Elektronika.lt
 2019 m. gruodžio 16 d. Projektas | Reklama | Žinokite | Klausimai | Prisidėkite | Atsiliepimai | Kontaktai
Paieška portale
EN Facebook RSS

 Kas naujo  Katalogas  Parduotuvės  Forumas  Tinklaraščiai
 Pirmas puslapisSąrašas
 NaujienosSąrašas
 StraipsniaiSąrašas
 - Elektronika, technika
 - Kompiuterija
 - Telekomunikacijos
 - Įvykiai, visuomenė
 - Pažintiniai, įdomybės
 Vaizdo siužetaiSąrašas
 Nuolaidos, akcijosSąrašas
 Produktų apžvalgosSąrašas
 Naudingi patarimaiSąrašas
 Vykdomi projektaiSąrašas
 Schemų archyvasSąrašas
 Teorija, žinynaiSąrašas
 Nuorodų katalogai
 Įvairūs siuntiniai
 Bendravimas
 Skelbimai ir pasiūlymai
 Elektronikos remontas
 Robotų kūrėjų klubas
 RTN žurnalo archyvas






 Verta paskaityti
Gruodžio 15 d. 15:17
Kalėdinių dovanų pirkimas internetu: saugumo ekspertai pataria, kaip neatiduoti savo pinigų programišiams
Gruodžio 15 d. 13:10
Lietuvos mokslo tarybos pirmininkas: mokslininkai jau įnešė avansą, dabar valdžios eilė
Gruodžio 15 d. 11:10
To dar nebuvo – pinigus išviliojo net iš policijos darbuotojos?
Gruodžio 14 d. 15:21
Daiktų internetas: 5 pavyzdžiai, atskleidžiantys jo potencialą
Gruodžio 14 d. 09:25
Kiekvieno vairuotojo džiaugsmas – visada žaliai šviečiantis šviesoforas
Gruodžio 13 d. 20:22
Nuo išmaniųjų akinių iki elektros lizdo: svarbiausi 2019-ųjų įrenginiai
Gruodžio 13 d. 19:19
2019 metų telefonų apžvalga: ką apie technologijų ateitį praneša šie telefonai
Gruodžio 13 d. 18:37
Telefone laikote darbo duomenis? Atkreipkite dėmesį į šiuos patarimus
Gruodžio 13 d. 16:40
JAV strateginiams bombonešiams B-1B uždrausta skraidyti labai žemai ir labai dideliais greičiais
Gruodžio 13 d. 12:14
Šiukšlina visi, o rinkti nenori niekas: kosmoso šiukšlyną tvarkys robotas su keturiomis rankomis
FS19 Mods
FS19 Map mods, FS19 Courseplay, FS19 GPS mod
SnowRunner Mods
SnowRunner maps, SnowRunner trucks, How to install mods
FS 19 Tractors
Farming Simulator 19 Mods, FS 19 Maps, FS 19 Trucks
FS19 Maps, FS19 Trucks
Farming Simulator 2019 Mods, FS19 Tractors
Install MC Mods
Minecraft Dungeons Mods, Minecraft Dungeons Skins, Minecraft Dungeons Maps
FS19 Combines
Farming Simulator 19 Mods, FS19 Trucks, FS 19 Mods
How to Install Mods
Minecraft Dungeons Mod, Minecraft Dungeons Maps, Minecraft Dungeons Skins
Mobilieji telefonai
Mobilieji telefonai internetu, telefonų dėklai, telefonų priedai
Reklama
 Straipsniai » Kompiuteriai, IT Dalintis | Spausdinti

Prieš sveiką protą: sergu.lt administratorius telefonu sufleravo užmirštą slaptažodį naudotojui

Publikuota: 2019-05-26 08:35
Tematika: Kompiuteriai, IT
Skirta: Mėgėjams
Autorius: Vaidas Neverauskas
Aut. teisės: ©15min, UAB
Inf. šaltinis: 15min.lt

Bet kurios šiuolaikiškos interneto platformos naudotojas žino: pamiršai slaptažodį – teks spausti mygtuką „pamiršau slaptažodį“ ir susigalvoti naują. Nes kibernetinio saugumo logika sako, kad vartotojo slaptažodis apskritai niekur negali būti saugomas perskaitomu ar iššifruojamu pavidalu. Bet logika šiuo atveju prasilenkia su svetainės sergu.lt praktika.

