Transparentna Slovenija #4: "Luknje" v spletnih straneh treh zdravstvenih domov SI-CERT uspel odpraviti v pol leta

N/A

19. mar 2019 ob 08:22:48

10. marca 2018 je s strani etičnega hekerja na SI-CERT romala prijava spletnih strani treh zdravstvenih domov (ZD Šmarje pri Jelšah, ZD Laško in ZD Žalec), ki so bile ranljive z napadom »SQL injection«. Gre za izjemno zahtevno metodo vdiranja v spletna mesta, ko heker s spreminjanjem URL naslova dobi dostop do sicer nejavnih baz podatkov. Tehnološko pismenim ljudem je bil zaradi napak omogočen dostop do zalednih zbirk omenjenih spletnih strani.

Kot je bilo v soboto razkrito na konferenci BSides Ljubljana, so omenjeni zdravstveni domovi po posredovanju slovenskega varuha Internetov SI-CERT, ki ga vodi Gorazd Božič, potrebovali skoraj pol leta, da jim je uspelo odpraviti omenjeno napako. Lani so omenjeni zdravstveni domovi uspeli popraviti zahtevno napako, tako da njihovi pacienti sedaj lahko bolj mirno spijo, vedoč, da so spletne strani bolj varne. Kaj točno so delali na SI-CERT in predvsem v informacijskih službah zdravstvenih domov pol leta, ni čisto jasno.

Rezultat ukrepanja SI-CERTa je sicer v primerjavi z odzivom Informacijskega pooblaščenca na šlamastiko bolnišnice Izola (IP je odreagiral v 30 minutah) malo počasnejši, vendar je vsako ukrepanje za dobrobit naroda potrebno pohvaliti. Ker, kot je zapisal eden izmed ljubljanskih okrožnih sodnikov pred časom, »zahtevati, da uradniki svoje delo opravijo v nekem relativno kratkem roku, je to nasilje in mobing«, tega pa ne počnemo.

Ob tem velja spomniti, da SI-CERT od sprejema Zakona o informacijskih varnosti sicer ima nekaj malega pristojnosti za ukrepanje v tovrstnih primerih, vendar kot je razvidno zgoraj, to na resnost obveščenih ponudnikov ne vpliva. K temu zagotovo pripomore odsotnost prekrškovnih pooblastil. Je pa leta 2017 SI-CERT altruistično in samoiniciativno prevzel nase tudi breme "reševanja spletnih šlamastik" državnih organizacij.

Pošiljanje podatkov v objavo (raziskovalno novinarstvo in 'whistleblowing')

Slo-Tech redno raziskuje in opozarja na nepravilnosti, ki jih posredujejo notranji prijavitelji (t.i. whistleblowerji) in drugi viri. Za komuniciranje z le-temi poleg običajnih kanalov uporablja storitev SecureDrop, ki ob izvajanju osnovnih varnostnih ukrepov omogoča relativno zaupno posredovanje dokumentov.
Storitev je preko omrežja TOR na voljo na naslovu: http://wxm23trged7cneqk.onion