Prihlásenie do eHealth zo zahraničia

Dobry den,

Neviem či sa niekto už stretol s podobným problémom.

Podla informacii ktore som dostal od nasho IT oddelenie je pripojenie na www.npz.sk, z ktoreho sa je mozne dostat aj do Elektronickej Zdravotnej knizky v ramci eHealth blokovane zo vsetkych krajin okrem SK a CZ.

Potvrdila mi to aj pani na helpdesku z NCZI ktora mi volala. Udajne je to z bezpecnostnych dovodov. Pride mi ale absurdne, aby som sa do weboveho uctu nevedel prihlasit zo zahranicia, ked by prihlasenie este navyse malo byt overovane eID?

Pri takomto nastaveni sa do Elektronickej Zdravotnej knizky neprihlasia ako ludia ktory robia v zahranicnych korporaciach, ktore casto vyuzivaju proxy servery v zahranici (nasa matka vyuziva proxy v Nemecku kde ma aj centralu), ako aj ludia ktori su napr. odcestovani sluzobne v zahranici.

Paradoxne do centralnej stranky www.slovensko.sktaketo obmedzenie pri prihlasovani nie je nastavene.

Tym ze nefunguje do eHealth ani prihlasenie cez mobil mam problem sa do eHealth vobec prihlasit.

Evidujete uz tento problem? Spravil som ticket na NCZI ale nic sa nevyriešilo.

Co by ste odporucali este robit aby sa tento problem vyriesil?

Spominane geograficke obmedzenie pre prihlasenie mi pride absurdne.

Dakujem

Potvrdzujem, ze mam problem sa prihlasit z prace na NPZ - proxy mame niekde v mimo SR. Nevedel som si to vysvetlit, lebo internetovy prehliadac hlasil nejaku chybu s SSL/TLS?

Myslim ze sef NCZI je dost akcny, tak mu to zareportujte. Verim, ze do tyzdna to pojde … Tie nastavenia tam robili davno predtym nez sa “rozhodlo” ze nebude Elektronicky preukaz poistenca, ale ze sa bude pouzivta eID… eID musi fungoivat medxzianrodne a nedava to zmysel aby sa to zakazovalo…

Bohužiaľ moju požiadavku uzavreli nasledovne:

" Dobrý deň,

ďakujeme, že ste kontaktovali NCZI.

“Rozhodnutie o reštrikcií dostupnosti NPZ portálu len z územia SK/CZ sa prijalo na podporu ochrany systému proti kybernetickým útokom zo zahraničia a je zatiaľ platné. Ďakujeme za pochopenie.”

Napadá vás kam by sa ešte oplatilo obrátiť aby sa s tým niečo spravilo?

Ďakujem

Minimalne by nczi malo uviest na prihlasovacej stranke oznam, ze prihlasenie je mozne len zo SK ip adries.
minimalne by to mali povolit na celu Eu…

Skúsil by som osloviť Lukáša kosna z živé.sk. On tu otazku položiť môže, ako novinár čo s riaditeľom nczi robil nedávno obsiahly rozhovor. Helpdesk len opakuje čo mu architekti pred pár rokmi napísali do príručiek. Jediný kto to môže zmeniť je riaditeľ. Pokiaľu mu to príde nelogické.
Mne napríklad príde nelogicke, že z Čiech to bezpečnostny problém nie je, ale z Rakúska je. … Toto nech niekto vysvetlí.

Vraj aj do ehealth (ako lekar) je mozny pristup len z SK/CZ IP adries. Tam by som ocakaval pristup len zo SK IP adries…

Občas slovenskí ISP prideľujú zahraničné IP adresy, čo s takouto situáciou? Konkrétny príklad na DSL od Orangeu: https://zive.aktuality.sk/clanok/100261/dsl-orangeu-ip-adresy-niekedy-mieria-do-cudziny/

VIdim, ze “akcny sef NCZI”, medzicasom vymeneny za ine zlyhania, strkal najprv hlavu, potom aj poziadavky do zeme.
Je toto uz vyriesene alebo sa stale ohanaju nezmyselnou ochranou proti kybernetickym utokom?

Skúšal som v piatok aj včera, a stále to nefunguje :frowning:

Ak vies, ze NCZI nie je prave institucia, ktora by oplyvala dlhodobo spolahlivymi IT vystupmi, preco sa snazis navodit dojem, ze sa dokaze ochranit pred vsetkymi utokmi, napr. pokusmi o nelegalne ziskanie udajov? Problem so zdravotnymi udajmi je ten, ze uplne staci jeden jediny unik dat. Neda sa to vratit spat. Nic take ako vratenie elektronickych penazi sa tu nekona.

