Slo-Tech - "Uhajanja podatkov ni bilo", je za različne slovenske medije na šlamastiko z osebnimi podatki svojih pacientov prek svoje PR službe odgovorila Splošna bolnišnica Izola. V odgovoru so podali večje število argumentov, zakaj naše poročanje ni bilo »pravilno«. V nadaljevanju bomo analizirali glavne argumente bolnišnice Izola in pokazali, kako smo prišli do dejstev, ki smo jih podali v članku Nov vrhunec digitalne transformacije v slovenskem zdravstvu: do podatkov zdravstvenega stanja Primorcev kar prek Googla.
1. »Uhajanja podatkov ni bilo«
Bolnišnica Izola se brani, da je Google javnosti omogočal dostop le do t.i. »snapshotov« oz. »posnetkov splenega mesta«, na katerem so se nahajali izvorni dokumenti. Dostop do samih izvornih dokumentov prek Googla naj ne bi bil mogoč.
Vendar, Google indeksira samo dokumente, ki so javno objavljeni na spletni strani. Sam obstoj posnetkov v Googlovem indeksu dokazuje, da so bili izvorni dokumenti javno dostopni na spletni strani SB Izola.
Google je torej uporabnikom res omogočal dostop tudi do »snapshotov«, vendar teh ne more narediti, če nima dostopa do izvornih datotek oz. originalnih dokumentov. O sami definicji »snapshota« kot »posnetka spletnega mesta« (torej je »nekaj« bilo na spletnem mestu, ki je bilo dostopno javnosti brez zaščite) besed ne bi izgubljali. Prav tako je bilo prek Googla možno pregledovati dokumente z uporabo ključnih besed, ko je recimo HIV.
Podoben odgovor je na naše začudenje podala tudi PR služba Informacijskega pooblaščenca, ki po poročanju 24ur.com izpostavila, da je "zaenkrat mogoče povedati le, da niso bile objavljene izvorne datoteke, ampak posnetki datotek, ki jih je naredil iskalnik Google."
Na tem mestu moramo sicer še enkrat pohvaliti delo Informacijskega pooblaščenca in njegovih zaposlenih, ki je do »incidenta« na začetku pristopil resno in profesionalno.
2. Podatki so bili na spletu le kratek čas in še to le leta 2018
»Po takojšnjem temeljitem poizvedovanju bolnišničnih in zunanjih strokovnjakov za informacijsko varnost smo ugotovili, da so bili v Googlovem iskalniku prisotni zadetki, povezani z v letu 2018 opravljeno varnostjo ranljivostjo naše spletne strani za storitev spletnega naročanja.« Tako direktor bolnišnice Izola Radivoj Nardin za Slovenske novice.
Včeraj smo poročali, da prvi indici kažejo, da so bili dokumenti na voljo za vsaj nekaj zadnjih let. To je razvidno tudi iz spodaj priloženih slik dokumentov, ki smo jih anonimizirali.
3. Interni bolnišnični informacijski sistem
Bolnišnica Izola tudi trdi, da "ni prišlo do nobenega uhajanja osebnih ali katerihkoli drugih podatkov iz internega bolnišničnega informacijskega sistema." Včeraj nismo razkrili, da so osebni podatki uhajali iz internega sistema. Razkrili smo, da je bolnišnica Izola sama objavila izvorne dokumente na Internetih, kjer jih je našel Googlov pajek.
4. Vsega je kriv Google?
"Zaradi takratne ranljivosti našega spletnega naročanja je Googlov iskalnik samodejno naredil t. i. posnetek spletnega mesta (indeks)... // ... Že takrat pa je bil eden od ukrepov, da so zahtevali izbris teh podatkov iz Googlovih iskalnih seznamov. Kljub vsemu so se v Googlovem iskalniku ponovno pojavile nekatere povezave na napotnice in druge dokumente, kjer je Googlov iskalnik vračal zadetke, ki pa so uporabnika obveščale o neobstoječi vsebini."
SB Izola očitno krivca za "incident" išče tudi pri Googlu. V odgovorih za RTV MMC tako lahko preberemo, da pravzaprav ni problematična javna objava zdravstvenih podatkov pacientov na spletu, temveč je krivda (tudi?) na strani algoritmov Googla, ki je izvorne datoteke našel in jih indeksiral.
