среда, 25 мая 2011 г.

Социальная инженерия


Некоторое время назад мы с вами, дорогие читатели, наблюдали за тем, как обстоят дела с защитой персональных данных маленьких пациентов в одной из череповецких детских поликлиник, как Роскомнадзор пытается навести порядок и что из этого в конце концов вышло. В преддверии всемирного Дня защиты детей, ежегодно и повсеместно отмечаемого 1 июня, ваш покорный слуга (как говорится, по совету друзей) прогулялся сегодня до этой же поликлиники, с целью поглядеть, как организован процесс выдачи медицинских карт детишек на руки родителям. Хотел свой поход заснять на видео но, как назло, забыл зарядить с вечера смартфон, и он ожидаемо помер в такой неподходящий момент. По сему, увы, повествование мое будет исключительно устным, но не менее интересным.

Украв накануне вечером у незнакомого человека медицинский полис его ребенка (вы, конечно, поняли, что на самом деле я просто воспользовался полисом ребенка, любезно предоставленным небезразличным родителем, но для сюжета пусть будет именно так), майским солнечным утром я уверенно шагнул на порог детской поликлиники. Торгаши дешевыми китайскими игрушками и полурастаявшими сладостями, делающие деньги на стремлении родителей компенсировать детям тяжесть похода в поликлинику, только начали открывать свои лавки. В коридоре сидела стайка молодых мамочек с грудничками - очевидно, их чадам настало время сдать очередные анализы.

Пройдя по коридору до регистратуры, где, как всегда, толпилась очередь бабушек и дедушек, вставших с утра пораньше за талонами к специалистам для своих внуков, я занял позицию слева от окна регистратора и принялся делать вид, что изучаю какие-то документы. На самом деле, краем глаза я наблюдал, как организован процесс выдачи медицинских карт. Ждать пришлось недолго: через 5-6 минут молодая женщина сунула голову в окно и попросила выдать карту ее дочки. Я насторожился: что скажет регистратор? Сквозь окно послышалась просьба дать полис ребенка, и мама, немного покопавшись в своем бауле, явила регистратору сей важный документ. Та, в свою очередь, спросила номер участка, адрес проживания, записала это на бумажку, встала и ушла с ним куда-то. "Наверное, искать карточку" - подумал я, и не ошибся: через несколько минут карточка и полис были вручены посетительнице.

"Стоп" - подумал я, "и все? А как же отметка в журнале о выдаче медицинской карты, а как же Ф.И.О. и роспись получившего? И вообще - на каком основании была выдана карта - только по полису? А если этот полис украден? Почему не проверен паспорт родителя или какие-то другие основания для выдачи карты на руки?" Ничего этого не было и в помине. Следующие два посетителя, просившие карты, получили их точно таким же способом - и без какой-либо регистрации. Я отошел от регистратуры и стал ждать. Минут через 20 народ подрассосался, и у регистратуры стало спокойно.

Я достал "украденный" полис, прочитал Ф.И.О. ребенка (адрес проживания и номер участка я знал), и решил импровизировать. Изобразив бешеные глаза и растерянную добрую улыбку, я подбежал к регистратуре и, извиняясь и улыбаясь, залепетал: "здравствуйте, девушка, будьте добры, можно карточку получить, а то мама с ребенком и полисом уже в кабинете у врача, срочно меня отправили... так зовут, такой участок.. да-да, такой адрес...." Пару минут ожиданий, и медицинская карта ребенка у вора на руках. "Расписаться в получении нигде не надо?" - поинтересовался я. "Не надо, карточку у врача оставите" - последовал ответ...

Вот и все. Я, совершенно посторонний человек, БЕЗ ПОЛИСА, без вообще каких-либо документов, стал обладателем увесистой медицинской карты, которую через некоторое время вернул в регистратуру. Доброжелательно улыбаясь, сказал свое мнение о процессе выдачи, на что в глазах из пуленепробиваемого стекла увидел ответ "а не пошел бы ты ... к заведующей".

Спросите, зачем кому-то может понадобиться медицинская карта ребенка? Ответ прост - ведь в ней вся история развития ребенка: прививки, болезни, анализы... Бесценный кладезь информации для медиков, родителей и пациента, и потому самый элементарный вариант - украсть и продать родителям. Другой вариант - тупо навредить, уничтожив ее. Можно еще придумать пару-тройку неприятных последствий кражи этих данных. И к сожалению, до всего этого никому нет совершенно никакого дела - ни регистратуре, ни заведующей, ни Роскомнадзору. А ведь дети - это наше с вами будущее...

