Odgovorno razkritje ali neodgovorno nerazkritje

V lanskem letu se je v Sloveniji zgodil eden večjih incidentov na področju varstva osebnih podatkov v zdravstvu. V eni večjih slovenskih zdravstvenih ustanov niso bili ogroženi le osebni podatki zaposlenih, pač pa tudi osebni podatki pacientov. Dostopna je bila zdravniška dokumentacija, vključno z napotnicami, ki vsebujejo zelo občutljive osebne podatke pacientov. Vse skupaj je bilo široko odprto v splet, spletni strežnik zdravstvene ustanove pa sploh ni uporabljal HTTPS zaščitene povezave.

In zakaj javnost o tem incidentu ničesar ne ve? Preprosto zato, ker v Sloveniji prevladuje kultura skrivanja napak in pometanja le-teh pod preprogo. Namesto, da bi se o napakah pripravilo izčrpno poročilo, ki bi vsebovalo analizo zakaj je do napake prišlo, neodvisno oceno kakšen je bil obseg morebitne škode ter kateri ukrepi so bili sprejeti, da se zadeva ne ponovi, se podobne zgodbe v Sloveniji zaključi zgolj z nekaj splošnimi ugotovitvami. Namesto, da bi se poročilo javno objavilo, s čimer se bi se na podobne težave opozorilo tudi druge ter pokazalo kakšne bi morale biti dobre prakse na tem področju, se dokumente o takšnih incidentih skriva. Ne gre za to, da bi se iskalo krivce in izvajalo lov na čarovnice. Do napak vedno prihaja in bo prihajalo. Problem je pometanje pod preprogo in prikrivanje, posledično pa se enake napake pojavljajo vedno znova in znova.

In kar je še posebej zaskrbljujoče – pri tovrstni kulturi skrivanja žal sodelujejo tudi tiste institucije, ki bi pravzaprav morale biti prve med varuhi naših podatkov.

Pa si poglejmo konkreten primer. V septembru 2016 je Informacijski pooblaščenec prejel prijavo v kateri je bilo navedeno, da naj UKC Ljubljana ne bi ustrezno zavaroval osebnih in občutljivih osebnih podatkov na svoji spletni strani. Šlo je za spletno stran http://napotnica.kclj.si/, ki pacientom omogoča prijavljanje na preglede v UKC Ljubljana preko spleta. Preko spletne strani, ki sploh ni zaščitena preko HTTPS povezave (!), pacienti UKC Ljubljana posredujejo svoje osebne podatke, vključno s skeniranimi napotnicami.

Inšpekcijski pregled, ki je bil opravljen 9. septembra 2016 je pokazal, da je bilo s preprosto spremembo URL naslova mogoče odpreti “podstran, ki vsebuje osebne podatke zaposlenih in sicer ime in priimek in naslov elektronske pošte” ter pridobiti “dostop do večjega števila zdravniške dokumentacije, vključno z napotnicami, ki vključujejo osebne in občutljive osebne podatke.”

Zgodba se s tem seveda ne zaključi. Informacijski pooblaščenec je o ogledu spletne strani in o ugotovitvah sestavil zapisnik št. 0612-181/2016/2, stopil pa je tudi v kontakt z odgovornimi na UKC Ljubljana. Iz UKC Ljubljana so po e-pošti še isti dan (kasneje pa še pisno) Informacijskemu pooblaščencu poslali poročilo o razlogih zaradi katerih je do incidenta po njihovem mnenju prišlo ter o ukrepih, ki so jih izvedli, da bi ranljivost odpravili.

Po mnenju odgovornih na UKC Ljubljana do ranljivosti ni prišlo zato, ker bi bil sistem popolnoma neustrezno zasnovan. Do ranljivosti ni prišlo zato, ker spletna stran ni vsebovala niti najosnovnejših varnostnih mehanizmov. Za ranljivost niso bili odgovorni tisti, ki so spletišče zasnovali v nasprotju z vsemi veljavnimi varnostnimi standardi. Niso bili krivi tisti, ki so opustili dolžno nadzorstvo nad svojimi izvajalci. Ne, kriv je bil – “anonimni napadalec“, ki je “obvestil IP“. Zveni znano?

Po mnenju UKC Ljubljana je bil dostop do navedenih osebnih podatkov posledica varnostne ranljivosti, ki jo je odkril anonimni napadalec. Le-ta je bil po mnenju UKC Ljubljana “zelo verjetno dobro podučen o informacijskem sistemu v okviru katerega so se osebni podatki obdelovali.” Skratka, šlo naj bi za tim. insiderja, ki je pri vsem skupaj najverjetneje imel tudi kakšne skrite namene.

