Elektronika.lt
 2024 m. lapkričio 27 d. Projektas | Reklama | Žinokite | Klausimai | Prisidėkite | Atsiliepimai | Kontaktai
Paieška portale
EN Facebook RSS

 Kas naujo  Katalogas  Parduotuvės  Forumas  Tinklaraščiai
 Pirmas puslapisSąrašas
 NaujienosSąrašas
 StraipsniaiSąrašas
 - Elektronika, technika
 - Kompiuterija
 - Telekomunikacijos
 - Įvykiai, visuomenė
 - Pažintiniai, įdomybės
 Vaizdo siužetaiSąrašas
 Nuolaidos, akcijosSąrašas
 Produktų apžvalgosSąrašas
 Naudingi patarimaiSąrašas
 Vykdomi projektaiSąrašas
 Schemų archyvasSąrašas
 Teorija, žinynaiSąrašas
 Nuorodų katalogai
 Įvairūs siuntiniai
 Bendravimas
 Skelbimai ir pasiūlymai
 Elektronikos remontas
 Robotų kūrėjų klubas
 RTN žurnalo archyvas






 Verta paskaityti
Lapkričio 26 d. 20:28
Augant eismo spūstims, infrastruktūros pokyčių neužteks: būtina keisti keliavimo įpročius
Lapkričio 26 d. 17:52
Kad 3D spausdintuvai mokyklose nedulkėtų – naujų technologijų mokosi ir mokytojai
Lapkričio 26 d. 14:19
Ar dirbtinio intelekto sistemų kūrėjai atsako už šių sistemų sukeltą žalą?
Lapkričio 26 d. 11:35
Dinamiškas ir universalus: antros kartos „Audi Q5 Sportback“
Lapkričio 26 d. 08:35
„Sony“ pristato antros kartos „Alpha 1 II“ pilno kadro fotoaparatą
Lapkričio 25 d. 20:25
Elektrinis sunkvežimis „Renault Trucks E-Tech T“ viena įkrova nuvažiuos 600 km
Lapkričio 25 d. 17:22
„Sony“ pristato pirmąjį „G Master“ standartinį priartinantį objektyvą su pastovia F2 diafragma
Lapkričio 25 d. 14:49
Apsaugokite savo namus: gyventojų klaidos, kurios traukia vagis, ir ekspertų sprendimai
Lapkričio 25 d. 11:20
Iš proto varanti senutė: kaip DI kovoja su telefoniniais sukčiais?
Lapkričio 25 d. 08:34
Kaip ištrinti fono paveikslėlį „iPhone“
FS25 Tractors
Farming Simulator 25 Mods, FS25 Maps, FS25 Trucks
ETS2 Mods
ETS2 Trucks, ETS2 Bus, Euro Truck Simulator 2 Mods
FS22 Tractors
Farming Simulator 22 Mods, FS22 Maps, FS25 Mods
VAT calculator
VAT number check, What is VAT, How much is VAT
LEGO
Mänguköök, mudelautod, nukuvanker
Thermal monocular
Thermal vision camera,
Night vision ar scope,
Night vision spotting scope
FS25 Mods
FS25 Harvesters, FS25 Tractors Mods, FS25 Maps Mods
Dantų protezavimas
All on 4 implantai,
Endodontija mikroskopu,
Dantų implantacija
FS25 Mods
FS25 Maps, FS25 Cheats, FS25 Install Mods
GTA 6 Weapons
GTA 6 Characters, GTA 6 Map, GTA 6 Vehicles
FS25 Mods
Farming Simulator 25 Mods,
FS25 Maps
Reklama
 Straipsniai » Kompiuteriai, IT Dalintis | Spausdinti

Prieš sveiką protą: sergu.lt administratorius telefonu sufleravo užmirštą slaptažodį naudotojui

Publikuota: 2019-05-26 08:35
Tematika: Kompiuteriai, IT
Skirta: Mėgėjams
Autorius: Vaidas Neverauskas
Aut. teisės: ©15min, UAB
Inf. šaltinis: 15min.lt

Bet kurios šiuolaikiškos interneto platformos naudotojas žino: pamiršai slaptažodį – teks spausti mygtuką „pamiršau slaptažodį“ ir susigalvoti naują. Nes kibernetinio saugumo logika sako, kad vartotojo slaptažodis apskritai niekur negali būti saugomas perskaitomu ar iššifruojamu pavidalu. Bet logika šiuo atveju prasilenkia su svetainės sergu.lt praktika.