С наступающим летом и Днем защиты детей вас, дорогие читатели!

41 комментарий :

  1. Анонимный25.5.11

    Лет 6 назад, перед увольнением из ВС, лежал в госпитале в Красногорске. Нужно было обходить кучу врачей, так мою историю болезни мне дали на руки с просьбой спрятать под одежду, чтобы не дай бог кто не увидел. Персонал просто не в состоянии сам носить ее из кабинета в кабинет, это-ж надо персональную медсестру приставлять. Карточки пациентов на руки выдаваться не должны, если только для "выноса наружу" (в другое ЛПУ) под роспись. В идеале - электронные карты, только...эх...
    Сергей.

    ОтветитьУдалить
  2. Ну я добавлю желчи...
    Чтобы тема не закончилась "а что ты нам рассказываешь про нигилизм мы и так знаем..."

    Так вот такой похититель карты может...
    Выдернуть пару листов или вписать туда нечто на основании чего доктор может выписать, назначить, не пустить, отменить и т.п.
    К чему это может привести - у меня так волосы на голове встанут дыбом если я буду продолжать...

    ОтветитьУдалить
  3. Да не в нигилизме дело - а в элементарном (!) порядке, до которого почему-то ни у кого руки не доходят. Как Сергей сказал - "эх..." Одни только штрафы, сертификаты да лицензии у всех на уме. А поликлиникам вообще по ходу на все пофигу.

    ОтветитьУдалить
  4. Что поликлиники есь еще МО РФ...

    ОтветитьУдалить
  5. Да уж. Да и ФСБ, если вспомнить дело Навального ;)

    ОтветитьУдалить
  6. Анонимный25.5.11

    Алексей, им не пофигу, просто не до того, нет ни сил ни средств. Если зарплаты медперсонала более-менее подняли (хотя все равно не хватает), то с техническими работниками - полный крах. Зарплата - минималка, найдите IT-шника за 4300. Регуляторов и проверяющих тьма. После того, как перестали "кошмарить" бизнес, взялись за бюджетников (пож., санэпидем., налоговая, ПФР, ФОМС, прокуратура (особенно природоохранная активизировалась), а тут еще РКН-ФСТЭК-ФСБ со своими ПДн).
    Сергей.

    ОтветитьУдалить
  7. Если кто-то захочет отомстить конкретному человеку, то последствия могут быть очень плохими.

    Тут мне кажется даже не отдельная поликлиника должна решать, хорошо бы Департамент Здравоохранения в этом участвовал. Например чтобы давали рекомендации как правильно работать с медицинскими картами.

    ОтветитьУдалить
  8. Да уж... Да и что толку от карты, если и так бесплатная медицина - полный пипец... А платная - одно разводилово. Для тех, кто радеет за безопасность, выход ИМХО один: хранить карты на руках. Дома, в сейфе, вместе с остальными документами.

    ОтветитьУдалить
  9. ЗЫ. Именно поэтому я не буду отправлять жалобу в Роскомнадзор. Да и толку - никакого...

    ОтветитьУдалить
  10. Моё мнение - тема надуманная. Пытаться навредить другому человеку, используя медкарту, очень странный способ, есть много других, более эффективных и простых.
    Понятно, что порядок должен быть, но он не должен превращаться в паранойю.

    ОтветитьУдалить
  11. Ну, вообще-то да, по сравнению с остальными темами. Но закон-то один для всех. Он не делает исключений для "надуманных" и "не надуманных". И потом - по нормативам это категория информации, требующая наивысшей степени защиты. Так что...

    ОтветитьУдалить
  12. Коллеги, а почему вообще эти медицинские карты в поликлинике хранятся? Разве родителям на руки отдать, как Алексей предлагает, не лучше? Боятся, что пациенты туда сами себе что-то впишут? Или что потеряют?

    ОтветитьУдалить
  13. Честно говоря слабая аутентификация по "что ты знаешь" тут только следствие отсутствия медицины как комплекса услуг..а раз нет услуг то нет и их качества, безопасности, ответственности и т.п. Посему бесплатная медицина может быть квалифицирована как зло.

    ОтветитьУдалить
  14. " но он не должен превращаться в паранойю."
    Ну если ребенку с мощной аллергией вписать лекарство с концентрированным содержанием аллергена... как Вы думаете "шутка" удастся ?..

