Varnost zdravstvenih podatkov v SB Izola

Kot poroča že večina slovenskih medijev, je bila na spletni strani Splošne bolnišnice Izola do nedavnega objavljena večja količina zdravstvenih osebnih podatkov pacientov, ki se po zakonodaji o varstvu osebnih podatkov sicer štejejo med občutljive osebne podatke in bi morali biti še posebej zavarovani.

Obvestilo o tem sem od anonimnega vira v petek dobil tudi sam, prav tako pa je anonimni vir o tem v petek obvestil tudi spletni portal Slo-Tech.com, od koder so o tem nemudoma obvestili Informacijskega pooblaščenca in policijo, ki je še isti dan uvedla predkazenski postopek.

Kaj se je zgodilo?

Rekonstrukcija dogajanja

Kot namreč kaže po do sedaj znanih podatkih, je Splošna bolnišnica Izola v preteklosti pacientom ponudila možnost naročanja na preglede in posege preko spleta. Kako je izgledala spletna stran si lahko ogledamo na Web Archive:

Pacienti so preko tega spletnega mesta imeli možnost elektronskega naročanja na preglede, zraven pa so lahko kar preko spleta naložili tudi skenirane napotnice in izvide.

Mimogrede, kot je razvidno iz Wayback Machine, je spletišče Web Archive spletni obrazec za naročanje pacientov zajelo šestkrat, nazadnje 18. februarja 2015, in takrat spletna stran ni delovala preko HTTPS povezave. O tem, zakaj je to na področju zdravstva problematično, (smo poročali že pred časom). Na kratko - zakonodaja zahteva, da so občutljivi osebni podatki (kamor se šteje tudi zdravstvene osebne podatke) med prenosom preko telekomunikacijskih omrežij šifrirani.

Spletna stran Splošne bolnišnice Izola je v tem času tekla na platforni Wordpress (to je mogoče ugotoviti iz vsebine URL naslova, ki je vseboval niz znakov “wp-content”). No, pravzaprav na Wordpresu teče še sedaj (kot je razvidno iz HTML kode na njihovi strani, je trenutno na različici 5.0.3).

Wordpress je sicer znan kot precej ranljiva platforma, o čemer priča tako grafična analiza v Wordpressu odkritih ranljivosti, kot tudi prosto dostopen seznam ranljivosti glede na različico. Da o Wordpress vtičnikih sploh ne govorimo, saj so varnostno ranljivi tudi ti, poleg tega pa praviloma tudi precej slabše vzdrževani.

Najbolj verjetno je, da je bilo posredovanje podatkov za naročanje na preglede in posege implementirano kar preko enega izmed Wordpresovih dodatkov za implementacijo obrazcev.

Ta dodatek je podatke, ki so jih vnesli pacienti najverjetneje zapisoval v zaledno bazo podatkov, datoteke, ki so jih na spletišče nalagali pacienti, pa so se shranjevale v mapo “uploads”. Da bi se datoteke morda na strežnik shranjevale v šifrirani obliki, pa očitno tudi nikomur ni prišlo na misel.

Nerodno pa je, da je bila ta mapa dosegljiva neposredno preko spleta, in sicer preko URL naslova “http(s)://www.sb-izola.si/wp-content/uploads/”. Ker tisti, ki je postavljal spletno stran bolnišnice, v tej mapi ni onemogočil brskanja (ali vanj vsaj shranil prazne index.html datoteke), so bile vse naložene datoteke prosto dostopne preko interneta.

In seveda jih je tam našel in poindeksiral tudi spletni iskalnik Google (pa morda še kateri).

Očitno so enkrat konec leta 2018 ali v začetku leta 2019 to ugotovili tudi v Splošni bolnišnici Izola. Ali pa so spletno stran nekoliko prenovili in se je “napaka” odpravila sama. Kakorkoli že, vsebina “uploads” imenika je bila pobrisana in s tem je bil problem menda “rešen”.

