Kaip atskleidė vienas redakcijai pateiktas viešas internauto nusiskundimas feisbuke, sergu.lt prisijungimo slaptažodį galima sužinoti telefonu susisiekus su šios svetainės valdytojais ir paprašius pamirštąjį slaptažodį priminti. O valdytojai gali „pasufleruoti“ tą užmirštąjį slaptažodį.
Kitaip tariant, slaptažodžio „priminimas“ vyksta su tarpininko – žmogaus – pagalba. Su neribota žmogaus prieiga prie visų tokiu nešifruotu būdu saugomų vartotojų prisijungimų. Ir nors formaliai teigiama, kad yra saugiklių, apsaugančių nuo lengvabūdiško ar piktavališko svetainės administratorių elgesio, faktiškai tai yra toli gražu nepakankama. Nes kas gali garantuoti, kad slaptažodžio nepraras pats administratorius ir visi prisijungimo duomenys nepateks į piktavalių asmenų rankas?
Anot sistemą vysčiusios įstaigos – Vilniaus universiteto ligoninės Santaros klinikos (VULSK) – Informatikos ir plėtros centro vadovo Rolando Bėronto, IPR (sergu.lt) sistema, kurios dalis yra vartotojų autorizacija, pradėta kurti 2005 m. gavus Europos Sąjungos finansavimą bei įvykdžius viešojo pirkimo procedūras. Sistemos paskirtis – išankstinis pacientų registravimas internetu apsilankymams pas įvairių specializacijų gydytojus įvairiose gydymo įstaigose.
Šiuo metu „sergu.lt“ svetainė gyvuoja paskutinius savo mėnesius: išankstinės pacientų registracijos sistema yra integruojama į didesnės apimties e.sveikatos sistemą. O tol, kol integracija nėra baigta, veiks ir sergu.lt – Registrų centro, valdančio e.sveikatos sistemą, atstovo teigimu, tai turėtų būti padaryta iki metų pabaigos.
Iki metų pabaigos, panašu, žiojės ir dabartinės kibernetinio saugumo bei darbo protokolų spragos. Nes VULSK nusiplauna rankas. „Nuo 2015 m. papildomo finansavimo sergu.lt sistemos modernizavimui VšĮ Vilniaus universiteto ligoninė Santaros klinikos negavo, o nuo 2019-01-01 pagrindiniu tvarkytoju paskirtas VĮ Registrų centras“, – komentare 15min rašė R.Bėrontas.
Jis taip pat nurodė, kad 2005 metais, kai ši sistema buvo kuriama, prievolės slaptažodžius saugoti šifruotai dar nebuvo, o į ISO standartus, apibrėžiančius asmens informacijos saugumą, atsižvelgti nebūtina, nes „ISO standartai tik apibrėžia gaires ar rekomendacijas“, – sakė R.Bėrontas.
R.Bėrontas nurodė, kad paskutinio atnaujinimo metu naudotojams buvo suteikta galimybė prie IPR sistemos prisijungti pasinaudojus E. valdžios vartų sistema. Tokių naudotojų prisijungimo slaptažodžių sergu.lt nesaugo.
2015 metais, kai buvo vykdomas dalinis sergu.lt vartotojų autentifikavimo sistemos atnaujinimas, priverstinio visų vartotojų migravimo prie saugesnių prisijungimo priemonių naudojimo buvo atsisakyta „siekiant palikti galimybę sistema naudotis kuo platesniam naudotojų ratui, ypač senyvo amžiaus pacientams, kurie neturi mobilaus ar elektroninio parašo, nesinaudoja elektronine bankininkyste“.
Paklausus, kodėl nešifruotų slaptažodžių sistemos naudojimas nebuvo nutrauktas įsigaliojus BDAR reglamentui, R.Bėrontas teigė: „Sustabdžius šios sistemos veiklą, būtų sustabdyta labai reikalinga paslauga gyventojams ir reikšmingai trukdytų gydymo įstaigų darbo organizavimą. Pacientams, tokiu atveju, beliktų vienintelė galimybė užsiregistruoti vizitui pas gydytoją tik prisiskambinus į praktiškai nuolatos užimtus gydymo įstaigų registratūrų telefonus“.
Taip pat jis pažymėjo, kad BDAR numato pareigą taikyti tinkamas technines ir organizacines priemones duomenų apsaugai užtikrinti ir nėra nustatytų reikalavimų slaptažodžius saugoti būtent šifruotu pavidalu. Vertintina, kad slaptažodžio atskleidimo ar nutekinimo riziką galima sumažinti taikant ir kompensacines saugos priemones (visos duomenų bazės šifravimą, administratoriaus atliekamų veiksmų kontrolę ir pan.).
