Zaradi nezaščitene povezave UKC Ljubljana je neznancu lani uspel vdor v sistem UKC Ljubljana. "Dostopna je bila zdravniška dokumentacija, vključno z napotnicami, ki vsebujejo zelo občutljive osebne podatke pacientov," je razkril strokovnjak za informacijsko varnost Matej Kovačič na portalu Slo-Tech, a ob tem opozarja, da je še bolj sporen kot vdor dejstvo, da so incident prikrili, čeprav so zanj vedele tudi državne institucije.

Za vdor je vedel tudi informacijski pooblaščenec in Si-Cert

V septembru 2016 je informacijski pooblaščenec prejel prijavo, v kateri je bilo navedeno, da naj UKC Ljubljana ne bi ustrezno zavaroval osebnih in občutljivih osebnih podatkov na svoji spletni strani. Kot izpostavlja zapisnik informacijskega pooblaščenca, ki ga je Kovačič pridobil, je šlo za interni del spletne strani, ki pacientom omogoča prijavljanje na preglede v UKC Ljubljana preko spleta.

Inšpekcijski pregled, ki je bil opravljen 9. septembra 2016, je pokazal, da je bilo s preprosto spremembo URL naslova mogoče odpreti "podstran, ki vsebuje osebne podatke zaposlenih, in sicer ime in priimek in naslov elektronske pošte" ter pridobiti "dostop do večjega števila zdravniške dokumentacije, vključno z napotnicami, ki vključujejo osebne in občutljive osebne podatke."

Po obvestilu informacijskega pooblaščenca je UKC Ljubljana še isti dan sporočil, da so varnostno luknjo odpravili.

Zakaj ni bilo dodatnih preiskav?

A Matej Kovačič je ob tem opozoril, da iz dokumentacije, ki so jo pridobili, ni videti, da bi informacijski pooblaščenec preveril, kako so bili ukrepi UKC Ljubljana izvedeni in kako učinkoviti so bili. Prav tako ni razvidno, da bi informacijski pooblaščenec preveril navedbo, da so izvedli "druge tehnične ukrepe za zagotavljanje višje stopnje varnosti"

Poleg tega je pol leta po inšpekcijskem pregledu omenjena spletna stran še vedno dostopno le po nešifrirani povezavi HTTP.

UKC Ljubljana: V tem mesecu bo vzpostavljena tudi šifrirana povezava 

Na UKC Ljubljana so nam pojasnili, da je do omenjenega vdora prišlo 9. septembra, torej na dan, ko je informacijski pooblaščenec tudi prijel prijavo. Še isti dan so napako odpravili. "Ne prej ne po tem datumu vdorov nismo zaznali," pravijo v največji slovenski zdravstveni ustanovi in pojasnili, da so o vdoru obvestili tudi Si-Cert.

Kot kaže zadnja napoved, pa so se odzvali tudi na kritiko Kovačiča in zagotovili, da bodo poleg ukrepov, ki so jih sprejeli po vdoru, še ta mesec vzpostavili tudi šifrirano povezavo do spletišča.

Obveščanje javnosti pa po njihovem mnenju ni bilo potrebno, "glede na to, da niso bili odtujeni podatki". Rezultat njihove analize pa naj bi pokazal, da neznanec, ki je vdrl v sistem in tako razril ranljivost, ni dostopal do podatkov pacientov.

barbara.erzen@zurnal24.si