Izvorni dokumenti
V prvem članku smo objavili le slabo berljiv posnetek zaslona, ki kaže rezultate Googlovega iskalnika. V redakciji hranimo še nekaj izvornih dokumentov in večje število zaslonskih slik, ki smo jih sami uspeli najti na spletu v petek, 8. marca 2019, ko smo bili obveščeni o dogajanju. Na podlagi teh dokumentov (nekatere smo objavili spodaj) smo podali večino trditev v prvem članku.
domnevno neberljiva napotnica?
domnevno neberljiv izvid?
Okostnjaki iz omare?
»Po takojšnjem temeljitem poizvedovanju bolnišničnih in zunanjih strokovnjakov za informacijsko varnost smo ugotovili, da so bili v Googlovem iskalniku prisotni zadetki, povezani z v letu 2018 odpravljeno varnostjo ranljivostjo naše spletne strani za storitev spletnega naročanja.« Tako direktor bolnišnice Izola Radivoj Nardin za Slovenske novice.
Direktor Nardin je v tej izjavi priznal, da so leta 2018 neznano dolgo časa, zaradi napak, nekateri izvorni dokumenti (očitno je tudi v tem primeru šlo za izvide in druge izvorne dokumente z občutljivimi osebnimi podatki) bili prosto dostopni na spletu. Ob tem se sprašujemo, ali so pri bolnišnici lani ukrepali skladno z veljavno zakonodajo in o tem obvestili Informacijskega pooblaščenca (kot to zahteva 33. člen evropska uredbe o varstvu osebnih podatkov (GDPR) in posameznike, katerih osebni podatki so se znašli na spletu (kot to zahteva 34. člen iste uredbe)?
Zgodbo o bolnišnici Izola bomo spremljali tudi v prihodnje.
Zdi se, da bo o delu IP potrebno obvestiti EK, če se bodo ustavili pri potrjevanju PR BSja SBI? Res pa IP sploh ni pooblaščeni organ, ki bi izvajal preglede in sankcije na podlagi GDPR, temveč trenutno izključno preko ZVOP-1, ki pa je nacionalni zakon in ne EU direktiva, tako da...
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
Splošno znano je, kako delujejo crawlerji, oz. indeksiranje. Datoteke morajo biti popolnoma dostopne vsem, tako Googlu, kot nakljucnim obiskovalcev, sicer ne bi prislo do indeksiranja.
To, da so objavljali, je napaka v zasnovi aplikacije, ker jo je nacrtovala povsem nekompetentna oseba, nadzora kakovosti pa ni bilo. Ni šlo za ranljivost niti hrošča, ampak wrong use case public directoryja. Skratka, težki debili na delu!
Saj ne moreš verjet. Ne veš, ali so res tako neumni in nesposobni, ali se samo delajo. Vodstvu bi namestil kamere v njihove spalnice in kopalnice ter posnetke streamal prek youtube live. Saj ni važno, saj je samo ena googlova platforma nekaj na internetu. Saj nikogar ne zanima in ni nič narobe.
Haha, še boljše je, ker google OCR čez spusti in četudi umaknejo slikice, je besedilo že n-krat poindeksirano v x storitvah znotraj googla. Epic.
Iz vsega tege se zdaj dobro vidi, kako se z efektom telefončkov vse da zaspinat v "pravo" smer. Recimo da so res najeli nekega strokovnjaka za IT varnost, ki je prečesal loge in malo popravil nastavitve spletnega mesta prek ISPConfig-a ter nato verjetno spisal neko poročilo. Potem je to poročilo v roke dobila PR služba od SBI in vsako tretjo besedo prečrtala. Nato je Nardin prebral vse skupaj in tudi sam izpustil vsako peto besedo. Na koncu so pa še novinarji v svojih člankih izpustili vsako sedmo besedo, tako da je članek lepo "pasal" v predviden okvirček...
