Saugumo ekspertų paslaugas užsakė privačių Lietuvos medicinos įstaigų savininkai. Pirmiausia nuspręsta atlikti vadinamuosius socialinės inžinerijos eksperimentus. Paprasčiau sakant, atėję į tam tikrą įstaigą specialistai siekia bendraudami išgauti naudingą informaciją.
Paaiškėjo, kad medicinos įstaigų personalas – ypač draugiškas ir atviras, o klientų asmens duomenų saugumui prioriteto neteikia. Specialistai vos per kelias minutes sugebėjo išgauti visą informaciją apie pacientus – jų asmens kodus, ligos istoriją, išrašytus vaistus, atliktus tyrimus, pamatyti tyrimų nuotraukas. Maža to, jie visą šią informaciją atskleidė visiškai svetimam asmeniui, kuris net neparodė asmens dokumento.
Tai konferencijoje „Login“ paskelbęs IT ekspertas Marius Pareščius teigė, kad įgauti personalo pasitikėjimą daug pastangų nereikėjo – vieno asmens paklausus, kokia organizacija prižiūri įstaigos kompiuterius, užteko kitam prisistatyti tos organizacijos darbuotoju, atliekančiu darbo kokybės vertinimą.
„Mes važiuojame į tam tikras medicinos įstaigas, bendraujame su jų darbuotojais ir bandome suprasti, kokios jiems mokomosios medžiagos reikia, kaip juos reikia apmokyti, kad jie, atėjus svetimam žmogui, neišduotų jokios informacijos. Klasikinis sekretorės ar administratorės darbo variantas: pamatei, kad atėjo svetimas žmogus, prašai asmens dokumento, įgaliojimo, skambini vadovui, atsiklausi, ar tikrai toks žmogus turėjo ateiti. Jei turėjo – išsiaiškini, kokia apimtimi gali su juo šnekėti, ką gali jam atskleisti, ir tik tada teiki duomenis, informaciją. O dabar viskas atvira, gali bendrauti apie bet ką ir bet kur.
Vertinant tai, kaip dabar jie bendrauja, matyti, kad jiems niekas tokių žinių nesuteikė. Medicinos įstaigų vadovai nė neįsivaizdavo, kad yra tokia problema. Čia pagrindinė bėda. Jie dabar pamatė, kad yra rizika prarasti labai daug asmens duomenų, kurie labai svarbūs: kuo žmogus sirgo, kokius vaistus jam išrašė, medicinos tyrimus, nuotraukas... O ką, jei visa tai atsirastų viešojoje erdvėje arba tiesiog dingtų?“ – portalui lrytas.lt sakė M.Pareščius.
Taip pat IT saugumo specialistai tikrina medicinos įstaigų kompiuterinių sistemų ir ryšių tinklų saugumą. M.Pareščiaus teigimu, dabar įsilaužti iš išorės yra kur kas sunkiau, nes šiomis apsaugos priemonėmis bent jau jų tikrinamos įstaigos pasirūpino. Užtat vidinio tinklo saugumu pasirūpinta ne visais atvejais.
Paprasčiausias būdas į jį įsilaužti – per vietinį „WiFi“ ryšį.
„Pavyzdžiui, įstaigoje yra „WiFi“ ryšys ir vienas iš prisijungimų – be slaptažodžio. Arba pasitelki elementarią socialinę inžineriją: kreipiesi į administratorę, pasakai, kad nemokamas „WiFi“ neveikia, o tau čia reikės ilgai laukti, ir paprašai prisijungimo prie kito tinklo. Gražiai šnekant, darbuotojas duoda. Ir tu jau vidiniame tinkle. Mes tai jau tikrinome, visa tai veikia. Dauguma atvejų užtenka šnekėti – nereikia jokio spaudimo, jokių daiktų rodyti, kartais net savo įrangos nereikia – užtenka telefono“, – teigė IT ekspertas.
Anot jo, kuo toliau, tuo programišių įgūdžių reikės mažiau: „Aš manau, kad dar turėsime didelių bėdų. Nereikės jokių įsilaužėlių – kas nors ateis ir išsineš tuos duomenis.“