Ekspertai kritikos negailėjo
Asmens duomenų apsaugos klausimais konsultuojantis teisininkas, verslo teisės advokatų kontoros „Invent“ partneris ir vadovas Mindaugas Kiškis nurodė, kad lėšų negavimas nuo atsakomybės tikrai neatleidžia. „Gėda už VULSK, nes jie turėtų būti kelrodis visoms sveikatos priežiūros įstaigoms“, – sakė advokatas.
„Taip negali būti, jokiu būdu. Ypač rimtose sistemose. Man nelabai suvokiama kaip tokią sistemą kažkas galėjo priimti į eksploataciją... 2015 m. jau buvo pilna dviejų veiksnių autentifikavimo technologijų. O jei sistema vis dar nėra sutvarkyta, tai tokias senas prieigas reikia trinti ar bent jau nenaudoti, argumentas kad tai sena sistema, yra niekinis“, – išgirdęs apie sergu.lt situaciją sakė buvęs „Microsoft Lietuva“ vadovų komandos narys, dabar „Privacy Partners“ vadovas Martynas Bieliūnas.
Kaip turėtų vykti slaptažodžio atkūrimas?
Šiuo metu sergu.lt siūlo keturis prisijungimo prie sistemos būdus: su telefono numeriu ir slaptažodžiu, per „Facebook“ paskyrą, per „Google+“ paskyrą ir per Elektroninius valdžios vartus.
Jeigu norite jungtis su telefono numeriu ir slaptažodžiu, bet slaptažodį pamiršote, straipsnio rašymo metu galėjote pamatyti, kad slaptažodžio atkūrimo sistema yra sutrikusi ir lankytojams siūloma arba kreiptis į administratorius elektroniniu paštu info@sergu.lt, arba tiesiogiai skambinti į įstaigą, kurioje pageidaujama registruotis.
Tokį patį pasiūlymą – pamiršus slaptažodį rašyti laiškus – pamatė ir feisbuko komentaro autorius, nenorėjęs situacijos komentuoti plačiau, nei ji aprašyta socialiniame tinkle ir paprašęs neatskleisti jo tapatybės.
Toks svetainės atsakas į skundą, kad senas slaptažodis yra užmirštas, toli gražu nėra tipinis: įprastu atveju pagalba naudotojui teikiama jo registruotu el.pašto adresu atsiunčiant nuorodą, kurią paspaudus leidžiama nurodyti naują slaptažodį. Taikant gerą kibernetinio saugumo praktiką esamo slaptažodžio priminimas atskirai neturi būti įmanomas – teoriškai slaptažodis paslaugos teikėjo tarnybinėje stotyje turėtų būti saugomas vienkrypčiu maišos (angl. hash) būdu užšifruoto kodo pavidalu.
Figos lapelis – konfidencialumo sutartis
„Informuojame, kad sergu.lt sistemos administratorius turi galimybę matyti naudotojų duomenis. Tokia galimybė yra būtina, siekiant užtikrinti sklandų sistemos funkcionavimą, išspręsti kylančias problemas. Pažymėtina, kad sistemos administratoriaus veiksmai sistemoje yra fiksuojami. Siekiant užtikrinti duomenų saugą, administratorius yra pasirašęs duomenų konfidencialumo pasižadėjimą, apmokytas duomenų saugos klausimais“, – rašė R.Bėrontas.
M.Bieliūno teigimu, toks požiūris yra ydingas: „Normalioje sistemoje prieiga prie vartotojo duomenų turi būti suteikiama tik tiems, kas su jais tiesiogiai dirba, t. y., šiuo atveju konkretiems gydytojams, o ne sistemų administratoriui. Kaip, pavyzdžiui, teikiant elektroninio pašto paslaugą: administratorius gali pakeisti slaptažodį, bet negali pamatyti sistemos turinio. Kitaip atsiranda galimybė atlikti veiksmus už vartotoją. Taip nesilaikoma „privacy by design“ principo“.
„Ir kas bus jei, pavyzdžiui, nulaužiamas administratoriaus prisijungimas? Hakeriai laikysis pasirašytų konfidencialumo sutarčių? Baikit, nemanau“, – ironizavo M.Bieliūnas.
