Kdo je odgovoren za slabo informacijsko varnost na UKC Ljubljana
UKC Ljubljana je slabo zavaroval podatke o zdravstvenem stanju posameznikov. Pooblaščenec za informacijsko varnost v UKC Ljubljana je nekdanji direktor te bolnišnice Simon Vrhunec.
Marca letos je strokovnjak za informacijsko varnost Matej Kovačič z Inštituta Jožef Stefan na svojem blogu javnosti razkril varnostno ranljivost ljubljanskega kliničnega centra, zaradi katere so bili na spletu prosto dostopni podatki o zdravstvenem stanju pacientov. Ranljivost je lani jeseni po anonimni prijavi ugotovil informacijski pooblaščenec (IP). Kovačič je še ugotovil, da spletna stran UKC Ljubljana ni bila ustrezno varnostno zaščitena pred nepooblaščenimi vdori.
Oseba, pristojna za zagotavljanje informacijske varnosti v naši največji bolnišnici, je nekdanji generalni direktor UKC Ljubljana Simon Vrhunec. Vrhunec se je po razkritju poročila o programu otroške srčne kirurgije poleti 2015 odločil, da ne bo več kandidiral za mesto direktorja UKC Ljubljana. Poročilo je ugotovilo, da so na otroški srčni kirurgiji umrli vsaj štirje otroci, ki bi jih ob primerni oskrbi lahko rešili. Odgovornost za to so pripisali tudi vodstvu bolnišnice z Vrhuncem na čelu. Ta je očitke javno zanikal.
Vrhunec je pooblaščenec UKC Ljubljana za informacijsko varnost postal avgusta 2015. Varnostne ranljivosti so bile torej odkrite, ko je bil Vrhunec že odgovoren za področje informacijske varnosti v UKC Ljubljana. Kakšne konkretne izkušnje s področja informacijske varnosti ima Vrhunec, ni jasno. Niti UKC niti Vrhunec nam namreč nista posredovala konkretnih podatkov, ki bi dokazovali, da je Vrhunec strokovnjak za informacijsko varnost.
Na spletu dostopni podatki o zdravstvenem stanju bolnikov
Matej Kovačič je sredi marca letos na svojem blogu razkril prijavo, ki jo je informacijski pooblaščenec septembra lani dobil od anonimnega vira. Prijavitelj je sporočil, da so prek spletne strani UKC Ljubljana dostopni občutljivi osebni podatki bolnikov. Ranljivost se je nahajala v aplikaciji, prek katere se lahko pacienti elektronsko naročajo na preglede. Z vpisom URL-ja ‘http://napotnica.kclj.si/UKCBookingReservation/document/document_list.xhtml’ je bilo sodeč po zapisniku IP dostopno večje število zdravniške dokumentacije, vključno z napotnicami pacientov. Kot so nam pojasnili na IP, je UKC Ljubljana to ranljivost nato »nemudoma odpravil«.
A to še ni bilo vse. Kot je zapisal Kovačič, spletna stran, prek katere so pacienti UKC Ljubljana pošiljali napotnice, še marca letos ni bila zaščitena s šifrirano povezavo HTTPS. Povezava HTTPS pomeni, da podatki po internetu potujejo šifrirani, zato jih je ob morebitnem prestrezanju podatkov nemogoče prebrati. Ker spletna stran za posredovane napotnic ni bila zaščitena s povezavo HTTPS, bi lahko potencialni napadalci prišli do podatkov o zdravstvenem stanju pacientov.
Kot je zapisal Kovačič, je UKC Ljubljana s slabo zaščiteno spletno stranjo kršil 14. člen zakona o varstvu osebnih podatkov. Člen pravi, da se »pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom«. Tega, da spletna stran ni zaščitena s povezavo HTTPS, ni septembra lani ob pregledu opazil niti informacijski pooblaščenec (glej okvirček na koncu članka).
Po Kovačičevi objavi so na UKC Ljubljana na spletni strani vzpostavili šifrirno povezavo HTTPS. Toda Kovačič je konec marca ugotovil, da je bila šifrirna povezava vzpostavljena neustrezno. UKC Ljubljana je namreč uporabil zastarel način šifriranja prenosa podatkov, ki je kriptografsko že razbit in zato neustrezen. Uporabe najnovejšega in najvarnejšega načina šifriranja podatkov pa spletna stran UKC Ljubljana sploh ni podpirala.
UKC Ljubljana je po objavi drugega Kovačičevega zapisa šifriranje nato ustrezno nadgradil.
