Zapisi in dokumenti iz področja prava, človekovih pravic in tehnologije.

HTTPS na spletišču UKC Ljubljana je zanič

Po naših razkritjih o zamolčani varnostni ranljivosti na eni izmed spletnih strani UKC Ljubljana ter po razkritju, da spletišče, ki je hranilo občutljive zdravstvene osebne podatke tudi po inšpekcijskem postopku Informacijskega pooblaščenca ni bilo ustrezno zavarovano, saj ni uporabljalo HTTPS šifrirane povezave, so v UKC Ljubljana obljubili, da bodo spletišče zaščitili s HTTPS.

To so danes res storili, vendar pa na način, ki kaže, da varnost podatkov na UKC Ljubljana verjetno dojemajo bolj kot neko nujno zlo. Nekaj, kar je treba storiti, da se znebimo zoprne javnosti in nadležnih inšpekcijskih organov, in ne nekaj, v kar je smiselno in potrebno vlagati.

Spletišče https://napotnica.kclj.si/, namenjeno prijavam na preglede preko spleta, je od danes sicer res dostopno zgolj preko HTTPS. Vendar pa analiza HTTPS šifriranja kaže precej katastrofalno stanje.

Spletišče Napotnica je na SSL testu ocenjeno s C.

Spletišče Napotnica je na SSL testu ocenjeno s C.

Za začetek, spletišče za šifriranje uporablja šifrirni protokol SSL3, ki naj se že dlje časa ne bi uporabljal več, saj je kriptografsko razbit in popolnoma ne-varen. Po drugi strani pa spletni strežnik ne podpira uporabe novejših šifrirnih protokolov TLS1.1 in TLS1.2.

Spletni strežnik vsebino privzeto šifrira z algoritmom RC4, ki ravno tako že vsaj od leta 2013 ne velja za varnega, saj je bilo v njem najdenih kar nekaj resnih ranljivosti. Problematična je tudi uporaba ostalih kriptografskih mehanizmov, zato ne preseneča, da je zaradi napačne konfiguracije na HTTPS šifriranje možnih še nekaj dodatnih kriptografskih napadov.

Digitalno potrdilo je sicer ustrezno sestavljeno (2048 bitni ključ in uporaba SHA-256), a je podpisano s strani GeoTrust SSL CA. Gre za overitelja digitalnih potrdil v lasti Symanteca, za katerega je znano, da je imel v zadnjih treh letih precejšnje težave pri procesu overjanja digitalnih potrdil. Povedano drugače – zaradi slabega procesa overjanja, so dopustili lažno overjanje digitalnih potrdil. Stvari so prišle tako daleč, da so se pri Googlu odločili za postopno zmanjševanje zaupanja v digitalna potrdila izdana s strani tega izdajatelja. Od septembra dalje, tako digitalna potrdila izdana s strani GeoTrust SSL z veljavnostjo več kot 9 mesecev ne bodo več smatrana za varna. Mozilla trenutno o tem še razmišlja, a precej verjetno je, da bodo sledili Googlu.

Seveda pa je digitalno potrdilo spletišča Napotnica veljavno do 20. marca 2020 (torej slaba 3 leta – že samo to dejstvo predstavlja slabo prakso), kar pomeni, da bodo naši brskalniki od septembra dalje to digitalno potrdilo zavračali kot ne dovolj varno.

Poleg tega spletna stran teče na strežniku Apache različice 2.2.16. Trenutna stabilna različica tega spletnega strežnika je 2.4.25 iz 20. decembra 2016, na spletišču Napotnica uporabljena različica spletnega strežnika pa ima vsaj 21 varnostnih ranljivosti.

Vse skupaj teče na operacijskem sistemu Debian, najverjetneje različice 6 (Sqeeze) ali celo 5 (Lenny), za katera že od februarja 2016 ni več na voljo varnostnih posodobitev. Je pa zato za ta operacijski sistem na voljo nekaj varnostih ranljivosti.

In za piko na i. Strežnik je lociran na IP naslovu 89.212.53.246, ki se nahaja v omrežju T-2. Na njem pa teče – prav neverjetno – poštni strežnik mail.zejn.si. Komu je prišlo na misel, da na strežniku na katerem se hrani občutljiva zdravstvena dokumentacija tečejo še druge storitve, ni povsem jasno, a to gotovo ni primer dobre prakse.

