UKC Ljubljana kot nova slovenska potemkinova vas za blagor naroda

Velik del zdravniške dokumentacije UKC Ljubljana, vključno z napotnicami, ki vsebujejo zelo občutljive osebne podatke pacientov, je bil prosto dostopen na spletu.

To smo razkrili na Slo-tech pred slabima dvema tednoma. Problem je bil v nekriptiranem vmesniku za naročanje obiskov zdravstvenih ustanov na spletnih straneh UKC LJ http://napotnica.kclj.si/. Po dveh tednih čakanja pa je menda Univerzitetni klinični center v zadnjih dneh pomanjkljivost odpravil. Vsaj tako pravijo sami.

Teater Najboljši smo!

In kaj so pri največji zdravstveni ustanovi v državi storili, da podatki njihovih pacientov ne bi bili več prosto dostopni na spletu? So postavili nepremagljiv firewall ki bo branil zasebnost Slovencev pred ruskimi hekerji in ameriškimi in britanskimi špijuni? Ne, edina sprememba, ki so jo naredili, je da nekateri spletni brskalniki sedaj prikazuje ključavnico pri imenu strani.

Posodobljena spletna stran je tako sedaj glede na javno dostopne podatke po zagotovljenem varnostnem nivoju celo pod nivojem e-davkov Finančne uprave Republike Slovenije, kar o trudu, ki ga je v nadgradnjo vložil upravljavec, zagotovo pove veliko.

Bla, bla, bla ... DEJSTVA

Pa ne verjamite nam na besedo, poglejmo, kaj kažejo rezultati testa varnosti SSL. Ta kaže, da ima UKC na strani z napotnicami vključeno možnost povezovanja preko protokola SSL3, ki je vsaj od leta 2015 popolnoma razbit. Prav tako spletna stran ne podpira novejših protokolov kot npr. TLS 1.2. Spletna stran tudi privzeto šifrira promet z algoritmom RC4, ki je že vsaj od leta 2013 pretežno razbit.

Pri vsem skupaj je zanimivo tudi, da spletna stran teče na strežniku Apache verzije 2.2.16 (Debian). Glede na podatke Debianovega sistema za upravljanje paketkov, je bila zadnja verzija operacijskega sistema, ki je vsebovala to verzijo spletnega strežnika, squeeze, za katerega od februarja 2016 (dobro leto torej), ni več varnostnih posodobitev.

Vsekakor vzpodbuden korak naprej, pa čeprav glede na zadnje dogodke v zvezi s ponudnikom certifikatov, ki ga uporablja UKC, rešitev ni ravno dolgoročna.