Novice » NWO » Odgovorno razkritje ali neodgovorno nerazkritje
poweroff ::
Pisec članka ima neverjetno srečo (ali kaj drugega), da še nikoli ni imel zdravniške napotnice v rokah:
Dostopna je bila zdravniška dokumentacija, vključno z napotnicami, ki vsebujejo zelo občutljive osebne podatke pacientov
Pri še tako popolno izpolnjeni napotnici je približno pol manj osebnih podatkov kot na FB profilu posameznika.
Verjetno je ti nisi imel v rokah. Na napotnici je a) napotna diagnoza, b) kam si napoten. Lahko tudi kakšne druge relevantne posebnosti (npr. "okužen s HIV").
sudo poweroff
MrStein ::
...
Torej problem, da se problemi "rešujejo" z metodo shoot the messenger, ti rešuješ z metodo shoot the messenger?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
MrStein ::
Pri večini specialistov se lahko naročiš prek spleta. Sistem bi že naj deloval v polni meri, vendar še ne deluje v celoti ravno zaradi UKC LJ in še nekaterih drugih velikih bolnišnic, ki še nimajo urejenega sistema za naročanje (https://narocanje.ezdrav.si/ in https://cakalnedobe.ezdrav.si/)
Mali tudi še nimajo eNapotnic.
Pa tiste čakalne dobe so zelo... "okvirne". (enako tista lista na http://nacas.nijz.si/ ter http://www.zzzs.si/cakdobe , na tej drugoi se sploh nisem znajdel; sem pred tedni sam iskal in na koncu sem vsakega ponudnika sam kontaktiral in vprašal. Rezultati seveda čisto drugačni kot na tistih spiskih.)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
dronyx ::
badabim ::
Dilema je:
Odgovorno razkritje ali neodgovorno nerazkritje
proti
Nedgovorno razkritje ali odgovorno nerazkritje
Odgovorno razkritje ali neodgovorno nerazkritje
proti
Nedgovorno razkritje ali odgovorno nerazkritje
Zgodovina sprememb…
- predlagalo izbris: hruske ()
Master_Yoda ::
Problem je, ker ne grejo popravljat napak dokler ne pride do razkritja. Do razkritja pa tisijo glave v pesek.
Zgodovina sprememb…
- spremenil: Master_Yoda ()
dronyx ::
Meni zelo zanimivo je na tem primeru tudi to, kako malo je bilo potrebno, da so zadovoljili informacijskega pooblaščenca.
Namreč po ZVOP sodijo podatki o zdravstvenem stanju posameznika (razne skenirane napotnice) med občutljive osebne podatke, ki naj bi bili še posebej varovani. V 14. členu ZVOP ki govori o zavarovanju občutljivih osebnih podatkov med drugim piše:
Ta spletni obrazec UKC Ljubljana po mojem mnenju tem zahtevam ZVOP ne zadosti, saj se pri prenosu prek interneta (torej javnega omrežja) občutljivih osebnih podatkov ne uporablja šifrirana povezava.
Namreč po ZVOP sodijo podatki o zdravstvenem stanju posameznika (razne skenirane napotnice) med občutljive osebne podatke, ki naj bi bili še posebej varovani. V 14. členu ZVOP ki govori o zavarovanju občutljivih osebnih podatkov med drugim piše:
2) Pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij se šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.
Ta spletni obrazec UKC Ljubljana po mojem mnenju tem zahtevam ZVOP ne zadosti, saj se pri prenosu prek interneta (torej javnega omrežja) občutljivih osebnih podatkov ne uporablja šifrirana povezava.
Zgodovina sprememb…
- spremenil: dronyx ()
dronyx ::
Tule je objavljeno eno tako zanimivo mnenje IP. Torej tudi če recimo poskeniraš nek zdravstveni dokument z občutljivimi osebnimi podatki in ga želiš poslati po elektronski pošti ga moraš najprej šifrirati in zavarovati z geslom (se pa IP ob tem ne ukvarja z vprašanjem, kako dolgo mora biti geslo, kakšna metoda šifriranja je sprejemljiva, kako dolgi morajo biti ključi za šifriranje...).