 Rodyti komentarus (0)
Įvertinimas:  1 2 3 4 5 

Bet kurios šiuolaikiškos interneto platformos naudotojas žino: pamiršai slaptažodį – teks spausti mygtuką „pamiršau slaptažodį“ ir susigalvoti naują. Nes kibernetinio saugumo logika sako, kad vartotojo slaptažodis apskritai niekur negali būti saugomas perskaitomu ar iššifruojamu pavidalu. Bet logika šiuo atveju prasilenkia su svetainės sergu.lt praktika.

Kaip atskleidė vienas redakcijai pateiktas viešas internauto nusiskundimas feisbuke, sergu.lt prisijungimo slaptažodį galima sužinoti telefonu susisiekus su šios svetainės valdytojais ir paprašius pamirštąjį slaptažodį priminti. O valdytojai gali „pasufleruoti“ tą užmirštąjį slaptažodį.

Prieš sveiką protą: sergu.lt administratorius telefonu sufleravo užmirštą slaptažodį naudotojui

Kitaip tariant, slaptažodžio „priminimas“ vyksta su tarpininko – žmogaus – pagalba. Su neribota žmogaus prieiga prie visų tokiu nešifruotu būdu saugomų vartotojų prisijungimų. Ir nors formaliai teigiama, kad yra saugiklių, apsaugančių nuo lengvabūdiško ar piktavališko svetainės administratorių elgesio, faktiškai tai yra toli gražu nepakankama. Nes kas gali garantuoti, kad slaptažodžio nepraras pats administratorius ir visi prisijungimo duomenys nepateks į piktavalių asmenų rankas?

Anot sistemą vysčiusios įstaigos – Vilniaus universiteto ligoninės Santaros klinikos (VULSK) – Informatikos ir plėtros centro vadovo Rolando Bėronto, IPR (sergu.lt) sistema, kurios dalis yra vartotojų autorizacija, pradėta kurti 2005 m. gavus Europos Sąjungos finansavimą bei įvykdžius viešojo pirkimo procedūras. Sistemos paskirtis – išankstinis pacientų registravimas internetu apsilankymams pas įvairių specializacijų gydytojus įvairiose gydymo įstaigose.

Šiuo metu „sergu.lt“ svetainė gyvuoja paskutinius savo mėnesius: išankstinės pacientų registracijos sistema yra integruojama į didesnės apimties e.sveikatos sistemą. O tol, kol integracija nėra baigta, veiks ir sergu.lt – Registrų centro, valdančio e.sveikatos sistemą, atstovo teigimu, tai turėtų būti padaryta iki metų pabaigos.

Iki metų pabaigos, panašu, žiojės ir dabartinės kibernetinio saugumo bei darbo protokolų spragos. Nes VULSK nusiplauna rankas. „Nuo 2015 m. papildomo finansavimo sergu.lt sistemos modernizavimui VšĮ Vilniaus universiteto ligoninė Santaros klinikos negavo, o nuo 2019-01-01 pagrindiniu tvarkytoju paskirtas VĮ Registrų centras“, – komentare 15min rašė R.Bėrontas.

Jis taip pat nurodė, kad 2005 metais, kai ši sistema buvo kuriama, prievolės slaptažodžius saugoti šifruotai dar nebuvo, o į ISO standartus, apibrėžiančius asmens informacijos saugumą, atsižvelgti nebūtina, nes „ISO standartai tik apibrėžia gaires ar rekomendacijas“, – sakė R.Bėrontas.

R.Bėrontas nurodė, kad paskutinio atnaujinimo metu naudotojams buvo suteikta galimybė prie IPR sistemos prisijungti pasinaudojus E. valdžios vartų sistema. Tokių naudotojų prisijungimo slaptažodžių sergu.lt nesaugo.

2015 metais, kai buvo vykdomas dalinis sergu.lt vartotojų autentifikavimo sistemos atnaujinimas, priverstinio visų vartotojų migravimo prie saugesnių prisijungimo priemonių naudojimo buvo atsisakyta „siekiant palikti galimybę sistema naudotis kuo platesniam naudotojų ratui, ypač senyvo amžiaus pacientams, kurie neturi mobilaus ar elektroninio parašo, nesinaudoja elektronine bankininkyste“.

