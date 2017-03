Spletni strežnik UKC Ljubljana sploh ni uporabljal HTTPS zaščitene povezave, ugotavlja strokovnjak za informacijsko varnost. (Foto: Thinkstock)

Anonimni heker je lansko jesen odkril ranljivost informacijskega sistema UKC Ljubljana in o tem obvestil informacijskega pooblaščenca. Ta si je spletno stran UKC Ljubljana napotnica.kclj.si tudi ogledal in ugotovil, da ta dejansko omogoča nezaščiten dostop do večjega števila zdravstvene in druge dokumentacije, med drugim tudi do napotnic in osebnih podatkov večjega števila zaposlenih. Vsakdo, ki je imel določen naslov url, je namreč lahko dostopal do teh podatkov, pišejo v današnjem Delu. Spletni strežnik naše največje bolnišnice pa sploh ni uporabljal HTTPS zaščitene povezave.

Klinični center je še isti dan, ko jih je informacijski pooblaščenec obvestil o ranljivosti, sporočil, da so odpravili varnostno luknjo in vzpostavili intervencijsko skupino strokovnjakov. Pojasnili so tudi, da so omejili pravice uporabnikov aplikacije Napotnica, odvzeli pravico za branje in pisanje dokumentov, ki jih naložijo uporabniki, ter sprejeli še vrsto drugih tehničnih ukrepov za večjo varnost, povzema časnik Delo.

UKC Ljubljana je informacijskem pooblaščencu zagotovil, da je njihov sistem zdaj varen. Kot dokaz so mu posredovali dnevniški zapis s seznamom IP naslovov, ki so dostopali do spornih URL naslovov. Iz dokumenta je bilo razvidno, da sta do občutljivih strani dostopala le dva IP naslova – eden je pripadal informacijskemu pooblaščencu, drugi pa najverjteneje anonimnemu hekerju, ki je možnost vdora prijavil.

Vdor v sistem javnosti zamolčali

Strokovnjak za informacijsko varnost Matej Kovačič na portalu Slo-Tech obsežno opiše ta varnostni incident. Sam sicer opozarja, da je informacijski pooblaščenec postopek zaključil zelo hitro ter da iz dokumentacije ni razvidno, da bi sam preveril, kako so bili izvedeni ti varnostni ukrepi UKC Ljubljana.

Pol leta po inšpekcijskem pregledu je spletišče ljubljanskega kliničnega centra, kot pravi Kovačič, še vedno dostopno le po nešifrirani povezavi HTTP. Strokovnjak poudarja tudi, da pooblaščenec o pomanjkljivosti ni obvestil javnosti, čeprav so bili "ogroženi občutljivi osebni podatki številnih posameznikov".

"Namesto, da bi se poročilo javno objavilo, s čimer se bi se na podobne težave opozorilo tudi druge ter pokazalo kakšne bi morale biti dobre prakse na tem področju, se dokumente o takšnih incidentih skriva. Ne gre za to, da bi se iskalo krivce in izvajalo lov na čarovnice. Do napak vedno prihaja in bo prihajalo. Problem je pometanje pod preprogo in prikrivanje, posledično pa se enake napake pojavljajo vedno znova in znova," je še zapisal Kovačič in se sprašuje, ali je to bila edina šibka točka informacijskega sistema UKC Ljubljana.