среда, 25 мая 2011 г.

Социальная инженерия


Некоторое время назад мы с вами, дорогие читатели, наблюдали за тем, как обстоят дела с защитой персональных данных маленьких пациентов в одной из череповецких детских поликлиник, как Роскомнадзор пытается навести порядок и что из этого в конце концов вышло. В преддверии всемирного Дня защиты детей, ежегодно и повсеместно отмечаемого 1 июня, ваш покорный слуга (как говорится, по совету друзей) прогулялся сегодня до этой же поликлиники, с целью поглядеть, как организован процесс выдачи медицинских карт детишек на руки родителям. Хотел свой поход заснять на видео но, как назло, забыл зарядить с вечера смартфон, и он ожидаемо помер в такой неподходящий момент. По сему, увы, повествование мое будет исключительно устным, но не менее интересным.

Украв накануне вечером у незнакомого человека медицинский полис его ребенка (вы, конечно, поняли, что на самом деле я просто воспользовался полисом ребенка, любезно предоставленным небезразличным родителем, но для сюжета пусть будет именно так), майским солнечным утром я уверенно шагнул на порог детской поликлиники. Торгаши дешевыми китайскими игрушками и полурастаявшими сладостями, делающие деньги на стремлении родителей компенсировать детям тяжесть похода в поликлинику, только начали открывать свои лавки. В коридоре сидела стайка молодых мамочек с грудничками - очевидно, их чадам настало время сдать очередные анализы.

Пройдя по коридору до регистратуры, где, как всегда, толпилась очередь бабушек и дедушек, вставших с утра пораньше за талонами к специалистам для своих внуков, я занял позицию слева от окна регистратора и принялся делать вид, что изучаю какие-то документы. На самом деле, краем глаза я наблюдал, как организован процесс выдачи медицинских карт. Ждать пришлось недолго: через 5-6 минут молодая женщина сунула голову в окно и попросила выдать карту ее дочки. Я насторожился: что скажет регистратор? Сквозь окно послышалась просьба дать полис ребенка, и мама, немного покопавшись в своем бауле, явила регистратору сей важный документ. Та, в свою очередь, спросила номер участка, адрес проживания, записала это на бумажку, встала и ушла с ним куда-то. "Наверное, искать карточку" - подумал я, и не ошибся: через несколько минут карточка и полис были вручены посетительнице.

"Стоп" - подумал я, "и все? А как же отметка в журнале о выдаче медицинской карты, а как же Ф.И.О. и роспись получившего? И вообще - на каком основании была выдана карта - только по полису? А если этот полис украден? Почему не проверен паспорт родителя или какие-то другие основания для выдачи карты на руки?" Ничего этого не было и в помине. Следующие два посетителя, просившие карты, получили их точно таким же способом - и без какой-либо регистрации. Я отошел от регистратуры и стал ждать. Минут через 20 народ подрассосался, и у регистратуры стало спокойно.

Я достал "украденный" полис, прочитал Ф.И.О. ребенка (адрес проживания и номер участка я знал), и решил импровизировать. Изобразив бешеные глаза и растерянную добрую улыбку, я подбежал к регистратуре и, извиняясь и улыбаясь, залепетал: "здравствуйте, девушка, будьте добры, можно карточку получить, а то мама с ребенком и полисом уже в кабинете у врача, срочно меня отправили... так зовут, такой участок.. да-да, такой адрес...." Пару минут ожиданий, и медицинская карта ребенка у вора на руках. "Расписаться в получении нигде не надо?" - поинтересовался я. "Не надо, карточку у врача оставите" - последовал ответ...

Вот и все. Я, совершенно посторонний человек, БЕЗ ПОЛИСА, без вообще каких-либо документов, стал обладателем увесистой медицинской карты, которую через некоторое время вернул в регистратуру. Доброжелательно улыбаясь, сказал свое мнение о процессе выдачи, на что в глазах из пуленепробиваемого стекла увидел ответ "а не пошел бы ты ... к заведующей".

Спросите, зачем кому-то может понадобиться медицинская карта ребенка? Ответ прост - ведь в ней вся история развития ребенка: прививки, болезни, анализы... Бесценный кладезь информации для медиков, родителей и пациента, и потому самый элементарный вариант - украсть и продать родителям. Другой вариант - тупо навредить, уничтожив ее. Можно еще придумать пару-тройку неприятных последствий кражи этих данных. И к сожалению, до всего этого никому нет совершенно никакого дела - ни регистратуре, ни заведующей, ни Роскомнадзору. А ведь дети - это наше с вами будущее...

С наступающим летом и Днем защиты детей вас, дорогие читатели!

