О медицинской тайне или кому нужна информационная безопасность?

    У нас вследствие разгильдяйства, я сказал бы даже раздолбайства такого, которое превратилось уже в государственную угрозу

    «У меня нечего взять, поэтому беспокоиться повода нет» — так думают не только обыватели, но и руководители непрофильного бизнеса. Если человек имеет свой мелкий бизнес и в excel ведет бухгалтерию убедить его заплатить за какую-то «ИБ», которая не приносит прибыли проблематично. Он так и будет надеяться на «авось». Ведь нарушение целостности\конфиденциальности\доступности может и не произойти, тогда зачем платить?

    Каждая российская компания, подвергнувшаяся кибератаке, теряет в среднем 3,3 миллиона долларов за год. Об этом говорится в отчете Hewlett-Packard, который компания огласила на мероприятии HP Security media day

    А если «авось не прокатит», то к чему это приведет?

    Приведу пример из жизни.
    Как и многим живым людям довелось как-то сдавать медицинские анализы в одной крупной лаборатории. И как «фишка» там есть услуга «результаты онлайн». Довольно удобно, когда не приходится ехать за результатами.
    В качестве учетной записи используется фамилия, и номер договора. Соединение на сайте через https.

    Весь процесс не вызывал настороженности, пока не посмотрел в адресную строку.

    https://****/print/search_ready_one/?id=111111

    111111 это номер моего договора в открытом виде. Поставив в адресную строку номер договора от других анализов я увидел результаты без авторизации и указания фамилии. А что мне помешало посмотреть чужие результаты? Только совесть. Т.е. ни сессия авторизации, ни скрытие идентификаторов не проводилось.

    В очередной поход в лабораторию я попросил девочек что бы они передали руководству о том, что не красиво нарушать закон о медицинской тайне текст закона).

    Через некоторое время опять пришлось посмотреть свои результаты. Вот что я увидел в адресной строке:

    https://*******/print/search_ready_one/?id=T1dRMU5EWjBaMlJtWjJabk9XNXVOVFprWm1kdWFURXhNVEV4TVRGMWFYTmtaakV4TVc5c2F6az0=&archive=1NGQ1NDZ0Z0‚mZ2ZnNG5uNTZkZmduaTE5NTQyMjR1aXNkZjExMW9sazQ=

    Ну думаю молодцы какие. Захешировали, закодировали. Но интерес взял свое и строчку я таки закинул в декодер base64.
    Получилось:

    OWQ1NDZ0Z2RmZ2ZnOW5uNTZkZmduaTExMTExMTF1aXNkZjExMW9sazk=

    Опять base64? Странно. Еще раз:

    9d546tgdfgfg9nn56dfgni1111111uisdf111olk9

    Где 1111111 номер договора. А остальные цифры? Пока не ясно. Меняю номер договора на номер другого исследования остальное не трогаю, кодирую дважды и получаю результаты другого исследования опять в явном виде без авторизации!

    В результатах указывается полностью ФИО номер телефона. Для злоумышленников количество сценариев не ограничено:
    — фишинг -представиться врачом заставить купить суперлекарство с доставкой на дом.
    -шантаж -сдавали на половые инфекции? А жена знает? И т.д…

    Заключение.

    Как минимум мне не приятно. Когда такая деликатная сторона моей жизни как медицина доступна третьим лицам.
    Да и на сегодняшний день ситуация не поменялась, хотя прошло больше года.

    О чем хотелось бы спросить у сообщества:

    Как часто вы оставляете личные данные разным организациям? Кто и как на ваш взгляд должен обеспечивать конфиденциальность ваших данных? Есть 152 ФЗ (текст закона), но кто должен следить за его исполнением?
    С какими случаями неаккуратного обращения с вашими данными вы сталкивались?
    Кто занят в веб-разработке почему такие, не побоюсь этого слова, профнепригодные веб-разработчики имеют заказы?
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 54