 Rodyti komentarus (0)
Įvertinimas:  1 2 3 4 5 

Bet kurios šiuolaikiškos interneto platformos naudotojas žino: pamiršai slaptažodį – teks spausti mygtuką „pamiršau slaptažodį“ ir susigalvoti naują. Nes kibernetinio saugumo logika sako, kad vartotojo slaptažodis apskritai niekur negali būti saugomas perskaitomu ar iššifruojamu pavidalu. Bet logika šiuo atveju prasilenkia su svetainės sergu.lt praktika.

Kaip atskleidė vienas redakcijai pateiktas viešas internauto nusiskundimas feisbuke, sergu.lt prisijungimo slaptažodį galima sužinoti telefonu susisiekus su šios svetainės valdytojais ir paprašius pamirštąjį slaptažodį priminti. O valdytojai gali „pasufleruoti“ tą užmirštąjį slaptažodį.

Prieš sveiką protą: sergu.lt administratorius telefonu sufleravo užmirštą slaptažodį naudotojui

Kitaip tariant, slaptažodžio „priminimas“ vyksta su tarpininko – žmogaus – pagalba. Su neribota žmogaus prieiga prie visų tokiu nešifruotu būdu saugomų vartotojų prisijungimų. Ir nors formaliai teigiama, kad yra saugiklių, apsaugančių nuo lengvabūdiško ar piktavališko svetainės administratorių elgesio, faktiškai tai yra toli gražu nepakankama. Nes kas gali garantuoti, kad slaptažodžio nepraras pats administratorius ir visi prisijungimo duomenys nepateks į piktavalių asmenų rankas?

Anot sistemą vysčiusios įstaigos – Vilniaus universiteto ligoninės Santaros klinikos (VULSK) – Informatikos ir plėtros centro vadovo Rolando Bėronto, IPR (sergu.lt) sistema, kurios dalis yra vartotojų autorizacija, pradėta kurti 2005 m. gavus Europos Sąjungos finansavimą bei įvykdžius viešojo pirkimo procedūras. Sistemos paskirtis – išankstinis pacientų registravimas internetu apsilankymams pas įvairių specializacijų gydytojus įvairiose gydymo įstaigose.

Šiuo metu „sergu.lt“ svetainė gyvuoja paskutinius savo mėnesius: išankstinės pacientų registracijos sistema yra integruojama į didesnės apimties e.sveikatos sistemą. O tol, kol integracija nėra baigta, veiks ir sergu.lt – Registrų centro, valdančio e.sveikatos sistemą, atstovo teigimu, tai turėtų būti padaryta iki metų pabaigos.

Iki metų pabaigos, panašu, žiojės ir dabartinės kibernetinio saugumo bei darbo protokolų spragos. Nes VULSK nusiplauna rankas. „Nuo 2015 m. papildomo finansavimo sergu.lt sistemos modernizavimui VšĮ Vilniaus universiteto ligoninė Santaros klinikos negavo, o nuo 2019-01-01 pagrindiniu tvarkytoju paskirtas VĮ Registrų centras“, – komentare 15min rašė R.Bėrontas.

Jis taip pat nurodė, kad 2005 metais, kai ši sistema buvo kuriama, prievolės slaptažodžius saugoti šifruotai dar nebuvo, o į ISO standartus, apibrėžiančius asmens informacijos saugumą, atsižvelgti nebūtina, nes „ISO standartai tik apibrėžia gaires ar rekomendacijas“, – sakė R.Bėrontas.

R.Bėrontas nurodė, kad paskutinio atnaujinimo metu naudotojams buvo suteikta galimybė prie IPR sistemos prisijungti pasinaudojus E. valdžios vartų sistema. Tokių naudotojų prisijungimo slaptažodžių sergu.lt nesaugo.