Začuda je poštni strežnik vsaj približno spodobno konfiguriran, (pa čeprav ne dovolj), a kot kaže, je žal neposodobljen in zato ranljiv.

 

Vse to seveda zgolj kaže na miselnost, ki očitno prevladuje na UKC Ljubljana. Informacijska varnost ni nekaj, v kar bi resno vlagali. To ni področje, ki bi ga resno in vsakodnevno spremljali. Dovolj je, da se zadosti tistim res minimalnim standardom, pa še to zgolj, če jih na to kdo opozori ali če to od njih zahteva regulator.

In potem se lahko samo še vprašamo kaj vse bi odkril resen, poglobljen in celovit varnostni pregled njihove celotne infrastrukture. Najbolj žalostno pri vsem skupaj pa je, da je tak “pregled” morda kdo že opravil. Naši najobčutljivejši podatki pa so tako skoraj dobesedno v božjih rokah.

Odgovorno razkritje ali neodgovorno nerazkritje

V lanskem letu se je v Sloveniji zgodil eden večjih incidentov na področju varstva osebnih podatkov v zdravstvu. V eni večjih slovenskih zdravstvenih ustanov niso bili ogroženi le osebni podatki zaposlenih, pač pa tudi osebni podatki pacientov. Dostopna je bila zdravniška dokumentacija, vključno z napotnicami, ki vsebujejo zelo občutljive osebne podatke pacientov. Vse skupaj je bilo široko odprto v splet, spletni strežnik zdravstvene ustanove pa sploh ni uporabljal HTTPS zaščitene povezave.

In zakaj javnost o tem incidentu ničesar ne ve? Preprosto zato, ker v Sloveniji prevladuje kultura skrivanja napak in pometanja le-teh pod preprogo. Namesto, da bi se o napakah pripravilo izčrpno poročilo, ki bi vsebovalo analizo zakaj je do napake prišlo, neodvisno oceno kakšen je bil obseg morebitne škode ter kateri ukrepi so bili sprejeti, da se zadeva ne ponovi, se podobne zgodbe v Sloveniji zaključi zgolj z nekaj splošnimi ugotovitvami. Namesto, da bi se poročilo javno objavilo, s čimer se bi se na podobne težave opozorilo tudi druge ter pokazalo kakšne bi morale biti dobre prakse na tem področju, se dokumente o takšnih incidentih skriva. Ne gre za to, da bi se iskalo krivce in izvajalo lov na čarovnice. Do napak vedno prihaja in bo prihajalo. Problem je pometanje pod preprogo in prikrivanje, posledično pa se enake napake pojavljajo vedno znova in znova.

In kar je še posebej zaskrbljujoče – pri tovrstni kulturi skrivanja žal sodelujejo tudi tiste institucije, ki bi pravzaprav morale biti prve med varuhi naših podatkov.

Pa si poglejmo konkreten primer. V septembru 2016 je Informacijski pooblaščenec prejel prijavo v kateri je bilo navedeno, da naj UKC Ljubljana ne bi ustrezno zavaroval osebnih in občutljivih osebnih podatkov na svoji spletni strani. Šlo je za spletno stran http://napotnica.kclj.si/, ki pacientom omogoča prijavljanje na preglede v UKC Ljubljana preko spleta. Preko spletne strani, ki sploh ni zaščitena preko HTTPS povezave (!), pacienti UKC Ljubljana posredujejo svoje osebne podatke, vključno s skeniranimi napotnicami.

Inšpekcijski pregled, ki je bil opravljen 9. septembra 2016 je pokazal, da je bilo s preprosto spremembo URL naslova mogoče odpreti “podstran, ki vsebuje osebne podatke zaposlenih in sicer ime in priimek in naslov elektronske pošte” ter pridobiti “dostop do večjega števila zdravniške dokumentacije, vključno z napotnicami, ki vključujejo osebne in občutljive osebne podatke.