No, v resnici ni bilo povsem tako, saj so bili podatki še vedno poindeksirani s strani spletnega iskalnika Google (in verjetno tudi drugih spletnih botov), in zato še vedno dostopni preko spleta.

Če smo v petek (pa tudi v soboto in celo v nedeljo dopoldan) v spletni iskalnik Google vpisali “site:https://www.sb-izola.si/wp-content/uploads/”, smo si lahko ogledali v Googlovem medpomnilniku shranjene podatke.

In žal imeli kaj videti. Z nekoliko spretnosti pri iskanju je bilo mogoče rekonstruirati številne občutljive osebne podatke o pacientih. Če smo tako na primer v iskalnik Google vpisali “ginekolog site:https://www.sb-izola.si/wp-content/uploads/” smo dobili vpogled v precej občutljive osebne podatke. V spodnjem primeru so bila iz imen PDF datotek razvidna imena pacientk, ki so obiskale ginekološko ambulanto v SB Izola:

Z vnosom ustreznih ključnih besed (zlasti z uporabo medicinske terminologije), je bilo mogoče najti še številne druge primere. Med drugim tudi posameznike z družbeno stigmatiziranimi boleznimi.

Oglejmo si samo nekaj primerov.

Direktor bolnišnice Izola Radivoj Nardin je za Slovenske novice izjavil, »da so bili v Googlovem iskalniku prisotni zadetki, povezani z v letu 2018 opravljeno varnostjo ranljivostjo naše spletne strani za storitev spletnega naročanja.« To ne drži, saj se iz URL naslova (“/uploads/2016/”) vidi, da so bili podatki na spletno stran naloženi že leta 2016:

Smo pa med pripravo prispevka od anonimnega vira prejeli še informacijo, da so bile še v nedeljo dopoldan neposredno na spletni strani bolnišnice še vedno dostopne še RAR kompresirane datoteke, ki so vsebovale izvide v PDF obliki. Anonimni vir nam je posredoval dokaze o obstoju skeniranih izvidov iz leta 2017:

In kaj smo se naučili?

Če torej potegnemo sklep. Do javne objave občutljivih osebnih podatkov, ki bi morali biti še posebej varovani je prišlo zaradi napak pri zasnovi informacijskega sistema. Za naročanje preko spleta je bila uporabljena varnostno povsem neustrezna tehnologija, k varnostnemu incidentu pa je pripomogla tudi slaba konfiguracija spletnega mesta, zaradi katere je bilo mogoče pregledovanje vsebine “uploads” mape. Obstaja pa tudi velika verjetnost, da informacijski sistem že v osnovi ni omogočal posredovanje podatkov preko HTTPS šifrirane povezave.

Tudi sama reakcija vpletenih je bila neustrezna, saj je trajalo kar nekaj časa, da je SB Izola pri Googlu sprožila postopek brisanje iskalniškega medpomnilnika. Vsekakor pa bo zanimivo videti kako se bo odvil postopek pred informacijskim pooblaščencem, zlasti v luči dejstva, da od maja 2018 v EU velja uredba GDPR. Kaj smo se iz zgodbe naučili, bomo torej videli šele v prihodnjih mesecih.

Kot rečeno, je uredništvo portala Slo-Tech o najdenih nepravilnostih že v petek obvestilo tako policijo, ki je nemudoma začela predkazenski postopek, kot tudi Informacijskega pooblaščenca.

Informacijski pooblaščenec je šel takoj v akcijo ter bolnišnici odredil umik dokumentov s spleta, oziroma odredil, naj bolnišnica pri Googlu sproži postopek za hiter umik spornih podatkov iz Googlovega medpomnilnika. To se je čez vikend tudi zgodilo.

Z objavo smo zato počakali, saj smo želeli preprečiti morebitno dodatno škodo, hkrati pa Informacijskemu pooblaščencu in policiji dali dovolj časa za zavarovanje dokazov.