» »

Odgovorno razkritje ali neodgovorno nerazkritje

1 2
3
»

poweroff ::

antonhac je izjavil:

Pisec članka ima neverjetno srečo (ali kaj drugega), da še nikoli ni imel zdravniške napotnice v rokah:
Dostopna je bila zdravniška dokumentacija, vključno z napotnicami, ki vsebujejo zelo občutljive osebne podatke pacientov

Pri še tako popolno izpolnjeni napotnici je približno pol manj osebnih podatkov kot na FB profilu posameznika.

Verjetno je ti nisi imel v rokah. Na napotnici je a) napotna diagnoza, b) kam si napoten. Lahko tudi kakšne druge relevantne posebnosti (npr. "okužen s HIV").
sudo poweroff

perci ::

Pa tudi, če bi bila samo ime in priimek - gre za osebni podatek.

MrStein ::

Afo je izjavil:


...

Torej problem, da se problemi "rešujejo" z metodo shoot the messenger, ti rešuješ z metodo shoot the messenger?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

MrStein ::

ToniT je izjavil:


Pri večini specialistov se lahko naročiš prek spleta. Sistem bi že naj deloval v polni meri, vendar še ne deluje v celoti ravno zaradi UKC LJ in še nekaterih drugih velikih bolnišnic, ki še nimajo urejenega sistema za naročanje (https://narocanje.ezdrav.si/ in https://cakalnedobe.ezdrav.si/)

Mali tudi še nimajo eNapotnic.
Pa tiste čakalne dobe so zelo... "okvirne". (enako tista lista na http://nacas.nijz.si/ ter http://www.zzzs.si/cakdobe , na tej drugoi se sploh nisem znajdel; sem pred tedni sam iskal in na koncu sem vsakega ponudnika sam kontaktiral in vprašal. Rezultati seveda čisto drugačni kot na tistih spiskih.)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

dronyx ::

ToniT je izjavil:

Na napotnici, če nič drugega, je napisana napotna diagnoza. To pa je zelo občutljiv osebni podatek.

Samo če je prava.

badabim ::

Dilema je:

Odgovorno razkritje ali neodgovorno nerazkritje

proti

Nedgovorno razkritje ali odgovorno nerazkritje

Zgodovina sprememb…

  • predlagalo izbris: hruske ()

boolsheat ::

Če gre za razkritje po odpravi napake, ni dileme.

Master_Yoda ::

Problem je, ker ne grejo popravljat napak dokler ne pride do razkritja. Do razkritja pa tisijo glave v pesek.

Zgodovina sprememb…

dronyx ::

Meni zelo zanimivo je na tem primeru tudi to, kako malo je bilo potrebno, da so zadovoljili informacijskega pooblaščenca.

Namreč po ZVOP sodijo podatki o zdravstvenem stanju posameznika (razne skenirane napotnice) med občutljive osebne podatke, ki naj bi bili še posebej varovani. V 14. členu ZVOP ki govori o zavarovanju občutljivih osebnih podatkov med drugim piše:

2) Pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij se šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.

Ta spletni obrazec UKC Ljubljana po mojem mnenju tem zahtevam ZVOP ne zadosti, saj se pri prenosu prek interneta (torej javnega omrežja) občutljivih osebnih podatkov ne uporablja šifrirana povezava.

Zgodovina sprememb…

  • spremenil: dronyx ()

dronyx ::

Tule je objavljeno eno tako zanimivo mnenje IP. Torej tudi če recimo poskeniraš nek zdravstveni dokument z občutljivimi osebnimi podatki in ga želiš poslati po elektronski pošti ga moraš najprej šifrirati in zavarovati z geslom (se pa IP ob tem ne ukvarja z vprašanjem, kako dolgo mora biti geslo, kakšna metoda šifriranja je sprejemljiva, kako dolgi morajo biti ključi za šifriranje...).

Zgodovina sprememb…

  • spremenil: dronyx ()

fujtajksel ::

dronyx je izjavil:

Tule je objavljeno eno tako zanimivo mnenje IP. Torej tudi če recimo poskeniraš nek zdravstveni dokument z občutljivimi osebnimi podatki in ga želiš poslati po elektronski pošti ga moraš najprej šifrirati in zavarovati z geslom (se pa IP ob tem ne ukvarja z vprašanjem, kako dolgo mora biti geslo, kakšna metoda šifriranja je sprejemljiva, kako dolgi morajo biti ključi za šifriranje...).


