» »

Nov vrhunec digitalne transformacije v slovenskem zdravstvu: do podatkov zdravstvenega stanja Primorcev kar prek Googla

Nov vrhunec digitalne transformacije v slovenskem zdravstvu: do podatkov zdravstvenega stanja Primorcev kar prek Googla

Slo-Tech - Izvidi in napotnice Slovencev, ki so se naročili na pregled v bolnišnici Izola od začetka leta 2016, so bili do preteklega tedna dostopni kar prek Googla. Kot je razvidno iz priloženih slik, je prišlo do (tudi za slovenske razmere) neverjetne »šlamastike« pri varovanju osebnih zdravstvenih podatkov pacientov bolnišnice. Vse podrobnosti sicer še niso znane, vse pa kaže, da je IT sistem avtomatično objavljal izvide in napotnice na spletu. Ker Google (in seveda drugi spletni iskalniki) avtomatično indeksira vso vsebino, ki ni zaščitena na platformah, kot je WordPress, je lahko kdorkoli na svetu preverjal zdravstveno stanje Primorcev.

Informacijski pooblaščenec je bil o »nepravilnostih« obveščen pretekli petek in je takoj odredil bolnišnici umik dokumentov s spleta. Kar je bolnišnica uspela v soboto vendarle narediti. Vendar, kot lahko preverite v slikah dokumentov v tem članku, je bila škoda posameznikom že narejena. Kot nam je sporočil neznani vir, ki nam je tudi posredoval primere dokumentov, so bili med izvidi tudi primeri Slovencev s hivom in drugimi družbeno stigmatiziranimi boleznimi.

GDPR v praksi

Tokratna šlamastika pa je prva večja afera glede varovanja osebnih podatkov od uveljavitve GDPR. Zato bo zanimivo spremljati, kako bo Informacijski pooblaščenec (katerega delo je potrebno tokrat pohvaliti, saj je inštitucija odreagirala takoj po prejetju obvestila o dogajanju) "teorijo" GDPR spremenil v prakso. Glede na evropsko uredbo bi moral upravljalec o dogajanju obvestiti najprej Informacijskega pooblaščenca, hkrati pa tudi vse žrtve, katerih osebni zdravstveni podatki so se znašli na spletu. Kako bo to potekalo, še ni jasno.

Prav tako bomo tudi v praksi videli, kako Informacijski pooblaščenec vidi standarde sledenja dostopa do občutljivih osebnih podatkov. Glede na uredbo o GDPR bi moral vsak IT sistem, ki dostopa ali hrani občutljive osebne podatke, omogočati popolno sledljivost dostopa do teh informacij. Kako naj bi to izgledalo v praksi, do sedaj pravzaprav nihče ne ve.

Praksa ali naključje?

Tokratni primer seveda ni prvi. Spomnimo le na razkritje iz leta 2017, ko se je izkazalo, da je prek spletne aplikacije Napotnica.si bila dostopna zdravniška dokumentacija UKC Ljubljana, vključno z napotnicami pacientov. Ob tem se lahko samo vprašamo, ali gre pri (ne)varovanju osebnih podatkov s strani Države le za posamične primere, ali za prakso?

183 komentarjev

«
1
2 3 4

matijadmin ::

O fak, no!

Če so bile te datoteke keširane, potem so bile pred tem (preden je nekdo od njih to odkril in skušal vse prikriti, tako da jih je odstranil s spleta ter nobenega obvestil) popolnoma dostopne na njihovi strani? Da si jih je lahko vsak shranil, ogledal v celoti? Ali se motim?

Take izvajalce in odgovorne je za kamenjat!
Vrnite nam techno!

Zgodovina sprememb…

Saul Goodman ::

niso bile dostopne prek strani (kot linki), temveč so bile uploadane v /wp-content/uploads direktorij, ki pa je javen in ga je google poindexiral. z direktnim linkom si lahko dokumente odprl in jih potegnil dol. sem stestiral in upam, da s strani oškodovancev padejo težke tožbe.

Bwaze6 ::

Takoj kaznovati... Tistega, ki je na ta primer rahlo nekonvencionalne hrambe in dostopa opozoril tako, da je javnosti dal vse potrebne podatke za zlorabo te "varnostne luknje" - gre za očiten primer neetičnega hekanja!

