Po skandalo „Grožio chirurgijos“ klinikose siunčia blogą žinią ir kitų medicinos įstaigų pacientams

Po to, kai programišiai nugvelbė Kauno „Grožio chirurgijos“ klinikų klientų asmeninius duomenis ir intymias nuotraukas, kitų medicinos įstaigų savininkai susizgribo pasirūpinti saugumu. Jie nusamdė saugumo specialistus, kad šie išsiaiškintų galimas spragas ir padėtų jas ištaisyti. Paaiškėjo, kad nerimas turėjo pagrindo: jau pirmieji patikrinimai parodė, kad gauti klientų duomenis yra vieni juokai. Ir tam net nereikia įmantrių priemonių – užtenka pasikinkyti liežuvį. 

Įgauti medicinos įstaigos personalo pasitikėjimą daug pastangų nereikėjo.<br> 123rf nuotr.
Įgauti medicinos įstaigos personalo pasitikėjimą daug pastangų nereikėjo.<br> 123rf nuotr.
Daugiau nuotraukų (1)

Lrytas.lt

May 25, 2017, 1:21 PM, atnaujinta May 25, 2017, 1:53 PM

Saugumo ekspertų paslaugas užsakė privačių Lietuvos medicinos įstaigų savininkai. Pirmiausia nuspręsta atlikti vadinamuosius socialinės inžinerijos eksperimentus. Paprasčiau sakant, atėję į tam tikrą įstaigą specialistai siekia bendraudami išgauti naudingą informaciją. 

Paaiškėjo, kad medicinos įstaigų personalas – ypač draugiškas ir atviras, o klientų asmens duomenų saugumui prioriteto neteikia. Specialistai vos per kelias minutes sugebėjo išgauti visą informaciją apie pacientus – jų asmens kodus, ligos istoriją, išrašytus vaistus, atliktus tyrimus, pamatyti tyrimų nuotraukas. Maža to, jie visą šią informaciją atskleidė visiškai svetimam asmeniui, kuris net neparodė asmens dokumento. 

Tai konferencijoje „Login“ paskelbęs IT ekspertas Marius Pareščius teigė, kad įgauti personalo pasitikėjimą daug pastangų nereikėjo – vieno asmens paklausus, kokia organizacija prižiūri įstaigos kompiuterius, užteko kitam prisistatyti tos organizacijos darbuotoju, atliekančiu darbo kokybės vertinimą. 

„Mes važiuojame į tam tikras medicinos įstaigas, bendraujame su jų darbuotojais ir bandome suprasti, kokios jiems mokomosios medžiagos reikia, kaip juos reikia apmokyti, kad jie, atėjus svetimam žmogui, neišduotų jokios informacijos. Klasikinis sekretorės ar administratorės darbo variantas: pamatei, kad atėjo svetimas žmogus, prašai asmens dokumento, įgaliojimo, skambini vadovui, atsiklausi, ar tikrai toks žmogus turėjo ateiti. Jei turėjo – išsiaiškini, kokia apimtimi gali su juo šnekėti, ką gali jam atskleisti, ir tik tada teiki duomenis, informaciją. O dabar viskas atvira, gali bendrauti apie bet ką ir bet kur.

Vertinant tai, kaip dabar jie bendrauja, matyti, kad jiems niekas tokių žinių nesuteikė. Medicinos įstaigų vadovai nė neįsivaizdavo, kad yra tokia problema. Čia pagrindinė bėda. Jie dabar pamatė, kad yra rizika prarasti labai daug asmens duomenų, kurie labai svarbūs: kuo žmogus sirgo, kokius vaistus jam išrašė, medicinos tyrimus, nuotraukas... O ką, jei visa tai atsirastų viešojoje erdvėje arba tiesiog dingtų?“ – portalui lrytas.lt sakė M.Pareščius. 

Taip pat IT saugumo specialistai tikrina medicinos įstaigų kompiuterinių sistemų ir ryšių tinklų saugumą. M.Pareščiaus teigimu, dabar įsilaužti iš išorės yra kur kas sunkiau, nes šiomis apsaugos priemonėmis bent jau jų tikrinamos įstaigos pasirūpino. Užtat vidinio tinklo saugumu pasirūpinta ne visais atvejais. 

Paprasčiausias būdas į jį įsilaužti – per vietinį „WiFi“ ryšį. 

„Pavyzdžiui, įstaigoje yra „WiFi“ ryšys ir vienas iš prisijungimų – be slaptažodžio. Arba pasitelki elementarią socialinę inžineriją: kreipiesi į administratorę, pasakai, kad nemokamas „WiFi“ neveikia, o tau čia reikės ilgai laukti, ir paprašai prisijungimo prie kito tinklo. Gražiai šnekant, darbuotojas duoda. Ir tu jau vidiniame tinkle. Mes tai jau tikrinome, visa tai veikia. Dauguma atvejų užtenka šnekėti – nereikia jokio spaudimo, jokių daiktų rodyti, kartais net savo įrangos nereikia – užtenka telefono“, – teigė IT ekspertas. 

Anot jo, kuo toliau, tuo programišių įgūdžių reikės mažiau: „Aš manau, kad dar turėsime didelių bėdų. Nereikės jokių įsilaužėlių – kas nors ateis ir išsineš tuos duomenis.“

UAB „Lrytas“,
Gedimino 12A, LT-01103, Vilnius.

Įm. kodas: 300781534
Įregistruota LR įmonių registre, registro tvarkytojas:
Valstybės įmonė Registrų centras

lrytas.lt redakcija news@lrytas.lt
Pranešimai apie techninius nesklandumus webmaster@lrytas.lt

Atsisiųskite mobiliąją lrytas.lt programėlę

Apple App Store Google Play Store

Sekite mus:

Visos teisės saugomos. © 2022 UAB „Lrytas“. Kopijuoti, dauginti, platinti galima tik gavus raštišką UAB „Lrytas“ sutikimą.