25 let kronične bolezni

Pred približno desetimi leti sem pospremil poškodovanega kolega v znano zdravstveno ustanovo. Ko so ga poklicali v ordinacijo, je sestra za približno deset minut zapustila čakalni prostor. Na mizi je imela razporejenih okoli deset zdravstvenih kartonov, na katerih sem lahko prebral imena pacientov. Med njimi je bila tudi znana estradnica, ki sem jo mimogrede opazil v čakalnici. Če bi takrat z mobilnikom fotografiral njen karton – ali kartone drugih pacientov –, me ne bi opazil nihče. Enako neopazno bi najbrž lahko pokukal v informacijski sistem na njenem računalniku, saj je bil odklenjen in očitno nezavarovan.

Še dobro desetletje prej je podobne pomanjkljivosti opazil Miha Mazzini. Januarja 1993 je v Mladini objavil članek Joža 'ma siflo, Metka pa splav, v katerem je opozoril na številne varnostne pomanjkljivosti v zdravniški programski opremi in informacijskem sistemu. Datoteke niso bile zaklenjene, zbirka podatkov ni bila šifrirana, zato bi zaupne podatke o pacientih lahko pridobil vsak povprečen uporabnik računalnika. Na velika varnostna tveganja so večkrat opozorili tudi drugi strokovnjaki za informacijsko varnost in predstavniki informacijskega pooblaščenca, ki so analizirali varnostne protokole, uporabo zdravstvenih kartic in varovanje osebnih podatkov po zdravstvenih ustanovah. Ugotovili so, da ima preveč ljudi dostop do podatkov, da ni sledljivosti dostopa in sprememb, ali da so bile zdravstvene kartoteke včasih začasno shranjene kar na hodniku.

Če nedavno razkritje, da je neznani napadalec lahko pregledoval nezavarovane elektronske napotnice na spletni strani UKC Ljubljana, obravnavamo po zdravniških merilih, je primer zelo preprost. Bolezni, ki so jo diagnosticirali že pred slabimi petindvajsetimi leti, nihče ni pozdravil ali vsaj predpisal učinkovite terapije. Varnostna kultura med zdravniki in zdravstvenimi delavci se ni bistveno izboljšala. Naročniki informacijskih storitev so še naprej naročali elektronska vrata brez ključavnic (za napotnice niso uporabili niti najosnovnejšega šifrirnega protokola). Skrb za informacijsko varnost pa so v UKC zaupali kar nekdanjemu generalnemu direktorju Simonu Vrhuncu, ki ob imenovanju pred dvema letoma na tem področju ni imel resnejših referenc.

Ta bolezen ni omejena samo na zdravstvo. Pred nekaj tedni so odkrili veliko varnostno luknjo na poslovnem spletišču Ajpes. V preteklih letih so večje varnostne pomanjkljivosti našli na straneh davčne uprave in ministrstva za notranje zadeve. Podobne simptome kaže tudi prisluškovanje slovenskim predstavnikom mednarodnega arbitražnega sodišča med pogajanji o Piranskem zalivu.

Odzivi so bili vedno enaki. Namesto nujnega zdravljenja so se pristojni odločili za molk, zanikanje in napad na prinašalce slabih novic. Kar je najboljši recept za katastrofo.