/sarcasm off

Glugy ::

Mene samo zanima kdo točno je odgovoren. Katera oseba ; kateri izvajalec.

Bwaze6 ::

Drugače pa niti pod razno ne gre le za zdravstveno stanje Primorcev - na pregled v izolsko bolnišnico te lahko pošljejo tudi iz Prekmurja, če tam pokaže najkrajšo čakalno dobo - je ena bolje opremljenih slovenskih bolnišnic.

stara mama ::

V Izoli najkrajša čakalna doba?
Dober vic :))
Ekologija™ in Trajnost™

Bwaze6 ::

Za določene preglede (na primer magnetno resonanco) ob določenem času, ne pravim, da je na splošno manj zasedena.

Saul Goodman ::

Glugy je izjavil:

Mene samo zanima kdo točno je odgovoren. Katera oseba ; kateri izvajalec.


Na spletni strani se da enumerirati wordpress uporabnike in eno gospo je vrgl' ven. Mogoče ona uploada zadeve? :D Zaradi varovanja osebnih podatkov ne bom limal direktnih linkov ali imen, ampak kdor zna že ve. :)

darkotri ::

Wordpress je pripravila Emigma d.o.o. iz Kopra.

Je kdo izvozil oz kar na googlu printscreen naredil, kjer se vidijo podatki? IPRS ne bo mogel ukrepati če nima "pravih" dokazov. Kaznujejo lahko upravljalca le po ZVOP1, ker ZVOP2 še ni bil sprejet, torej so zneski zanemarljivi. Lahko pa padejo civilne tožbe proti bolnišnici oz izvajalcu, ki je to šlamparijo dopustil.
darko

Zgodovina sprememb…

  • spremenil: darkotri ()

Saul Goodman ::

ziher sem, da izvajalec nima veliko s tem in da so stvar uploadal zaposleni.

Tody ::

Že to da uporabljaš Wordpres za take zadeve ... Jaz resno mislim da zdravstvene sestre nimajo nobene potreb po pisanju bloga ali usvarjanje spletne strani v službi...

Saul Goodman ::

Tody je izjavil:

Že to da uporabljaš Wordpres za take zadeve ... Jaz resno mislim da zdravstvene sestre nimajo nobene potreb po pisanju bloga ali usvarjanje spletne strani v službi...


wordpress je za spletno stran, ki jo imajo, čist ok izbira. sam nekdo ti mora pač povedat, da ne uploadaj datotek s podatki pacientov, a ne. ker nimajo tam kaj početi.

carota ::

In na novicah na spletni strani sploh ne piše, da so imeli ta incident!

misek ::

Saul Goodman je izjavil:

wordpress je za spletno stran, ki jo imajo, čist ok izbira. sam nekdo ti mora pač povedat, da ne uploadaj datotek s podatki pacientov, a ne.
Jaz predvidevam, da je ta stran bila namenjena interno za izmenjavo podatkov. Sploh glede na veliko količino podatkov. Verjetno niso sestre nalagale zadev kar tako.

Saul Goodman ::

"interno" in "/wp-content/uploads" ne gre skupaj v nobenem pogledu. resno dvomim, da jim je tak način dela predlagala firma, ki jim je spletno stran postavila. sb izola ima zagotovo še kakšne prave "intranet" portale v njihovem informacijskem sistemu. sumim, da so te podatke želeli zaposleni deliti s pacienti z direktnimi linki, le da niso dojeli, da do njih lahko dostopa VSAK z linkom. in google je naredil ostalim uslugo in jih poindexiral. shadow IT al pa kakšna taka bedarija. kot si radi pomagajo s privat google accounti z geslom "zdravstveni123", kamor šibajo različne podatke v google docse. že videno.

Bwaze6 ::

Močno dvomim, da je bilo to ustvarjeno za paciente.

matijadmin ::

Saul Goodman je izjavil:

niso bile dostopne prek strani (kot linki), temveč so bile uploadane v /wp-content/uploads direktorij, ki pa je javen in ga je google poindexiral. z direktnim linkom si lahko dokumente odprl in jih potegnil dol. sem stestiral in upam, da s strani oškodovancev padejo težke tožbe.

To mi ne jasno. V članku pa ni izpostavljeno, zato sem vprašal.

