σχόλιο ID-ont: Δηλαδή όλο το πρόβλημα είναι το SSL; Εάν ένα σύστημα έχει SSL τότε είναι απαραβίαστο; Ας προτείνουν λοιπόν το SSL ως λύση σε όλες τις περιπτώσεις παραβίασης βάσεων δεδομένων που έχουν συμβεί φέτος στο εξωτερικό και παρουσιάζουμε αναλυτικά σε προηγούμενες αναρτήσεις μας. Νομίζουμε ότι το λιγότερο που θα αντιμετωπίσουν είναι το μειδίαμα των ιθυνόντων των βάσεων αυτών...
ΕΛΕΥΘΕΡΟΤΥΠΙΑ: ΒΡΕΘΗΚΕ ΔΙΑΒΛΗΤΟ ΤΟ ΗΛΕΚΤΡΟΝΙΚΟ ΣΥΣΤΗΜΑ. Τρύπια η ασπίδα εναντίον της υπερσυνταγογράφησης.
Η έλλειψη ενός σημαντικού στοιχείου ασφαλείας (πιστοποιητικό ssl) από το site της ηλεκτρονικής συνταγογράφησης e-diagnosis βεβαιώθηκε από δημόσιους φορείς μετά από κοινοποίηση καταγγελίας στους ιατρικούς συλλόγους, τον ΟΠΑΔ, το υπουργείο Υγείας και την Αρχή Προστασίας Προσωπικών Δεδομένων, από τον Σύνδεσμο Ελλήνων Ιδιωτών Πυρηνικών Ιατρών (ΣΕΙΠΙ).
Σύμφωνα με την προσφυγή των συλλόγων, οι «τρύπες» του συστήματος οφείλονται στην έλλειψη ενός κωδικοποιητή που κρυπτογραφεί το μήνυμα που φεύγει από τον PC των γιατρών και μεταφέρεται στον κεντρικό server του συστήματος. Αυτό, σύμφωνα με τους ειδικούς, είχε ως αποτέλεσμα να είναι ορατό το μεταφερόμενο μήνυμα και ανοικτό στην παρέμβαση τρίτων που έχουν τη δυνατότητα να εγκαταστήσουν μόνιμα, μη αντιληπτά προγράμματα υποκλοπής των ευαίσθητων προσωπικών δεδομένων των γιατρών και των πολιτών προς εκμετάλλευσή τους.
Επιπλέον, η είσοδος γίνεται με τον ίδιο κωδικό και για τα δύο sites του συστήματος: e-diagnosis.gr και e-syntagografisi.gr. Ως εκ τούτου, το κενό ασφαλείας του ενός ιστότοπου, σύμφωνα με τις επίσημες καταγγελίες, μεταφέρθηκε και στον άλλο. Το e-diagnosis ήταν τουλάχιστον μέχρι προ τινος ένα ανοικτό σύστημα αναγνωρίσιμο από τα «μάτια τρίτων», όπως πιστοποιεί επίσημο έγγραφο του Πανεπιστημίου Πατρών (Εργαστήριο Πληροφορικών Συστημάτων Υψηλών Επιδόσεων) αλλά και πόρισμα του Ινστιτούτου Βιομηχανικών Συστημάτων Πατρών.
Σύμφωνα με τις γνωμοδοτήσεις ειδικών στην ασφάλεια πληροφορικών συστημάτων, η διαβλητότητα οφείλεται στην «παιδαριώδη» πρακτική ταυτοποίησης του χρήστη γιατρού και του ασφαλισμένου με την καταχώρηση ενός επίσημου δημόσιου στοιχείου, όπως είναι το ΑΜΚΑ. Στους φαρμακοποιούς δίνεται επίσης η δυνατότητα μέσα από το ανοιχτό λογισμικό του e-syntagografisi να εκδώσουν συνταγή από τον δικό τους PC καταχωρίζοντας μόνον το ΑΜΚΑ του γιατρού και του ασθενούς.
Για το θέμα είχε ενημερωθεί και ο προϊστάμενος της Εισαγγελίας Πρωτοδικών Θεσσαλονίκης με αναφορά του Ιατρικού Συλλόγου Θεσσαλονίκης. Διαβάζουμε μεταξύ άλλων: «Επειδή οι γιατροί έχουν τους ίδιους κωδικούς πρόσβασης... προκύπτει κίνδυνος ο οποίος αφορά άμεσα τη δημόσια υγεία στην υποθετική περίπτωση της υποκλοπής κωδικών με άμεση συνέπεια τη δυνατότητα παρέμβασης τρίτων όσον αφορά την έκδοση φαρμακευτικής συνταγής όσο και τη δυνατότητα πρόσβασης σε ευαίσθητα προσωπικά δεδομένα ασθενών».