Zgodovina sprememb…
- spremenil: dronyx ()
fujtajksel ::
Tule je objavljeno eno tako zanimivo mnenje IP. Torej tudi če recimo poskeniraš nek zdravstveni dokument z občutljivimi osebnimi podatki in ga želiš poslati po elektronski pošti ga moraš najprej šifrirati in zavarovati z geslom (se pa IP ob tem ne ukvarja z vprašanjem, kako dolgo mora biti geslo, kakšna metoda šifriranja je sprejemljiva, kako dolgi morajo biti ključi za šifriranje...).
Hja to je načeloma razumno od IP, ker je varnost običajne elektronske pošte pač na nivoju razglednice. Me kar malo čudi, da vsaj v poslovni komunikaciji še ni default enkripcija + podpisovanje. Ampak žal je stanje tako, da moraš biti še vedno malo geek da imaš zadeve vzpostavljene.
Oberyn ::
Ta spletni obrazec UKC Ljubljana po mojem mnenju tem zahtevam ZVOP ne zadosti, saj se pri prenosu prek interneta (torej javnega omrežja) občutljivih osebnih podatkov ne uporablja šifrirana povezava.
Plus tole je tolk zblojeno, da mi enostavno ni jasno. Na državni ravni imamo sistem e-naročanja in e-napotnic in e-receptov, ki je dobro zasnovan in varen in deluje. V tem sistemu je vse, kar se prenaša okoli po žicah, pa magari samo pripombe med lekarno in zdravnikom, digitalno podpisano. Tudi za vpogled teh podatkov na računalnikih v ordinacijah je potreben kvalificiran certifikat, ima ga ima vsak zdravnik in tudi sestre in enako v lekarnah, kar se tiče receptov. Sistem je dobro pripravljen in pri klientih enostaven za izvedbo, ker je pripravljen API, ki ga je možno uporabljati praktično iz vseh programskih jezikov in skrajno poenostavi vse programersko zapletene postopke, kot je podpisovanje in komuniciranje s spletnimi storitvami. In vse to so množično osvojili tudi mali izvajalci, kar točno vem, ker sem na tem projektu sodeloval par let. Ampak zdaj, en UKC ima pa nekaj čisto svojega, narejeno po standardih od Marije Terezije?
poweroff ::
Če gre za razkritje po odpravi napake, ni dileme.
In točno za to je v tem primeru šlo.
Pridemo pa seveda do problema, ali zaupati izjavam uradne institucije. Po moje da. Ne moreš pričakovati, da se ti uradna ustanova laže. Še več - če preveriš njihove trditve se lahko izpostaviš kazenskemu pregonu. Torej jim moraš verjeti.
sudo poweroff
PaX_MaN ::
Pridemo pa seveda do problema, ali zaupati izjavam uradne institucije. Po moje da. Ne moreš pričakovati, da se ti uradna ustanova laže.
A tko ko Marjan "Ne uporabljamo IMSI lovilcev, častna policijska!" Fank?
Še več - če preveriš njihove trditve se lahko izpostaviš kazenskemu pregonu. Torej jim moraš verjeti.
Zahtevat izvorno kodo po ZDIJZ pa res ni kaznivo dejanje.
dronyx ::
PaX_MaN ::
Hm, v novici ne piše da bi zahtevali izvorno kodo v kateri se je skrivala napaka, niti kakšen je bil končen rezultat te zahteve, zato me čudi ta prepričanost "v enako odločitev v podobnih primerih".