Hja to je načeloma razumno od IP, ker je varnost običajne elektronske pošte pač na nivoju razglednice. Me kar malo čudi, da vsaj v poslovni komunikaciji še ni default enkripcija + podpisovanje. Ampak žal je stanje tako, da moraš biti še vedno malo geek da imaš zadeve vzpostavljene.

Oberyn ::

dronyx je izjavil:

Ta spletni obrazec UKC Ljubljana po mojem mnenju tem zahtevam ZVOP ne zadosti, saj se pri prenosu prek interneta (torej javnega omrežja) občutljivih osebnih podatkov ne uporablja šifrirana povezava.

Plus tole je tolk zblojeno, da mi enostavno ni jasno. Na državni ravni imamo sistem e-naročanja in e-napotnic in e-receptov, ki je dobro zasnovan in varen in deluje. V tem sistemu je vse, kar se prenaša okoli po žicah, pa magari samo pripombe med lekarno in zdravnikom, digitalno podpisano. Tudi za vpogled teh podatkov na računalnikih v ordinacijah je potreben kvalificiran certifikat, ima ga ima vsak zdravnik in tudi sestre in enako v lekarnah, kar se tiče receptov. Sistem je dobro pripravljen in pri klientih enostaven za izvedbo, ker je pripravljen API, ki ga je možno uporabljati praktično iz vseh programskih jezikov in skrajno poenostavi vse programersko zapletene postopke, kot je podpisovanje in komuniciranje s spletnimi storitvami. In vse to so množično osvojili tudi mali izvajalci, kar točno vem, ker sem na tem projektu sodeloval par let. Ampak zdaj, en UKC ima pa nekaj čisto svojega, narejeno po standardih od Marije Terezije?

poweroff ::

boolsheat je izjavil:

Če gre za razkritje po odpravi napake, ni dileme.

In točno za to je v tem primeru šlo.

Pridemo pa seveda do problema, ali zaupati izjavam uradne institucije. Po moje da. Ne moreš pričakovati, da se ti uradna ustanova laže. Še več - če preveriš njihove trditve se lahko izpostaviš kazenskemu pregonu. Torej jim moraš verjeti.
sudo poweroff

PaX_MaN ::

poweroff je izjavil:

Pridemo pa seveda do problema, ali zaupati izjavam uradne institucije. Po moje da. Ne moreš pričakovati, da se ti uradna ustanova laže.

A tko ko Marjan "Ne uporabljamo IMSI lovilcev, častna policijska!" Fank?

poweroff je izjavil:

Še več - če preveriš njihove trditve se lahko izpostaviš kazenskemu pregonu. Torej jim moraš verjeti.

Zahtevat izvorno kodo po ZDIJZ pa res ni kaznivo dejanje.

dronyx ::

PaX_MaN je izjavil:

Zahtevat izvorno kodo po ZDIJZ pa res ni kaznivo dejanje.

In izvorna koda je informacija javnega značaja? :)

PaX_MaN ::

Če jih ne znaš prepričat, res ni.

Zgodovina sprememb…

  • spremenilo: PaX_MaN ()

poweroff ::

Pa ti si jih prepričal? ;)
sudo poweroff

PaX_MaN ::

Čemu je to pomembno?

poweroff ::

Ker bodo v podobnih primerih enako odločili.
sudo poweroff

PaX_MaN ::

Hm, v novici ne piše da bi zahtevali izvorno kodo v kateri se je skrivala napaka, niti kakšen je bil končen rezultat te zahteve, zato me čudi ta prepričanost "v enako odločitev v podobnih primerih".

dronyx ::

Tule piše v odločbi IP da je vprašanje izvorne kode kot informacije javnega značaja tako kompleksno, da morajo o tem odločati izvedenci. Torej se očitno res da od zavezancev po ZDIJZ zahtevati izvorno kodo za vso programsko opremo, ki so jo kupili in so bile na njih prenesene avtorske pravice oziroma pravno razpolagajo z izvorno kodo. Če drugega ne morajo najeti izvedence da zahtevo argumentirano zavrnejo (to, da so v izvorni kodi vidna gesla verjetno ne bo dovolj)