41 комментарий :

  1. Анонимно25.5.11

    Лет 6 назад, перед увольнением из ВС, лежал в госпитале в Красногорске. Нужно было обходить кучу врачей, так мою историю болезни мне дали на руки с просьбой спрятать под одежду, чтобы не дай бог кто не увидел. Персонал просто не в состоянии сам носить ее из кабинета в кабинет, это-ж надо персональную медсестру приставлять. Карточки пациентов на руки выдаваться не должны, если только для "выноса наружу" (в другое ЛПУ) под роспись. В идеале - электронные карты, только...эх...
    Сергей.

    ОтветитьУдалить
  2. Анонимно25.5.11

    Ну я добавлю желчи...
    Чтобы тема не закончилась "а что ты нам рассказываешь про нигилизм мы и так знаем..."

    Так вот такой похититель карты может...
    Выдернуть пару листов или вписать туда нечто на основании чего доктор может выписать, назначить, не пустить, отменить и т.п.
    К чему это может привести - у меня так волосы на голове встанут дыбом если я буду продолжать...

    ОтветитьУдалить
  3. Да не в нигилизме дело - а в элементарном (!) порядке, до которого почему-то ни у кого руки не доходят. Как Сергей сказал - "эх..." Одни только штрафы, сертификаты да лицензии у всех на уме. А поликлиникам вообще по ходу на все пофигу.

    ОтветитьУдалить
  4. Анонимно25.5.11

    Что поликлиники есь еще МО РФ...

    ОтветитьУдалить
  5. Да уж. Да и ФСБ, если вспомнить дело Навального ;)

    ОтветитьУдалить
  6. Анонимно25.5.11

    Алексей, им не пофигу, просто не до того, нет ни сил ни средств. Если зарплаты медперсонала более-менее подняли (хотя все равно не хватает), то с техническими работниками - полный крах. Зарплата - минималка, найдите IT-шника за 4300. Регуляторов и проверяющих тьма. После того, как перестали "кошмарить" бизнес, взялись за бюджетников (пож., санэпидем., налоговая, ПФР, ФОМС, прокуратура (особенно природоохранная активизировалась), а тут еще РКН-ФСТЭК-ФСБ со своими ПДн).
    Сергей.

    ОтветитьУдалить
  7. Если кто-то захочет отомстить конкретному человеку, то последствия могут быть очень плохими.

    Тут мне кажется даже не отдельная поликлиника должна решать, хорошо бы Департамент Здравоохранения в этом участвовал. Например чтобы давали рекомендации как правильно работать с медицинскими картами.

    ОтветитьУдалить
  8. Да уж... Да и что толку от карты, если и так бесплатная медицина - полный пипец... А платная - одно разводилово. Для тех, кто радеет за безопасность, выход ИМХО один: хранить карты на руках. Дома, в сейфе, вместе с остальными документами.

    ОтветитьУдалить
  9. ЗЫ. Именно поэтому я не буду отправлять жалобу в Роскомнадзор. Да и толку - никакого...

    ОтветитьУдалить
  10. Моё мнение - тема надуманная. Пытаться навредить другому человеку, используя медкарту, очень странный способ, есть много других, более эффективных и простых.
    Понятно, что порядок должен быть, но он не должен превращаться в паранойю.

    ОтветитьУдалить
  11. Ну, вообще-то да, по сравнению с остальными темами. Но закон-то один для всех. Он не делает исключений для "надуманных" и "не надуманных". И потом - по нормативам это категория информации, требующая наивысшей степени защиты. Так что...

    ОтветитьУдалить
  12. Коллеги, а почему вообще эти медицинские карты в поликлинике хранятся? Разве родителям на руки отдать, как Алексей предлагает, не лучше? Боятся, что пациенты туда сами себе что-то впишут? Или что потеряют?

    ОтветитьУдалить
  13. Честно говоря слабая аутентификация по "что ты знаешь" тут только следствие отсутствия медицины как комплекса услуг..а раз нет услуг то нет и их качества, безопасности, ответственности и т.п. Посему бесплатная медицина может быть квалифицирована как зло.

    ОтветитьУдалить
  14. Анонимно25.5.11

    " но он не должен превращаться в паранойю."
    Ну если ребенку с мощной аллергией вписать лекарство с концентрированным содержанием аллергена... как Вы думаете "шутка" удастся ?..

    ОтветитьУдалить
  15. Олексе: она мной почти так и квалифицирована :)

    Тарасу: это пережитки советского прошлого. Если Анна Дементеева читает нас - может, ответит? :)

    Евгению: сразу видно - Папа, и это хорошо :) Это как раз и называется "родительская паранойя" :) И это правильно.