Paklausus, kodėl nešifruotų slaptažodžių sistemos naudojimas nebuvo nutrauktas įsigaliojus BDAR reglamentui, R.Bėrontas teigė: „Sustabdžius šios sistemos veiklą, būtų sustabdyta labai reikalinga paslauga gyventojams ir reikšmingai trukdytų gydymo įstaigų darbo organizavimą. Pacientams, tokiu atveju, beliktų vienintelė galimybė užsiregistruoti vizitui pas gydytoją tik prisiskambinus į praktiškai nuolatos užimtus gydymo įstaigų registratūrų telefonus“.

Taip pat jis pažymėjo, kad BDAR numato pareigą taikyti tinkamas technines ir organizacines priemones duomenų apsaugai užtikrinti ir nėra nustatytų reikalavimų slaptažodžius saugoti būtent šifruotu pavidalu. Vertintina, kad slaptažodžio atskleidimo ar nutekinimo riziką galima sumažinti taikant ir kompensacines saugos priemones (visos duomenų bazės šifravimą, administratoriaus atliekamų veiksmų kontrolę ir pan.).

Ekspertai kritikos negailėjo

Asmens duomenų apsaugos klausimais konsultuojantis teisininkas, verslo teisės advokatų kontoros „Invent“ partneris ir vadovas Mindaugas Kiškis nurodė, kad lėšų negavimas nuo atsakomybės tikrai neatleidžia. „Gėda už VULSK, nes jie turėtų būti kelrodis visoms sveikatos priežiūros įstaigoms“, – sakė advokatas.

„Taip negali būti, jokiu būdu. Ypač rimtose sistemose. Man nelabai suvokiama kaip tokią sistemą kažkas galėjo priimti į eksploataciją... 2015 m. jau buvo pilna dviejų veiksnių autentifikavimo technologijų. O jei sistema vis dar nėra sutvarkyta, tai tokias senas prieigas reikia trinti ar bent jau nenaudoti, argumentas kad tai sena sistema, yra niekinis“, – išgirdęs apie sergu.lt situaciją sakė buvęs „Microsoft Lietuva“ vadovų komandos narys, dabar „Privacy Partners“ vadovas Martynas Bieliūnas.

Kaip turėtų vykti slaptažodžio atkūrimas?

Šiuo metu sergu.lt siūlo keturis prisijungimo prie sistemos būdus: su telefono numeriu ir slaptažodžiu, per „Facebook“ paskyrą, per „Google+“ paskyrą ir per Elektroninius valdžios vartus.

„Facebook“ iliustr. / Diskusija apie Sergu.lt veikimo kuriozus
„Facebook“ iliustr. / Diskusija apie Sergu.lt veikimo kuriozus

Jeigu norite jungtis su telefono numeriu ir slaptažodžiu, bet slaptažodį pamiršote, straipsnio rašymo metu galėjote pamatyti, kad slaptažodžio atkūrimo sistema yra sutrikusi ir lankytojams siūloma arba kreiptis į administratorius elektroniniu paštu info@sergu.lt, arba tiesiogiai skambinti į įstaigą, kurioje pageidaujama registruotis.

Tokį patį pasiūlymą – pamiršus slaptažodį rašyti laiškus – pamatė ir feisbuko komentaro autorius, nenorėjęs situacijos komentuoti plačiau, nei ji aprašyta socialiniame tinkle ir paprašęs neatskleisti jo tapatybės.

Toks svetainės atsakas į skundą, kad senas slaptažodis yra užmirštas, toli gražu nėra tipinis: įprastu atveju pagalba naudotojui teikiama jo registruotu el.pašto adresu atsiunčiant nuorodą, kurią paspaudus leidžiama nurodyti naują slaptažodį. Taikant gerą kibernetinio saugumo praktiką esamo slaptažodžio priminimas atskirai neturi būti įmanomas – teoriškai slaptažodis paslaugos teikėjo tarnybinėje stotyje turėtų būti saugomas vienkrypčiu maišos (angl. hash) būdu užšifruoto kodo pavidalu.