Bsph ::

estons je izjavil:

No, zdaj berem neko dokumentacijo o aplikacijah dveh različnih slovenskih firm (ki niso Mojdenar ali Žejn). "Resnih" firm, 1mil+ letnega prometa... Če povzamem: gesla zapisana v bazi v plaintext, vse povezave nešifrirane, connection stringi z usernameom in plaintext passwordom shranjeni v txt datotekah, aplikacija odjemalcu pošilja seznam vseh uporabniških imen in gesel, v glavnem, da na rit padeš.

Glede na videno, vedno manj verjamem v teorijo, da so avtorji takih neverjetnih nebuloz izjemno nesposobni in nikakor niso reprezentativni primeri širše populacije slo. developerjev.

(Seveda, če karkoli razkrijem, fašem kazensko prijavo. )


Zelo zanimivo, kje pa lahko dostopaš do takšne dokumentacije?

BlaY0 ::

Okapi je izjavil:


Ker me sicer spomni na kolega, s katerim sva pred davnimi leti šla na Oktoberfest, še v Jugi. Se peljeva čez Avstrijo in kolega reče, poglej, tu še smreke rastejo bolj naravnost kot pri nas.

Ja, ko greš tja (na Oktoberfest) so še naravnost, nazajgrede pa ne več >:D

estons ::

Bsph je izjavil:

Zelo zanimivo, kje pa lahko dostopaš do takšne dokumentacije?

Tam kjer podpišeš pogodbo in NDA...

BlaY0 ::

estons je izjavil:

Če povzamem: gesla zapisana v bazi v plaintext, vse povezave nešifrirane, connection stringi z usernameom in plaintext passwordom shranjeni v txt datotekah, aplikacija odjemalcu pošilja seznam vseh uporabniških imen in gesel, v glavnem, da na rit padeš.

Ja kako boš pa drugače debugiral zadevo :D

Spura ::

matoxxxmato je izjavil:

An IT specialist from Heidelberg has managed to hack an anesthesia machine from a large manufacturer, reports the SPIEGEL in its current issue. Using his laptop, the man could take control of the device, stop ventilation, and block all functions.

http://www.spiegel.de/netzwelt/netzpoli...
Hah, tepec je razkril kar je izvedel! Čuza mu ne uide.

Tam kjer podpišeš pogodbo in NDA...
Tocno. Zato ne bom nicesar rekel, ampak probite si predstavljat, da vas pogledam kot Jim Halpert iz The Office.

matijadmin ::

antonhac je izjavil:

Pisec članka ima neverjetno srečo (ali kaj drugega), da še nikoli ni imel zdravniške napotnice v rokah:
Dostopna je bila zdravniška dokumentacija, vključno z napotnicami, ki vsebujejo zelo občutljive osebne podatke pacientov

Pri še tako popolno izpolnjeni napotnici je približno pol manj osebnih podatkov kot na FB profilu posameznika.


Ne drži. Na zadnji strani je naveden razlog napotitve, ki lahko obsega samo nek opis neopredeljenih simptomov, hiter povzetek klinične slike ali pa celo popolne diagnoze, kadar gre za napotitve ob pridruženih obolenjih/zdr. težavah. TL;DR ... Tudi zelo neprijetna reč lahko piše na zadnji strani kot npr. AIDS ali kaj podobnega.

A ni nihče trznil ta tale moj prispevek o tem, kdo je odgovoren za to afero?!

https://slo-tech.com/novice/t696199/p54...

... nekdanji direktor UKC Vrhunec!
Vrnite nam techno!

Zgodovina sprememb…

poweroff ::

dronyx je izjavil:

Če drugega ne morajo najeti izvedence da zahtevo argumentirano zavrnejo (to, da so v izvorni kodi vidna gesla verjetno ne bo dovolj)

Ne. Ti moraš najei in plačati izvedenca.
sudo poweroff

Bsph ::

estons je izjavil:

Bsph je izjavil:

Zelo zanimivo, kje pa lahko dostopaš do takšne dokumentacije?

Tam kjer podpišeš pogodbo in NDA...


