Kad dugogodišnja medicinska sestra završi u svijetu cybersigurnosti

Kad dugogodišnja medicinska sestra završi u svijetu cybersigurnosti

Kako se kaže - znatiželja je ubila mačku. Mene je moja dovela do svijeta online sigurnosti, infosecurityja ili kako je općepoznato u narodnom žargonu - cybersecurityja. No, kako sam kao medicinska sestra završila u svijetu sigurnosti i što sam putem naučila o propustima koji se svakodnevno rade?

Osim što sam medicinska sestra, bila sam agentica, a i prodavala sam cipele u veleprodaji. Samim time sam se i upoznala sa svijetom PR-a i marketinga, što mi je kasnije poprilično poslužilo u istraživanju vezanom uz očuvanje privatnosti i sigurnosti u zdravstvu. Samo pomislite na marketing vezan uz medicinske aparate, lijekove, inovacije, sve popularniji IoT, skupljanje podataka, čime se bolnice, a i pacijenti, nerijetko izlažu nepotrebnom riziku. Počevši od preprodaje njihovih medicinskih podataka u marketinške svrhe do pružanja mogućnosti da previše kriminalaca može ući u sigurnosni sustav bolnica, čime se može ugroziti i život pacijenata koji nemaju toliko veliko tehničko znanje na polju cybersigurnosti.

Jedan od još uvijek najpopularnijih načina hakiranja podataka je korištenje social engineeringa, jer su ljudske greške i nehajnost u njihovom ponašanju na internetu još uvijek jedan od najvećih uzroka curenja podataka. Sjetimo se samo eksperimenta o tome što se o jednoj osobi može doznati u samo nekoliko sati pretraživanja na internetu.

Sve je počelo ljudskim nehajem

Od toga je sve i počelo, ljudskog nehajnog ponašanja na internetu. Kao medicinska sestra radim već više od 20 godina na poziv po nizozemskim bolnicama. Digitaliziranjem bolnica i uvođenjem računala svima se omogućio pristup medicinskoj dokumentaciji – i internetu.

Naravno, svatko od osoblja dobio je svoj profil i lozinke, a time je mogao surfati po internetu koliko god želi. U početku (doista davno) bilo je moguće i preuzimanje filmova koristeći bolnička računala pa čak i medicinske aparate.

Kako sam radila na poziv, obišla sam puno bolnica i zdravstvenih ustanova i od gotovo svih kolega dobivala njihove lozinke kako bih se mogla ulogirati – ili su jednostavno po računalima lijepili na papiru ispisane podatke za prijavu. Vrlo sam brzo shvatila koliko je to u principu opasno, jer osim uvida u svu medicinsku dokumentaciju, imala sam uvid i u privatne informacije kolega kao što su platne liste, adresa, brojevi osiguranja… Kao i e-mail adrese svih zaposlenih u toj bolnici. Osim uvida, mogla sam i raditi pod profilom kolege te promijeniti razne informacije vezane uz pacijente te time ugroziti i pacijenta i kolegu.

U svemu sam ovome otkrila i koliko su lozinke smiješno lake za pogađanje/hakiranje koristeći social engineering.

Što je s medicinskim strojevima povezanima s internetom?

Pokušavajući pojasniti kolegama da ne trebaju olako davati svoje pristupne podatke, počela sam se sve više udubljivati u situaciju u zdravstvu vezanu uz privatnost i sigurnost, ne samo medicinskih podataka, već i sigurnosti strojeva. Naime, strojevi se redovno kontroliraju putem računala, odnosno iz raznih razloga povezani su s njima.
Poznavajući medicinsku stranu, teoriju i praksu, počela sam se zanimati oko toga što je sve moguće napraviti ako se računala i medicinski strojevi hakiraju. Uz pomoć dosta ljudi iz infosecurity zajednice, koji su mi pokazali što je sve moguće, kao i linkova koje su mi redovno slali, shvatila sam da je stanje zaista alarmantno.

Kao neko tko je uvijek bio tehnički nastrojen i uviđao mogućnosti tehnike u zdravstvu, zanimale su me i inovacije u ovoj grani, kao i IoT. Nažalost, tu sam primijetila ne samo nezainteresiranost za privatnost, već i opet nehajnost za sigurnosti i, uz sve to, loš marketing. Vrlo brzo mi je postalo jasno da je većina ovih proizvoda napravljena čisto za prodaju – ne samo da nam nisu bili potrebni, nego su i ugrožavali privatnost i sigurnost pacijenata (a i nas zaposlenih).