Saul Goodman je izjavil:

niso bile dostopne prek strani (kot linki), temveč so bile uploadane v /wp-content/uploads direktorij, ki pa je javen in ga je google poindexiral. z direktnim linkom si lahko dokumente odprl in jih potegnil dol. sem stestiral in upam, da s strani oškodovancev padejo težke tožbe.

To mi je jasno, a v članku ni bilo izpostavljeno. Zato sprašujem. Public directory so očitno uporabljali.

Saul Goodman je izjavil:

niso bile dostopne prek strani (kot linki), temveč so bile uploadane v /wp-content/uploads direktorij, ki pa je javen in ga je google poindexiral. z direktnim linkom si lahko dokumente odprl in jih potegnil dol. sem stestiral in upam, da s strani oškodovancev padejo težke tožbe.

To mi je jasno, v članku pa ni izpostavljeno. Zato sprašujem. Uporabili so javno mapo za hrambo občutljiv os. podatkov, očitno. Čeprav zakon zanje predpisuje šifriranje, tako za hrambo, kot prenos!
Vrnite nam techno!

Zgodovina sprememb…

Saul Goodman ::

Bwaze6 je izjavil:

Močno dvomim, da je bilo to ustvarjeno za paciente.


edini "pameten" izgovor, ki bi ga lahko imeli. ker nimajo na voljo varne platforme, preko katere lahko s pacientom delijo skenirane dokumente, so se interno odločili, da "takole pa tud gre, sej če ne damo linka na stran, noben ne vid". seveda špekuliram, lahko je bolj banalen razlog, kakorkoli že pa bo za to moral nekoga doletet GDPR hammer of justice s tako visoko globo, da bo še mene zabolelo.

WhiteAngel ::

Ahaha epic :))

matijadmin ::

darkotri je izjavil:

Wordpress je pripravila Emigma d.o.o. iz Kopra.

Je kdo izvozil oz kar na googlu printscreen naredil, kjer se vidijo podatki? IPRS ne bo mogel ukrepati če nima "pravih" dokazov. Kaznujejo lahko upravljalca le po ZVOP1, ker ZVOP2 še ni bil sprejet, torej so zneski zanemarljivi. Lahko pa padejo civilne tožbe proti bolnišnici oz izvajalcu, ki je to šlamparijo dopustil.

Ker so novico objavili po tem, ko je cache že izbrisan in omenja posredovanje IP, lahko sklepamo, da so pri IP zavarovali dokaze.

Saul Goodman je izjavil:

ziher sem, da izvajalec nima veliko s tem in da so stvar uploadal zaposleni.

Ni nujno. Imeli so narocanje prek spletne strani, pomoje je backend tja shranjeval. Ni pa nujno to edini vir uploada tja.
Vrnite nam techno!

Zgodovina sprememb…

Bwaze6 ::

Si prej predstavljam, da ima interna platforma za deljenje dokumentov med zdravniki omejitve, in si takole poenostavljajo delo - za pacienta se ne bo nihče tako trudil.

matijadmin ::

Saul Goodman je izjavil:

Tody je izjavil:

Že to da uporabljaš Wordpres za take zadeve ... Jaz resno mislim da zdravstvene sestre nimajo nobene potreb po pisanju bloga ali usvarjanje spletne strani v službi...


wordpress je za spletno stran, ki jo imajo, čist ok izbira. sam nekdo ti mora pač povedat, da ne uploadaj datotek s podatki pacientov, a ne. ker nimajo tam kaj početi.

WP je eno sranje. A priori.

Kdo je tja shranjeval, ne vemo. Lahk, da uporabniki, kar je nenavadno, saj sestre nimajo dostopa za urednikovanje običajno, lahko pa aplikacija.
Vrnite nam techno!

harmony ::

Najbolj zalostno je to, da ne bo nihce za to odgovarjal.

jukoz ::

harmony je izjavil:

Najbolj zalostno je to, da ne bo nihce za to odgovarjal.


Uradne prijave so bile dane. Nekdo bo odgovarjal, če ne bo noben drug bo pa informacijski pooblaščenec, ker ni ukrepal =)

RokX ::

*aaaaaaaaaaaaaak :)
Kdor kuha ta nekaj zakuha

Bwaze6 ::

harmony ::

jukoz je izjavil:

harmony je izjavil:

Najbolj zalostno je to, da ne bo nihce za to odgovarjal.