Zgodba se s tem seveda ne zaključi. Informacijski pooblaščenec je o ogledu spletne strani in o ugotovitvah sestavil zapisnik št. 0612-181/2016/2, stopil pa je tudi v kontakt z odgovornimi na UKC Ljubljana. Iz UKC Ljubljana so po e-pošti še isti dan (kasneje pa še pisno) Informacijskemu pooblaščencu poslali poročilo o razlogih zaradi katerih je do incidenta po njihovem mnenju prišlo ter o ukrepih, ki so jih izvedli, da bi ranljivost odpravili.

Po mnenju odgovornih na UKC Ljubljana do ranljivosti ni prišlo zato, ker bi bil sistem popolnoma neustrezno zasnovan. Do ranljivosti ni prišlo zato, ker spletna stran ni vsebovala niti najosnovnejših varnostnih mehanizmov. Za ranljivost niso bili odgovorni tisti, ki so spletišče zasnovali v nasprotju z vsemi veljavnimi varnostnimi standardi. Niso bili krivi tisti, ki so opustili dolžno nadzorstvo nad svojimi izvajalci. Ne, kriv je bil – “anonimni napadalec“, ki je “obvestil IP“. Zveni znano?

Po mnenju UKC Ljubljana je bil dostop do navedenih osebnih podatkov posledica varnostne ranljivosti, ki jo je odkril anonimni napadalec. Le-ta je bil po mnenju UKC Ljubljana “zelo verjetno dobro podučen o informacijskem sistemu v okviru katerega so se osebni podatki obdelovali.” Skratka, šlo naj bi za tim. insiderja, ki je pri vsem skupaj najverjetneje imel tudi kakšne skrite namene.

Odgovorni na UKC Ljubljana so v svojem zagovoru tudi poudarili, da javnost ni poznala spornega URL naslova, ki je omogočal dostop do podatkov, pač pa da je do njega dostopal zgolj napadalec. Podatki naj torej ne bi bili javno dostopni. Ali pač?

To so Informacijskemu pooblaščencu dokazali tako, da smo mu posredovali dnevniški zapis s seznamom IP naslovov, ki so dostopali do spornih URLjev. Izpis je dokazoval, da sta do URL povezav dostopala le dva IP naslova – eden je pripadal IP-RS, drugi pa očitno napadalcu. Informacijskemu pooblaščencu so sporočili še seznam ukrepov, ki so jih izvedli za odpravo varnostne ranljivosti in Informacijski pooblaščenec je lahko le ugotovil, “da je zavezanec ugotovljene nepravilnost odpravil” ter ustavil postopek.

Da bi Informacijski pooblaščenec sam zasegel dnevniške zapise spletnega strežnika ter jih neodvisno analiziral, iz dokumentov, ki smo jih pridobili, ni razvidno. Da bi kdo od IP-RS preveril resničnost ostalih navedb zavezanca glede izvedenih varnostnih ukrepov, iz dokumentov, ki smo jih pridobili, tudi ni razvidno. Da bi Informacijski pooblaščenec preveril navedbo zavezanca, da so izvedli “druge tehnične ukrepe za zagotavljanje višje stopnje varnosti” – in preveril tudi kateri so bili ti ukrepi – iz dokumentov, ki smo jih pridobili, ravno tako ni razvidno.

Je pa razvidno, da je bil o incidentu (v popoldanskih urah po obravnavi incidenta na IP-RS) obveščen tudi SI-CERT. In kljub temu, da je bilo navedeno spletišče UKC Ljubljana skrajno nezaščiteno ter široko odprto v splet, in da so bili zaradi tega ogroženi občutljivi osebni podatki številnih posameznikov, Informacijski pooblaščenec o incidentu ni obvestil javnosti. Ne javnosti, ne prizadetih posameznikov. Za razliko od SI-CERTa, katerega naloga niti ni obveščanje javnosti, pač pa zgolj strokovna pomoč pri odpravi incidenta, pa imajo državni organi, ki izvajajo ugotovitvene postopke po Zakonu o splošnem upravnem postopku celo dolžnost k udeležbi v postopek povabiti osebe, za katere ugotovijo, da imajo pravni interes za udeležbo v postopku.