Vprašanje odgovornosti
UKC Ljubljana kot osrednja zdravstvena ustanova v Sloveniji obdeluje izjemno veliko količino občutljivih osebnih podatkov. Podatki o zdravstvenem stanju posameznikov spadajo namreč med najobčutljivejše podatke. Zato jih morajo inštitucije ustrezno zaščititi.
Ob ugotovljenih nepravilnostih se postavlja vprašanje, kdo je odgovoren za hude varnostne ranljivosti na spletni strani UKC Ljubljana. V UKC Ljubljana za informacijsko varnost skrbi pooblaščenec za informacijsko varnost. Avgusta 2015 je pooblaščenec postal nekdanji generalni direktor UKC Ljubljana Simon Vrhunec.
Vrhunec je bil direktor UKC Ljubljana od avgusta 2009 do avgusta 2015. Dvaindvajsetega julija 2015 je Vrhunec na novinarski konferenci po poročanju medijev povedal, da za mesto direktorja UKC Ljubljana ne bo več kandidiral.
Vrhunec je to odločitev sporočil 13 dni po končanju poročila komisije strokovnjakov o programu otroške srčne kirurgije v UKC Ljubljana. Komisija je ugotovila, da so med letoma 2007 in 2014 v kliničnem centru zaradi težav s srcem umrli vsaj štirje trije otroci, ki bi jih bilo s primerno obravnavo mogoče rešiti.
Odgovornost za slabo stanje otroške srčne kirurgije so pripisali tudi vodstvu UKC Ljubljana. Kot je komisija zapisala v poročilu: »Uprava je bila večkrat obveščena o neizpolnjevanju [standardov na otroški srčni kirurgiji]. […] Čeprav so bile te pomanjkljivosti popolnoma jasne že vrsto let, pa je vodstvo UKC ustavilo prakse kirurške ekipe, ki niso bile varne, in prenehalo s storitvami otroške srčne kirurgije v UKC Ljubljana šele po pismu, ki so ga sodelujoči zdravniki poslali Komisiji RS za medicinsko etiko, v katerem so odrekli podporo otroškim srčnim kirurgom.«
Decembra 2013 je namreč deset zdravnikov kirurške klinike podalo ugovor vesti glede sodelovanja v programu otroške srčne kirurgije. Vrhunec je odgovornost za nepravilnosti pri zdravljenju otroških srčnih bolnikov zanikal.
Izobrazbi in izkušnjam primerno delovno mesto
Direktorska pogodba z Vrhuncem je po pojasnilih UKC Ljubljana določala, da mu morajo po izteku mandata direktorja »ponuditi za njegovo izobrazbo in izkušnje primerno delovno mesto«. Tako je Vrhunec postal pooblaščenec za informacijsko varnost. Na UKC Ljubljana so zapisali še, da si Vrhunec tega delovnega mesta »ni izbral sam, pač pa mu ga je ponudil delodajalec, skladno s pogodbo o zaposlitvi«.
Kot so nam sporočili iz UKC Ljubljana, Vrhunec kot pooblaščenec za informacijsko varnost zasluži 3406,45 evra osnovne bruto plače. Pogodbo z Vrhuncem je podpisal njegov naslednik na mestu direktorja Andrej Baričič (Baričič prav tako ni več direktor UKC Ljubljana).
Zadolžitve Vrhunca glede na pogodbo:
- sodeluje pri pripravi strategij in razvoju informacijskega sistema v UKC Ljubljana ter pripravlja sistem upravljanja varovanja informacij in podatkov ter temeljne dokumente varnostne politike v UKC Ljubljana,
- izvaja analize in obravnava tveganja na področju varovanja informacij in podatkov ter zagotavlja sistem upravljanja z varnostnimi incidenti, skrbi za zagotavljanje kvalitete kontrol in sodeluje pri implementaciji politik varovanja informacij,
- sodeluje z organizacijsko enoto za odnose z javnostmi in drugimi enotami, ki posredno ali neposredno upravljajo z informacijami in podatki v UKC Ljubljana,
- zagotavlja ozaveščanje in usposabljanje zaposlenih o varovanju informacij in podatkov,
- sodeluje z zunanjimi ustanovami in organi, ki so v izvajalni ali zakonodajni funkciji nadzora oziroma priprave zakonodaje na tem področju.