Uradne prijave so bile dane. Nekdo bo odgovarjal, če ne bo noben drug bo pa informacijski pooblaščenec, ker ni ukrepal =)

Ukrepal? Kaj pa bi moral on tocno narediti? 24h spremljati promet in ugotavljati, ce kdo krsi zakon? WTF

JaVonTech ::

Tudi na Siolu: https://siol.net/novice/slovenija/podat...
Upam, da ne pride tista nesnaga iz komentarjev še k nam.

49106 ::

O čem ti to?

Zgodovina sprememb…

  • predlagalo izbris: Truga ()

jukoz ::

harmony je izjavil:

jukoz je izjavil:

harmony je izjavil:

Najbolj zalostno je to, da ne bo nihce za to odgovarjal.


Uradne prijave so bile dane. Nekdo bo odgovarjal, če ne bo noben drug bo pa informacijski pooblaščenec, ker ni ukrepal =)

Ukrepal? Kaj pa bi moral on tocno narediti? 24h spremljati promet in ugotavljati, ce kdo krsi zakon? WTF


Ne, za to se uporablja NSA in STASI pa to.

Informacijski pooblaščenec mora ustrezno ukrepati - preveriti prijavo in če je utemeljena izvesti postopke, ki jih od njega zahteva zakon. Tam na koncu postopka mora spisati ustrezne kazni. Če ni uspel zavarovati dokazov, slo-tech in nekateri uporabniki pa so, bo potrebno ukrepati proti uradu informacijskega pooblaščenca.

Lahko predvidevamo da so sedaj bolj kompetentni kot leta 2016 v primeru Telemacha. Če nič drugega je v primeru bolnišnice Izola podatke že indeksiral google =)

Še link na Telemach članek:
https://slo-tech.com/novice/t685525/0

Gajec ::

Preventivno gledano, kako je stanje z zdravstveno dokumentacijo npr. v ljubljanskih zdravstvenih ustanovah?
Najprej glede osebnih zdravnikov. Imajo kartoteke že kaj digitalizirane ali še vedno izključno fizično v mapi v železnih omarah?
Naprej glede specialistov v UKC - ti kot sklepam po tipkanju izvidov vse skupaj hranijo digitalno ali še vedno le fizično sprintano?

Ima pacient pravico zahtevati izbris/uničenje izvidov?
Lahko pri osebnem zdravniku zahtevaš vpogled v kartoteko in rečeš "tole ni več relevantno, vržimo v koš".
Pač, razumem, da jih želijo imeti zase za lažje nadaljne diagnosticiranje, ampak kot vidimo, to ni nujno res le "zanje".

Da bo bolj plastično, zamislimo si situacijo, da si prišel k osebnemu zdravniku s čudnim izpuščajem na mednožju. Dobiš napotnico za k urologu, tam ugotovi, da ni nič posebnega, recimo samo neka alergija. Ti spišejo izvid. Tega verjetno pošljejo še osebni zdravnici. Ta izvid po mojem mnenju nikomur nikdar več ne koristi. Čemu ga torej hraniti?


...super, da bodo sedaj informacijski pooblaščenci strokovno ukrepali in bili vsi po vrtsi pametni, ampak sramotna škoda marsikomu je bila že narejena. IP jim sedaj nič ne bo v uteho. Če se da, zakaj ne bi že preventivno preveril, kaj o meni res morajo hraniti in kaj niti ni nujno...

Zgodovina sprememb…

  • spremenilo: Gajec ()

Markoff ::

JaVonTech je izjavil:

Tudi na Siolu: https://siol.net/novice/slovenija/podat...
Upam, da ne pride tista nesnaga iz komentarjev še k nam.

V tem trenutku 1 sam komentar pod člankom. Kakšna nesnaga?

Sicer pa mene resno skrbi, da tale slotekovski N/A tako pogosto vdira v informacijske sisteme države in (para)državnih institucij in razkriva občutljive podatke javnosti ter to po nepotrebnem vznemirja, hkrati pa ne da čas vestnim uslužbencem IT, da pokrpajo luknje, ki so jih ustvarili zlobni kapitalisti v svoji na hitro spacani programski opremi...
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

Zgodovina sprememb…

  • spremenilo: Markoff ()

matijadmin ::

Markoff je izjavil:

JaVonTech je izjavil:

Tudi na Siolu: https://siol.net/novice/slovenija/podat...
Upam, da ne pride tista nesnaga iz komentarjev še k nam.

