О медицинской тайне или кому нужна информационная безопасность?
У нас вследствие разгильдяйства, я сказал бы даже раздолбайства такого, которое превратилось уже в государственную угрозу
«У меня нечего взять, поэтому беспокоиться повода нет» — так думают не только обыватели, но и руководители непрофильного бизнеса. Если человек имеет свой мелкий бизнес и в excel ведет бухгалтерию убедить его заплатить за какую-то «ИБ», которая не приносит прибыли проблематично. Он так и будет надеяться на «авось». Ведь нарушение целостности\конфиденциальности\доступности может и не произойти, тогда зачем платить? Каждая российская компания, подвергнувшаяся кибератаке, теряет в среднем 3,3 миллиона долларов за год. Об этом говорится в отчете Hewlett-Packard, который компания огласила на мероприятии HP Security media day
А если «авось не прокатит», то к чему это приведет? Приведу пример из жизни.Как и многим живым людям довелось как-то сдавать медицинские анализы в одной крупной лаборатории. И как «фишка» там есть услуга «результаты онлайн». Довольно удобно, когда не приходится ехать за результатами.В качестве учетной записи используется фамилия, и номер договора. Соединение на сайте через https.
Весь процесс не вызывал настороженности, пока не посмотрел в адресную строку.
https://****/print/search_ready_one/? id=111111
111111 это номер моего договора в открытом виде. Поставив в адресную строку номер договора от других анализов я увидел результаты без авторизации и указания фамилии. А что мне помешало посмотреть чужие результаты? Только совесть. Т.е. ни сессия авторизации, ни скрытие идентификаторов не проводилось.
В очередной поход в лабораторию я попросил девочек что бы они передали руководству о том, что не красиво нарушать закон о медицинской тайне текст закона).
Через некоторое время опять пришлось посмотреть свои результаты. Вот что я увидел в адресной строке:
https://*******/print/search_ready_one/? id=T1dRMU5EWjBaMlJtWjJabk9XNXVOVFprWm1kdWFURXhNVEV4TVRGMWFYTmtaakV4TVc5c2F6az0=&archive=1NGQ1NDZ0Z0‚mZ2ZnNG5uNTZkZmduaTE5NTQyMjR1aXNkZjExMW9sazQ=
Ну думаю молодцы какие. Захешировали, закодировали. Но интерес взял свое и строчку я таки закинул в декодер base64.Получилось:
OWQ1NDZ0Z2RmZ2ZnOW5uNTZkZmduaTExMTExMTF1aXNkZjExMW9sazk=
Опять base64? Странно. Еще раз:
9d546tgdfgfg9nn56dfgni1111111uisdf111olk9
Где 1111111 номер договора. А остальные цифры? Пока не ясно. Меняю номер договора на номер другого исследования остальное не трогаю, кодирую дважды и получаю результаты другого исследования опять в явном виде без авторизации!
В результатах указывается полностью ФИО номер телефона. Для злоумышленников количество сценариев не ограничено: — фишинг -представиться врачом заставить купить суперлекарство с доставкой на дом.-шантаж -сдавали на половые инфекции? А жена знает? И т.д…
Заключение. Как минимум мне не приятно. Когда такая деликатная сторона моей жизни как медицина доступна третьим лицам.Да и на сегодняшний день ситуация не поменялась, хотя прошло больше года.О чем хотелось бы спросить у сообщества: Как часто вы оставляете личные данные разным организациям? Кто и как на ваш взгляд должен обеспечивать конфиденциальность ваших данных? Есть 152 ФЗ (текст закона), но кто должен следить за его исполнением? С какими случаями неаккуратного обращения с вашими данными вы сталкивались? Кто занят в веб-разработке почему такие, не побоюсь этого слова, профнепригодные веб-разработчики имеют заказы?