      +46
      Девелоперы решили, что двойной base64 дважды надёжнее.
        +4
        Надёжней только двойной rot13 :)
          0
          Они-то ещё не знают, что на самом деле надёжнее — три раза!
            +1
            жалко не двойной Xor…
            +1
            А что, у нас хоть один закон о тайне работает для простых людей?
            С Нивеей по явному нарушению 152ФЗ рассматривают уже несколько месяцев. «Навоз и ныне там».
              0
              Вы еще предложите на РЖД попенять…
              +3
              Если вопрос «Есть 152 ФЗ, но кто должен следить за его исполнением?» не был риторическим, то, например, на сайте Роскомнадзора граждане могут оставлять жалобы на его нарушение в электронной форме: "Сформировать обращение"
                +1
                Возможность пожаловаться, к огромному сожалению, далеко не равна возможности реально исправить какую-либо ситуацию этой жалобой.
                  +1
                  А если возможностью не воспользоваться, то результата точно не будет.
                  • НЛО прилетело и опубликовало эту надпись здесь
                      0
                      Ваше утверждение — софизм (истинное с точки зрения логики утверждение, которое ведет или должно вести к ложному выводу). Вы намеренно жонглируете законами формальной логики, которая не распространяется на данную ситуацию. Реальная практика показывает истинное назначение этих новомодных форм для жалоб: «утилизировать» недовольство граждан, создав видимость, что их кто-то слушает. В ситуации массового использования этих форм (то есть, буквально, следования тому, что вы предлагаете) происходит вот это.
                        0
                        А как называется жонглирование длинными, серьезно выглядящими определениями и приписывание собеседнику заведомо неприглядных дел, которые он не совершал?
                        Вы приводите ссылки из серии «всёплохомывсеумрем» (хотя в ситуации с лавиной одинаковых обращений надо и можно было грамотно её разрулить). А я пользуюсь возможностями обращений к госорганам (местная администрация, гибдд) и получаю нужный мне результат.

                        Вот позицию fdsc я понимаю и принимаю. Человек делал то, что мог. Результата не достиг и пока не знает какие еще шаги предпринять. А вы просто жалуетесь на жизнь.
                          0
                          Ну вот откуда вы знаете, что я не пробовал делать то же самое? Пробовал, неоднократно. Без всякого результата.
                          А трепаться по поводу того, что все вокруг «не пробовали, а только жалуются» — это вообще детский сад форменный. Ссылку я привел не из разряда «мы все умрем» — это вполне себе факт, который иллюстрирует реальную позицию чиновников по этому вопросу. Факты, как известно, пальцем не раздавишь. А фантазировать о мнимой эффективности этого метода можете сколько угодно.
                            0
                            Интересно, как проблема, описанная по приведённой вами ссылке, решается в США и Европе…
                              0
                              Тут смотря что вы называете проблемой.
                              Для начала, она решается путем законных выборов в парламенты и органы местного самоуправления, от чего ситуации «война» между гражданами и разными ветвями власти не носит такого масштабного характера. А далее, в разных вариантах, существуют методы реализации законодательных инициатив, от пресловутых швейцарских референдумов до голосований за различные меры в США (вот, например, список мер, которые будут вынесены на ближайшее голосование в штате Орегон — в каждом городе или графстве могут быть еще свои). Соответственно, по вопросам каких-то существующих проблем можно обращаться к своему конгрессмену, мэру, в полицию, в суд. И поскольку это все люди прямо или косвенно зависят от выборов, игнорировать обращения граждан для них чревато. Эксцессы — бывают, но идеального на свете не существует, строго говоря. И сами граждане не идеальны — могут вот, например, повестись на страшилки про GMO и принять в отдельно взятом штате отдельные требования к маркировке продуктов (дополнительно к существующим), что выльется только в дополнительные расходы на эту маркировку.

                              А в России эти порталы стали чуть ли не единственной теоретической возможностью выразить свое мнение и на что-то повлиять (несмотря на то, что существенная часть обращений, которые неудобны чиновникам, так или иначе игнорируется). Потому в России это действительно принимает формы почтовых бомбардировок, а в странах с более развитой системой управления такого не происходит, так как есть другие рычаги воздействия.
                      0
                      К большому сожалению, именно так и есть в ряде случаев. И печально то, что небольшие компании, от которых не зависят, например, жизнь, здоровье и репутация граждан, подходят к этому куда серьезнее… А когда информацией уже завладели чьи-то загребущие руки и использовали ее, уже может быть все равно, можно ли где-то оставить жалобу.
                    +4
                    «Каждая российская компания, подвергнувшаяся кибератаке, теряет в среднем 3,3 миллиона долларов за год. „

