Analiza, ki jo je opravil Informacijski pooblaščenec RS, je pokazala, da izmed 21 zdravstvenih domov in bolnišnic, ki omogočajo naročanje preko spleta, kar 13 institucij ni upoštevala zahteve po šifrirani povezavi. Spletne strani tako niso zagotavljale varnih povezav, na primer z uporabo protokola HTTPS oziroma drugega ustreznega šifriranja. Podatki, ki bi jih nepridipravi lahko prestregli, so tako dodatno zaščiteni, saj jih odkriptirata lahko samo napravi, ki med seboj komunicirata.
Nadzor pokazal zaskrbljujoče stanje ...
Gorazd Božič: Slabo stanje ne presneča
"Slabo stanje na določenih področju nas na SI-CERT pravzaprav ne preseneča," se ja na vprašanje Žurnal24 odzval Gorazd Božič, vodja SI-CERT, kjer opažajo manko informacijske varnosti tako v delih javnega sektorja kot tudi v zasebnem sektorju - predvsem pri manjših podjetjih.
Enega izmed razlogov za takšno stanje vidi v zmanjševanju pomena zaščite podatkov informacijske varnosti, po drugi strani pa poleg lastnikov sistema izpostavlja tudi ponudnike rešitev, ki tako slabo zasnovano zaščito naročniku sploh prodajo. "Zato ni nujno, da je krivda le in zgolj samo pri zdravstvenih zavodih."
Šifriranje povezave pri prenosu osebnih podatkov mora danes biti osnova, digitalna potrdila (certifikate) je možno pridobiti tudi brezplačno, recimo na letsencrypt.org. Vnos podatkov preko nešifrirane povezave je lahko predmet prestrezanja, pri čemer je rizik pri pošiljanju preko ožičenega omrežja manjši, kot če uporabljamo wi-fi povezave, sploh še, če je to neko javno dostopno omrežje.
Gorazd Božič, vodja SI-CERT
Pri podjetju Unistar LC, ki se ukvarja z informacijsko varnostjo in med svojimi referencami izpostavlja tudi več zdravstvenih indtitucij, so sicer izpostavili, da je informatizacija na področju varovanja informacij prinesla napredek, saj so bile informacije v fizični obliki izpostavljene razkritju ali izgubi. "Tako menimo, da je informatizacija zdravstva prinesla napredek predvsem v zavedanju o pomenu informacijske varnosti," je izpostavil izvršni direktor družbe Pavle Jazbec in nadaljeval, da zdravstvene ustanove v to področje vlagajo toliko sredstev in časa, kot si ga lahko privoščijo. Pri tem izpostavlja tudi manjko nadzora, na primer ministrstva za zdravje, nad vpeljanimi rešitvami.
Se le obetajo spremembe?
Oba sogovornika s področja informacijske varnosti sicer dvig nivoja varnosti pričakujeta z implementacijo evropske direktive o varnosti omrežji in informacij (NIS), ki jo bo Slovenija vključila v novi zakon o informacijski varnosti. Pomembno pa bo tudi dvigniti zavest glede varnosti. "V prihodnjih letih tako pričakujemo predvsem več vlaganj v informacijsko varnost, ki pa ne pomeni nujno in samo uveljavitve tehničnih kontrol. Veliko poudarka bo moralo slovensko zdravstvo, pa tudi druge branže nameniti ozaveščanju uporabnikov," je napovedal Jazbec, ki pričakuje, da bodo nato državljanom zagotovili tudi primerno stopnjo zasebnosti.
barbara.erzen@zurnal24.si
Mene ne skrbi varnost podatkov,ampak varnost nas pacientov,saj ranocelniki v hlastanju po zaslužku vse posege opravljajo po sistemu,kaj pa tale qurac ve,kako se opravljajo raznorazni posegi??
Pod to vlado in to ministrico je vse mogoče !
Mene bolj zanima kaksen software uporabljajo za narocila. Ima vsaka ustanova svoj sistem ali vsi uporabljajo isto zadevo? Ce ima vsaka ustanova svoj sistem potem je tukaj lahko se ogromno lukenj in moznost za izgubo podatkov.