Keby som mal moznost hlasovat, hlasujem za ponechanie sucasneho stavu. Nie, ze by som kaslal na ludi v zahranici, ale na miske vah prinosy/rizika mi to tak za sucasneho stavu veci vychadza. Dufam, ze rozhodnodnutie nestoji na rozhodnuti nejakeho sefa, ale ze sa k tomu vyjadruju predovsetkym bezpecnostni analytici. Nie len z NCZI.

ano, najbezpecnejsie to bude vtedy, ked sa do ehealth nebude dat prihlasit zo ziadnej ip.

2 Likes

Budme radi, ze sa tymito zasadami neriadi taky Google, ktory ma tych citlivych osobnych informacii nasobne viac.

Ktorykolvek lamer si zaplati za par Eur IP adresu na Slovensku, ak chce take utoky robit. Security through obscurity nefunguje.

blokovanie ip ma zmysel skor ako anti ddos, nie ako obrana proti hackovaniu. zmenit ip to je prva vec co sa nauci zacinajuci hacker. Ale ak pre ehealth to bola komplikacia pre par ludi, tak pre ockovanie to bola uz vaznejsia komplikacia a pre cerifikat je to uz pruser. A tak zjavne dozrel cas na otvorenie kanala pre zahranicie ( a mozno samostatneho, tak aby sa dal odpojit pri utokoch, mozno s nastrojmi na deep detekciu, ) Len je potrebne rizika sledovat a zvazit ako ich riesit bez obmedzenia funkcnosti. A mat certifikat na ucel cestovania do zahranicia a tak aby sa nedal v zahranicii overit. To je dost vazna chyba v navrhu.

1 Like

Pre DDoS ochranu nech si zaplatia Cloudflare a nemusia vymyslat koleso (opat a zas).

1 Like

Naopak od napr. Google, NCZI ma za sebou zdokumentovany pripad, kedy poskytovali osobne udaje systemom “Nech sa paci, zoberte si cokolvek, aj co vam nepatri, ktokolvek mate zaujem” (Moje ezdravie).

Z toho usudzujem, ze pre bezpecnost v NCZI nemaju zavedene striktne procesy. Potom mi z toho vychadza, ze aj obycajne znizenie moznych vektorov utokov je plus. A samozrejme ze obmedzenie na SR a CR ma vyznam nie len koli DDOS. Staci si pozorne pozriet logy web servera, kto vsetko a z kadial scanuje co WEB stranky obsahuju a hlavne co skryvaju (nemyslim indexovace). Neviem, ako presne funguje Cloudflare, ale bol by som opatrny pri zrovnavani obsahu s nanajvys citlivymi udajmi (NCZI) s trebars novinovymi clankami, pre ktore sa bezne pouziva. Pouziva nejaka statna policia Cloudflare? Danovy urad?

Zaujimave na tom pripade bolo, ako velmi rychlo sa postavila pred kamery hovorkyna a tvrdila, ze udaje v ziadnom pripade neunikli z eZdravie …

/IRONY-ON/
NCZI ma pre eZdravie zavedene tak striktne procesy, ktore znemoznuju normalne pouzivanie eZdravie. A preto sa NCZI radsej rozhodlo vybudovat uplne nove systemy, ktore vsak pre kratkost casu nemaju nasadene ziadne bezpecnostne procesy. Co v priemere dava 10% zhodu s bezpecnostnymi poziadavkami NBU.
/IRONY-OFF/

Nebolo by vhodnejsie problem vyriesit ako poriesit ? ( http://birdz.sk/plarika/status/plarika-co-noveaky-je-rozdiel-medzi-slovami-vyriesit-a-poriesit/296355-status.html )

Ak to konzultacna firma pre bezpecnost nevie za 5 rokov prevadzky vyriesit, tak preco tam este stale robi konzultacie ?

Cloudflare je prostrednik, ktory prave zabranuje DDoS utokom… okrem ineho. Cize vobec nema pristup k akymkolvek udajom, ale naopak cez sofistikovane algo vyhodnocuje, komu pristup k cielovemu webu poskytne a komu nie. To si NCZI nenakoduje ani za dva roky,