V tem trenutku 1 sam komentar pod člankom. Kakšna nesnaga?

Sicer pa mene resno skrbi, da tale slotekovski N/A tako pogosto vdira v informacijske sisteme države in (para)državnih institucij in razkriva občutljive podatke javnosti ter to po nepotrebnem vznemirja, hkrati pa ne da čas vestnim uslužbencem IT, da pokrpajo luknje, ki so jih ustvarili zlobni kapitalisti v svoji na hitro spacani programski opremi...

Tvoj komentar je naravnost boln.

Izvajalec IT storitev ali nekdo v bolnišnici je stvari po malomarnosti JAVNO objavil na njihovi spletni strani. Iskalniki so to nadalje poindeksirali in nekdo je očitno kar z Googlom tole našel.

Tak IT sektor, pa tudi take javne institucije nas morajo skrbeti.
Vrnite nam techno!

louser ::

Kako naj bi to izgledalo v praksi, do sedaj pravzaprav nihče ne ve.

FURS prekleto dobro ve.
Ampak FURS se obnaš jot prekleto učinkovit podjetnik in ne kot del ignorantske države.

matijadmin je izjavil:

Markoff je izjavil:

JaVonTech je izjavil:

Tudi na Siolu: https://siol.net/novice/slovenija/podat...
Upam, da ne pride tista nesnaga iz komentarjev še k nam.

V tem trenutku 1 sam komentar pod člankom. Kakšna nesnaga?

Sicer pa mene resno skrbi, da tale slotekovski N/A tako pogosto vdira v informacijske sisteme države in (para)državnih institucij in razkriva občutljive podatke javnosti ter to po nepotrebnem vznemirja, hkrati pa ne da čas vestnim uslužbencem IT, da pokrpajo luknje, ki so jih ustvarili zlobni kapitalisti v svoji na hitro spacani programski opremi...

Tvoj komentar je naravnost boln.

Izvajalec IT storitev ali nekdo v bolnišnici je stvari po malomarnosti JAVNO objavil na njihovi spletni strani. Iskalniki so to nadalje poindeksirali in nekdo je očitno kar z Googlom tole našel.

Tak IT sektor, pa tudi take javne institucije nas morajo skrbeti.

Ta N/A je večkrat po tihem opozarjal institucije na leak podatkov. Ker nisi nič storili, jim je to javno predočil.
Takrat so ga obtožili za vdor v informacijski sistem, čeprav to ni bil.

Zgodovina sprememb…

  • spremenilo: louser ()

vahid ::

Kaj se pa zdaj nekaj razburjate, matr, saj se sami ne veste kaj hocete, ze prav zmisljujete se.

Saj nimate nic za skrivat!

Namesto, da se pritozujete, raje cestitajte ekipi bolnisnice in izvajalcu za to neverjetno prodorno in v-skladu-s-casom potezo, ki je pripeljala Slovenijo v sam vrh oblacenja in HDAAS ponudbe (human data as a service).

Cestitke iz moje strani in upam, da ostale bolnisnice cimprej sledijo njihovemu vzoru, ki prav zares pokaze kako zelo odprt narod smo Slovenceljni, posiljanje osebnih podatkov in izvidov preko gmaila je ok, pravilno, da se gre do konca!
Morda je se nekaj ljudi, ki tole razumejo...
https://www.delo.si/mnenja/kolumne/ce-padem-me-pocakajte-154864.html

Zgodovina sprememb…

  • spremenilo: vahid ()

Bwaze6 ::

gokky ::

darkotri je izjavil:

...Kaznujejo lahko upravljalca le po ZVOP1, ker ZVOP2 še ni bil sprejet, torej so zneski zanemarljivi. Lahko pa padejo civilne tožbe proti bolnišnici oz izvajalcu, ki je to šlamparijo dopustil.


