W dniu 04.10.2020 o 12:55, Marcin Debowski pisze:

>>>> Zajmuje się bezpieczeństwem systemów komputerowych i za dość nieostrożne
>>>> uważam udostępnienie takich informacji w sieci internetowej. o ile na
>>>> żądanie pacjenta można dane zapisać na nośniku (kartka, płyta) i dać mu,
>>>> o tyle nie ma stuprocentowych zabezpieczeń przed włamaniem się na tak
>>>> udostępniane konta.
>>> Zabiłeś właśnie internetową bankowość i min. kilkanaście innych,
>>> powszechnych usług dostępnych przez Internet, a związanych z
>>> przetwarzaniem wrażliwych danych.
>>>
>> Tylko pośrednio. Po pierwsze tam jeszcze dochodzi drugi kanał
>> identyfikacji. Po drugie, jak nie chcesz, top możesz nie korzystać. Z
>> lekarza raczej trudno
>
> Ale jakieś konkrety? Do lekarza musisz się logować do systemu, serio?
> Nie jestem w Polsce, ale moja 92. rodzicielka jakoś się słabo do tego
> systemu loguje a do lekarza chodzi.
>
Do lekarza oczywiście nie musisz sie logować do systemu. Tylko, że jak
przychodnia mam system informatyczny zrobiony tak, ze każdy może sobie z
netu to obejrzeć - ok, każdy posiadający hasło - to kwestią czasu
jedynie zostaje, kiedy ktoś jakiś dowcip tam wywinie.

Jeśli pliki są dostępne w sieci, to nawet można "dla draki" podmienić
zapisy i pacjent dostanie leki, które go po prostu "zabiją". Z banku
najwyżej zniknie trochę kasy.

--
Robert Tomasik

do góry

On 2020-10-04, Robert Tomasik <r...@g...pl> wrote:
> W dniu 04.10.2020 o 12:55, Marcin Debowski pisze:
>
>>>>> Zajmuje się bezpieczeństwem systemów komputerowych i za dość nieostrożne
>>>>> uważam udostępnienie takich informacji w sieci internetowej. o ile na
>>>>> żądanie pacjenta można dane zapisać na nośniku (kartka, płyta) i dać mu,
>>>>> o tyle nie ma stuprocentowych zabezpieczeń przed włamaniem się na tak
>>>>> udostępniane konta.
>>>> Zabiłeś właśnie internetową bankowość i min. kilkanaście innych,
>>>> powszechnych usług dostępnych przez Internet, a związanych z
>>>> przetwarzaniem wrażliwych danych.
>>>>
>>> Tylko pośrednio. Po pierwsze tam jeszcze dochodzi drugi kanał
>>> identyfikacji. Po drugie, jak nie chcesz, top możesz nie korzystać. Z
>>> lekarza raczej trudno
>>
>> Ale jakieś konkrety? Do lekarza musisz się logować do systemu, serio?
>> Nie jestem w Polsce, ale moja 92. rodzicielka jakoś się słabo do tego
>> systemu loguje a do lekarza chodzi.
>>
> Do lekarza oczywiście nie musisz sie logować do systemu. Tylko, że jak
> przychodnia mam system informatyczny zrobiony tak, ze każdy może sobie z
> netu to obejrzeć - ok, każdy posiadający hasło - to kwestią czasu
> jedynie zostaje, kiedy ktoś jakiś dowcip tam wywinie.
>
> Jeśli pliki są dostępne w sieci, to nawet można "dla draki" podmienić
> zapisy i pacjent dostanie leki, które go po prostu "zabiją". Z banku
> najwyżej zniknie trochę kasy.

Nie generalizujesz ciut za bardzo? Nie wiem czy ten cały, konkretny
system jest jakoś rozpaczliwie dziurawy - podejrzewam, że jednak nie,
ale co do zasady można zabezpieczyć, więc nie wiem skąd takie
alarmistyczne podejscie. Co innego jakbys napisał konkretnie, gdzie jest
jakaś dziura umożliwiająca zmianę np. zaleceń lekarskich.

Ogólnie: niepotrzebnie MZ szukasz diabła gdzie go nie ma. Dziur obecnie
jest mało. Wektory ataku zwykle bazują na socjotechnice. Tu brak dostępu
do Internetu nie pomoże.

--
Marcin

do góry

W dniu 2020.10.04 o 12:59, Robert Tomasik pisze:
> W dniu 04.10.2020 o 12:55, Marcin Debowski pisze:
>
>>>>> Zajmuje się bezpieczeństwem systemów komputerowych i za dość nieostrożne
>>>>> uważam udostępnienie takich informacji w sieci internetowej. o ile na
>>>>> żądanie pacjenta można dane zapisać na nośniku (kartka, płyta) i dać mu,
>>>>> o tyle nie ma stuprocentowych zabezpieczeń przed włamaniem się na tak
>>>>> udostępniane konta.
>>>> Zabiłeś właśnie internetową bankowość i min. kilkanaście innych,
>>>> powszechnych usług dostępnych przez Internet, a związanych z
>>>> przetwarzaniem wrażliwych danych.
>>>>
>>> Tylko pośrednio. Po pierwsze tam jeszcze dochodzi drugi kanał
>>> identyfikacji. Po drugie, jak nie chcesz, top możesz nie korzystać. Z
>>> lekarza raczej trudno
>>
>> Ale jakieś konkrety? Do lekarza musisz się logować do systemu, serio?
>> Nie jestem w Polsce, ale moja 92. rodzicielka jakoś się słabo do tego
>> systemu loguje a do lekarza chodzi.
>>
> Do lekarza oczywiście nie musisz sie logować do systemu. Tylko, że jak
> przychodnia mam system informatyczny zrobiony tak, ze każdy może sobie z
> netu to obejrzeć - ok, każdy posiadający hasło - to kwestią czasu
> jedynie zostaje, kiedy ktoś jakiś dowcip tam wywinie.
>
> Jeśli pliki są dostępne w sieci, to nawet można "dla draki" podmienić
> zapisy i pacjent dostanie leki, które go po prostu "zabiją". Z banku
> najwyżej zniknie trochę kasy.
>

