Pred dvema tednoma je strokovnjak za informacijsko varnost Matej Kovačič razkril, da je zaradi nezaščitenega dostopa lani neznancu uspelo vdreti na spletno stran UKC Ljubljana in s tem do dostopa napotnic pacientov in drugih osebnih podatkov. Največja zdravstvena ustanova pri nas je ranljivost na internem delu spletne strani, ki pacientom omogoča prijavljanje na preglede v UKC Ljubljana preko spleta, odpravila takoj po opozorilu informacijskega pooblaščenca.
UKC Ljubljana vendarle ukrepal ...
Kovačič je ob razkritju tudi opozoril, da je vdor ostal javnosti in pacientom UKC Ljubljana prikrit, spletna stran pa je še vedno dostopna le po nešifrirani povezavi HTTP. Na UKC Ljubljana so takrat obljubili, da bodo komunikacijski protokol spremenili do konca marca ...
Po slabih dveh tednih od javnega razkritja in po pol leta od vdora v sistem smo danes lahko opazili, da so na UKC vzpostavili HTTPS protokol, ki za komunikacijo med napravami uporablja enkripcijo. Za razliko od HTTP so podatki, ki bi nepridiprav prestregel, tako dodatno zaščiteni, saj jih odkriptirata lahko samo napravi, ki med seboj komunicirata.
Večina spletnih strani, v katere vnašamo svoje osebne podatke, na primer spletne trgovine in banke, uporablja HTTPS.
Najverjetneje ne gre za edini primer kršenja zakona o varstvu podatkov
Informacijski pooblaščenec v tem trenutku zoper UKC Ljubljana vodi še dva postopka. V teh postopkih preverjajo predvsem zakonitost obdelave osebnih podatkov ter izvajanje postopkov in ukrepov za njihovo zavarovanje.
Ker postopki informacijske pooblaščenke še niso zaključeni, pri pooblaščencu tako še ne želijo komentirati postopkov oziroma razkrivati, ali lanski vdor v sistem ni osamljen primer kršenja določb zakona o varstvu podatkov.
barbara.erzen@zurnal24.si
Zanimivo bi bilo izvedeti, koliko je KC v zadnjih letih zmetal denarja za IT varnost.