Kucanje na mnoga vrata… Dok netko nije otvorio

Kako baš i nisam šutljiva, pokušala sam obavijestiti o tome nadležne, uglavnom IT odjele, ali sam nailazila na zatvorena vrata. Vjerojatno su mislili da jedna sestra nema baš nekog znanja na polju sigurnosti i nisu shvaćali da je to netko s “terena” tko im može pomoći.  😊

Ni sve organizacije koje se bave sigurnošću nisu u početku uzimale za ozbiljno moje priče, dok slučajno nisam stupila u kontakt s Women in Cyber i dobila podršku da svoju priču ispričam na konferencijama.

Osim toga, zajedno smo napravile istraživanje web stranica bolnica u Nizozemskoj, pokušale ih obavijestiti (ponovno negiranje medicinske sestre) i na kraju objavile istraživanje da bi se ukazalo na problem. Naravno, bez imenovanja bolnica, već samu statistiku.

Zaintrigirana ovim istraživanjem, istražila sam i 100 najboljih bolnica u Americi i poslala im izvještaje. U ovom je trenutku US-CERT zauzet daljim akcijama svih bolnica koje nisu reagirale.😊

U jednom je trenutku počela ozbiljnija komunikacija s dosta ljudi iz svijeta sigurnosti koji su podržavali ovu temu ili su se i sami bavili sigurnošću po bolnicama.

Problem je velik

Iz svih promatranja i istraživanja došla sam do zaključka da je problem ogroman:

  • Organizacije/bolnice redovno nemaju nikoga tko se bavi sigurnošću.
  • Ako i imaju, to je jedna do dvije osobe, koje nemaju mnogo utjecaja na politiku i same ne mogu postići puno.
  • Strojevi su stari, imaju star i nezaštićen softver, ne rade se nadogradnje i “krpanja” i, naravno, spojeni su na neki internet, najčešće javni.
  • Lakoća se stavlja ispred sigurnosti.
  • Postoji needuciranost po pitanju privatnosti i sigurnosti ne samo medicinskog osoblja, već i drugih specijalnosti u zdravstvu.
  • Bolnice su ugrožene, njihovi su zaposlenici ugroženi, a i pacijenti, na više načina.

Iz svega ovoga lako se može zaključiti da su napadi putem ransomwarea i phishing vrlo lako ostvarivi. Posljedice su velike, počevši od bolnice preko zaposlenih pa sve do pacijenta.

Dok kirurg sluša Spotify prilikom operacije, brine li se o sigurnosti podataka?

Mislili smo da stari strojevi nisu dobro zaštićeni jer su stari i ne mogu se dobro zaštititi, ali što kažete na nove aparate koji se povezuju s javnim internetom tako da kirurzi mogu slušati Spotify i čitati privatni e-mail dok operiraju? Primjer je to jednog jako lošeg marketinga pri čemu je ovo realnost – stroj jest povezan s javnim internetom i time se dovodi rad na njemu u opasnost, jer kriminalac može preuzeti ili obustaviti rad aparata.

Osim toga, sve se više medicinskih aparata nepotrebno povezuje na internet tijekom cijelog dana, čime se dodatno ugrožava njegova sigurnost. Savjet ICS-CERT-a je da medicinski aparati budu povezani na internet samo za nadogradnju i popravke na daljinu, ali ne i 24/7. Također, ustanove moraju osigurati financijska sredstva za održavanje i nadogradnju medicinskih aparata, a hoće li to raditi osoblje zaposleno u bolnici ili neka vanjska tvrtka, manje je važno.

Tri anegdote za kraj

Priča prva. Svojevremeno su na bolničkim računalima onemogućili pristup stranicama putem kojih su se mogli preuzimati filmovi. Naravno, jedna je sestra iskoristila medicinski aparat i putem njega preuzimala filmove, tako da ga je osoblje i dalje moglo gledati.

Priča druga. Jednom sam upitala kolegicu zašto mi daje svoje podatke za prijavu. Ona mi reče da ne dramim, da mi vjeruje i da mi je to potrebno kako bih mogla raditi, dajući mi papirić na kojemu su napisani njeno korisničko ime i lozinka. Naravno, iziritirana, ali s osmjehom, okrenula sam se prema računalu i otvorila link pod imenom My work. Podsjetila sam je da putem te poveznice imam uvid u sve njene osobne podatke.

Papirić je odjednom nestao. Pitah je uz osmijeh: “Što sklanjaš papirić? Pa ti mi vjeruješ, zar ne?”

Ona se samo nasmijala i rekla: “OK, OK, shvatila sam poantu”. Nas smo dvije inače u dobrim odnosima.

Poslije ovakvih situacija većina je prestala davati svoje podatke drugima.