                    Хочу подвергнуться кибератаке! Может хоть так миллионы попрут…
                      +2
                      Миллионы в минус не прикольно… А ведь они попрут!!! Осторожней с желаниями…
                      +2
                      Где 1111111 номер договора. А остальные цифры? Пока не ясно.
                      Скорее всего это просто мусор для «более лучшей» защиты
                        +1
                        Т.е. пачка денег на видном месте прикрытая газеткой. Оригинально.
                          0
                          И у них почти получилось.Я в первые пару секунд даже думал что это исходный хэш ибо первые символы похожи на hex-коды
                            0
                            На самом деле совсем непонятно что мешало сделать обычную авторизацию по номеру договора и фамилии на основе кук. Или была нужна уникальная ссылка, по которой можно перейти и посмотреть результаты без авторизации? В таком случае это уже само по себе дыра в безопасности (security via obscurity), но хотя бы зашифровать ссылку могли.
                              0
                              Согласен.Банальный хэш усложнил бы перебор результатов. А так даже непонятно можно ли будет «впаять» статью за взлом хакеру который эти результаты соберет.
                              • НЛО прилетело и опубликовало эту надпись здесь
                                  +1
                                  На всякий случай подскажу — впаять можно и легко. Закон не регламентирует степень и надежность защиты.
                            +1
                            Наверно за доработку не платили…
                            Хоть бы контрольную сумму добавили, ей-богу. И в случае несовпадения отдавали бы фейковые результаты анализов.
                              +4
                              Вы себе даже не представляете, что твориться с ИБ в больницах и поликлиниках… это полный швах. Я не раз видел шары со всеми документами учреждения, которые были доступны на запись из интернета, просто потому, что были организованы на компьютере, используемом в качестве шлюза. Понятия ИБ там не существует в принципе, да и должностей таких нет.
                                +1
                                всего-то надо было в базе держать guid наряду с номером ордера и вставлят его вместо 111111.

                                Уж подобрать гуид задача почти нереальная
                                  +8
                                  > У нас вследствие разгильдяйства, я сказал бы даже раздолбайства такого, которое превратилось уже в государственную угрозу
                                  Нельзя делать столько орфографических ошибок в слове «политику».
                                    +3
                                    Главная проблема правоприменения по нормативке по персональным данным ИМХО в том, что нарушением является по сути несоответствие формальным требованиям, а не реальные факты разглашения данных. То есть вас могут наказать на n тысяч рублей (именно n, а не N) за отсутствие необходимой организационно-распорядительной документации, но в случае «слива» ПДн десятков тысяч людей ничего особенного не происходит.
                                    Бизнес работает по риск-ориентированной модели. Не сделал бумажек — вплоть до приостановки деятельности. Украли ПДн — ничего страшного.

                                    Есть 152 ФЗ (текст закона), но кто должен следить за его исполнением?


                                    Основными регуляторами в этой области являются РосКомНадзор, ФСТЭК и ФСБ (отсортировал по уменьшению субъективной степени вовлеченности в процесс).
                                      0
                                      К сожалению даже благие попытки привлечь экспертов (alukatsky) к законотворству заканчиваются ничем.
                                        +1
                                        Ну почему ничем? Опыт работы с ФСТЭК вполне удачный. На трех регуляторов счет 1:2 — вполне себе удачное соотношение
                                      0
                                      Что уж говорить, если в некоторых интернет-банкингах по такому принципу выписка формируется. Меняешь id — получаешь выписку другого клиента
                                        0
                                        а есть примеры к «Каждая российская компания, подвергнувшаяся кибератаке, теряет в среднем 3,3 миллиона долларов за год. „?
                                          +1
                                          Я думаю, забыли добавить звездочку «по результатам опроса yandex, mail.ru и вконтакте».
                                            +1
                                            Ссылка на первоисточник исследования
                                              0
                                              ну тогда уж не «каждая», а «total cost». Ну и жаль что без конкретики, а то все знают как у нас считают расходы.
                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                0
                                                А, спасибо за разъяснения
                                                This year’s annual study was conducted in the United States, United Kingdom, Germany,
                                                Australia, Japan, France and for the first time, the Russian Federation, with a total benchmark
                                                sample of 257 organizations.
                                                Т.е. «каждая из российской части специально отобранных 257 организаций».
                                              0
                                              Как минимум, мне не приятно, когда такая деликатная сторона моей жизни как медицина доступна третьим лицам

                                              Да ничего, не волнуйтесь — мобильные операторы с точностью до 30 метров определяют местоположение Вашего телефона. Ну а про то, хранятся ли эти данные где-то — это Вы сами догадайтесь)
                                                0
                                                «Могут определить» != «Определяют»
                                                  0
                                                  Если Вы посмотрите презентации таргетированной смс-рекламы, которую официально предоставляют операторы, то поменяете свое мнение на противоположное
                                                    0
                                                    Может быть расскажите как она устроена? Я не видел, но я догадываюсь о чем вы, и примерно представляю как это может работать. Я думаю данные практически анонимны, потому, что используются — это да, но не собираются. Точнее не обязательно собираются и хранятся — это просто никому не нужно.
                                                      +1
                                                      Да, почему бы и нет!) Так вот, есть у них такая услуга — замер называется. Суть ее заключается в том, что я могу запросить их сделать рассылку по тем номерам телефонов, которые 22 августа 2014 года были в определенном месте в определенное время. Ну, по крайней мере, менеджер предлагал мне именно такую услугу. Конечно, это используется только для рассылки — на руки мне эти номера не выдадут, однако, это на 100% подтверждает тот факт, что эти данные именно хранятся.
                                                        0
                                                        А, ну если именно так, то это конечно уже совсем другое дело. Я представлял несколько иную услугу.
                                                        Если они действительно такие логи хранят… становится совсем стрёмно.
                                                  0
                                                  То что за мной могут следить всякие гос.учреждения меня не так беспокоит ибо сделать с этим что-то я не могу (только если в одних часах уехать в Монголию).
                                                  А вот представляться во всяких шаражкиных конторках теперь буду Кукуцапольем каким-нибудь
                                                  0
                                                  Разрабатывали 2 разных приложения для 2-х разных компаний, которые в свою очередь специализируются на ПО для медицинской среды (в том числе для государственных учреждений и имеют федеральный уровень). Были поражены низчайшим уровнем безопасности доступа к API в том и том случае.
                                                    +2
                                                    Кто занят в веб-разработке почему такие, не побоюсь этого слова, профнепригодные веб-разработчики имеют заказы?