Ne bo čisto nujno držalo. Kršitev je bila storjena, ko že velja GDPR. Res pa je, da naša zakonodaja ne predvideva upravnih glob (ker nekdo na to pač ni pomislil, da bi dodal h GDPR, ko se je le-ta sprejemala). Vendar pa velja tudi dejstvo, da prekršek lahko kaznujejo še 2 leti po storjenem prekršku (zastaralni rok). Posledično, če bo ZVOP-2, ki naj bi izenačil upravne globe, sprejet prej kot v 2 letih, se lahko zavlačevanje pooblaščenca izkaže kot drago za SPB Izola. :-/

Zgodovina sprememb…

  • spremenil: gokky ()

BlaY0 ::

Problem je v tem, da procesi pri tako pomembnih rečeh niso standardizirani niti preverjeni s strani neodvisnih inštitucij. Še večji problem pa je, da to sploh ni predvideno v zakonodaji.

Meni se to zdi podobno kot če dvigalo v neki stavbi ne bi bilo vsako leto pregledano/preverjeno, potem bi jih par umrlo v nesreči s tem dvigalom in nihče ne bi bil odgovoren ampak bi enostavno samo onemogočili dostop do tega dvigala in naročili upravljavcu stavbe, da okvaro odpravi. Oškodovanci naj pa potem lepo civilno tožijo kogarkoli že, če si seveda lahko privoščijo odvetnika.

Skratka GDPR so za moje pojme zgolj nekakšne smernice, čeprav so v obliki uredbe. Potrebno bo opredeliti dodatne mehanizme, ki bodo takšne in podobne reči preprečili. Recimo dokler portal neke javne inštitucije/zavoda ne prestane določenih testov, ne sme obratovati. Te teste se potem izvaja periodično. Ne pa da nek mulc postavi WP za 130 EUR, direktor bolnišnice si pa mene roke češ kako poceni so prišli skozi.

Aquafriend ::

Saj nimate nic za skrivat!
:)

terryww ::

Poklic "računalničarja/programerja" ni reguliran. Mogoče se bi kaj spremenilo, če bi bil.
Po drugi strani bi mogoče lahko imel SICERT al pa kaka slovenska inštitucija proti kiberkriminalu majhno ekipo, ki bi se ukvarjala samo s tem, da so državni IT sistemi varni.
It is the night. My body's weak.
I'm on the run. No time to sleep.

FastWIND ::

Ima kdo shranjene napotnice? Ce da jih lahko proda odvetniski druzbi...

DamijanD ::

Gajec je izjavil:

Preventivno gledano, kako je stanje z zdravstveno dokumentacijo npr. v ljubljanskih zdravstvenih ustanovah?
Najprej glede osebnih zdravnikov. Imajo kartoteke že kaj digitalizirane ali še vedno izključno fizično v mapi v železnih omarah?
Naprej glede specialistov v UKC - ti kot sklepam po tipkanju izvidov vse skupaj hranijo digitalno ali še vedno le fizično sprintano?


Na e-zdravje imaš svoje (in za otroke do 16 let) izvide gor še preden jih dobiš po pošti...

SasoS ::

Na 24ur:

To so informacijskemu pooblaščencu dokazali tako, da so mu posredovali dnevniški zapis s seznamom IP naslovov, ki so dostopali do spornih URL-jev. Ta je dokazoval, da sta do URL povezav dostopala le dva IP naslova – eden je pripadal IP-RS, drugi pa očitno napadalcu.


To je navadna laž...saj je nujno moral bit v logih vsaj še tretji IP: Googlov indexer! Se vidi kako bi vse pometli pod preprogo...

matijadmin ::

"Zaenkrat je mogoče povedati le, da niso bile objavljene izvorne datoteke, ampak posnetki datotek, ki jih je naredil iskalnik Google," so še navedli pri pooblaščencu. Bolnišnica po njihovih navedbah uradnih pojasnil, zakaj je do incidenta prišlo, še ni posredovala, "gre pa zelo verjetno za neustrezno zavarovanje njihove spletne strani".

Debela laž IP! Da se datoteke sploh indeksirajo in keširajo, morajo biti v celoti objavljene, oz. dostopnem (vsem, ne le iskalniku). In bile so več let!
Vrnite nam techno!

Saul Goodman ::

matijadmin je izjavil:

Saul Goodman je izjavil:

Tody je izjavil:

Že to da uporabljaš Wordpres za take zadeve ... Jaz resno mislim da zdravstvene sestre nimajo nobene potreb po pisanju bloga ali usvarjanje spletne strani v službi...


wordpress je za spletno stran, ki jo imajo, čist ok izbira. sam nekdo ti mora pač povedat, da ne uploadaj datotek s podatki pacientov, a ne. ker nimajo tam kaj početi.