Priča treća. Zaboravna kakva jesam, kad promijenim lozinku, dogodi mi se da je i zaboravim. Tako sam nekoliko puta zvala IT odjel (raznih bolnica u kojima sam radila) i objasnila im situaciju. Osim odgovora na pitanje o tome koje mi je korisničko ime, nisu radili nikakvu dodatnu provjeru. Djelatnik bi mi u pravilu dao lozinku na lijep glas, ne znajući zapravo tko sam. 😊

Jelena će u petak, 8. rujna, na konferenciji o informacijskoj sigurnosti u Varaždinu, FSec, održati predavanje na temu posljedica nedostatka sigurnosti u bolnicama.

Pravila ponašanja

Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja držeći se sljedećih pravila ponašanja:

  • Ne budite 💩: Nema vrijeđanja, diskriminiranja, ni psovanja (osim ako nije osobni izričaj, ali onda neka psovka bude općenita, a ne usmjerena prema nekome)
  • Samo kvalitetna rasprava, manje trolanja: Ne morate se ni sa kim slagati, ali budite konstruktivni i doprinesite raspravi! Svako trolanje, flameanje, koliko god "plesalo" na granici, leti van.
  • Imenom i prezimenom, nismo Anonymous 👤: Autor sadržaja stoji iza svog sadržaja, stoga stojite i vi iza svog komentara. Koristimo ime i prezime (Hrvoje Lončar) ili barem ime i inicijala (Hrvoje L.) te pravu email adresu. Kako koristimo podatke koje tamo ostavljate? Bacite oko na našu izjavu o privatnosti.

Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Digitalni marketing

Digitalna industrija je u ku*cu, ali Social Dilemma je jeftina Skynet drama koja to ne zna reći

Social Dilemma nije više #1 izbor na Netflixu, a mnogi su već dali svoje mišljenje neovisno o tome jesu ga gledali. Ovo je kritički osvrt na odlično vizualno ostvarenje dokumentarca koji otvara mnoga pitanja, ali i isceniranu dramu o zlim društvenim mrežama koja daje malo odgovora - često površnih.

Startupi i poslovanje

Mate Rimac transparentno o financijama, svojoj plaći, kampusu i uključivanju radnika kao suvlasnika Rimac Automobila

U izuzetno dobrodošlom primjeru transparentnosti koji rijetko viđamo u svjetskoj, a kamoli hrvatskoj tehnološkoj industriji, Mate Rimac je na YouTubeu objavio sat vremena dug pregled izvještaja Rimac Automobila za treći kvartal 2020. Izdvajamo neke od zanimljivijih informacija.

Startupi i poslovanje

Bivši investitor u 500 Startups savjetuje hrvatske startupe: Akvizirajte klijente i korisnike od kojih ćete učiti!

Marvin Liao već 10 godina ulaže u startupe u srednjoj i istočnoj Europi, u zemljama poput Srbije i Ukrajine. U razgovoru za Netokracija Podcast daje praktične savjete za hrvatske tehnološke poduzetnike u doba pandemije!

Što ste propustili

Najava

Kako ostvariti developersku karijeru u Osijeku – saznaj 30.11. uz domaće IT stručnjake!

Hrvatska IT scena ne gradi se samo u Zagrebu! Zato ova Digitalna karijera ide u Osijek. Kako razviti IT karijeru i u drugim gradovima Hrvatske saznat ćemo uz tvrtke koje upravo tamo traže pojačanje.

Startupi i poslovanje

Hrvatsko-slovenski Mercury PSI i danski Nets skupa kreću u digitalizaciju plaćanja diljem Europe

Biometrijske isprave, beskontaktna plaćanja i društvo bez gotovine: sve su ovo ideje koje nam dolaze iz danskog Netsa, a odnedavno ih razvijaju i domaći stručnjaci iz Nets CEE.

Novost

47.000 korisničkih računa s domene .hr je kompromitirano, provjerite jesu vaši među njima!

Određeni broj lozinki pojedinih korisnika nalazi se u čistom tekstualnom obliku i one nisu ni na koji način zaštićene te ih je moguće veoma jednostavno iskoristiti.

Novost

Amazon nije “ušao u Hrvatsku”, dostupan je godinama, novost je samo (možda) veća ponuda za Hrvate

Jučer i danas čitamo vijesti o trijumfalnom dolasku Amazona u Hrvatsku. Ništa nije potvrđeno, a čini se da smo samo dobili nešto bolju ponudu.

Vodič

Kupujete online? Prvo provjerite je li web trgovina sigurna – evo i kako!

Vaš prvi korak do proizvoda koji želite su web trgovine. Neke će vam biti manje jednostavne za korištenje, neke više - ali za svaku od njih trebate znati je li sigurna prije nego kliknete "Kupi". Donosimo par savjeta kako ih lako možete provjeriti...

Intervju

CTO Shoutema Tara Oroz Rajaković: Tata je “kriv” što sam upisala FER

"Mnogi se često čude tome da sam nakon jezične gimnazije završila na tehničkom fakultetu."