„Registrų centras“: galimybių perkelti nebuvo
Atsakant į 15min klausimą, kodėl valstybinė įmonė „Registrų centras“, formaliai perėmusi sergu.lt valdymą, nenutraukė blogosios praktikos – prisijungimo su slaptažodžiais, kurie nėra šifruojami – atsakė: „Prie portalo sergu.lt yra prisijungusios daugiau kaip 140 įstaigų, pati sistema yra pernelyg glaudžiai susijusi su ją kūrusios Santaros klinikų informacinėmis sistemomis ir todėl nebuvo galimybių jos perkelti į Registrų centro tvarkomą Elektroninės sveikatos paslaugų ir bendradarbiavimo informacinę sistemą (ESPBI IS, geriau žinomą kaip e. sveikatos portalą)“.
Dėl to priimtas sprendimas kurti visiškai naują Išankstinės pacientų registracijos informacinę sistemą (IPR IS), o kol ji bus sukurta ir įdiegta, palikti veikiančią sergu.lt sistemą, kad pacientai jos pagalba galėtų toliau registruotis pas gydytojus.
„Šiuo metu sergu.lt sistema yra atnaujinama – integruojama su nacionaline e. sveikatos sistema. Palaipsniui prie nacionalinės Išankstinės pacientų registracijos informacinės sistemos (IPR IS) pradeda jungtis sveikatos priežiūros įstaigos. Registrų centras šiuo metu diegia naujus funkcionalumus susijusius su pacientų eilių valdymu. Kuriant naująją sistemą ypatingas dėmesys skiriamas duomenų saugumui, todėl pacientai naujajame portale pas gydytojus galės užsiregistruoti tik prisijungę per elektroninius valdžios vartus ar su elektroniniu parašu“, – rašoma „Registrų centro“ komentare.
Valstybinė duomenų apsaugos inspekcija konkretaus atvejo nekomentuoja
„Valstybinė duomenų apsaugos inspekcija dėl „sergu.lt“ prisijungimo slaptažodžių administravimo skundų nebuvo gavusi, todėl, neturėdama konkrečios informacijos apie duomenų tvarkymo operacijas, negali iš anksto konstatuoti, ar Jūsų nurodytu konkrečiu atveju buvo padarytas Bendrojo duomenų apsaugos reglamento pažeidimas (BDAR)“, – rašoma VDAI atsakyme.
Tačiau inspekcijos atstovas – teisės skyriaus vedėjas Egidijus Verenius – nurodė, kad asmens duomenų tvarkymas laikomas teisėtu, jeigu jis atitinka asmens duomenų tvarkymo principus, įtvirtintus BDAR.
„BDAR įtvirtintas vientisumo ir konfidencialumo principas (BDAR 5 straipsnio 1 dalies f punktas) numato, kad asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo. BDAR numato pareigą, atsižvelgiant į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas duomenų, tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, įgyvendinti tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas. Šios priemonės prireikus peržiūrimos ir atnaujinamos (BDAR 24 straipsnio 1 dalis, 32 straipsnio 1 dalis)“, – rašė E.Verenius.
Anot jo, saugumo priemonės gali apimti, jei reikia: pseudonimų suteikimą asmens duomenims ir jų šifravimą; gebėjimą užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą; reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo procesą ir kt. Svarbu pastebėti, kad prieigų kontrolė ir autentifikavimas yra esminiai saugos reikalavimai, siekiant apsisaugoti nuo neautorizuotos prieigos prie IT sistemos, kurioje yra apdorojami asmens duomenys. Pažymėtina, kad asmens duomenų tvarkymo saugumo priemones pasirenka pats duomenų valdytojas.
Teisininkas atkreipė dėmesį ir į tai, kad, pagal BDAR, specialių kategorijų asmens duomenys (įskaitant sveikatos duomenis) yra jautresni duomenys, todėl jų tvarkymui reikalaujama daugiau apsaugos, pavyzdžiui, laikytis pritaikytosios duomenų apsaugos, kaip antai į duomenų tvarkymą integruoti būtinas apsaugos priemones, kad jis atitiktų BDAR reikalavimus ir apsaugotų duomenų subjekto teises ir kt.
„Taigi duomenų valdytojas, tvarkydamos asmens duomenis, privalo įgyvendinti tinkamas technines ir organizacines priemones atsižvelgiant į asmens duomenų tvarkymo aplinkybes ir pasirinkti tinkamas saugumo priemones“, – nurodė VDAI teisės skyriaus vedėjas.
Šiuo atveju – kuomet vartotojų slaptažodžiai ne tik matomi tekstiniu pavidalu, bet ir matomi sistemos administratoriams, ir sufleruojami skambinantiems asmenims, vargu ar galima kalbėti apie tinkamas technines asmens duomenų apsaugos užtikrinimo priemones ar užtikrinimą, kad prie šių duomenų neprieis asmenys, kuriems tie duomenys nėra būtini.