WP je eno sranje. A priori.

Kdo je tja shranjeval, ne vemo. Lahk, da uporabniki, kar je nenavadno, saj sestre nimajo dostopa za urednikovanje običajno, lahko pa aplikacija.


no ja, za predstavitvene spletne strani, kar sb-izola je, primerno zavarovana wordpress namestitev _ni_ navadno sranje. veliko bolje wordpress, kot pa kakšni custom made CMS-i, ki jih ponuja prenekateri izdelovalec spletnih strani v sloveniji.

logov nimajo dovolj, da bi lahko prodajali buče, kdo je vse dostopal do teh dokumentov, ker se server logi periodično brišejo. govoriti o NAPADALCU je SMEŠNO, saj do javno dostopnih informacij lahko legalno dostopa VSAK. so že slišali za OSINT? google-fu is a thing.

bor0t ::

Po moje so imeli online obrazec za naročanje na pregled ali preiskavo in napotnica je bila priloga v obrazcu.

Saul Goodman ::

matijadmin je izjavil:

"Zaenkrat je mogoče povedati le, da niso bile objavljene izvorne datoteke, ampak posnetki datotek, ki jih je naredil iskalnik Google," so še navedli pri pooblaščencu. Bolnišnica po njihovih navedbah uradnih pojasnil, zakaj je do incidenta prišlo, še ni posredovala, "gre pa zelo verjetno za neustrezno zavarovanje njihove spletne strani".

Debela laž IP! Da se datoteke sploh indeksirajo in keširajo, morajo biti v celoti objavljene, oz. dostopnem (vsem, ne le iskalniku). In bile so več let!


jaz sem iz njihove domene dol uspel potegnit .rar fajl z napotnico in izvidom ene osebe. in oni govorijo, da to niso bile izvorne datoteke? :-D najbolj bedno je, ker bo naslednji ukrep obvestilo adminom slo-techa, naj jim pomagajo identificirati uporabnike tega foruma.

SasoS je izjavil:

Na 24ur:

To so informacijskemu pooblaščencu dokazali tako, da so mu posredovali dnevniški zapis s seznamom IP naslovov, ki so dostopali do spornih URL-jev. Ta je dokazoval, da sta do URL povezav dostopala le dva IP naslova – eden je pripadal IP-RS, drugi pa očitno napadalcu.


To je navadna laž...saj je nujno moral bit v logih vsaj še tretji IP: Googlov indexer! Se vidi kako bi vse pometli pod preprogo...


to je nemogoče. v tem času je do datotek dostopal vsaj še nekaj firbcev in slo-techa. ali so poslali IP-RS modificirane loge, ali pa laže celo IP-RS.

Zgodovina sprememb…

malisvizec ::

BlaY0 je izjavil:

.... Recimo dokler portal neke javne inštitucije/zavoda ne prestane določenih testov, ne sme obratovati. Te teste se potem izvaja periodično. Ne pa da nek mulc postavi WP za 130 EUR, direktor bolnišnice si pa mene roke češ kako poceni so prišli skozi.


Se popolnoma strinjam. Varnost ni poceni. In tega se odgovorni ljudje ne zavedajo. Ko nastane "problem" pa vik in krik, ter prst usmerjen na informatike. Dejstvo je, da prava storitev stane, in na žalost se je v SLO, pa najverjetneje tudi v tujini, ne ceni.
Stanje varnosti in varnostne postopke se gradi skozi leta. Za to je potrebna skrbnost, znanje in denar. Varnosti se ne kupuje, se jo vgrajuje v sistem.
Če recimo pogledamo primer CMS sistemov ala Wordpress/Joomla, so to tipičen predstavnik ne-varnosti. Celo celoten moderen koncept razvoja programske opreme v stilu, z neta povlečemo 200 pluginov in stvar že deluje, je popolnoma zgrešena. Ne bi dalje razpredal...
Da potem uporabniki nalagajo interne-zaupne dokumente na predstavitveno internet stran. NEPREDSTAVLJIVO!
Komično->Tragikomično. Jaz bi enega povlekel za uha.