Figos lapelis – konfidencialumo sutartis

„Informuojame, kad sergu.lt sistemos administratorius turi galimybę matyti naudotojų duomenis. Tokia galimybė yra būtina, siekiant užtikrinti sklandų sistemos funkcionavimą, išspręsti kylančias problemas. Pažymėtina, kad sistemos administratoriaus veiksmai sistemoje yra fiksuojami. Siekiant užtikrinti duomenų saugą, administratorius yra pasirašęs duomenų konfidencialumo pasižadėjimą, apmokytas duomenų saugos klausimais“, – rašė R.Bėrontas.

M.Bieliūno teigimu, toks požiūris yra ydingas: „Normalioje sistemoje prieiga prie vartotojo duomenų turi būti suteikiama tik tiems, kas su jais tiesiogiai dirba, t. y., šiuo atveju konkretiems gydytojams, o ne sistemų administratoriui. Kaip, pavyzdžiui, teikiant elektroninio pašto paslaugą: administratorius gali pakeisti slaptažodį, bet negali pamatyti sistemos turinio. Kitaip atsiranda galimybė atlikti veiksmus už vartotoją. Taip nesilaikoma „privacy by design“ principo“.

„Ir kas bus jei, pavyzdžiui, nulaužiamas administratoriaus prisijungimas? Hakeriai laikysis pasirašytų konfidencialumo sutarčių? Baikit, nemanau“, – ironizavo M.Bieliūnas.

„Registrų centras“: galimybių perkelti nebuvo

Atsakant į 15min klausimą, kodėl valstybinė įmonė „Registrų centras“, formaliai perėmusi sergu.lt valdymą, nenutraukė blogosios praktikos – prisijungimo su slaptažodžiais, kurie nėra šifruojami – atsakė: „Prie portalo sergu.lt yra prisijungusios daugiau kaip 140 įstaigų, pati sistema yra pernelyg glaudžiai susijusi su ją kūrusios Santaros klinikų informacinėmis sistemomis ir todėl nebuvo galimybių jos perkelti į Registrų centro tvarkomą Elektroninės sveikatos paslaugų ir bendradarbiavimo informacinę sistemą (ESPBI IS, geriau žinomą kaip e. sveikatos portalą)“.

Dėl to priimtas sprendimas kurti visiškai naują Išankstinės pacientų registracijos informacinę sistemą (IPR IS), o kol ji bus sukurta ir įdiegta, palikti veikiančią sergu.lt sistemą, kad pacientai jos pagalba galėtų toliau registruotis pas gydytojus.

„Šiuo metu sergu.lt sistema yra atnaujinama – integruojama su nacionaline e. sveikatos sistema. Palaipsniui prie nacionalinės Išankstinės pacientų registracijos informacinės sistemos (IPR IS) pradeda jungtis sveikatos priežiūros įstaigos. Registrų centras šiuo metu diegia naujus funkcionalumus susijusius su pacientų eilių valdymu. Kuriant naująją sistemą ypatingas dėmesys skiriamas duomenų saugumui, todėl pacientai naujajame portale pas gydytojus galės užsiregistruoti tik prisijungę per elektroninius valdžios vartus ar su elektroniniu parašu“, – rašoma „Registrų centro“ komentare.

Valstybinė duomenų apsaugos inspekcija konkretaus atvejo nekomentuoja

„Valstybinė duomenų apsaugos inspekcija dėl „sergu.lt“ prisijungimo slaptažodžių administravimo skundų nebuvo gavusi, todėl, neturėdama konkrečios informacijos apie duomenų tvarkymo operacijas, negali iš anksto konstatuoti, ar Jūsų nurodytu konkrečiu atveju buvo padarytas Bendrojo duomenų apsaugos reglamento pažeidimas (BDAR)“, – rašoma VDAI atsakyme.

Tačiau inspekcijos atstovas – teisės skyriaus vedėjas Egidijus Verenius – nurodė, kad asmens duomenų tvarkymas laikomas teisėtu, jeigu jis atitinka asmens duomenų tvarkymo principus, įtvirtintus BDAR.

„BDAR įtvirtintas vientisumo ir konfidencialumo principas (BDAR 5 straipsnio 1 dalies f punktas) numato, kad asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo. BDAR numato pareigą, atsižvelgiant į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas duomenų, tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, įgyvendinti tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas. Šios priemonės prireikus peržiūrimos ir atnaujinamos (BDAR 24 straipsnio 1 dalis, 32 straipsnio 1 dalis)“, – rašė E.Verenius.