Pa se takšne napake nahajajo v resnih aplikacijah s kakšnimi zanimivimi podatki, ali je to bolj to aplikacija za "domačo" uporabo?

dronyx ::

poweroff je izjavil:

Ne. Ti moraš najei in plačati izvedenca.

Jaz v tisti odločbi IP tega nisem tako razumel. Mi je pa močno nenavadna že sama ideja kako je lahko izvorna koda nekega programa sploh "informacija javnega značaja". Predstavljaj si recimo da nek državni organ sam ali v sodelovanja z nekimi podjetji razvije nek top SW, ki je zanimiv v svetovnem merilu. Ker je državni organ lahko potem katerakoli firma po svetu najame nekega slovenskega klošarja, ki po zakonu o dostopu do info. javnega značaja lahko pridobi celotno izvorno kodo?

next3steps ::

Ker je izvorna koda last države. Ti si del države.
Transparentnost in te fore. . .

hruske ::

Zakoni so v razvitih državah javni, informacijski sistemi pa so po večini zgolj informatizirana implementacija postopkov v zakonih, zato bi nedvomno morali biti podvrženi vpogledu za to usposobljenega posameznika.

To pa seveda še ne pomeni, da sme posameznik dobiti kopijo informacijskega sistema ali da ima dovoljenje (licenco) za kakršno koli uporabo.
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator

Horejšio ::

Če bi vsi delovali na ta način se net sesuje.

PaX_MaN ::

dronyx je izjavil:

Tule piše v odločbi IP da je vprašanje izvorne kode kot informacije javnega značaja tako kompleksno, da morajo o tem odločati izvedenci. Torej se očitno res da od zavezancev po ZDIJZ zahtevati izvorno kodo za vso programsko opremo, ki so jo kupili in so bile na njih prenesene avtorske pravice oziroma pravno razpolagajo z izvorno kodo. Če drugega ne morajo najeti izvedence da zahtevo argumentirano zavrnejo (to, da so v izvorni kodi vidna gesla verjetno ne bo dovolj)

S to odločbo sem intimno seznanjen vendar je to zgolj rezultat druge pritožbene stopnje.
Kar hočem reči je: dokler ne bo kdo trmaril do ESČP (ali, ob pletori mednarodnih konvencij, do kakšnega drugega primernega avtoritativnega sodišča), ne jemljite tega kot dokončen rezultat.

hruske je izjavil:

Zakoni so v razvitih državah javni, informacijski sistemi pa so po večini zgolj informatizirana implementacija postopkov v zakonih, zato bi nedvomno morali biti podvrženi vpogledu za to usposobljenega posameznika.

To pa seveda še ne pomeni, da sme posameznik dobiti kopijo informacijskega sistema ali da ima dovoljenje (licenco) za kakršno koli uporabo.

Žal kaže da se v to smer nagiba ravno ESČP, prav tako ravno sedaj dobiva posodobitev de-facto glavni vir zavrnitev na sodiščih.
Zato je nujno od EKČP odstopiti, sodiščem pa naložiti da se ne smejo naslanjati na mnenja tretjih oseb, ki niso zapriseženi sodni izvedenci.

Horejšio je izjavil:

Če bi vsi delovali na ta način se net sesuje.

V vseh ostalih ~zilijon primerih dovoljenih dostopov se ni še nič sesulo, čemu bi se net?

Zgodovina sprememb…

  • spremenilo: PaX_MaN ()

Horejšio ::

PaX_MaN je izjavil:

dronyx je izjavil:

Tule piše v odločbi IP da je vprašanje izvorne kode kot informacije javnega značaja tako kompleksno, da morajo o tem odločati izvedenci. Torej se očitno res da od zavezancev po ZDIJZ zahtevati izvorno kodo za vso programsko opremo, ki so jo kupili in so bile na njih prenesene avtorske pravice oziroma pravno razpolagajo z izvorno kodo. Če drugega ne morajo najeti izvedence da zahtevo argumentirano zavrnejo (to, da so v izvorni kodi vidna gesla verjetno ne bo dovolj)

S to odločbo sem intimno seznanjen vendar je to zgolj rezultat druge pritožbene stopnje.
Kar hočem reči je: dokler ne bo kdo trmaril do ESČP (ali, ob pletori mednarodnih konvencij, do kakšnega drugega primernega avtoritativnega sodišča), ne jemljite tega kot dokončen rezultat.

hruske je izjavil:

Zakoni so v razvitih državah javni, informacijski sistemi pa so po večini zgolj informatizirana implementacija postopkov v zakonih, zato bi nedvomno morali biti podvrženi vpogledu za to usposobljenega posameznika.