Iz vsega tege se zdaj dobro vidi, kako se z efektom telefončkov vse da zaspinat v "pravo" smer. Recimo da so res najeli nekega strokovnjaka za IT varnost, ki je prečesal loge in malo popravil nastavitve spletnega mesta prek ISPConfig-a ter nato verjetno spisal neko poročilo. Potem je to poročilo v roke dobila PR služba od SBI in vsako tretjo besedo prečrtala. Nato je Nardin prebral vse skupaj in tudi sam izpustil vsako peto besedo. Na koncu so pa še novinarji v svojih člankih izpustili vsako sedmo besedo, tako da je članek lepo "pasal" v predviden okvirček...
Problem novinarjev je, da so nerazgledani, ne povprašajo strokovnjakov in ne izpuščajo PR puhlic. Če bi ti strokovnjak rekel, da to ne drži, bi bilo higienično tako lažnivo izjavo kar izrezati iz prispevka ali pa vsaj pred objavo jasno povedati, da je to laž, za katero javnost pričakuje prevzem odgovornosti.
Ce so datoteke v nekem direktoriju in je directory indexing izklopljen, potem ga google ne more poindeksirati in tudi dostopa do teh datotek lahko samo tisti, ki ve tocno pot in ime datoteke. To sicer ni neka zascita ampak je bolje kot nic.
Ampak ... hehe.
Instaliran imajo WordPress in verjetno so imel vklopljen v YOAST SEO pluginu tudi sitemap index. Tista rec pa zgradi sitemap in ga ponudi googlu, da ga poindeksira.
Ce so datoteke v nekem direktoriju in je directory indexing izklopljen, potem ga google ne more poindeksirati in tudi dostopa do teh datotek lahko samo tisti, ki ve tocno pot in ime datoteke. To sicer ni neka zascita ampak je bolje kot nic.
Ampak ... hehe.
Instaliran imajo WordPress in verjetno so imel vklopljen v YOAST SEO pluginu tudi sitemap index. Tista rec pa zgradi sitemap in ga ponudi googlu, da ga poindeksira.
To vse (zelo verjetno) drži. Ampak, ko je enkrat zadeva (četudi trivialno) javno objavljena (public), lahko poskušaš dostopat tudi z ugibanjem. To ni vdor.
Po drugi strani pa, tudi odsotnost indeksiranja ni zadosten ukrep, oz. ne bi nič rešila, ker: 1) predpisi so jasni, kako se take podatke varuje (šifrira); 2) konvencija o izključevanju lokacij pri indeksiranju (robots.txt, pa take fore) je lepa gesta, totalno prostovoljno se jo iskalniki držijo; 3) še vedno lahko poizkušaš s poizvedbami na strežnik iskati javne mape, oz. datoteke.
Ce so datoteke v nekem direktoriju in je directory indexing izklopljen, potem ga google ne more poindeksirati in tudi dostopa do teh datotek lahko samo tisti, ki ve tocno pot in ime datoteke. To sicer ni neka zascita ampak je bolje kot nic.
Ampak ... hehe.
Instaliran imajo WordPress in verjetno so imel vklopljen v YOAST SEO pluginu tudi sitemap index. Tista rec pa zgradi sitemap in ga ponudi googlu, da ga poindeksira.
Ja. Poleg tega se en nivo nižje lepo naredi AllowOverride All, da bo ja vse delovalo
Na voljo so bili samo posnetki datotek. Super. Vse na net nalozit. Ce ni dokazov, da je nekdo zadevo prebral, zadeva ni bila na voljo. Kako google ali kdorkoli naredi "screenshot/sliko" vsebine dokumenta brez, da bi ga prebral, vejo pa samo ti genijalci. Predlagam, da postopek prodajo NSAju, FBIju...katerikoli velki firmi v bistvu. Neverjetno. Slovenija spet v sami spici inovacij in razvoja!
Kot pravi Matthai, je po vsej verjetnosti kriva šlamparija: njihov IT ponudnik je obrazec za naročanje naredil na najlažji možni način, tj. z vtičnikom za izdelavo obrazcev, pri čemer ni posebej preverjal, kam se shranijo skeni od napotnic. Tako so ti pristali v mapi wp-content/uploads, ki je tipično javno dostopna, saj je namenjena hrambi slik, videoposnetkov in drugih multimedijskih vsebin. In tako je do nje prišel Google.