Odgovorni na UKC Ljubljana so v svojem zagovoru tudi poudarili, da javnost ni poznala spornega URL naslova, ki je omogočal dostop do podatkov, pač pa da je do njega dostopal zgolj napadalec. Podatki naj torej ne bi bili javno dostopni. Ali pač?

To so Informacijskemu pooblaščencu dokazali tako, da smo mu posredovali dnevniški zapis s seznamom IP naslovov, ki so dostopali do spornih URLjev. Izpis je dokazoval, da sta do URL povezav dostopala le dva IP naslova – eden je pripadal IP-RS, drugi pa očitno napadalcu. Informacijskemu pooblaščencu so sporočili še seznam ukrepov, ki so jih izvedli za odpravo varnostne ranljivosti in Informacijski pooblaščenec je lahko le ugotovil, “da je zavezanec ugotovljene nepravilnost odpravil” ter ustavil postopek.

Da bi Informacijski pooblaščenec sam zasegel dnevniške zapise spletnega strežnika ter jih neodvisno analiziral, iz dokumentov, ki smo jih pridobili, ni razvidno. Da bi kdo od IP-RS preveril resničnost ostalih navedb zavezanca glede izvedenih varnostnih ukrepov, iz dokumentov, ki smo jih pridobili, tudi ni razvidno. Da bi Informacijski pooblaščenec preveril navedbo zavezanca, da so izvedli “druge tehnične ukrepe za zagotavljanje višje stopnje varnosti” – in preveril tudi kateri so bili ti ukrepi – iz dokumentov, ki smo jih pridobili, ravno tako ni razvidno.

Je pa razvidno, da je bil o incidentu (v popoldanskih urah po obravnavi incidenta na IP-RS) obveščen tudi SI-CERT. In kljub temu, da je bilo navedeno spletišče UKC Ljubljana skrajno nezaščiteno ter široko odprto v splet, in da so bili zaradi tega ogroženi občutljivi osebni podatki številnih posameznikov, Informacijski pooblaščenec o incidentu ni obvestil javnosti. Ne javnosti, ne prizadetih posameznikov. Za razliko od SI-CERTa, katerega naloga niti ni obveščanje javnosti, pač pa zgolj strokovna pomoč pri odpravi incidenta, pa imajo državni organi, ki izvajajo ugotovitvene postopke po Zakonu o splošnem upravnem postopku celo dolžnost k udeležbi v postopek povabiti osebe, za katere ugotovijo, da imajo pravni interes za udeležbo v postopku.

Da bi bil zaradi takšne malomarnosti proti odgovornim sprožen kakšen kazenski postopek, seveda tudi lahko le sanjamo. Še več. Glede na dostopno dokumentacijo so institucije, ki bi morale skrbeti za varnost naših podatkov, zavezancu preprosto verjele na besedo, da je do osebnih podatkov dostopal zgolj napadalec, same pa teh navedb sploh niso neodvisno preverile. Ali je torej prišlo do dejanske zlorabe ter kakšen je bil njen obseg, zato lahko le ugibamo.

Bruce Schneier, znani strokovnjak za informacijsko varnost, je na svojem blogu leta 2007 zapisal: “Popolno razkritje – praksa javnega razkritja podrobnosti varnostnih ranljivosti – je prekleto dobra ideja. Javni nadzor je edini zanesljiv način za izboljšanje varnosti, medtem ko nas tajnost dela samo manj varne.”

Verjetno se vsi strinjamo, da naj bo razkrivanje varnostnih ranljivosti odgovorno. To pomeni, da se z objavo podrobnosti počaka dokler ranljivost ni odpravljena, oziroma, dokler ne poteče nek razumen rok, v katerem bi odgovorni ranljivost lahko odpravili, če bi želeli. Skrivanje obstoja ranljivosti po tem, ko je le-ta že zdavnaj odpravljena z izgovorom, da se je s tistim, ki je s svojo malomarnostjo ranljivost pravzaprav povzročil, glede objave potrebno uskladiti, pa z odgovornim razkrivanjem ranljivosti nima dosti skupnega. Prav nasprotno. V tem primeru lahko govorimo kvečjemu o neodgovornem nerazkrivanju, ki spodbuja kulturo skrivaštva in pometanja pod preprogo.

Zakon o varstvu osebnih podatkov v 14. členu določa, da se “pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.” Dobrega pol leta po inšpekcijskem pregledu Informacijskega pooblaščenca je spletišče http://napotnica.kclj.si še vedno dostopno zgolj preko nešifrirane HTTP povezave.