To pa seveda še ne pomeni, da sme posameznik dobiti kopijo informacijskega sistema ali da ima dovoljenje (licenco) za kakršno koli uporabo.

Žal kaže da se v to smer nagiba ravno ESČP, prav tako ravno sedaj dobiva posodobitev de-facto glavni vir zavrnitev na sodiščih.
Zato je nujno od EKČP odstopiti, sodiščem pa naložiti da se ne smejo naslanjati na mnenja tretjih oseb, ki niso zapriseženi sodni izvedenci.

Horejšio je izjavil:

Če bi vsi delovali na ta način se net sesuje.

V vseh ostalih ~zilijon primerih dovoljenih dostopov se ni še nič sesulo, čemu bi se net?


Winston se s takimi idioti nebi pogovarjal.

Zgodovina sprememb…

  • spremenilo: Horejšio ()

poweroff ::

Kdo bi moral oz. smel izvajati zaščito informacijskega sistema:

Nekaj je tudi zaščite varovanja poslovnih skrivnosti, zaščite informacijskega sistema. Imamo različne računalniške forenzike znotraj podjetij in zunanje izvajalce, čeprav imamo le detektivi resnično zakonsko podlago, da načrtujemo in izvajamo zaščito informacijskih sistemov. Vsi, ki to počnejo, bi morali imeti detektivsko licenco, a je nimajo.


Vir: http://siol.net/novice/slovenija/vsi-ra...

Članek pa se začne z:
Vsaj polovica detektivov je upokojenih policistov, obveščevalcev Sove in še prej Službe za državno varnost...
sudo poweroff

hruske ::

Vsi, ki to počnejo, bi morali imeti detektivsko licenco, a je nimajo.


Ugani zakaj predsednik detektivske zbornice to pravi, ter zakaj večina nima in tudi ne bo imela licence: ker ti z izobraževanjem in vsemi administrativnimi stroški vred zbornica zaračuna 2.685,95 EUR.
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator

AndrejO ::

Meh, pusti njih, ti so izgubljeni nekje v nekem drugem vesolju.

Kot, da bi bilo 'načrtovanje in izvajanje zaščite informacijskih sistemov' reguliran poklic. Glede na članstvo je jasno videti s kakšno osebnostno deformacijo imajo opravka.

Ampak, da se ne bodo čisto vse zbornice počutile zapostavljene, kdor ima omembe vreden podatkovni center, se zagotovo posvetuje z ljudmi, ki imajo licenco zasebnega varovanja in ljudmi, ki imajo licenco SZPV. Če se ne, pa mislim, da se bi moral.

PaX_MaN ::

Horejšio je izjavil:

Winston se s takimi idioti nebi pogovarjal.

Kdo to?
Pa s kom to - a NPM? Bi se kar strinjal.

fujtajksel ::

Neverjetno, UKC in odgovorna oseba menda celo fasala globo od IP
http://www.zurnal24.si/po-javnem-razkri...
1 2
3
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Nov vrhunec digitalne transformacije v slovenskem zdravstvu: do podatkov zdravstveneg (strani: 1 2 3 4 )

Oddelek: Novice / Zasebnost
18345800 (32157) SeMiNeSanja
»

Piškotki kot dimna zavesa spletne varnosti in zasebnosti

Oddelek: Novice / Zasebnost
3015150 (12720) ExtraBacon
»

UKC Ljubljana kot nova slovenska potemkinova vas za blagor naroda

Oddelek: Novice / Varnost
309597 (6785) Saul Goodman
»

Odgovorno razkritje ali neodgovorno nerazkritje (strani: 1 2 3 )

Oddelek: Novice / NWO
13953305 (43442) fujtajksel
»

Ajpes končno priznal: Ne vemo, kaj delamo (strani: 1 2 )

Oddelek: Novice / Varnost
8432614 (22921) Furbo

Več podobnih tem