Ima bolnišnica Izola problem z razumevanjem delovanja interneta?

"Uhajanja podatkov ni bilo", je za različne slovenske medije na šlamastiko z osebnimi podatki svojih pacientov prek svoje PR službe odgovorila Splošna bolnišnica Izola. V odgovoru so podali večje število argumentov, zakaj naše poročanje ni bilo »pravilno«. V nadaljevanju bomo analizirali glavne argumente bolnišnice Izola in pokazali, kako smo prišli do dejstev, ki smo jih podali v članku Nov vrhunec digitalne transformacije v slovenskem zdravstvu: do podatkov zdravstvenega stanja Primorcev kar prek Googla.

1. »Uhajanja podatkov ni bilo«

Bolnišnica Izola se brani, da je Google javnosti omogočal dostop le do t.i. »snapshotov« oz. »posnetkov splenega mesta«, na katerem so se nahajali izvorni dokumenti. Dostop do samih izvornih dokumentov prek Googla naj ne bi bil mogoč.

Vendar, Google indeksira samo dokumente, ki so javno objavljeni na spletni strani. Sam obstoj posnetkov v Googlovem indeksu dokazuje, da so bili izvorni dokumenti javno dostopni na spletni strani SB Izola.

Google je torej uporabnikom res omogočal dostop tudi do »snapshotov«, vendar teh ne more narediti, če nima dostopa do izvornih datotek oz. originalnih dokumentov. O sami definicji »snapshota« kot »posnetka spletnega mesta« (torej je »nekaj« bilo na spletnem mestu, ki je bilo dostopno javnosti brez zaščite) besed ne bi izgubljali. Prav tako je bilo prek Googla možno pregledovati dokumente z uporabo ključnih besed, ko je recimo HIV.

Podoben odgovor je na naše začudenje podala tudi PR služba Informacijskega pooblaščenca, ki po poročanju 24ur.com izpostavila, da je "zaenkrat mogoče povedati le, da niso bile objavljene izvorne datoteke, ampak posnetki datotek, ki jih je naredil iskalnik Google."

Na tem mestu moramo sicer še enkrat pohvaliti delo Informacijskega pooblaščenca in njegovih zaposlenih, ki je do »incidenta« na začetku pristopil resno in profesionalno.

2. Podatki so bili na spletu le kratek čas in še to le leta 2018

»Po takojšnjem temeljitem poizvedovanju bolnišničnih in zunanjih strokovnjakov za informacijsko varnost smo ugotovili, da so bili v Googlovem iskalniku prisotni zadetki, povezani z v letu 2018 opravljeno varnostjo ranljivostjo naše spletne strani za storitev spletnega naročanja.« Tako direktor bolnišnice Izola Radivoj Nardin za Slovenske novice.

Včeraj smo poročali, da prvi indici kažejo, da so bili dokumenti na voljo za vsaj nekaj zadnjih let. To je razvidno tudi iz spodaj priloženih slik dokumentov, ki smo jih anonimizirali.

3. Interni bolnišnični informacijski sistem

Bolnišnica Izola tudi trdi, da "ni prišlo do nobenega uhajanja osebnih ali katerihkoli drugih podatkov iz internega bolnišničnega informacijskega sistema." Včeraj nismo razkrili, da so osebni podatki uhajali iz internega sistema. Razkrili smo, da je bolnišnica Izola sama objavila izvorne dokumente na Internetih, kjer jih je našel Googlov pajek.

4. Vsega je kriv Google?

"Zaradi takratne ranljivosti našega spletnega naročanja je Googlov iskalnik samodejno naredil t. i. posnetek spletnega mesta (indeks)... // ... Že takrat pa je bil eden od ukrepov, da so zahtevali izbris teh podatkov iz Googlovih iskalnih seznamov. Kljub vsemu so se v Googlovem iskalniku ponovno pojavile nekatere povezave na napotnice in druge dokumente, kjer je Googlov iskalnik vračal zadetke, ki pa so uporabnika obveščale o neobstoječi vsebini."

SB Izola očitno krivca za "incident" išče tudi pri Googlu. V odgovorih za RTV MMC tako lahko preberemo, da pravzaprav ni problematična javna objava zdravstvenih podatkov pacientov na spletu, temveč je krivda (tudi?) na strani algoritmov Googla, ki je izvorne datoteke našel in jih indeksiral.

Izvorni dokumenti

V prvem članku smo objavili le slabo berljiv posnetek zaslona, ki kaže rezultate Googlovega iskalnika. V redakciji hranimo še nekaj izvornih dokumentov in večje število zaslonskih slik, ki smo jih sami uspeli najti na spletu v petek, 8. marca 2019, ko smo bili obveščeni o dogajanju. Na podlagi teh dokumentov (nekatere smo objavili spodaj) smo podali večino trditev v prvem članku.

domnevno neberljiva napotnica?

domnevno neberljiv izvid?

Okostnjaki iz omare?

»Po takojšnjem temeljitem poizvedovanju bolnišničnih in zunanjih strokovnjakov za informacijsko varnost smo ugotovili, da so bili v Googlovem iskalniku prisotni zadetki, povezani z v letu 2018 odpravljeno varnostjo ranljivostjo naše spletne strani za storitev spletnega naročanja.« Tako direktor bolnišnice Izola Radivoj Nardin za Slovenske novice.

Direktor Nardin je v tej izjavi priznal, da so leta 2018 neznano dolgo časa, zaradi napak, nekateri izvorni dokumenti (očitno je tudi v tem primeru šlo za izvide in druge izvorne dokumente z občutljivimi osebnimi podatki) bili prosto dostopni na spletu. Ob tem se sprašujemo, ali so pri bolnišnici lani ukrepali skladno z veljavno zakonodajo in o tem obvestili Informacijskega pooblaščenca (kot to zahteva 33. člen evropska uredbe o varstvu osebnih podatkov (GDPR) in posameznike, katerih osebni podatki so se znašli na spletu (kot to zahteva 34. člen iste uredbe)?

Zgodbo o bolnišnici Izola bomo spremljali tudi v prihodnje.