                                                    Дешево и быстро?
                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                        +3
                                                        Не руководству надо сообщать, а в ФСТЭК — этот орган является одним из регуляторов и блюдит за соблюдением озвученного закона.
                                                        Был у нас такой сайт — «Мои садики», на котором принуждали несколько раз в год перерегистрировать ребенка чтобы оставаться в очереди на садик, ну и смотреть очередь за одно. Работал по HTTP, все было захаркодено, но не это главное — главное, что таким образом искусственно раздувалась очередь и можно было легко откатиться назад в очереди. Меня это не устраивало и я написал через госуслуги заявление о нарушениях.

                                                        Через 3 дня мне пришел ответ, с огромным количеством воды, но суть в том что вмоем заявлении усматриваеются нарушения других ФЗ.
                                                        В итоге через неделю сайт закрыли и перетащили на госуслуги, а в администрации нагоняй дали похоже, так как в марте мой ребенок был 2642 и мне говорили, что я нерадивый папаша и не перерегистрируюсь на этом сайте и поэтому двигаюсь медленно, а через 2 недели уже был 31-й.

                                                        Я для себя уяснил одно: если хочешь чтобы система работала — нужно заставлять ее работать.
                                                          +1
                                                          Всем похер, потому что похер конечному пользователю.
                                                          Мне сложно представить, чтобы сейчас хотя бы 1 из 1000 человек при выборе мед учреждения учитывал его репутацию по ИБ.
                                                            0
                                                            Было бы из чего выбирать. У нас на область один единственный иммунолог, и тот в платной клинике. Если я выбираю где лечиться, то я выбираю по квалификации врача в первую очередь. А если вдруг внезапно окажется, что подходящих врачей не один и оба доступны, и к обоим можно записаться на ближайшее время, а не «через три месяца», то тогда можно вспомнить про ИБ.
                                                            +1
                                                            Позволю себе предположить, что аппелировать к исполнительной власти здесь бессмысленно, так как эта власть сегодня довольно таки убога, не всеведуща в нюансах и не вездесуща в пространстве. Но проблема не столько в контролирующих органах, сколько в самосознании производителя. Как говаривал некто — думайте о деле, а не о прибыли. Но частенько выходит наоборот.
                                                            К сожалению, приходится констатировать: уровень ответственности производителей, и как следствие качество их продукции, резко упали в последнее время. Но, к счастью, ещё остаются единичные проблески. Не лишним будет и намекнуть, что именно это свойство характера нивелируется пресловутыми «готовыми решениями», ставшими столь популярными в последнее время. Начинающий, и ещё «не тёртый» предприимчивый молодой человек, скорее всего, пользуется ими направо и налево, наивно полагая, что раз оно готовое — то оно до мелочей продуманное. Применяет, мало вдаваясь в анатомические тонкости этого «решения». И подобный механизм «производства», ведь, затрагивает не только web-разработку.
                                                            Довольно болезненно, плоды познаются и в сфере информационной безопасности, за которую отвечает именно разработчик, и которую заказчику проверить достаточно трудно в силу своей некомпетентности, и который, в свою очередь, понадеялся на компетентность разработчика, откровенно считая, что заплатил за это.
                                                            Чтобы использовать что-то, это что-то, было бы не лишним изучить, не только со стороны «использования». Без, хотя бы, элементарного знания элементарных принципов той вселенной, в которой работает это «решение», получить качественную «продукцию» — есть чистая случайность.
                                                              0
                                                              Есть другая сторона медали. Как бы вы не защищали удаленный доступ к своим мед.анализам, в мед.учреждение всегда может прийти сторонний дядя и за деньги их получить, ну или через гос.органы также за деньги. Как это случилось недавно с одним человеком: urfo.org/moskow/497708.html

                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                              Самое читаемое