2015 metais, kai buvo vykdomas dalinis sergu.lt vartotojų autentifikavimo sistemos atnaujinimas, priverstinio visų vartotojų migravimo prie saugesnių prisijungimo priemonių naudojimo buvo atsisakyta „siekiant palikti galimybę sistema naudotis kuo platesniam naudotojų ratui, ypač senyvo amžiaus pacientams, kurie neturi mobilaus ar elektroninio parašo, nesinaudoja elektronine bankininkyste“.

Paklausus, kodėl nešifruotų slaptažodžių sistemos naudojimas nebuvo nutrauktas įsigaliojus BDAR reglamentui, R.Bėrontas teigė: „Sustabdžius šios sistemos veiklą, būtų sustabdyta labai reikalinga paslauga gyventojams ir reikšmingai trukdytų gydymo įstaigų darbo organizavimą. Pacientams, tokiu atveju, beliktų vienintelė galimybė užsiregistruoti vizitui pas gydytoją tik prisiskambinus į praktiškai nuolatos užimtus gydymo įstaigų registratūrų telefonus“.

Taip pat jis pažymėjo, kad BDAR numato pareigą taikyti tinkamas technines ir organizacines priemones duomenų apsaugai užtikrinti ir nėra nustatytų reikalavimų slaptažodžius saugoti būtent šifruotu pavidalu. Vertintina, kad slaptažodžio atskleidimo ar nutekinimo riziką galima sumažinti taikant ir kompensacines saugos priemones (visos duomenų bazės šifravimą, administratoriaus atliekamų veiksmų kontrolę ir pan.).

Ekspertai kritikos negailėjo

Asmens duomenų apsaugos klausimais konsultuojantis teisininkas, verslo teisės advokatų kontoros „Invent“ partneris ir vadovas Mindaugas Kiškis nurodė, kad lėšų negavimas nuo atsakomybės tikrai neatleidžia. „Gėda už VULSK, nes jie turėtų būti kelrodis visoms sveikatos priežiūros įstaigoms“, – sakė advokatas.

„Taip negali būti, jokiu būdu. Ypač rimtose sistemose. Man nelabai suvokiama kaip tokią sistemą kažkas galėjo priimti į eksploataciją... 2015 m. jau buvo pilna dviejų veiksnių autentifikavimo technologijų. O jei sistema vis dar nėra sutvarkyta, tai tokias senas prieigas reikia trinti ar bent jau nenaudoti, argumentas kad tai sena sistema, yra niekinis“, – išgirdęs apie sergu.lt situaciją sakė buvęs „Microsoft Lietuva“ vadovų komandos narys, dabar „Privacy Partners“ vadovas Martynas Bieliūnas.

Kaip turėtų vykti slaptažodžio atkūrimas?

Šiuo metu sergu.lt siūlo keturis prisijungimo prie sistemos būdus: su telefono numeriu ir slaptažodžiu, per „Facebook“ paskyrą, per „Google+“ paskyrą ir per Elektroninius valdžios vartus.

„Facebook“ iliustr. / Diskusija apie Sergu.lt veikimo kuriozus
„Facebook“ iliustr. / Diskusija apie Sergu.lt veikimo kuriozus

Jeigu norite jungtis su telefono numeriu ir slaptažodžiu, bet slaptažodį pamiršote, straipsnio rašymo metu galėjote pamatyti, kad slaptažodžio atkūrimo sistema yra sutrikusi ir lankytojams siūloma arba kreiptis į administratorius elektroniniu paštu info@sergu.lt, arba tiesiogiai skambinti į įstaigą, kurioje pageidaujama registruotis.

Tokį patį pasiūlymą – pamiršus slaptažodį rašyti laiškus – pamatė ir feisbuko komentaro autorius, nenorėjęs situacijos komentuoti plačiau, nei ji aprašyta socialiniame tinkle ir paprašęs neatskleisti jo tapatybės.

