Wg NIK w polskich szpitalach ochrona wrażliwych danych nie jest słaba. Jest dramatyczna.

14 listopada 2019, 19:27 | W biegu | komentarzy 6
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Pełna wersja raportu dostępna jest tutaj. Synteza tu. Nas siłą rzeczy interesują przede wszystkich problemy związane ze zbiorami elektronicznymi.

Tutaj panuje cały czas przekonanie, będzie opublikowana procedurka kupiona za 50 zł w sklepie z procedurkami RODO i wszystko gra :-) To nie te czasy, a walczyć za pomocą jedynie procedur z wyciekami danych jest dość cieżko.

TLDR:

Tylko w sześciu [z 24] szpitalach podstawowe zabezpieczenia danych w postaci elektronicznej były właściwe. (!)

Kilka ciekawostek:

  • Z 720 pracowników objętych analizą NIK, 167 (23,2%) posiadało uprawnienia administratora systemów operacyjnych, chociaż nie posiadali oni w swych zakresach obowiązków zadań związanych z administrowaniem systemami.
  • W trzech szpitalach (12,5%) część komputerów można było uruchomić bez uwierzytelniania hasłem, a w dwunastu – login i hasło przyznawano grupie osób, zamiast dla każdego użytkownika. Dotyczyło to 188 komputerów z 720 zbadanych (26,1%).
  • W dwunastu szpitalach (50%) na 119 komputerach (16,5%) zainstalowany był system operacyjny Windows XP lub Vista.
  • (…) „w procesie autoryzacji posługiwano się loginem i hasłem wspólnym dla kilku osób.”

Do pewnych wniosków można mieć drobne zastrzeżenia:

W Lubuskim Szpitalu Specjalistycznym Pulmonologiczno-Kardiologicznym w Torzymiu sp. z o. o. hasła nie podlegały okresowej zmianie (w regulacjach wewnętrznych określony był wymóg zmiany hasła do systemu HIS co 30 dni, faktycznie wymuszanie zmiany hasła ustawiono na 180 dni, ważność hasła do systemu operacyjnego ustawiona bezterminowo – system nie wymuszał zmiany hasała),

Generalnie rzecz biorąc rekomendacje takie jak ASVS czy NIST a nawet Microsoft nie zalecają okresowych zmian haseł:

Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.

Choć trzeba podkreślić, że jeśli ktoś takie zasady narzuca sobie w procedurze, to być może warto żeby ich przestrzegał.

Podsumowując, zauważmy że wcześniej wskazane sprawdzenia realizowane przez NIK są podstawowe a nawet tutaj jest dramatycznie. Lepiej się nawet nie zastanawiać jak np. wygląda bezpieczeństwo aplikacji przechowujących dane medyczne czy osobowe…

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Andrzej

    Jakoś mnie nie dziwi ta sytuacja ponieważ w szpitalach zatrudnia sie na stanowiskach administratorów ludzi którzy są z polecenia i uważaja sie za informatyków a tak naprawdę to tylko windowsa potrafia przeinstalować i uaktualnić stronę. Brak jest jakiejkolwiek polityki bezpieczenstwa, szacowania ryzyka nie mówiąc o szkoleniu tych osób w zakresie bezpieczeństwa i ochrony danych.
    Podejrzewam że raport NIK nic nie zmieni dopuki nie bedzie jakiegos globalnego wycieku połączonego z gigantyczna kara za wyciek wtedy sie dyrektorzy obudza i zainwestują w kadry.

    Odpowiedz
  2. Alex

    Przypominam, ze całe rodo – srodo nie definiuje expiracji hasel. Jest to jedno z najwiekszych debilizmow. IMAO lepsze jest dobre, nie expirujace haslo, niz user co co miesiac zmienia hasla na zasadzie zenekmaj zenekczerwiec.

    Odpowiedz
  3. noe

    Nie trzeba mieć dostępu do systemów aby pozyskiwać dane. Ostatnio w jednej z przychodzi jak stałem w rejestracji w kolejce to spokojnie mogłem pozyskać dane osobowe kilkunastu osób, których karty były wyciągane i przeglądane przez rejestratorki. Każda karta na kopercie miała napisane wielkimi literami podstawowe dane, imię, nazwisko, adres, pesel i nawet numer telefonu.
    Drugi przypadek nie medyczny. Pewien sklep ma stanowisko odbierania zamówionych przez internet ustawione w taki sposób, że osoby chodzące po sklepie też widzą podstawowe dane klienta, który właśnie jest obsługiwany (brakowało tylko pesel)

    Odpowiedz
  4. Gal Nie Anonim :]

    Fajnie się czepiać, że są XPki, wspólne hasła itd.
    (Nie nie pracuję, ani nie mam nic wspólnego ze służbą zdrowia.) :)

    A jak wyglądają realia.