Lahko pa rečem, da je bilo le vprašanje časa. In to ni ne prvi in ne zadnji takšen primer. Dokler ne bo kakšnega politika takšna praksa usekala po prstih. Potem se bodo mogoče začele spremembe. In prvi korak je že znan, odprava najnižjih cen na razpisih.

LP

Saul Goodman ::

malisvizec je izjavil:

BlaY0 je izjavil:

.... Recimo dokler portal neke javne inštitucije/zavoda ne prestane določenih testov, ne sme obratovati. Te teste se potem izvaja periodično. Ne pa da nek mulc postavi WP za 130 EUR, direktor bolnišnice si pa mene roke češ kako poceni so prišli skozi.


Se popolnoma strinjam. Varnost ni poceni. In tega se odgovorni ljudje ne zavedajo. Ko nastane "problem" pa vik in krik, ter prst usmerjen na informatike. Dejstvo je, da prava storitev stane, in na žalost se je v SLO, pa najverjetneje tudi v tujini, ne ceni.
Stanje varnosti in varnostne postopke se gradi skozi leta. Za to je potrebna skrbnost, znanje in denar. Varnosti se ne kupuje, se jo vgrajuje v sistem.
Če recimo pogledamo primer CMS sistemov ala Wordpress/Joomla, so to tipičen predstavnik ne-varnosti. Celo celoten moderen koncept razvoja programske opreme v stilu, z neta povlečemo 200 pluginov in stvar že deluje, je popolnoma zgrešena. Ne bi dalje razpredal...
Da potem uporabniki nalagajo interne-zaupne dokumente na predstavitveno internet stran. NEPREDSTAVLJIVO!
Komično->Tragikomično. Jaz bi enega povlekel za uha.

Lahko pa rečem, da je bilo le vprašanje časa. In to ni ne prvi in ne zadnji takšen primer. Dokler ne bo kakšnega politika takšna praksa usekala po prstih. Potem se bodo mogoče začele spremembe. In prvi korak je že znan, odprava najnižjih cen na razpisih.

LP


nibba please. wordpress je ena boljših rešitev za predstavitvene spletne strani. danes 99% spleta poganja wordpress, joomla in drupal. VSI trije imajo občasne težave z varnostnimi ranljivostmi. kaj je njihova prednost? ponavadi je ranljivost odkrita še preden najebeš in popravek je na voljo razmeroma hitro. GOVORIMO o CMS-ih, ne o pluginih. če ti napišeš gnil plugin, to ni problem wordpressa.

alternativa tem trem CMS-om so custom made CMS-i, ki jih imajo rade tudi firme po sloveniji. slabosti? vendor lock-in, počasne ali neobstoječe posodobitve, neobstoječi varnostni popravki, pa bug mora nekdo odkrit. to, da je wordpress dovolj preprost, da se ga spravijo rihtat tudi frizerke, ni ravno dober argument glede ranljivosti. imaš installation hardening guide, moraš poznat plugine in njihove slabosti. za 20+ pluginov je pač kriv tisti, ki je stran naredil. jaz upravljam strani, ki nimajo niti enega.

Wordpress pa defenitivno ni primeren za to, kar so poskušali narediti v SB Izola. Lahko public facing front-end kaže kak login site, ipd. ampak v ozadju mora laufat druga platforma, ki handla vse te dokumente. tole nalaganje v wp-content/uploads je pač šalabajzerija prve klase. če fajle mečeš v /public_html, ti ne more pomagat nihče, še najmanj pa je tu kriv wordpress sam.

Zgodovina sprememb…

«
1
2 3 4


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Nov vrhunec digitalne transformacije v slovenskem zdravstvu: do podatkov zdravstveneg (strani: 1 2 3 4 )

Oddelek: Novice / Zasebnost
18345294 (31651) SeMiNeSanja
»

Ima bolnišnica Izola problem z razumevanjem delovanja interneta? (strani: 1 2 )

Oddelek: Novice / Zasebnost
7227365 (20320) MMKK
»

Piškotki kot dimna zavesa spletne varnosti in zasebnosti

Oddelek: Novice / Zasebnost
3015089 (12659) ExtraBacon
»

Odgovorno razkritje ali neodgovorno nerazkritje (strani: 1 2 3 )

Oddelek: Novice / NWO
13953145 (43282) fujtajksel

Več podobnih tem