    PS авторизация сбоит

    ОтветитьУдалить
  16. Анонимно26.5.11

    Бесплатной медицины нет, она типа страховая. Государство, устанавливая какие-либо требования, должно обеспечить их выполнение гос.(мун.)учреждениями прежде всего путем выделения средств. Приняли 152 - выделили деньги на реализацию - проконтролировали выполнение - наказали за несоответствие. А унас второй этап выпадает. Конечно, многое зависит и от кадров, элементарные оргмеры затрат не требуют, хотя регистратор в поликлинике будет нормально работать только за нормальную зарплату и страх ее потерять.
    Сергей.

    ОтветитьУдалить
  17. А если жест доброй воли сделать для поликлиники детской или детских? Взять и написать алгоритм действий по защите ПДн, который не требовал бы ощутимых финансовых затрат. Грамотно донести это до главврача (да-да, Алексей, я видел как ты умеешь доносить действительность до окружающих =)) и помочь в реализации. Подрядить студентов - как практику производственную, а вот если ЭТО не поможет, то тогда уже принимать жесткие меры по устранению недостатков. Я готов оказать посильную помощь в защите ПДн для 4 поликлиники, тем более, что у меня там ребенок периодически бывает.

    ОтветитьУдалить
  18. Анонимно26.5.11

    И приурочить к дню защиты детей ! Думаю муниципалы захотят засветиться дополнительно !

    ОтветитьУдалить
  19. Анонимно26.5.11

    А кто сказал что такого алгоритма нет? В регистратуре сидит не главврач!
    Сергей.

    ОтветитьУдалить
  20. А если и местные интеграторы подключатся (на бесплатной основе), то и им будет реклама не плохая.

    ОтветитьУдалить
  21. А причем здесь регистратура? В любом случае, за свою поликлинику несет ответственность главврач или заведующий. Покажите мне алгоритм =) Если брать рекомендации Минздравсоцразвития - это трудно назвать алгоритмом, вернее можно, но с натяжкой...необходимо проводить обследование процессов обработки Пдн, а уже в зависимости от того как обрабатываются Пдн - писать процедуры, которые действительно будут работать. Главное найти компромисс трудозатраты-эффективность. Рассусоливать можно долго, а ты возьми и сделай...в силу того, что нахожусь в другом городе, готов написать несколько процедур, но "затачивать" необходимо уже на местах, для чего и предлагаю организовать студентов - им же практика такая будет полезной.

    ОтветитьУдалить
  22. Коллеги, я конечно лентяй, но смею уверить, что все это разжевано уже и в рот положено. Лично я раз 10 выступал на всяких мероприятиях с 2009 года с одной и той же презентацией http://anvolkov.blogspot.com/2010/06/2010.html. Мои коллеги из ЧГУ за 2 года чего только за бесплатно не поделали. Все зависит от воли руководителя. Я знаю поликлиники нормальные, в которых все по уму. Потому мне есть с чем сравнивать. К сожалению, это взрослые поликлиники.

    ОтветитьУдалить
  23. Анонимно26.5.11

    День первый
    Хакер приходит в общественную столовую и с возмущением обнаруживает, что солонку на столе может открутить кто попало и насыпать туда что угодно. Хакер приходит домой и пишет гневное письмо директору столовой: "Я, meG@Duc|<, обнаружил уязвимость солонки в Вашей столовой. Злоумышленник может вскрыть солонку и насыпать туда яду! Примите меры срочно!"

    День второй
    Директор среди прочих деловых писем, запросов о поставках еды и курьерских уведомлений получает письмо, и пожимает плечами: "Кому этот бред только в голову пришёл?"

    День пятый
    Хакер приходит в столовую, насыпает во все солонки яду. Погибает триста человек, директора три месяца таскают по судам и в конце концов оправдывают за отсутствием состава преступления. Хакер пишет письмо в стиле "ну что, видали?".

    День 96-ой
    Директор покупает специально спроектированные солонки с кодовым замком. Посетители столовой чувствуют, что они в этой жизни чего-то не понимают.

    День 97-ой
    Хакер обнаруживает, что дырки в солонках пропускают соль в обе стороны. И не только соль, а вообще всё, что угодно. Он пишет возмущенное письмо директору и ссыт во все солонки столовой. Триста человек перестают посещать эту столовую вообще, тридцать попадают в больницы с отравлением. Хакер вдогонку посылает директору смс-ку "Ну как вам?". Директора тем временем три месяца таскают по судам и дают год условно.

    ...