Toks svetainės atsakas į skundą, kad senas slaptažodis yra užmirštas, toli gražu nėra tipinis: įprastu atveju pagalba naudotojui teikiama jo registruotu el.pašto adresu atsiunčiant nuorodą, kurią paspaudus leidžiama nurodyti naują slaptažodį. Taikant gerą kibernetinio saugumo praktiką esamo slaptažodžio priminimas atskirai neturi būti įmanomas – teoriškai slaptažodis paslaugos teikėjo tarnybinėje stotyje turėtų būti saugomas vienkrypčiu maišos (angl. hash) būdu užšifruoto kodo pavidalu.

Figos lapelis – konfidencialumo sutartis

„Informuojame, kad sergu.lt sistemos administratorius turi galimybę matyti naudotojų duomenis. Tokia galimybė yra būtina, siekiant užtikrinti sklandų sistemos funkcionavimą, išspręsti kylančias problemas. Pažymėtina, kad sistemos administratoriaus veiksmai sistemoje yra fiksuojami. Siekiant užtikrinti duomenų saugą, administratorius yra pasirašęs duomenų konfidencialumo pasižadėjimą, apmokytas duomenų saugos klausimais“, – rašė R.Bėrontas.

M.Bieliūno teigimu, toks požiūris yra ydingas: „Normalioje sistemoje prieiga prie vartotojo duomenų turi būti suteikiama tik tiems, kas su jais tiesiogiai dirba, t. y., šiuo atveju konkretiems gydytojams, o ne sistemų administratoriui. Kaip, pavyzdžiui, teikiant elektroninio pašto paslaugą: administratorius gali pakeisti slaptažodį, bet negali pamatyti sistemos turinio. Kitaip atsiranda galimybė atlikti veiksmus už vartotoją. Taip nesilaikoma „privacy by design“ principo“.

„Ir kas bus jei, pavyzdžiui, nulaužiamas administratoriaus prisijungimas? Hakeriai laikysis pasirašytų konfidencialumo sutarčių? Baikit, nemanau“, – ironizavo M.Bieliūnas.

„Registrų centras“: galimybių perkelti nebuvo

Atsakant į 15min klausimą, kodėl valstybinė įmonė „Registrų centras“, formaliai perėmusi sergu.lt valdymą, nenutraukė blogosios praktikos – prisijungimo su slaptažodžiais, kurie nėra šifruojami – atsakė: „Prie portalo sergu.lt yra prisijungusios daugiau kaip 140 įstaigų, pati sistema yra pernelyg glaudžiai susijusi su ją kūrusios Santaros klinikų informacinėmis sistemomis ir todėl nebuvo galimybių jos perkelti į Registrų centro tvarkomą Elektroninės sveikatos paslaugų ir bendradarbiavimo informacinę sistemą (ESPBI IS, geriau žinomą kaip e. sveikatos portalą)“.

Dėl to priimtas sprendimas kurti visiškai naują Išankstinės pacientų registracijos informacinę sistemą (IPR IS), o kol ji bus sukurta ir įdiegta, palikti veikiančią sergu.lt sistemą, kad pacientai jos pagalba galėtų toliau registruotis pas gydytojus.

„Šiuo metu sergu.lt sistema yra atnaujinama – integruojama su nacionaline e. sveikatos sistema. Palaipsniui prie nacionalinės Išankstinės pacientų registracijos informacinės sistemos (IPR IS) pradeda jungtis sveikatos priežiūros įstaigos. Registrų centras šiuo metu diegia naujus funkcionalumus susijusius su pacientų eilių valdymu. Kuriant naująją sistemą ypatingas dėmesys skiriamas duomenų saugumui, todėl pacientai naujajame portale pas gydytojus galės užsiregistruoti tik prisijungę per elektroninius valdžios vartus ar su elektroniniu parašu“, – rašoma „Registrų centro“ komentare.

Valstybinė duomenų apsaugos inspekcija konkretaus atvejo nekomentuoja

„Valstybinė duomenų apsaugos inspekcija dėl „sergu.lt“ prisijungimo slaptažodžių administravimo skundų nebuvo gavusi, todėl, neturėdama konkrečios informacijos apie duomenų tvarkymo operacijas, negali iš anksto konstatuoti, ar Jūsų nurodytu konkrečiu atveju buvo padarytas Bendrojo duomenų apsaugos reglamento pažeidimas (BDAR)“, – rašoma VDAI atsakyme.