Od UKC Ljubljana smo želeli pridobiti tudi informacije, kakšne so njegova izobrazba in izkušnje, ki ga delajo primernega za delovno mesto pooblaščenca za informacijsko varnost. Zaprosili smo za posredovanje življenjepisa Simona Vrhunca. Odgovorili so nam, da »dokumentacija, ki jo zahtevate, posega v osebne podatke,« zato nam življenjepisa niso želeli posredovati. Glede primernosti Vrhunca za pooblaščenca pa so nam zapisali: »Mag. Simon Vrhunec ima univerzitetno izobrazbo iz strojništva. Glede na njegovo osnovno univerzitetno izobrazbo se je ves čas ukvarjal tudi s področjem informatike. V obdobju 1997–2000 je v UKC Ljubljana kot pomočnik strokovnega direktorja pokrival tudi področje informatike.«
UKC Ljubljana smo tudi povprašali, ali bo za varnostne ranljivosti na spletni strani v UKC Ljubljana kdo odgovarjal. Na to vprašanje nam niso odgovorili. Namesto tega so zapisali, da oseba, ki je informacijskemu pooblaščencu prijavila ranljivost spletne strani za posredovanje napotnic, ni delovala dobronamerno. Če bi imel prijavitelj »dobre namene, bi varnostno luknjo, ki jo je očitno dobro poznal, najprej prijavil UKC Ljubljana,« so zapisali.
Kot so še zatrdili, je rezultat analize varnostne ranljivosti pokazal, da prijavitelj prek odkrite ranljivosti ni dostopal do podatkov pacientov.
Vrhunec se ne čuti odgovornega
Z vprašanji smo se obrnili tudi na Simona Vrhunca. Povprašali smo ga, zaradi katerih preteklih izkušenj je primeren za delovno mesto pooblaščenca za informacijsko varnost in zakaj je to delovno mesto sprejel. Vrhunec nam je ponovil odgovore UKC Ljubljana, da sam ni mogel izbirati delovnega mesta, ampak mu je bilo dodeljeno.
»Sam osebno sem pričakoval, da mi bo ponujeno delovno mesto svetovalca. Vendar pa nisem bil v položaju, ko bi lahko delovno mesto izbiral. Sprejel sem to, kar mi je bilo ponujeno, in trdim, da sem do sedaj tako dela, povezana s tem delovnim mestom, kot tudi druge naloge, ki so mi jih direktorji dodelili (po pogodbi moram namreč opravljati tudi druge naloge), korektno opravil,« je v odgovoru zapisal Vrhunec.
Glede svoje lastne odgovornosti za slabo varnost spletne strani je Vrhunec zapisal: »Vsa leta, ko sem kot direktor vodil UKCL in v zadnjem obdobju, ko sem zaposlen na delovnem mestu Pooblaščenca za informacijsko varnost, sem deloval v korist pacientov in v korist inštitucije. Moje delovanje je bilo iskreno in nesebično, kljub temu pa sem vedno upal, da bo to v našem okolju tudi prepoznano. Obstajajo države (okolja), kjer je posiljena ženska, ki ni imela zakritega obraza, sama kriva za posilstvo in celo dodatno kaznovana. Upam, da Slovenija še ni takšno okolje. Za vdor v sistem UKCL je kriv tisti, ki je v sistem vdrl. Je pa nek zelo znan Slovenec nekoč zapisal: ‘Kdaj je doživel svet …? Da bi tat vklepal okradenca, slepar sodil sodnika? In vendar se je naredilo …’. Čisto možno je, da bom, čeprav ničesar nisem ukradel, vklenjen in obsojen.«
Na vprašanje, kako je lahko prišlo do varnostnih ranljivosti na spletni strani UKC Ljubljana, nam Vrhunec ni neposredno odgovoril. Je pa med drugim zapisal, da je bil sistem za sprejem napotnic »kompromis med zahtevami in pričakovanji uporabnikov ter sredstvi, ki smo jih za to imeli na voljo«.
Vrhunec je še zatrdil, da bi moral imeti nekdo, ki bi želel izkoristiti varnostne ranljivosti na spletni strani, »zelo veliko znanja in vedenja o tem«. Meni še, da gre »po navadi v takih primerih za zlonamerne vdore visoko usposobljenih posameznikov ali organizacij. Tako je bilo tudi v tem primeru.«
Matej Kovačič, strokovnjak za informacijsko varnost, je drugačnega mnenja. Meni, da je bil vdor posledica »napak tako v zasnovi spletne aplikacije, kot tudi v nastavitvah spletnega strežnika in neustreznih pravicah dostopa«. Za zlorabo teh ranljivosti pa »praviloma ni potrebno kakšno podrobno poznavanje informacijskega sistema, pač pa gre za tako osnovne varnostne napake, da bi jih moral odkriti praktično vsak varnosti pregled.« Kovačič se ob tem sprašuje, zakaj UKC Ljubljana takšnega varnostnega pregleda ni naročil, še posebej zato, ker se prek spletne strani pretakajo občutljive osebne informacije pacientov.