Zanimivo vprašanje je, kako to pravno ovrednotiti. Predstavljam si, da bodo pri IP počakali, da SBI dokončno sanira to konkretno napako, potem pa bodo ustavili svoj inšpekcijski postopek (tako kot so to storili, ko je AJPES preko svoje spletne strani omogočal vpogled v zasebne podatke subjektov poslovnega registra). V kaznovanje (tj. prekrškovni postopek) pa verjetno ne bodo šli, ampak bodo namesto tega podali kazensko ovadbo tožilstvu zaradi suma kaznivega dejanja zlorabe osebnih podatkov po prvem odstavku 143. člena KZ-1, z utemeljitvijo, da ima kazenski postopek prednost pred prekrškovnim. Tožilstvo se skoraj gotovo ne bo odločilo za pregon, vendar bo trajalo nekaj časa, da to sporočijo IP-ju. Šele potem bo IP ponovno razmislil o inšpekcijskem postopku, če seveda ta vmes ne bo že zastaral (uvesti ga je treba v 2 letih, zaključiti pa v 4h).
Kar se tiče prekrškovne odgovornosti, je SBI v precej dobrem položaju. Čeprav bi njihovo dejanje lahko pomenilo precej hudo kršitev določb GDPR, in jih s tem izpostavili globi višine več deset tisoč evrov, v Sloveniji trenutno nimamo nobenega organa, ki bi bil pristojen za prekrškovno obravnavo kršitev GDPR. To bi bilo treba urediti z novelo ZInfP oz. s sprejemom ZVOP-2, vendar se to še ni zgodilo. Tako lahko SBI odgovarja samo za nekatere kršitve obstoječega ZVOP-1, in sicer verjetno samo za kršitvi prvega in drugega odstavka 14. člena (slabo zavarovanje zdravstvenih podatkov, uporaba http namesto https). Tako jih lahko doletita ena ali kvečjemu dve globi v višini 4.170 do 12.510 evrov, ter morda še 830 do 2.080€ za predstojnika bolnišnice. Ampak kot rečeno, ne računam, da bi do tega prišlo.
Med drugim se kaže, da za naročanje sploh niso uporabljali HTTPS-ja.
Ok. Resno upam, da tale izvajalec ni bil študent FRI, FERI, FAMNIT programov, ampak le popoldanski mazač. Ker če je bil, potem delamo nekaj zelo zelo narobe na naših univerzah.
Kot pravi Matthai, je po vsej verjetnosti kriva šlamparija: njihov IT ponudnik je obrazec za naročanje naredil na najlažji možni način, tj. z vtičnikom za izdelavo obrazcev, pri čemer ni posebej preverjal, kam se shranijo skeni od napotnic. Tako so ti pristali v mapi wp-content/uploads, ki je tipično javno dostopna, saj je namenjena hrambi slik, videoposnetkov in drugih multimedijskih vsebin. In tako je do nje prišel Google.
Zanimivo vprašanje je, kako to pravno ovrednotiti. Predstavljam si, da bodo pri IP počakali, da SBI dokončno sanira to konkretno napako, potem pa bodo ustavili svoj inšpekcijski postopek (tako kot so to storili, ko je AJPES preko svoje spletne strani omogočal vpogled v zasebne podatke subjektov poslovnega registra). V kaznovanje (tj. prekrškovni postopek) pa verjetno ne bodo šli, ampak bodo namesto tega podali kazensko ovadbo tožilstvu zaradi suma kaznivega dejanja zlorabe osebnih podatkov po prvem odstavku 143. člena KZ-1, z utemeljitvijo, da ima kazenski postopek prednost pred prekrškovnim. Tožilstvo se skoraj gotovo ne bo odločilo za pregon, vendar bo trajalo nekaj časa, da to sporočijo IP-ju. Šele potem bo IP ponovno razmislil o inšpekcijskem postopku, če seveda ta vmes ne bo že zastaral (uvesti ga je treba v 2 letih, zaključiti pa v 4h).