Εξίσου σοβαρή είναι και η καταγγελία γιατρού η οποία αναφέρει: «Προσήλθε στο ιατρείο μου φαρμακοποιός προσκομίζοντας χειρόγραφη συνταγή μου (λόγω αδυναμίας πρόσβασής μου στο σύστημα) και δύο ηλεκτρονικές συνταγές, τη μία με τη φόρμα του υπολογιστή του γιατρού και την άλλη με τη φόρμα του υπολογιστή του φαρμακείου. Οι συνταγές περιείχαν τα ίδια φάρμακα και μου ζήτησε να τις ελέγξω και να υπογράψω τη "δική μου". Κατά την αποστολή email στην e-diagnosis.gr και την τηλεφωνική επικοινωνία που είχα μαζί τους (για την διευθέτηση της βλάβης του συστήματος), τους εξέφρασα την ανησυχία μου. Μου απάντησαν ότι αυτό μπορεί να συμβεί (!) αλλά ο γιατρός διασφαλίζεται καθώς δύναται να αναγνωρισθεί ο υπολογιστής από τον οποίον εξήλθε η συνταγή»...
Οι ιατρικοί σύλλογοι Πατρών, Αργολίδας, Θεσσαλονίκης και Πειραιά προχώρησαν σε κατάθεση ασφαλιστικών μέτρων για να ανασταλεί προσωρινά η λειτουργία των δύο sites του συστήματος μέχρι η όλη διαδικασία να γίνει ασφαλής. Το αίτημα προσωρινής διαταγής εκδικάστηκε στις 17 Νοεμβρίου.
Μία μέρα πριν από τη συζήτηση, ο ΟΠΑΔ ανακοινώνει μέσω της Διαύγειας την αγορά ενός πιστοποιητικού ασφαλείας με κόστος 99,63 ευρώ!
Στην ακροαματική διαδικασία της 17ης Νοεμβρίου, οι αντίδικοι φορείς ΗΔΙΚΑ, ΟΠΑΔ, ΕΟΠΥΥ παραδέχθηκαν τα ελλείμματα ασφαλείας ισχυριζόμενοι πως πρόκειται για πιλοτικό πρόγραμμα (;) που βρίσκεται σε διαδικασία διαγωνισμού για την εύρεση του αναδόχου και δήλωσαν στην πρόεδρο του δικαστηρίου ότι θα το διορθώσουν και ότι έχουν προχωρήσει σε αγορά πιστοποιητικού με ανάκληση των κωδικών των γιατρών για να αποκαταστήσουν την ασφάλεια του συστήματος!!!
Το αίτημα των ιατρικών συλλόγων για προσωρινή αναστολή λειτουργίας των e-syntagografisi και e-diagnosis.gr απορρίφθηκε -όπως ήταν αναμενόμενο- καθ' όσον οι αντίδικοι δήλωσαν μεταμέλεια ενώπιον του δικαστηρίου και ορίστηκε ημερομηνία για ασφαλιστικά μέτρα αρχές Ιανουαρίου.
Σύμφωνα με δελτίο τύπου που ανήρτησε η Ηλεκτρονική Διακυβέρνηση Κοινωνικής Ασφάλισης (ΗΔΙΚΑ) την ημέρα απόρριψης της προσωρινής διαταγής, αναφέρεται πως «επιβεβαιώνεται άλλη μία φορά η πλήρης ασφάλεια του συστήματος».
Σημειώνεται επίσης: Το σύστημα ηλεκτρονικής συνταγογράφησης έχει λάβει από τον Μάρτιο του 2011 άδεια από την Αρχή Προστασίας Προσωπικών Δεδομένων και σε καμία περίπτωση δεν μπορεί να θεωρηθεί διαβλητό.
Τονίζεται πως το έργο της ηλεκτρονικής συνταγογράφησης έχει συμβάλει σε σημαντικό βαθμό στην περιστολή των δαπανών στον χώρο του φαρμάκου και η επέκτασή του θα ολοκληρωθεί με ταχύς ρυθμός στο προσεχές διάστημα, παρά τις αντιδράσεις οι οποίες εκδηλώνονται από διάφορες πλευρές.