo dostopa do njihovega routerja in sami skrbijo za njega.
Tudi v javnih zavodih nimaš dostopa do njihovega routerja. Ti samo dobiš navodilo, kako morajo biti stvari nasdtavljene in to je to....

Vse ostalo pa je pač potrebno urediti pri sebi.

MMKK je 17. mar 2019 ob 17:46 izjavil:

Ugotavljam, da imajo različne softwarske hiše avtentikacijo rešeno različno. In ko jih vprašaš zakaj takšne avtentikacije, pravijo, da tako zahteva ZZZS, NIJZ...po pa slišim, da ponekod vseeno gre drugače. No, na ZZZS se z osebnim digitalnim potrdilom vseeno (še) ne moreš avtenticirat. So preveč denarja zapravili pri razpisu za čitalce, da bi jih sedaj opustili :-)

Poznam skoraj vse programske rešitve, ki se uporabljajo izven bolnišnic, razen Hipokrata. Za njih ne vem, kako imajo urejeno, ostali pa imajo enkratno prijavo s PIN v ZZZS in potem zadeva deluje "cel dan".

Tvoje notranje omrežje moraš seveda zaščititi z lastnim firewallom, "terminali" za dostop v omrežje NIJZ pa morajo biti v svojem VLANu.

MMKK je 18. mar 2019 ob 14:31 izjavil:

V bistvu tu nimaš kaj dosti besede - ali se greš tega ali ne... Tudi jaz nisem navdušen, ampak tako pač je... Pomembno je, da je zdravnica in ostalo osebje zadovoljno, ker ne rabijo več dodatnega logiranja v VPN.

ToniT, čist iz firbca...kako ste pri zdravnici, kjer je router v upravljanju NIJZ zaščitili notranje omrežje?

Že tako je praktično nemogoče najti router, ki ne bi imel varnostnih pomanjkljivosti (vključno s Ciscom), res pa se mi zdi sporno, da potem še upravljanje predam v roke NIJZ in sem od odvisen od njihovega patchanja lukenj in moralne drže, da se držijo stran od mojega notranjega omrežja....

Na router od NIJZ smo se povezali preko lastnega routerja in vmesnega IP naslovnega prostora.

Ne, do škatle NIJZ nimaš dostopa. Zate je to black box o kateri ne veš nič, razen tega, da prek nje dobiš dostop do NIJZ.

Za svoj firewall pa seveda uporabiš poljubno napravo, najpomembneje je, da takšno, ki jo znaš nastavljati.

MMKK je 18. mar 2019 ob 14:31 izjavil:

Že tako je praktično nemogoče najti router, ki ne bi imel varnostnih pomanjkljivosti (vključno s Ciscom), res pa se mi zdi sporno, da potem še upravljanje predam v roke NIJZ in sem od odvisen od njihovega patchanja lukenj in moralne drže, da se držijo stran od mojega notranjega omrežja....

Glede Cisco routerja NIJZ se ne sekiraj preveč, ker sam ne boš veliko spremenil. Z drugo opremo enostavno ne znajo delati.

Potem pa od ISPja nafehtaš 2 javna IPja... Včasih je bilo to zastonj, danes pa bi verjetno hoteli imeti poslovni dostop in nekaj desetakov bodo zaračunali enkratnih administrativnih stroškov...

Morda bo celo ceneje pripeljati še dodatnega ISPja v bajto...

Rešitev je še več, na primer na svoj javni IP priheftaš svoj firewall, in če NIJZjev IPSEC tunel podpira NAT-traversal, spraviš IPSEC promet čez tvoj firewall do njihovega; vse druge porte pa uporabljaš zase (npr. SSL VPN)...

Ne, praktičnih izkušenj z NIJZjem nimam, ampak ko imaš enkrat v rokah kladu je vsak problem podoben žeblju.

Nisem mislil skozi NIJZjev router, ampak skozi tvoj firewall, NIJZjev router pa postaviš "nižje", pod tvoj firewall...

IPSEC VPN tunele se seveda vedno postavlja na statičnem IPju...

Kr neki jih poznam, ki bi ti razložili, da se z dyn.dns-om da vse zrihtat :-) Sploh če je en na statiki...

a ni 400e za cisco blackbox, ki ti omogoča le VPN dostop cca 10x predrago?