Zelo težko bodo kar koli skrili in prikrili, četudi sanirajo. Škoda je že bila storjena, v tej novici pa so prilepljeni anoimizirani izvidi in napotnice iz PDF in ne snapshota, kar je tudi neposredni dokaz, da je bilo vse 2+ leti objavljeno. Poleg tega pa že zadostujejo celo neberljivi snapshoti, ker so neizpodbiten dokaz, da so bili objavljeni tudi povsem berljivi izvirniki v celoti.
Za to KD, ki ga navajaš, ni znakov, manjka neposredni naklep. Je pa posredni, torej malomarnost. Zato bo ovadba po 258. čl. (za nevestno delo v službi) veliko bolj pila vodo.
Kar se tiče prekrškovne odgovornosti, je SBI v precej dobrem položaju. Čeprav bi njihovo dejanje lahko pomenilo precej hudo kršitev določb GDPR, in jih s tem izpostavili globi višine več deset tisoč evrov, v Sloveniji trenutno nimamo nobenega organa, ki bi bil pristojen za prekrškovno obravnavo kršitev GDPR. To bi bilo treba urediti z novelo ZInfP oz. s sprejemom ZVOP-2, vendar se to še ni zgodilo. Tako lahko SBI odgovarja samo za nekatere kršitve obstoječega ZVOP-1, in sicer verjetno samo za kršitvi prvega in drugega odstavka 14. člena (slabo zavarovanje zdravstvenih podatkov, uporaba http namesto https). Tako jih lahko doletita ena ali kvečjemu dve globi v višini 4.170 do 12.510 evrov, ter morda še 830 do 2.080€ za predstojnika bolnišnice. Ampak kot rečeno, ne računam, da bi do tega prišlo.
Gre za (kaznovalno) podlago v 93. čl. ZVOP-1, ki se nanaša na 24. in 25. čl. HTTPS/HTTP je postranskega pomena, čeprav je kršitev tudi per se. Že samo dejstvo, da so bili javno objavljeni, pomeni samostojno in veliko hujšo (v smislu vzročne zveze s posledicami) kršitev 24., oz 25. čl. Javno nekaj obajavit je daleč od predpisanega varovanja.
Ampak tudi jaz ne pričakujem drakonskih kazni, čeprav primer in predvsem škoda kličejo po njih!
Ok. Resno upam, da tale izvajalec ni bil študent FRI, FERI, FAMNIT programov, ampak le popoldanski mazač. Ker če je bil, potem delamo nekaj zelo zelo narobe na naših univerzah.
To nima popolnoma nobene zveze z delom na univerzah. Zmenili so se očitno za lepo in funkcionalno spletno stran...
Med drugim se kaže, da za naročanje sploh niso uporabljali HTTPS-ja.
Ok. Resno upam, da tale izvajalec ni bil študent FRI, FERI, FAMNIT programov, ampak le popoldanski mazač. Ker če je bil, potem delamo nekaj zelo zelo narobe na naših univerzah.
Saj ni delala univerza, temveč podjetje. Ki se lahko odloči, da bo šparalo denar in ne bo delalo po standardih.
Šele potem bo IP ponovno razmislil o inšpekcijskem postopku, če seveda ta vmes ne bo že zastaral (uvesti ga je treba v 2 letih, zaključiti pa v 4h).
Tole bo treba podrobno spremljati, ampak če bo IP-RS res tole naredil, bo o njihovem ravnanju treba sprožit širšo družbeno debato. Z mislijo, da trenutni pooblaščenki letos poleti izteče mandat in bo morda ponovno kandidirala.
Še en razlog za skepso glede WP in WP mazačev. Za par tisoč € pač ni možno dobit polnopravne spletne storitve.
Pričakujem, da bo tole poniknilo in bo pozabljeno kmalu. Posledice bodo pa kar hude za prizadete, malce manj kot za izbrisane sicer. Ampak če gledamo zgodbo izbrisanih ... si lahko pripravimo pričakovanja.
Kaj ni bil class act lani uveden v slovenski pravni red? Spomnim se, da se je o tem nekaj časa precej govorilo, vsaj v kontekstu VW prevare z izpusti...
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
Kaj ni bil class act lani uveden v slovenski pravni red? Spomnim se, da se je o tem nekaj časa precej govorilo, vsaj v kontekstu VW prevare z izpusti...