Kovačič je opozoril tudi na spornost trditve UKC Ljubljana, da ni bilo nepooblaščenih dostopov do zdravstvenih podatkov pacientov. Na UKC Ljubljana so to utemeljevali s tako imenovano revizijsko sledjo oziroma dnevniškimi zapiski na strežnikih, ki beležijo, kdo je dostopal do posameznih podatkov.
Spletna stran UKC Ljubljana je imela precej osnovnih varnostnih ranljivosti, zato se Kovačič sprašuje, ali je bilo beleženje na strežniku, kdo je dostopal do katerih podatkov, ustrezno implementirano. »Napadalec, ki bi do strežnika uspel pridobiti dovolj visok nivo pravic dostopa, bi namreč neustrezno implementirane revizijske sledi spreminjal ali brisal, kasnejši pregled revizijskih sledi pa nato ne bi pokazal nikakršnih nepravilnosti,« je opozoril Kovačič.
Ranljivosti spregledal tudi informacijski pooblaščenec
Pri pregledu spletne strani za posredovanje napotnic septembra je dejstvo, da povezava ni šifrirana s povezavo HTTPS, spregledal tudi inšpektor informacijskega pooblaščenca. Inšpektor je takrat le potrdil trditev anonimnega prijavitelja, da so prek povezave ‘http://napotnica.kclj.si/UKCBookingReservation/document/document_list.xhtml’ dostopni osebni podatki pacientov. Kako je lahko državni nadzornik, kot se uradno imenuje inšpektor IP, spregledal tako osnovno varnostno ranljivost, kot je odsotnost povezave HTTPS?
Pri IP so odgovorili, da se »zaradi hitre reakcije, pa tudi omejenih resursov in časa (vsak državni nadzornik ima v danem trenutku okrog 50 odprtih zadev), državni nadzornik fokusira na konkretno prijavo, in ne more vedno preverjati tudi vseh ostalih možnih varnostnih tveganj, ki so lahka številna in katerim so izpostavljeni vsi veliki in kompleksni sistemi.«
Pri IP so še povedali, da so se v okviru drugega inšpekcijskega nadzora po objavi Kovačičevih člankov o odsotnosti povezave HTTPS »hitro odzvali v okviru drugega inšpekcijskega postopka« in UKC Ljubljana pozvali, naj vzpostavi šifrirano povezavo HTTPS. »UKC je temu sledil in povezavo HTTPS vzpostavil v tednu dni,« so zapisali na IP.
Nato je Kovačič ugotovil, da je povezava HTTPS vzpostavljena neprimerno in zato varnostno ranljiva. Pri IP so zapisali, da so na podlagi te druge Kovačičeve ugotovitve UKC Ljubljana pozvali, naj povezavo izboljša.
Pri IP so za podcrto.si še povedali, da so se po razkritjih slabe varnosti na spletni strani UKC Ljubljana odločili za sistematičen pregled šifriranja internetnih povezav do spletnih strani slovenskih zdravstvenih inštitucij.
Nastanek tega članka ste omogočili bralci z donacijami. Podpri Pod črto
Deli zgodbo 5 komentarjev
5 komentarjev
timotej 8. 5. 2017, 07.26
Slika iz članka kaže, da je test bil narejen 28. Marca (poglejte na vrh slike kjer piše "Assessed on"). Če danes naredimo test, je ocena A+.
Je pa bolj zanimiv test strani: narocanje.ezdrav.si kjer je ocena še danes vedno C.
Anže Voh Boštic 8. 5. 2017, 10.05
Kot smo zapisali v članku, je UKC Ljubljana šifriranje po Kovačičevi objavi ustrezno nagradil.
timotej 8. 5. 2017, 14.59
Očitno sem površno bral ...
Kaj pa moja opomba za narocanje.ezdrav.si, ki pa je stran ne samo za naročanje UKC/LJ, ampak za vso Slovenijo - vse e-napotnice. Torej problem večji, kot pa samo pri eni zdravstveni organizaciji (UKC/LJ).
Anonim 8. 5. 2017, 12.54
Saj vse lepo piše kaj je vzrok za takšno stanje: http://www.rs-rs.si/rsrs/rsrs.nsf/I/K15455CAE8598AD58C1257FCB0020DE83/$file/InfSist_UKC_Lj.pdf
Zakaj se ne ukrepa, saj takšno stanje traja že več kot 15 let.
Boštjan 17. 9. 2017, 09.22
Razkritje pomanjkljivosti na UKC so bile za 'pravokator.si' usodne. Stran je trenutno (17.09.2017) ugasnjena, ker so avtorju začeli "nagajati" s strani informacijskega pooblaščenca. Upam, da boste napisali tudi kaj o tem.