dronyx ::
Tule piše v odločbi IP da je vprašanje izvorne kode kot informacije javnega značaja tako kompleksno, da morajo o tem odločati izvedenci. Torej se očitno res da od zavezancev po ZDIJZ zahtevati izvorno kodo za vso programsko opremo, ki so jo kupili in so bile na njih prenesene avtorske pravice oziroma pravno razpolagajo z izvorno kodo. Če drugega ne morajo najeti izvedence da zahtevo argumentirano zavrnejo (to, da so v izvorni kodi vidna gesla verjetno ne bo dovolj)
Bsph ::
No, zdaj berem neko dokumentacijo o aplikacijah dveh različnih slovenskih firm (ki niso Mojdenar ali Žejn). "Resnih" firm, 1mil+ letnega prometa... Če povzamem: gesla zapisana v bazi v plaintext, vse povezave nešifrirane, connection stringi z usernameom in plaintext passwordom shranjeni v txt datotekah, aplikacija odjemalcu pošilja seznam vseh uporabniških imen in gesel, v glavnem, da na rit padeš.
Glede na videno, vedno manj verjamem v teorijo, da so avtorji takih neverjetnih nebuloz izjemno nesposobni in nikakor niso reprezentativni primeri širše populacije slo. developerjev.
(Seveda, če karkoli razkrijem, fašem kazensko prijavo. )
Zelo zanimivo, kje pa lahko dostopaš do takšne dokumentacije?
BlaY0 ::
estons ::
BlaY0 ::
Če povzamem: gesla zapisana v bazi v plaintext, vse povezave nešifrirane, connection stringi z usernameom in plaintext passwordom shranjeni v txt datotekah, aplikacija odjemalcu pošilja seznam vseh uporabniških imen in gesel, v glavnem, da na rit padeš.
Ja kako boš pa drugače debugiral zadevo
Spura ::
matoxxxmato je izjavil:
An IT specialist from Heidelberg has managed to hack an anesthesia machine from a large manufacturer, reports the SPIEGEL in its current issue. Using his laptop, the man could take control of the device, stop ventilation, and block all functions.Hah, tepec je razkril kar je izvedel! Čuza mu ne uide.
http://www.spiegel.de/netzwelt/netzpoli...
Tam kjer podpišeš pogodbo in NDA...Tocno. Zato ne bom nicesar rekel, ampak probite si predstavljat, da vas pogledam kot Jim Halpert iz The Office.
matijadmin ::
Pisec članka ima neverjetno srečo (ali kaj drugega), da še nikoli ni imel zdravniške napotnice v rokah:
Dostopna je bila zdravniška dokumentacija, vključno z napotnicami, ki vsebujejo zelo občutljive osebne podatke pacientov
Pri še tako popolno izpolnjeni napotnici je približno pol manj osebnih podatkov kot na FB profilu posameznika.
Ne drži. Na zadnji strani je naveden razlog napotitve, ki lahko obsega samo nek opis neopredeljenih simptomov, hiter povzetek klinične slike ali pa celo popolne diagnoze, kadar gre za napotitve ob pridruženih obolenjih/zdr. težavah. TL;DR ... Tudi zelo neprijetna reč lahko piše na zadnji strani kot npr. AIDS ali kaj podobnega.
A ni nihče trznil ta tale moj prispevek o tem, kdo je odgovoren za to afero?!
https://slo-tech.com/novice/t696199/p54...
... nekdanji direktor UKC Vrhunec!
Vrnite nam techno!
Zgodovina sprememb…
- spremenil: matijadmin ()
poweroff ::
Če drugega ne morajo najeti izvedence da zahtevo argumentirano zavrnejo (to, da so v izvorni kodi vidna gesla verjetno ne bo dovolj)
Ne. Ti moraš najei in plačati izvedenca.
sudo poweroff
Bsph ::
dronyx ::
Ne. Ti moraš najei in plačati izvedenca.
Jaz v tisti odločbi IP tega nisem tako razumel. Mi je pa močno nenavadna že sama ideja kako je lahko izvorna koda nekega programa sploh "informacija javnega značaja". Predstavljaj si recimo da nek državni organ sam ali v sodelovanja z nekimi podjetji razvije nek top SW, ki je zanimiv v svetovnem merilu. Ker je državni organ lahko potem katerakoli firma po svetu najame nekega slovenskega klošarja, ki po zakonu o dostopu do info. javnega značaja lahko pridobi celotno izvorno kodo?
hruske ::
Zakoni so v razvitih državah javni, informacijski sistemi pa so po večini zgolj informatizirana implementacija postopkov v zakonih, zato bi nedvomno morali biti podvrženi vpogledu za to usposobljenega posameznika.