Da bi bil zaradi takšne malomarnosti proti odgovornim sprožen kakšen kazenski postopek, seveda tudi lahko le sanjamo. Še več. Glede na dostopno dokumentacijo so institucije, ki bi morale skrbeti za varnost naših podatkov, zavezancu preprosto verjele na besedo, da je do osebnih podatkov dostopal zgolj napadalec, same pa teh navedb sploh niso neodvisno preverile. Ali je torej prišlo do dejanske zlorabe ter kakšen je bil njen obseg, zato lahko le ugibamo.

Bruce Schneier, znani strokovnjak za informacijsko varnost, je na svojem blogu leta 2007 zapisal: “Popolno razkritje – praksa javnega razkritja podrobnosti varnostnih ranljivosti – je prekleto dobra ideja. Javni nadzor je edini zanesljiv način za izboljšanje varnosti, medtem ko nas tajnost dela samo manj varne.

Verjetno se vsi strinjamo, da naj bo razkrivanje varnostnih ranljivosti odgovorno. To pomeni, da se z objavo podrobnosti počaka dokler ranljivost ni odpravljena, oziroma, dokler ne poteče nek razumen rok, v katerem bi odgovorni ranljivost lahko odpravili, če bi želeli. Skrivanje obstoja ranljivosti po tem, ko je le-ta že zdavnaj odpravljena z izgovorom, da se je s tistim, ki je s svojo malomarnostjo ranljivost pravzaprav povzročil, glede objave potrebno uskladiti, pa z odgovornim razkrivanjem ranljivosti nima dosti skupnega. Prav nasprotno. V tem primeru lahko govorimo kvečjemu o neodgovornem nerazkrivanju, ki spodbuja kulturo skrivaštva in pometanja pod preprogo.

Zakon o varstvu osebnih podatkov v 14. členu določa, da se “pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.” Dobrega pol leta po inšpekcijskem pregledu Informacijskega pooblaščenca je spletišče http://napotnica.kclj.si še vedno dostopno zgolj preko nešifrirane HTTP povezave.

 Dostop preko HTTPS povezave nas preusmeri na povsem drugo spletišče, kar kaže na uporabo skupnega gostovanja za eno večjih zbirk osebnih podatkov.

Dostop preko HTTPS povezave nas preusmeri na povsem drugo spletišče, kar kaže na uporabo skupnega gostovanja za eno večjih zbirk osebnih podatkov.

Pravica do pozabe ne velja za osebne podatke, ki se nahajajo v registrih podjetij

Sodišče Evropske skupnosti je včeraj razsodilo, da pravica do pozabe ne velja za osebne podatke, ki se nahajajo v registrih podjetij. Po mnenju sodišča je namreč namen javnosti tovrstnih registrov zagotavljanje pravne varnosti ter varovanje interesov tretjih oseb v razmerju do delniških družb in družb z omejeno odgovornostjo. Te pravice po mnenju sodišča v primeru podjetij, ki nastopajo na trgu ter zastopnikov, ustanoviteljev in nadzornikov teh podjetij, prevladajo nad pravico do zasebnosti.

Sodišče je v svojem mnenju tudi poudarilo stališče, da je dostopnost osebnih podatkov iz registrov podjetij potrebna tudi “več let” po tem, ko podjetje preneha obstajati.

Postopek pred sodiščem je leta 2007 sprožil Salvatore Manni, direktor italijanskega podjetja, ki je zgradilo turistični kompleks v Italiji. Njegovo podjetje kompleksa po izgradnji ni uspelo prodati, saj je bilo iz javnih registrov razvidno, da je bil g. Manni pred tem upravljavec drugega podjetja, ki je leta 1992 bankrotiralo, leta 2005 pa je bilo izbrisano iz registra aktivnih podjetij. A po mnenju sodišča dejstvo, da se potencialni investitorji niso odločili za nakup zato, ker so imeli dostop do zgodovinskega registra, ne opravičuje omejevanja dostopa do teh podatkov. Še zlasti zato, ker imajo te tretje osebe legitimen interes, da razpolagajo s temi informacijami.

Sodišče je sicer dopustilo možnost, da se zgodovinski podatki o podjetjih, ki so izbrisana iz poslovnega registra, lahko izbrišejo, vendar šele “po dovolj dolgem času” o tem pa je potrebno presojati od primera do primera, saj je “nemogoče ugotoviti enoten rok, ob poteku katerega vpis podatkov v register in njihova objava ne bi bila več potrebna“.