Anot jo, saugumo priemonės gali apimti, jei reikia: pseudonimų suteikimą asmens duomenims ir jų šifravimą; gebėjimą užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą; reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo procesą ir kt. Svarbu pastebėti, kad prieigų kontrolė ir autentifikavimas yra esminiai saugos reikalavimai, siekiant apsisaugoti nuo neautorizuotos prieigos prie IT sistemos, kurioje yra apdorojami asmens duomenys. Pažymėtina, kad asmens duomenų tvarkymo saugumo priemones pasirenka pats duomenų valdytojas.

Teisininkas atkreipė dėmesį ir į tai, kad, pagal BDAR, specialių kategorijų asmens duomenys (įskaitant sveikatos duomenis) yra jautresni duomenys, todėl jų tvarkymui reikalaujama daugiau apsaugos, pavyzdžiui, laikytis pritaikytosios duomenų apsaugos, kaip antai į duomenų tvarkymą integruoti būtinas apsaugos priemones, kad jis atitiktų BDAR reikalavimus ir apsaugotų duomenų subjekto teises ir kt.

„Taigi duomenų valdytojas, tvarkydamos asmens duomenis, privalo įgyvendinti tinkamas technines ir organizacines priemones atsižvelgiant į asmens duomenų tvarkymo aplinkybes ir pasirinkti tinkamas saugumo priemones“, – nurodė VDAI teisės skyriaus vedėjas.

Šiuo atveju – kuomet vartotojų slaptažodžiai ne tik matomi tekstiniu pavidalu, bet ir matomi sistemos administratoriams, ir sufleruojami skambinantiems asmenims, vargu ar galima kalbėti apie tinkamas technines asmens duomenų apsaugos užtikrinimo priemones ar užtikrinimą, kad prie šių duomenų neprieis asmenys, kuriems tie duomenys nėra būtini.


15min.lt



Draudžiama platinti, skelbti, kopijuoti
informaciją su nurodyta autoriaus teisių žyma be redakcijos sutikimo.

Global electronic components distributor – Allicdata Electronics

TMS ELECTRONICS
TMS ELECTRONICS

www.rslietuva.com – nemokamas elektronikos komponentų pristatymas

ENEBA's game store

Lietuvos mokinių neformaliojo švietimo centras

LOKMITA – įvairi matavimo, testavimo, analizės ir litavimo produkcija

Technologijos.lt

Mokslo festivalis „Erdvėlaivis Žemė

www.esaugumas.lt – apsaugok savo kompiuterį!

LTV.LT - lietuviškų tinklalapių vitrina

www.matuok.lt - Interneto spartos matavimo sistema

PriedaiMobiliems.lt – telefonų priedai ir aksesuarai

MRO Supply


Reklama
‡ 1999–2019 © Elektronika.lt | Autoriaus teisės | Privatumo politika | Atsakomybės ribojimas | Reklama | Turinys | Kontaktai LTV.LT - lietuviškų tinklalapių vitrina Valid XHTML 1.0!
Farming Simulator 2017 Mods, FS 17 Mods
ls2017.com
„TV programa“ – tiksli
televizijos programa

www.tvprograma.lt
Lietuvos mokinių neformaliojo švietimo centras
www.lmnsc.lt
Buhalterijos kursai, apskaitos kursai, vadovų apskaitos kursai
www.apskaitakiekvienam.lt
Lietuvių kalba informacinėse technologijose
www.likit.lt
Lyderystės mokymai, mokymai vadovams, vadovų mokymai
www.tripleo.lt
Mokslo ir technologijų pasaulis – naujienos ir straipsniai
www.technologijos.lt
Farming Simulator 2019 Mods, FS19 Tractors, FS19 Maps
farmingsimulator19mods.fr
Optical filters, UV optics, electro optical crystals
www.eksmaoptics.com
LTV.LT – geriausių lietuviškų tinklalapių katalogas
www.ltv.lt/technologijos/
FS19 Mods, FS17 Mods, FS15 Mods
www.farming2015mods.com
Mokslo populiarinimo projektas „Mokslas verslui ir visuomenei“
www.mokslasplius.lt
Reklama


Reklama