    ОтветитьУдалить
  15. Олексе: она мной почти так и квалифицирована :)

    Тарасу: это пережитки советского прошлого. Если Анна Дементеева читает нас - может, ответит? :)

    Евгению: сразу видно - Папа, и это хорошо :) Это как раз и называется "родительская паранойя" :) И это правильно.

    PS авторизация сбоит

    ОтветитьУдалить
  16. Анонимный26.5.11

    Бесплатной медицины нет, она типа страховая. Государство, устанавливая какие-либо требования, должно обеспечить их выполнение гос.(мун.)учреждениями прежде всего путем выделения средств. Приняли 152 - выделили деньги на реализацию - проконтролировали выполнение - наказали за несоответствие. А унас второй этап выпадает. Конечно, многое зависит и от кадров, элементарные оргмеры затрат не требуют, хотя регистратор в поликлинике будет нормально работать только за нормальную зарплату и страх ее потерять.
    Сергей.

    ОтветитьУдалить
  17. А если жест доброй воли сделать для поликлиники детской или детских? Взять и написать алгоритм действий по защите ПДн, который не требовал бы ощутимых финансовых затрат. Грамотно донести это до главврача (да-да, Алексей, я видел как ты умеешь доносить действительность до окружающих =)) и помочь в реализации. Подрядить студентов - как практику производственную, а вот если ЭТО не поможет, то тогда уже принимать жесткие меры по устранению недостатков. Я готов оказать посильную помощь в защите ПДн для 4 поликлиники, тем более, что у меня там ребенок периодически бывает.

    ОтветитьУдалить
  18. И приурочить к дню защиты детей ! Думаю муниципалы захотят засветиться дополнительно !

    ОтветитьУдалить
  19. Анонимный26.5.11

    А кто сказал что такого алгоритма нет? В регистратуре сидит не главврач!
    Сергей.

    ОтветитьУдалить
  20. А если и местные интеграторы подключатся (на бесплатной основе), то и им будет реклама не плохая.

    ОтветитьУдалить
  21. А причем здесь регистратура? В любом случае, за свою поликлинику несет ответственность главврач или заведующий. Покажите мне алгоритм =) Если брать рекомендации Минздравсоцразвития - это трудно назвать алгоритмом, вернее можно, но с натяжкой...необходимо проводить обследование процессов обработки Пдн, а уже в зависимости от того как обрабатываются Пдн - писать процедуры, которые действительно будут работать. Главное найти компромисс трудозатраты-эффективность. Рассусоливать можно долго, а ты возьми и сделай...в силу того, что нахожусь в другом городе, готов написать несколько процедур, но "затачивать" необходимо уже на местах, для чего и предлагаю организовать студентов - им же практика такая будет полезной.

    ОтветитьУдалить
  22. Коллеги, я конечно лентяй, но смею уверить, что все это разжевано уже и в рот положено. Лично я раз 10 выступал на всяких мероприятиях с 2009 года с одной и той же презентацией http://anvolkov.blogspot.com/2010/06/2010.html. Мои коллеги из ЧГУ за 2 года чего только за бесплатно не поделали. Все зависит от воли руководителя. Я знаю поликлиники нормальные, в которых все по уму. Потому мне есть с чем сравнивать. К сожалению, это взрослые поликлиники.

    ОтветитьУдалить
  23. Анонимный26.5.11

    День первый
    Хакер приходит в общественную столовую и с возмущением обнаруживает, что солонку на столе может открутить кто попало и насыпать туда что угодно. Хакер приходит домой и пишет гневное письмо директору столовой: "Я, meG@Duc|<, обнаружил уязвимость солонки в Вашей столовой. Злоумышленник может вскрыть солонку и насыпать туда яду! Примите меры срочно!"

    День второй
    Директор среди прочих деловых писем, запросов о поставках еды и курьерских уведомлений получает письмо, и пожимает плечами: "Кому этот бред только в голову пришёл?"

    День пятый
    Хакер приходит в столовую, насыпает во все солонки яду. Погибает триста человек, директора три месяца таскают по судам и в конце концов оправдывают за отсутствием состава преступления. Хакер пишет письмо в стиле "ну что, видали?".

    День 96-ой
    Директор покупает специально спроектированные солонки с кодовым замком. Посетители столовой чувствуют, что они в этой жизни чего-то не понимают.

    День 97-ой
    Хакер обнаруживает, что дырки в солонках пропускают соль в обе стороны. И не только соль, а вообще всё, что угодно. Он пишет возмущенное письмо директору и ссыт во все солонки столовой. Триста человек перестают посещать эту столовую вообще, тридцать попадают в больницы с отравлением. Хакер вдогонку посылает директору смс-ку "Ну как вам?". Директора тем временем три месяца таскают по судам и дают год условно.

