Všeobecne známe heslo NBUSR123 sa na Slovensku stalo stelesnením šlendriánstva v oblasti počítačovej bezpečnosti. Toto heslo bolo dlhé roky neprekonateľným dnom, ktoré sa nedarilo preraziť. Až do 13. septembra 2020, keď povestný vánok a bublanie prestúpili v rámci veľkého plánu pre Slovensko servery Národného centra zdravotníckych informácií (NCZI). V tento deň spoločnosť Nethemba odhalila v aplikácií NCZI Moje ezdravie triviálnu zraniteľnosť. Tá umožnila získať osobné údaje o viac ako 390 000 pacientoch, ktorí boli na Slovensku testovaní na COVID-19.
Dáta nechránilo ani len triviálne heslo NCZI123. Dáta neboli chránené vôbec. Navyše boli voľne dostupné z internetu pre každého, kto mal o to záujem. Nejde o žiadnu maličkosť – osobné informácie o každej osobe v databáze sú nasledovné: meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu, informácie o klinických príznakoch (pneumónia, teplota, kašeľ, malátnosť, nádcha, bolesť hlavy, bolesť kĺbov a svalov), kód vzorky, dátum presného odberu, laboratórium, ktoré daný test vykonalo, lekár žiadateľ, číslo protokolu, dátum prijatia a vyšetrenia, druhy testu a, samozrejme, jeho výsledok.
Z hľadiska ochrany osobných údajov ide o takzvané citlivé osobné údaje. Tých 390 000 záznamov v databáze predstavuje 7 percent obyvateľov Slovenskej republiky. Mnohých pacientov mohli vyšetriť aj viac ráz, ale aj povedzme už len 5 percent obyvateľov znamená, že potenciálny útočník disponuje slušnou a reprezentatívnou databázou. Pritom na základe tých údajov možno dogúgliť mnohé ďalšie informácie. Tie potom použiť na skutočne zacielené útoky metódami sociálneho inžinierstva.
Od NCZI, ktoré plní úlohy v oblasti informatizácie zdravotníctva, správy národného zdravotníckeho informačného systému, štandardizácie zdravotníckej informatiky, zdravotníckej štatistiky a poskytovania knižnično-informačných služieb v oblasti lekárskych vied a zdravotníctva, by každý rozumný človek očakával trochu sofistikovanejší prístup.
Tým sa však problémy NCZI len začínajú. Aj pre NCZI platí všeobecné nariadenie o ochrane údajov, plným názvom Nariadenie Európskeho parlamentu a Rady 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (GDPR) a zákon o ochrane osobných údajov.
Podľa tlačovej správy z 18. februára aplikácia Moje ezdravie bola vyvinutá výhradne internými kapacitami NCZI a od začiatku bola vnímaná ako dočasná. Dalo by sa povedať, že z hľadiska počítačovej bezpečnosti a ochrany osobných údajov išlo o totálne zbabraný projekt. Ak bola aplikácia vyvinutá niekde začiatkom marca, citlivé osobné údaje sa povaľovali na verejne dostupnom serveri okolo pol roka.
Pravá sranda začne len teraz. Porušenie ochrany osobných údajov totiž musí NCZI podľa článku 33 GDPR oznámiť Úradu na ochranu osobných údajov do 72 hodín od okamihu, keď sa o nej dozvie. NCZI musí taktiež podľa článku 34 GDPR v prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ bez zbytočného odkladu oznámiť porušenie ochrany osobných údajov dotknutej osobe. Únik údajov v štruktúre, ako sme už uviedli, nepochybne takéto riziko predstavuje. NCZI sa nemôže vyhovárať, že informovanie dotknutých osôb je ťažké – má totiž k dispozícii ich telefónne čísla. Takže im môže rovno poslať napríklad SMS z oznámením, čo sa stalo, a prípadne aj link web s ďalšími informáciami.
Úrad na ochranu osobných údajov by mal za tento „prúser pangalaktických rozmerov“ udeliť NCZI poriadne mastnú pokutu. Akú vysokú? Nuž primeranú polročnému zverejňovaniu osobitne citlivých údajov o zdravotnom stave 5 až 7 percent populácie spolu so všeobecným identifikátorom.
Ak nemocnica v Nitre za jednorazové zverejnenie už zverejnených údajov o pacientovi a ich poskytnutie znalcovi dostala pokutu 2 000 eur, tak tu treba uvažovať o pokute v rádoch stotisícov eur. Do úvahy prichádza až dokonca trestné stíhanie za neoprávnené nakladanie s osobnými údajmi.