    День 200-ый
    Посетители столовой с ужасом находят, что чтобы насыпать соли, они должны подойти к официанту, предъявить паспорт, получить специальный 8-значный одноразовый код к солонке. Для получения перца процедуру следует повторить

    ОтветитьУдалить
  24. Классный анек :) Вот потому-то я в столовке соль и не сыплю из солонок. И перец. Предпочитаю одноразовые пакетики с тем и с другим :)

    ОтветитьУдалить
  25. Анонимно26.5.11

    http://goo.gl/ZE9Js

    В полиции рассказали, что подозреваемый злоумышленник уже задержан. Это 21-летний парень по фамилии Чжан. 3 января он позвонил в магазин с целью шантажа, но на его угрозы не обратили внимание. На следующий день он позвонил снова и сообщил, что подсыпал яд в 6 видов продуктов. Остальные подробности власти не сообщают.

    ОтветитьУдалить
  26. Евгению: да, в каждой шутке есть доля шутки. И отморозков всяких реально в избытке. Среди них сто пудов найдется один, подсыпающий яд в солонки.

    ОтветитьУдалить
  27. А в тему 4-й поликлиники - я полагаю, если придти к заведующей с претензиями и предложениями, то скажут: у нас была проверка Роскомнадзора, все что они написали - мы устранили. Так что валите, товарищ, на воздух, и радуйтесь, что мы еще детей (ка)лечим.

    ОтветитьУдалить
  28. Анонимно26.5.11

    Тобишь нужно мыслить глобально читать ХХХ Оценивать социальную значимость так сказать... Какая уж там свобода личности, совести, права и т.п.
    На дорогах то людей тьфу тьфу погибает вон сколько...

    ОтветитьУдалить
  29. Ну да, выходит, так.

    ОтветитьУдалить
  30. Анонимно26.5.11

    Вообще мне кажется наши копания вне реальных проблем. Иными словами околонаучный диспут на подготовку нас же к будущему.
    Почему вне реальных... По аналогии...
    Нужно картошку сажать а мы обсуждаем какое число засохших между стеклами мух проснется в этом году и какой процент из выживших покусает дачников до 18 лет. Иногда ловлю себя на мысли что мы в это облако ПДн добавляем лишнего дыму.
    Но позвездеть тоже интересно...

    ОтветитьУдалить
  31. Анонимно26.5.11

    152-му нет и 5 лет. А активность по нему год-два. Дожна сформироваться культура безопасности вообще и ПДн в частности. Если коснуться темы "Два капитана...", а много ли людей используют лицензионное ПО и антивирус дома? А ведь это безопасность. И ПДн свои раздают направо и налево. Но Мы живем в России.
    Сергей.

    ОтветитьУдалить
  32. Анонимно26.5.11

    Я вот уверен что общество может существовать в условиях полной открытости личности. И возможно оно будет более здоровым чтоли...

    ОтветитьУдалить
  33. А что значит "открытость личности" ?

    ОтветитьУдалить
  34. > вне реальных проблем

    Ну хз. По мне так проблема с отсутствием порядка - реальная проблема. Театр начинается с вешалки, поликлиника - с регистратуры.

    ОтветитьУдалить
  35. Анонимно26.5.11

    а это когда любые ПДн - общественно значимые ;)

    ОтветитьУдалить
  36. Анонимно26.5.11

    Извиняюсь, в посте про хакеров и столовую - забыл подписаться %(
    1Сник из Мухосранска.
    З.Ы. Алексей, я в восторге от вашего ответа на эту, честно признаюсь, небольшую провокацию! Менее адекватный человек стал бы испражняться стройматериалами ;).

    ОтветитьУдалить
  37. Анонимно26.5.11

    Кто адекватный ? Алексей адекватный ?..
    Вы его презентации видели ?!!... )))

    ОтветитьУдалить
  38. Ладно, коллеги, все относительно ))) Вот реальная новость у Жени Царева в блоге

    http://www.tsarev.biz/informacionnaya-bezopasnost/fstek-smenila-direktora/

    Често говоря, многие, очень многие думали, что именно в этот момент их того-с...

    ОтветитьУдалить
  39. Анонимно26.5.11

    Да я шучу ;)
    Новость ожидаемая поживем увидим...

    ОтветитьУдалить
  40. А я и сам не отрицаю, что всякий бываю :)))

    ЗЫ Да что ж у меня с авторицацией-то...

    ОтветитьУдалить
  41. Анонимно27.5.11

    Авторские права уже слили в одну контору, дело за ЗИ. У семи нянек дитя без глаз.
    Сергей

    ОтветитьУдалить