S to odločitvijo Sodišča Evropske skupnosti se je za povsem napačno pokazalo stališče Informacijskega pooblaščenca, ki ga je njegova predstojnica Mojca Prelesnik zagovarjala v Državnem zboru v razpravi o sprejemu novele Zakona o sodnem registru. Novelo je namreč leta 2015 v Državni zbor vložilo ministrstvo za pravosodje, namen novele pa je bil omogočiti prosto iskanje po poslovnem registru.

Tedaj veljavni Zakon o sodnem registru je namreč določal, da so podatki o družbenikih, članih uprave in nadzornega sveta sicer javni, vendar le tako, da se sme za posamezen poslovni subjekt ugotoviti, kdo so njegovi lastniki, zastopniki in nadzorniki. Ni pa bilo dovoljeno ugotavljanje v katerih vseh poslovnih subjektih je udeležena posamezna oseba (kot družbenik, zastopnik ali nadzornik). Povedano drugače – posameznik je lahko pogledal kdo je direktor nekega podjetja, a zakon je prepovedoval, da bi nekdo naredil iskalnik, v katerega bi vnesel ime osebe, iskalnik pa bi nato izpisal v katerih družbah je ta oseba bila zastopnik, nadzornik ali ustanovitelj.

Po mnenju IP-RS naj bi pri podatkih iz poslovnega registra šlo za zasebni in ne javni sektor, zato naj bi bilo povsem upravičeno omejiti pravico vedeti. Nasprotniki večje transparentnosti poslovnega registra so ob tem kar pozabili, da kljub temu, da gre za zasebni sektor, gospodarske družbe oziroma poslovni subjekti nastopajo na javnem trgu. Podatki o družbenikih, zastopnikih in nadzornikih so potrebni tako zaradi zagotavljanja varnosti v pravnem prometu v najširšem smislu (tudi delovnopravnem) kot tudi za ugotavljanje obsega premoženja dolžnika s strani njegovih upnikov. Javna objava in možnost prostega iskanja podatkov v poslovnem registru lahko pomaga tudi pri preprečevanju nasprotja interesov. Prav tako je dejstvo, da lastnina ni neka povsem zasebna stvar, ampak ima po 67. členu Ustave RS lastnina tudi gospodarsko, socialno in ekološko funkcijo. Člen 74 Ustave pa tudi določa, da se gospodarska dejavnost ne sme izvajati v nasprotju z javno koristjo. Določbe 38. člena Ustave, ki govori o informacijski zasebnosti, vsekakor niso absolutne, pač jih pa je potrebno upoštevati skupaj z drugimi členi Ustave. Vprašanje udeležbe v poslovnih subjektih tako nikakor ni stvar zgolj zasebnosti, ampak celo Ustava RS poudarja pomen zasebne lastnine na področju skupnega oziroma javne koristi. Iz tega tudi izhaja, da ima javnost povsem upravičen interes do vpogleda oziroma večje transparentnosti tudi na področju zasebne lastnine.

Na koncu je Državni zbor leta 2015 sprejel kompromisni predlog, in povsem prosto iskanje po poslovnem registru še danes ni mogoče.

A kot kaže primer včerajšnje odločitve Sodišče Evropske skupnosti, pravica do zasebnosti v primeru osebnih podatkov iz poslovnih registrov ni absolutna, pomenljivo pa je dejstvo, da je sodišče poudarilo pomen transparentnosti teh podatkov za pravno varnost in pomen legitimnih interesov tretjih oseb, da razpolagajo s temi informacijami, pa četudi gre za povsem zasebni sektor.

Po tokratni razsodbi Sodišča Evropske skupnosti pa se lahko tudi vprašamo koliko transparentnosti pravzaprav sploh zagovarjajo tisti, ki bi pravzaprav morali biti varuhi te pravice. Morda je čas, da se začne razmišljati o razdelitvi Informacijskega pooblaščenca na dva ločena organa – eden bi se ukvarjal s pravico do zasebnosti, drugi pa bi lahko neobremenjeno zagovarjal odprtost in transparentnost.