    Dosłownie kilka tygodoni temu miałem okazję rozmawiać na temat bezp. IT służby zdrowia w Szwecji. Inne realia, inne pieniądze i te same problemy.

    Masz drogi sprzęt do diagnostyki medycznej. Jego oprogramowanie działa na XP (czasem nawet potrafi na Win98, NT, czy W2k). Często połączone z jakąś nietypową kartą do pobierania danych.
    Nie ma szan aby to wymienić na cokolwiek co ma wspólnego z obecnymi standardami IT.
    I co wywalisz sprzęt za grube pieniądze i kupisz nowy bo działa tylko ze starym szrotem na XP?
    Skąd weźmiesz na to pieniądze? Gruuuube pieniądze.
    Alternatywa, to przestać ludzi badać – bo w sumie soft jest stary i niebezpieczny.
    Proszę wybrać. 8]

    Chcesz się bawić w konta imienne? Proszę bardzo, ale zepsuty (bardzo delikatnie nazwałem) moduł sprawdzający licencjonowanie nie działa dla innych kont niż zdefiniowane ponad dekadę temu jak to było instalowane.

    Nie chcesz aby twoi użytkownicy działali na kontach administracyjnych? Proszę bardzo, tylko soft który masz odmówi pracy na kontach zwykłych użytkowników.

    Czy da się to rozwiązać? Oczywiście, tylko niestety nie poprzez kupno komputerów poleasingowych za 1.5k PLN.
    Producenci tych rozwiązań chętnie sprzedadzą nowe zabawki, za ogromne pieniądze – mowa o min setkach tysięcy twardej waluty.
    Dodaj przeszkolenie ludzi do pracy z nowym oprogramowanie i sprzętem.

    Rzuciłem okiem na dokument – kocham zdania w stylu:
    „W trzech szpitalach (12,5%) na części komputerów nie zainstalowano opro- gramowania antywirusowego, a w czterech kolejnych (16,7%) programy te nie posiadały aktualnych baz sygnatur wirusów. Stanowiło to narusze- nie § 20 ust. 2 pkt 7 i 9 rozporządzenia KRI, zgodnie z którymi kierow- nictwo podmiotu publicznego jest obowiązane do podejmowania…”
    Znaczy się wystarczy mieć dowolnego antywirusa i jest ok?
    Nawet na systemie AIX? 8]

    Czepiam się, ale widziałem wiele audytów robionych na zasadzie checklisty: np:
    Firewall: Jest/Brak.
    A analiza czy nasz firewall jest poprawnie skonfigurowany?
    A analiza, czy ktoś te logi zbiera, analizuje, REAGUJE na nie?

    Co mnie zaskoczyło to jak mi Szwedzi powiedzieli, że:
    1. Nie mogą się doczekać jak te stare szroty padną i trzeba będzie kupić nowe – co wreszcie będzie zarządzalne.
    2. Z niektórych zmian (np. konta imienne na niektórych systemach obsługujących aparaturę diagnostyczną) musieli się wycofać, bo im spadło wykorzystanie sprzętu. (Długi start aplikacji, problemy z aplikacją dla niektórych użytkowników).

    Trochę sprzeczne, ale poza nielicznymi przypadkami nie da się być jednocześnie młodym, zdrowym, pięknym i bogatym.

    Pozdrawiam. :)

    P.S.
    A ile znacie rozwiązań stosowanych w biznesie które z miejsca nakazują zmniejszenie bezp. systemu poprzez wyłączenie mechanizmów bezpieczeństwa np. SELINUXa?

    Odpowiedz
    • Piotrek

      100% racji z tym windowsem xp.

      Odpowiedz
  5. dupcyngiel

    Nie tylko szpitale. Cała budżetówka, ale i prywatne firmy również. W domu też nie trzeba konta admina do klikania po sieci – a jak jest, każdy wie.

    Odpowiedz

Odpowiedz