Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Atak na singapurską służbę zdrowia – wykradziono dane osobowe około 1,5 miliona osób

21 lipca 2018, 13:10 | W biegu | komentarzy 6

Pieczołowicie budowana wysokiej klasy opieka medyczna, centralnie dostępne dane o pacjentach. A tu nagle atak skutkujący kradzieżą danych osobowych około 1,5 miliona ludzi. Czy zostały wykradzione dane medyczne? Z jednej strony jest informacja tylko o danych osobowych, ale również czytamy:

information on the outpatient dispensed medicines of about 160,000 of these patients

Czyli jakie leki były przepisywane, z czego można wnioskować choroby. Wśród dotkniętych znalazł się również premier kraju, który pisze już w nieco bardziej alarmującym tonie:

I am personally affected, and not just incidentally. The attackers targeted my own medication data, specifically and repeatedly.

I don’t know what the attackers were hoping to find. Perhaps they were hunting for some dark state secret, or at least something to embarrass me. If so, they would have been disappointed. My medication data is not something I would ordinarily tell people about, but there is nothing alarming in it.

A czy macie jakieś doświadczenia z polską służbą zdrowia w temacie bezpieczeństwa IT? Przypomnę tylko, że systemy „ochrony zdrowia” wchodzą w skład infrastruktury krytycznej w Polsce…

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Jeśli dobrze pamiętam i rozumiem to trochę mieszacie, bo tylko kilka wybranych podmiotów będzie (jest?) uznanych za operatora usługi kluczowej. Dla tych wybrańców będą miały zastosowanie odpowiednio wyższe wymogi odnośnie bezpieczeństwa i reakcji na incydenty. Tylko czy jest już wykaz operatorów usług kluczowych?

    Odpowiedz
    • Jarek

      No w sumie…. Szpitale, przychodnie, producenci i hurtownie leków, apteki….

      Odpowiedz
  2. Bart

    W Polsce właśnie się tworzą „systemy centralne”, co będzie istną jazdą bez trzymanki. W większości szpitali jest słabo pod każdym względem. Bezpieczeństwo jest mocno niedofinansowane i realizowane oddolnie bo większość kadry zarządzającej Szpitalami nie ma pojęcia po co im ochrona bezpieczeństwa informacji. Z jednej strony przybywa szpitali z ISO 27001, a z drugiej jakość tej certyfikacji istotnie spada, bo pojawiły się firmy doradcze, które sprzedają niższą jakość za niższą cenę… A o ile 27 jest dla zarządu tylko parametrem aby otrzymać lepszą punktację w NFZ lub uniknąć kontroli z RIO itp., a nie poprawić jakoś ochrony danych to nie zapowiada się lepiej. Ciężko jest też szkolić personel medyczny dla którego bezpieczeństwo zwykle jest tylko zbędnym niuansem, oni i tak mają co raz mniej czasu na pacjenta (bo muszą co raz więcej siedzieć przy komputerze albo jest ich po prostu więcej).
    Generalnie przypadki jak Szpital w Kole nie są zaskoczeniem. Wiele Szpitali balansuje na skraju bankructwa i zwykle cięcie kosztów wygrywa ze zdrowym rozsądkiem.
    Można by tak długo. Generalnie jednym z nielicznych sposobów na obniżenie kosztów ochrony zdrowia przy starzejącym się społeczeństwie jest wymiana informacji między placówkami medycznymi (np. aby nie dublować badań, wyłapywać prawidłowości). Gdy wasze dane będą w sieci szpitali ,a nie tylko szpitalu Sieci to łatwiej będzie o „najsłabsze ogniwo”.

    Nasza służba zdrowia zbliża się niestety do ciekawych czasów w kontekście bezpieczeństwa.

    Odpowiedz
    • gosc

      O słabych punktach można pisać godzinami. Napisałbym ze w niektórych przypadkach nie mamy wyboru.
      Myślę ze szpital powinien mieć dostęp do danych pacjenta z innego szpitala, ale nie w ramach wspólnego systemu bazy danych.
      Ale w ramach wymiany informacji tylko po wystosowaniu prośby o przekazanie danych do własnej bazy danych przez sftp sprawdzajac autentycznosc kluczem gpg.
      Czyli jak facet jedzie w góry i ulegnie w góry, to szpitale się wymieniają danymi i tylko te i nikt więcej.
      Oczywiście koszty będą większe i z jakiegoś szpitala mogą wycieknąć dane. Ale prawdopodobieństwo ze dane uciekną ze wszystkich szpitali jest o wiele mniejsze.

      Odpowiedz
  3. MatM

    A ja pozwolę się nie zgodzić z tym, że centralna baza danych to złe i niebezpiecznie rozwiązanie. Wszystko zależy od wdrożonych mechanizmów bezpieczeństwa a zalety zebrania całej historii choroby oraz przypisanych leków czy terapii ma niekwestionowane zalety.

    Można sobie wyobrazić bazę danych medycznych (niech się nazywa Narodowa Baza Danych Medycznych), do której dostęp jest ściśle reglamentowany oraz rozliczany (nic nadzwyczajnego). Same dane w bazie są przechowywane w postaci zaszyfrowanej a do ich odczytania potrzebny jest klucz obywatela znajdujący się w dowodzie osobistym (lub na innym nośniku). Podczas wizyty, lekarz identyfikujący się swoim „obywatelskim” kluczem może po odczytaniu klucza pacjenta odszyfrować ściśle określoną porcję danych medycznych (kwestia klasyfikacji co i po co jaki lekarz może zaciągnąć to inna dyskusja). Co z dziećmi? Czy mają mieć odwody od urodzenia? Co jak obywatel zagubi dowód z kluczem? Nie ma żadnego problemu – IT ma technologie na te okazje, wystarczy je odpowiednio wdrożyć (np. odzyskiwanie klucza w urzędzie, 2fa itp.). A jak ktoś ma wypadek a nie ma dowodu? Procedura awaryjna, nie stanowi problemu.

    Odpowiedz
    • gosc

      1. Dla hakierow centralna baza to tez mialoby zalety.
      Jedno wlamanie i po ataku.
      2. Poszkodowany czesto nie ma przy sobie dowodu. Czesto nie ma nic.
      3. Brak dowodu procedura ” Ujawnij wszystkie dane. ” ?
      W urzedzie „Nie mozemy sie zgodzic” , w domysle czytalismy dokumentacje medyczna ?
      Padł internet i procedura „Ludzie umierają i nic z tym nie możemy zrobic” ?
      4. Taki rodzaj bazy juz istnieje w NFZ, jest tam np. NIP i inne takie …
      ale niech Cie reka boska broni dodawac cokolwiek prywatnego bez zgody osoby ktorej informacja dotyczy, procz informacji naprawde istotnych np. podatnosci zagrazajacych zyciu i ktore moga byc podane publicznie.

      Odpowiedz

Odpowiedz