To pa seveda še ne pomeni, da sme posameznik dobiti kopijo informacijskega sistema ali da ima dovoljenje (licenco) za kakršno koli uporabo.
To pa seveda še ne pomeni, da sme posameznik dobiti kopijo informacijskega sistema ali da ima dovoljenje (licenco) za kakršno koli uporabo.
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator
PaX_MaN ::
Tule piše v odločbi IP da je vprašanje izvorne kode kot informacije javnega značaja tako kompleksno, da morajo o tem odločati izvedenci. Torej se očitno res da od zavezancev po ZDIJZ zahtevati izvorno kodo za vso programsko opremo, ki so jo kupili in so bile na njih prenesene avtorske pravice oziroma pravno razpolagajo z izvorno kodo. Če drugega ne morajo najeti izvedence da zahtevo argumentirano zavrnejo (to, da so v izvorni kodi vidna gesla verjetno ne bo dovolj)
S to odločbo sem intimno seznanjen vendar je to zgolj rezultat druge pritožbene stopnje.
Kar hočem reči je: dokler ne bo kdo trmaril do ESČP (ali, ob pletori mednarodnih konvencij, do kakšnega drugega primernega avtoritativnega sodišča), ne jemljite tega kot dokončen rezultat.
Zakoni so v razvitih državah javni, informacijski sistemi pa so po večini zgolj informatizirana implementacija postopkov v zakonih, zato bi nedvomno morali biti podvrženi vpogledu za to usposobljenega posameznika.
To pa seveda še ne pomeni, da sme posameznik dobiti kopijo informacijskega sistema ali da ima dovoljenje (licenco) za kakršno koli uporabo.
Žal kaže da se v to smer nagiba ravno ESČP, prav tako ravno sedaj dobiva posodobitev de-facto glavni vir zavrnitev na sodiščih.
Zato je nujno od EKČP odstopiti, sodiščem pa naložiti da se ne smejo naslanjati na mnenja tretjih oseb, ki niso zapriseženi sodni izvedenci.
Če bi vsi delovali na ta način se net sesuje.
V vseh ostalih ~zilijon primerih dovoljenih dostopov se ni še nič sesulo, čemu bi se net?
Zgodovina sprememb…
- spremenilo: PaX_MaN ()
Horejšio ::
Tule piše v odločbi IP da je vprašanje izvorne kode kot informacije javnega značaja tako kompleksno, da morajo o tem odločati izvedenci. Torej se očitno res da od zavezancev po ZDIJZ zahtevati izvorno kodo za vso programsko opremo, ki so jo kupili in so bile na njih prenesene avtorske pravice oziroma pravno razpolagajo z izvorno kodo. Če drugega ne morajo najeti izvedence da zahtevo argumentirano zavrnejo (to, da so v izvorni kodi vidna gesla verjetno ne bo dovolj)
S to odločbo sem intimno seznanjen vendar je to zgolj rezultat druge pritožbene stopnje.
Kar hočem reči je: dokler ne bo kdo trmaril do ESČP (ali, ob pletori mednarodnih konvencij, do kakšnega drugega primernega avtoritativnega sodišča), ne jemljite tega kot dokončen rezultat.
Zakoni so v razvitih državah javni, informacijski sistemi pa so po večini zgolj informatizirana implementacija postopkov v zakonih, zato bi nedvomno morali biti podvrženi vpogledu za to usposobljenega posameznika.
To pa seveda še ne pomeni, da sme posameznik dobiti kopijo informacijskega sistema ali da ima dovoljenje (licenco) za kakršno koli uporabo.
Žal kaže da se v to smer nagiba ravno ESČP, prav tako ravno sedaj dobiva posodobitev de-facto glavni vir zavrnitev na sodiščih.