    ...

    День 200-ый
    Посетители столовой с ужасом находят, что чтобы насыпать соли, они должны подойти к официанту, предъявить паспорт, получить специальный 8-значный одноразовый код к солонке. Для получения перца процедуру следует повторить

    ОтветитьУдалить
  24. Классный анек :) Вот потому-то я в столовке соль и не сыплю из солонок. И перец. Предпочитаю одноразовые пакетики с тем и с другим :)

    ОтветитьУдалить
  25. http://goo.gl/ZE9Js

    В полиции рассказали, что подозреваемый злоумышленник уже задержан. Это 21-летний парень по фамилии Чжан. 3 января он позвонил в магазин с целью шантажа, но на его угрозы не обратили внимание. На следующий день он позвонил снова и сообщил, что подсыпал яд в 6 видов продуктов. Остальные подробности власти не сообщают.

    ОтветитьУдалить
  26. Евгению: да, в каждой шутке есть доля шутки. И отморозков всяких реально в избытке. Среди них сто пудов найдется один, подсыпающий яд в солонки.

    ОтветитьУдалить
  27. А в тему 4-й поликлиники - я полагаю, если придти к заведующей с претензиями и предложениями, то скажут: у нас была проверка Роскомнадзора, все что они написали - мы устранили. Так что валите, товарищ, на воздух, и радуйтесь, что мы еще детей (ка)лечим.

    ОтветитьУдалить
  28. Тобишь нужно мыслить глобально читать ХХХ Оценивать социальную значимость так сказать... Какая уж там свобода личности, совести, права и т.п.
    На дорогах то людей тьфу тьфу погибает вон сколько...

    ОтветитьУдалить
  29. Вообще мне кажется наши копания вне реальных проблем. Иными словами околонаучный диспут на подготовку нас же к будущему.
    Почему вне реальных... По аналогии...
    Нужно картошку сажать а мы обсуждаем какое число засохших между стеклами мух проснется в этом году и какой процент из выживших покусает дачников до 18 лет. Иногда ловлю себя на мысли что мы в это облако ПДн добавляем лишнего дыму.
    Но позвездеть тоже интересно...

    ОтветитьУдалить
  30. Анонимный26.5.11

    152-му нет и 5 лет. А активность по нему год-два. Дожна сформироваться культура безопасности вообще и ПДн в частности. Если коснуться темы "Два капитана...", а много ли людей используют лицензионное ПО и антивирус дома? А ведь это безопасность. И ПДн свои раздают направо и налево. Но Мы живем в России.
    Сергей.

    ОтветитьУдалить
  31. Я вот уверен что общество может существовать в условиях полной открытости личности. И возможно оно будет более здоровым чтоли...

    ОтветитьУдалить
  32. А что значит "открытость личности" ?

    ОтветитьУдалить
  33. > вне реальных проблем

    Ну хз. По мне так проблема с отсутствием порядка - реальная проблема. Театр начинается с вешалки, поликлиника - с регистратуры.

    ОтветитьУдалить
  34. а это когда любые ПДн - общественно значимые ;)

    ОтветитьУдалить
  35. Анонимный26.5.11

    Извиняюсь, в посте про хакеров и столовую - забыл подписаться %(
    1Сник из Мухосранска.
    З.Ы. Алексей, я в восторге от вашего ответа на эту, честно признаюсь, небольшую провокацию! Менее адекватный человек стал бы испражняться стройматериалами ;).

    ОтветитьУдалить
  36. Кто адекватный ? Алексей адекватный ?..
    Вы его презентации видели ?!!... )))

    ОтветитьУдалить
  37. Ладно, коллеги, все относительно ))) Вот реальная новость у Жени Царева в блоге

    http://www.tsarev.biz/informacionnaya-bezopasnost/fstek-smenila-direktora/

    Често говоря, многие, очень многие думали, что именно в этот момент их того-с...

    ОтветитьУдалить
  38. Да я шучу ;)
    Новость ожидаемая поживем увидим...

    ОтветитьУдалить
  39. А я и сам не отрицаю, что всякий бываю :)))

    ЗЫ Да что ж у меня с авторицацией-то...

    ОтветитьУдалить
  40. Анонимный27.5.11

    Авторские права уже слили в одну контору, дело за ЗИ. У семи нянек дитя без глаз.
    Сергей

    ОтветитьУдалить