О медицинской тайне или кому нужна информационная безопасность?

У нас вследствие разгильдяйства, я сказал бы даже раздолбайства такого, которое превратилось уже в государственную угрозу

«У меня нечего взять, поэтому беспокоиться повода нет» — так думают не только обыватели, но и руководители непрофильного бизнеса. Если человек имеет свой мелкий бизнес и в excel ведет бухгалтерию убедить его заплатить за какую-то «ИБ», которая не приносит прибыли проблематично. Он так и будет надеяться на «авось». Ведь нарушение целостности\конфиденциальности\доступности может и не произойти, тогда зачем платить? Каждая российская компания, подвергнувшаяся кибератаке, теряет в среднем 3,3 миллиона долларов за год. Об этом говорится в отчете Hewlett-Packard, который компания огласила на мероприятии HP Security media day

А если «авось не прокатит», то к чему это приведет? Приведу пример из жизни.Как и многим живым людям довелось как-то сдавать медицинские анализы в одной крупной лаборатории. И как «фишка» там есть услуга «результаты онлайн». Довольно удобно, когда не приходится ехать за результатами.В качестве учетной записи используется фамилия, и номер договора. Соединение на сайте через https.840c75793dd148ee9ff7cb156a955679.pngВесь процесс не вызывал настороженности, пока не посмотрел в адресную строку.

https://****/print/search_ready_one/? id=111111

111111 это номер моего договора в открытом виде. Поставив в адресную строку номер договора от других анализов я увидел результаты без авторизации и указания фамилии. А что мне помешало посмотреть чужие результаты? Только совесть. Т.е. ни сессия авторизации, ни скрытие идентификаторов не проводилось.

В очередной поход в лабораторию я попросил девочек что бы они передали руководству о том, что не красиво нарушать закон о медицинской тайне текст закона).

Через некоторое время опять пришлось посмотреть свои результаты. Вот что я увидел в адресной строке:

https://*******/print/search_ready_one/? id=T1dRMU5EWjBaMlJtWjJabk9XNXVOVFprWm1kdWFURXhNVEV4TVRGMWFYTmtaakV4TVc5c2F6az0=&archive=1NGQ1NDZ0Z0‚mZ2ZnNG5uNTZkZmduaTE5NTQyMjR1aXNkZjExMW9sazQ=

Ну думаю молодцы какие. Захешировали, закодировали. Но интерес взял свое и строчку я таки закинул в декодер base64.Получилось:

OWQ1NDZ0Z2RmZ2ZnOW5uNTZkZmduaTExMTExMTF1aXNkZjExMW9sazk=

Опять base64? Странно. Еще раз:

9d546tgdfgfg9nn56dfgni1111111uisdf111olk9

Где 1111111 номер договора. А остальные цифры? Пока не ясно. Меняю номер договора на номер другого исследования остальное не трогаю, кодирую дважды и получаю результаты другого исследования опять в явном виде без авторизации!

В результатах указывается полностью ФИО номер телефона. Для злоумышленников количество сценариев не ограничено: — фишинг -представиться врачом заставить купить суперлекарство с доставкой на дом.-шантаж -сдавали на половые инфекции? А жена знает? И т.д…

Заключение. Как минимум мне не приятно. Когда такая деликатная сторона моей жизни как медицина доступна третьим лицам.Да и на сегодняшний день ситуация не поменялась, хотя прошло больше года.О чем хотелось бы спросить у сообщества: Как часто вы оставляете личные данные разным организациям? Кто и как на ваш взгляд должен обеспечивать конфиденциальность ваших данных? Есть 152 ФЗ (текст закона), но кто должен следить за его исполнением? С какими случаями неаккуратного обращения с вашими данными вы сталкивались? Кто занят в веб-разработке почему такие, не побоюсь этого слова, профнепригодные веб-разработчики имеют заказы?

© Habrahabr.ru