Zato je nujno od EKČP odstopiti, sodiščem pa naložiti da se ne smejo naslanjati na mnenja tretjih oseb, ki niso zapriseženi sodni izvedenci.
Če bi vsi delovali na ta način se net sesuje.
V vseh ostalih ~zilijon primerih dovoljenih dostopov se ni še nič sesulo, čemu bi se net?
Winston se s takimi idioti nebi pogovarjal.
Zgodovina sprememb…
- spremenilo: Horejšio ()
poweroff ::
Kdo bi moral oz. smel izvajati zaščito informacijskega sistema:
Vir: http://siol.net/novice/slovenija/vsi-ra...
Članek pa se začne z:
Nekaj je tudi zaščite varovanja poslovnih skrivnosti, zaščite informacijskega sistema. Imamo različne računalniške forenzike znotraj podjetij in zunanje izvajalce, čeprav imamo le detektivi resnično zakonsko podlago, da načrtujemo in izvajamo zaščito informacijskih sistemov. Vsi, ki to počnejo, bi morali imeti detektivsko licenco, a je nimajo.
Vir: http://siol.net/novice/slovenija/vsi-ra...
Članek pa se začne z:
Vsaj polovica detektivov je upokojenih policistov, obveščevalcev Sove in še prej Službe za državno varnost...
sudo poweroff
hruske ::
Vsi, ki to počnejo, bi morali imeti detektivsko licenco, a je nimajo.
Ugani zakaj predsednik detektivske zbornice to pravi, ter zakaj večina nima in tudi ne bo imela licence: ker ti z izobraževanjem in vsemi administrativnimi stroški vred zbornica zaračuna 2.685,95 EUR.
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator
AndrejO ::
Meh, pusti njih, ti so izgubljeni nekje v nekem drugem vesolju.
Kot, da bi bilo 'načrtovanje in izvajanje zaščite informacijskih sistemov' reguliran poklic. Glede na članstvo je jasno videti s kakšno osebnostno deformacijo imajo opravka.
Ampak, da se ne bodo čisto vse zbornice počutile zapostavljene, kdor ima omembe vreden podatkovni center, se zagotovo posvetuje z ljudmi, ki imajo licenco zasebnega varovanja in ljudmi, ki imajo licenco SZPV. Če se ne, pa mislim, da se bi moral.
Kot, da bi bilo 'načrtovanje in izvajanje zaščite informacijskih sistemov' reguliran poklic. Glede na članstvo je jasno videti s kakšno osebnostno deformacijo imajo opravka.
Ampak, da se ne bodo čisto vse zbornice počutile zapostavljene, kdor ima omembe vreden podatkovni center, se zagotovo posvetuje z ljudmi, ki imajo licenco zasebnega varovanja in ljudmi, ki imajo licenco SZPV. Če se ne, pa mislim, da se bi moral.
PaX_MaN ::
fujtajksel ::
Neverjetno, UKC in odgovorna oseba menda celo fasala globo od IP
http://www.zurnal24.si/po-javnem-razkri...
http://www.zurnal24.si/po-javnem-razkri...
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Nov vrhunec digitalne transformacije v slovenskem zdravstvu: do podatkov zdravstveneg (strani: 1 2 3 4 )Oddelek: Novice / Zasebnost | 45048 (31405) | SeMiNeSanja |
» | Piškotki kot dimna zavesa spletne varnosti in zasebnostiOddelek: Novice / Zasebnost | 14966 (12536) | ExtraBacon |
» | UKC Ljubljana kot nova slovenska potemkinova vas za blagor narodaOddelek: Novice / Varnost | 9528 (6716) | Saul Goodman |
» | Odgovorno razkritje ali neodgovorno nerazkritje (strani: 1 2 3 )Oddelek: Novice / NWO | 52869 (43006) | fujtajksel |
» | Ajpes končno priznal: Ne vemo, kaj delamo (strani: 1 2 )Oddelek: Novice / Varnost | 32215 (22522) | Furbo |