Po tomto úniku dát je NCZI zrelé na hĺbkový bezpečnostný audit, slávnostné seppuku jeho manažmentu v kaplnke ministerstva zdravotníctva a určite aj veľmi silné wololo ministra zdravotníctva, nech je toto už naozaj posledný problém tejto inštitúcie.
Dáta nechránilo ani len triviálne heslo NCZI123. Dáta neboli chránené vôbec. Navyše boli voľne dostupné z internetu pre každého, kto mal o to záujem. Nejde o žiadnu maličkosť – osobné informácie o každej osobe v databáze sú nasledovné: meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu, informácie o klinických príznakoch (pneumónia, teplota, kašeľ, malátnosť, nádcha, bolesť hlavy, bolesť kĺbov a svalov), kód vzorky, dátum presného odberu, laboratórium, ktoré daný test vykonalo, lekár žiadateľ, číslo protokolu, dátum prijatia a vyšetrenia, druhy testu a, samozrejme, jeho výsledok.
Z hľadiska ochrany osobných údajov ide o takzvané citlivé osobné údaje. Tých 390 000 záznamov v databáze predstavuje 7 percent obyvateľov Slovenskej republiky. Mnohých pacientov mohli vyšetriť aj viac ráz, ale aj povedzme už len 5 percent obyvateľov znamená, že potenciálny útočník disponuje slušnou a reprezentatívnou databázou. Pritom na základe tých údajov možno dogúgliť mnohé ďalšie informácie. Tie potom použiť na skutočne zacielené útoky metódami sociálneho inžinierstva.
Od NCZI, ktoré plní úlohy v oblasti informatizácie zdravotníctva, správy národného zdravotníckeho informačného systému, štandardizácie zdravotníckej informatiky, zdravotníckej štatistiky a poskytovania knižnično-informačných služieb v oblasti lekárskych vied a zdravotníctva, by každý rozumný človek očakával trochu sofistikovanejší prístup.
Tým sa však problémy NCZI len začínajú. Aj pre NCZI platí všeobecné nariadenie o ochrane údajov, plným názvom Nariadenie Európskeho parlamentu a Rady 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (GDPR) a zákon o ochrane osobných údajov.
Podľa tlačovej správy z 18. februára aplikácia Moje ezdravie bola vyvinutá výhradne internými kapacitami NCZI a od začiatku bola vnímaná ako dočasná. Dalo by sa povedať, že z hľadiska počítačovej bezpečnosti a ochrany osobných údajov išlo o totálne zbabraný projekt. Ak bola aplikácia vyvinutá niekde začiatkom marca, citlivé osobné údaje sa povaľovali na verejne dostupnom serveri okolo pol roka.
Pravá sranda začne len teraz. Porušenie ochrany osobných údajov totiž musí NCZI podľa článku 33 GDPR oznámiť Úradu na ochranu osobných údajov do 72 hodín od okamihu, keď sa o nej dozvie. NCZI musí taktiež podľa článku 34 GDPR v prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ bez zbytočného odkladu oznámiť porušenie ochrany osobných údajov dotknutej osobe. Únik údajov v štruktúre, ako sme už uviedli, nepochybne takéto riziko predstavuje. NCZI sa nemôže vyhovárať, že informovanie dotknutých osôb je ťažké – má totiž k dispozícii ich telefónne čísla. Takže im môže rovno poslať napríklad SMS z oznámením, čo sa stalo, a prípadne aj link web s ďalšími informáciami.
Úrad na ochranu osobných údajov by mal za tento „prúser pangalaktických rozmerov“ udeliť NCZI poriadne mastnú pokutu. Akú vysokú? Nuž primeranú polročnému zverejňovaniu osobitne citlivých údajov o zdravotnom stave 5 až 7 percent populácie spolu so všeobecným identifikátorom.
Ak nemocnica v Nitre za jednorazové zverejnenie už zverejnených údajov o pacientovi a ich poskytnutie znalcovi dostala pokutu 2 000 eur, tak tu treba uvažovať o pokute v rádoch stotisícov eur. Do úvahy prichádza až dokonca trestné stíhanie za neoprávnené nakladanie s osobnými údajmi.
Po tomto úniku dát je NCZI zrelé na hĺbkový bezpečnostný audit, slávnostné seppuku jeho manažmentu v kaplnke ministerstva zdravotníctva a určite aj veľmi silné wololo ministra zdravotníctva, nech je toto už naozaj posledný problém tejto inštitúcie.
Lekári
Lekárnici
Sestry
Zdravotnícki pracovníci
Foto:
archív
doc. JUDr. MUDr. Peter Kováč, PhD. et. PhD.