Miasto Stołeczne w swoich ZOZach tak ma, w każdej dzielnicy jest inny
system, bo dzielnice jak widać działają niezaleznie:
https://erejestracja.zozbemowo.pl/emol/help/erejestr
acja/erejestracja.pdf wygląda
na prymitywne, chcociaz ja uważam, że po grafice nie ma co oceniać
funkcjonalności całej strony www

W dzielnicy Ochota coś wdrażają:
https://www.szpzlo-ochota.pl/pl,rejestracja-online,0
,189.html

Ursynów https://euslugi.zozursynow.pl/1/auth/login wdrozył chmury szyfrowane

do góry

W dniu 04.10.2020 o 13:31, Marcin Debowski pisze:
> Ogólnie: niepotrzebnie MZ szukasz diabła gdzie go nie ma. Dziur obecnie
> jest mało. Wektory ataku zwykle bazują na socjotechnice. Tu brak dostępu
> do Internetu nie pomoże.

Pewnie generalizuję i tu masz zdecydowanie rację. Natomiast nie znam
sposobu na włamanie się do systemu przez Internet, który nie ma
galwanicznego połączenia z Internetem.

--
Robert Tomasik

do góry

W dniu 2020-10-04 o 11:41, Marcin Debowski pisze:
> On 2020-10-04, RadoslawF <r...@g...com> wrote:
>> W dniu 2020-10-04 o 03:14, Marcin Debowski pisze:
>>
>>>>>>> Poszukuję wyroku SN w którym stwierdza się, iż: "dysponentem tajemnicy
>>>>>>> lekarskiej jest pacjent, a nie szpital (lekarz)", który to wyrok
>>>>>>> zapadł po tym jak szpital odmówił wydania dokumentacji lekarskiej
>>>>>>> pacjenta.
>>>>>>> Okazuje się, ponadto, że pielęgniarki prowadzą odrębna, swoja
>>>>>>> dokumentację,
>>>>>>> medyczną i tam czasami można znaleźć "ciekawe" rzeczy.
>>>>>> O ile dysponentem tajemnicy jest pacjent, to dysponentem dokumentacji
>>>>>> już niekoniecznie.
>>>>> W jednym z gminnych ZOZów gdzie jest 7 przychodni POZ i jedna POZ +
>>>>> specjalistyczna, zmienili system komputerowy.
>>>>> Poprzedni system pozwalał pacjentowi zalogować się i widzieć, co lekarz
>>>>> zlecił i co wpisał w dokumentację medyczną, pisał skrótami, przeskokami
>>>>> myślowymi, ale można się było domyslić. Jak lekarz zlecił badanie krwi,
>>>>> to było widać jakie elementy z tej krwi, a po zmianie systemu pacjent
>>>>> nie ma tej informacji. Gdy pacjent zrobi badania, pójdzie do punktu
>>>>> pobrań, to wyniki widzi. Oczywiście lekarz też wyniki widzi. w ZOZ
>>>>> funkcjonuje elektroniczny system obiegu dokumentów, pacjent nie dostaje
>>>>> wydruków. Oczywiście np. skierowanie do specjalisty może otrzymać
>>>>> papierowo, aby zapisać się w innej przychodni NFZ poza tym gminnym ZOZem.
>>>>
>>>> Zajmuje się bezpieczeństwem systemów komputerowych i za dość nieostrożne
>>>> uważam udostępnienie takich informacji w sieci internetowej. o ile na
>>>> żądanie pacjenta można dane zapisać na nośniku (kartka, płyta) i dać mu,
>>>> o tyle nie ma stuprocentowych zabezpieczeń przed włamaniem się na tak
>>>> udostępniane konta.
>>>
>>> Zabiłeś właśnie internetową bankowość i min. kilkanaście innych,
>>> powszechnych usług dostępnych przez Internet, a związanych z
>>> przetwarzaniem wrażliwych danych.
>>
>> Nie bardzo.
>> Jest spora różnica między zabezpieczeniami banku a wiejskiej
>> przychodni.
>
> Da się zabezpieczyć. Oba. A skoro nic nie wiadomo o zabezpieczeniach to
> tez nie ma miejsca na kategoryczne stwierdzenia.

To szkoda że takiego użyłeś pisząc "Zabiłeś właśnie internetową bankowość".
Przeproś więc za swoje kategoryczne stwierdzenie i kończymy dyskusję.
:-)


Pozdrawiam

do góry

On 2020-10-04, Robert Tomasik <r...@g...pl> wrote:
> W dniu 04.10.2020 o 13:31, Marcin Debowski pisze:
>> Ogólnie: niepotrzebnie MZ szukasz diabła gdzie go nie ma. Dziur obecnie
>> jest mało. Wektory ataku zwykle bazują na socjotechnice. Tu brak dostępu
>> do Internetu nie pomoże.
>
> Pewnie generalizuję i tu masz zdecydowanie rację. Natomiast nie znam
> sposobu na włamanie się do systemu przez Internet, który nie ma
> galwanicznego połączenia z Internetem.

No ja również nie znam na włamanie się do systemu informatycznego,
którego w ogóle nie ma, ale czy to zoanacza, że nie powinno się takich
systemów używac?

--
Marcin

do góry