Ja imamo zakon o kolektivnih tožbah, vendar je takoj na začetku omejen na določeno rabo.
Neverjetna hitrost. Stran je ze nedosegljiva. Ali je inspektorat ze ukrepal ali pa jih je nekdo iz slo-techa prijazno obvestil o potencialnemu prekrsku.
Se pravi sedaj se je odkrila prava funkcija informacijskih pooblaščencev. In to je ščitenje javnih inštitucij pred kritiko in tožbami.
Tole. Nobena tožba ne bo šla skozi, ker bo lepo črno na belem od države incident označen za "malenkostno šlamparijo". Če pa bo kdo skušal pokazati, da so bili dokumenti v resnici na voljo, bo pa še preganjan kot heker...
Še en razlog za skepso glede WP in WP mazačev. Za par tisoč € pač ni možno dobit polnopravne spletne storitve.
Pričakujem, da bo tole poniknilo in bo pozabljeno kmalu. Posledice bodo pa kar hude za prizadete, malce manj kot za izbrisane sicer. Ampak če gledamo zgodbo izbrisanih ... si lahko pripravimo pričakovanja.
eno praktično vprašanje, ker je tu kr neki stručkotov.... ZVOP-1 (ki ga je sicer GPPR ukinil, a ZVOPa-2 ni) pravi v 14. členu da:
"Pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij se šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom"
Nekatere programske hiše pošiljanje izvidov pacientom rešujejo tako, da .pdf pretvorijo v rar zaščiten z geslom, file pa pošljejo kot priponko na majl pacienta (večinoma gmail). Geslo pa pošljejo po SMSu.
Dohtarji so pač povečini tehnični analfabeti. Saj je trajalo mesece, da so v Šempetrski bolnišnici ugotovili, da jim pacienti na urgenci umirajo od smeha.
Kakšna je razlika med neupravičenim vpogledom zdravnika, čistilke ali informatika? A ni diskriminacija prepovedana, neupravičen vpogled pa neupravičen/enako protipraven v vseh treh primerih?
Neverjetna hitrost. Stran je ze nedosegljiva. Ali je inspektorat ze ukrepal ali pa jih je nekdo iz slo-techa prijazno obvestil o potencialnemu prekrsku.
Med drugim se kaže, da za naročanje sploh niso uporabljali HTTPS-ja.
Ok. Resno upam, da tale izvajalec ni bil študent FRI, FERI, FAMNIT programov, ampak le popoldanski mazač. Ker če je bil, potem delamo nekaj zelo zelo narobe na naših univerzah.
zanimivo je to, da so na njeno zahtevo uspeli pridobiti vse te informacije o vpogledih. če bom isto zahtevo podal jaz glede mojega zdravstvenega kartona, se mi bodo smejali. nisem prvorazredni državljan.
Glede na naravo sistema, oz. kilave aplikacije so bili objavljeni vsi dokumenti, ki so jih ob naročanju prek njihove spletne strani naložili pacienti. Na kratko, oškodovani SO VSI, ki so se naročali prek njihove spletne strani!
zanimivo je to, da so na njeno zahtevo uspeli pridobiti vse te informacije o vpogledih. če bom isto zahtevo podal jaz glede mojega zdravstvenega kartona, se mi bodo smejali. nisem prvorazredni državljan.
Na papirju in v kabinetu zaklenjena dokumentacija je bila zakon - sedaj pa e-kartoni, e-napotnice, e-recept in vsak korak je dodatna možnost za uhajanje podatkov. Gesla so pa na računalnikih v ambulantah tipa - 12345 ali pa sestra2, zdravnik1...logov enostavno ni in se lahko vsak sprehajalo po datotekah kot ga je volja.
Na papirju in zaklenjeno dokumentacijo je lahko pogledal vsak zdravnik ali sestra, ki je imel-a ključ in tega ni nihče niti vedel. Res pa je, da se je moral bolj potruditi. Pri računalnikih pa je zadeva bolj dostopna, bi pa moral program beležiti vsak dostop do kartoteke, kar je bil primer v UKC LJ.