Tačiau inspekcijos atstovas – teisės skyriaus vedėjas Egidijus Verenius – nurodė, kad asmens duomenų tvarkymas laikomas teisėtu, jeigu jis atitinka asmens duomenų tvarkymo principus, įtvirtintus BDAR.

„BDAR įtvirtintas vientisumo ir konfidencialumo principas (BDAR 5 straipsnio 1 dalies f punktas) numato, kad asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo. BDAR numato pareigą, atsižvelgiant į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas duomenų, tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, įgyvendinti tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas. Šios priemonės prireikus peržiūrimos ir atnaujinamos (BDAR 24 straipsnio 1 dalis, 32 straipsnio 1 dalis)“, – rašė E.Verenius.

Anot jo, saugumo priemonės gali apimti, jei reikia: pseudonimų suteikimą asmens duomenims ir jų šifravimą; gebėjimą užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą; reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo procesą ir kt. Svarbu pastebėti, kad prieigų kontrolė ir autentifikavimas yra esminiai saugos reikalavimai, siekiant apsisaugoti nuo neautorizuotos prieigos prie IT sistemos, kurioje yra apdorojami asmens duomenys. Pažymėtina, kad asmens duomenų tvarkymo saugumo priemones pasirenka pats duomenų valdytojas.

Teisininkas atkreipė dėmesį ir į tai, kad, pagal BDAR, specialių kategorijų asmens duomenys (įskaitant sveikatos duomenis) yra jautresni duomenys, todėl jų tvarkymui reikalaujama daugiau apsaugos, pavyzdžiui, laikytis pritaikytosios duomenų apsaugos, kaip antai į duomenų tvarkymą integruoti būtinas apsaugos priemones, kad jis atitiktų BDAR reikalavimus ir apsaugotų duomenų subjekto teises ir kt.

„Taigi duomenų valdytojas, tvarkydamos asmens duomenis, privalo įgyvendinti tinkamas technines ir organizacines priemones atsižvelgiant į asmens duomenų tvarkymo aplinkybes ir pasirinkti tinkamas saugumo priemones“, – nurodė VDAI teisės skyriaus vedėjas.

Šiuo atveju – kuomet vartotojų slaptažodžiai ne tik matomi tekstiniu pavidalu, bet ir matomi sistemos administratoriams, ir sufleruojami skambinantiems asmenims, vargu ar galima kalbėti apie tinkamas technines asmens duomenų apsaugos užtikrinimo priemones ar užtikrinimą, kad prie šių duomenų neprieis asmenys, kuriems tie duomenys nėra būtini.


15min.lt



Draudžiama platinti, skelbti, kopijuoti
informaciją su nurodyta autoriaus teisių žyma be redakcijos sutikimo.

Global electronic components distributor – Allicdata Electronics

Electronic component supply – „Eurodis Electronics“

LOKMITA – įvairi matavimo, testavimo, analizės ir litavimo produkcija

Full feature custom PCB prototype service

GENERAL FINANCING BANKAS

Mokslo festivalis „Erdvėlaivis Žemė

LTV.LT - lietuviškų tinklalapių vitrina

„Konstanta 42“

Technologijos.lt

Buitinė technika ir elektronika internetu žemos kainos – Zuza.lt

www.esaugumas.lt – apsaugok savo kompiuterį!

PriedaiMobiliems.lt – telefonų priedai ir aksesuarai

Draugiškas internetas


Reklama
‡ 1999–2024 © Elektronika.lt | Autoriaus teisės | Privatumo politika | Atsakomybės ribojimas | Reklama | Turinys | Kontaktai LTV.LT - lietuviškų tinklalapių vitrina Valid XHTML 1.0!
Script hook v, Openiv, Menyoo
gta5mod.net
FS25 Mods, FS25 Tractors, FS25 Maps
fs25mods.lt
Optical filters, UV optics, electro optical crystals
www.eksmaoptics.com
Reklamos paslaugos
SEO sprendimai

www.addad.lt
Elektroninių parduotuvių optimizavimas „Google“ paieškos sistemai
www.seospiders.lt
FS22 mods, Farming simulator 22 mods,
FS22 maps

fs22.com
Reklama


Reklama