Klasicke spravanie : “Bagatelizovat a vyvinit”
Existenciu vacsiny rodnych cisel si mozete urobit cez systemy zdravotnych poistovni :
Oficialne statne overenie uz pozaduje aj nejaku captcha : https://www.portaludzs.sk/
Neviem ci sa smiat ci plakat. Obcana nezaujima kto v tom systeme ma slabiny, podstatne je ze ak niekto poznal moje udaje tak si zmenil co potreboval.
Ona to nebola chyba - bola to funkcionalita o ktorej sa vedelo ze za urcitych podmienok sa da zneuzit. A bola ponechana aby sme si nezatazovali callcentrum a podobne zvasty.
Ak uz bola ponechana preco nebola rozpracovana napr. tak ze na povodne telefinne cislo pride SMS s heslom pre povolenie vykonania zmeny, alebo nieco podobne? Ale vedelo sa o nej ze moze byt rizikom, to mi hlava nebere.
Opakujem obcana nezaujima ako ste si vo vnutri podelili systemy ani ako su riesene zodpovednosti. Podstatne je ze sa dalo z jedneho systemu nieco vytiahnut a zneuzit v inom. Treba to vidiet vo vztahu Obcan - stat, nie obcan udz, nczi a ja naviem kto vsetko tam co ma.
Dalsia vec je ze ak by sa ukazalo ze tento utok bol vykonany na zaklade informacii zvnutra potom je to vazny trestny cin ktoreho by sa dopustili vsetci vratane toho co vyniesol informacie o slabinach systemu ako aj toho kto to pouzil. Potom uz nehovorime o ziskani zdajov s dobrym umyslom.
Kukam jak puk. Co je toto za cloveka? Vykruca sa jak had. Ak to bol problem ineho uradu, preco odpoveda NCZI, preco tam neprizvali veduceho/hovorcu toho druheho uradu?
Vratte tam toho, co tam bol docasne pred nim… Ten aspon vyzeral ze vie o com rozprava…
1 Like
K informácii, že NCZI nebolo schopné ochrániť dáta Slovákov sa vyjadril aj expert na informačné technológie a šéf portálu tochit.sk Ondrej Macko. „Z môjho pohľadu NCZI chybu neurobilo. Ak ste mali meno a rodné číslo (keďže žiaden iný identifikátor neexistuje), vedeli ste rovnako ako každý iný občan prihlásiť do systému NCZI a zistiť svoj covid pas. To je však normálne, pretože takto bol definovaný postup. Presne takto to malo fungovať, a teda neurobilo chybu NCZI. Problém je eHranica," hovorí expert. „V tomto prípade zlyhal štát a NCZI postupovalo podľa zadania," dodal.
A citat pri obrazku :
„Vzhľadom na okolnosti považujem za správny návrh, aby bol systém eHranica ukončený. Ak by sme ho nedokázali zabezpečiť, potom je lepšie ho nemať,“ konštatuje Macko. Jedným z kameňov úrazu je podľa neho používanie rodného čísla ako hesla. „Rodné číslo je vo všeobecnosti v súčasnosti veľmi slabým heslom a systém, ktorého bezpečnosť je založená len na ňom, je zlým systémom," uzavrel.
Z hladiska navrhu je spravne aby osobny udaj chranil osobne udaje -sam seba? Zvlast ak vieme ze su verejne zdroje kde su tieto veci k dispozicii…
Neviem mozno doplnit nejaky udaj co vie len ten dotycny typu meno starej mamy…
ale suhlasim
Chapem to spravne, ze kazdy kto ma pristup na web si moze skontrolovat platnost rodneho cisla (poistneho vztahu)?
V odpovedi uvadzaju:
“Služba je určená všetkým používateľom …”
No ale ved v tom je prave pes zakopany. Tu bolo treba na zaciatku povedat ci pouzivatelmi je cely svet alebo su to ludia a profesie, ktore to potrebuju pre vykon svojej prace. Ti používatelia by mali do systému vstupovat cez nejake svoje prihlasovanie a až ked sa uspesne prihlasia - overi sa ze su opravnenými pouzivatelmi - tak nech si zistuju platnost poistneho vztahu kolko chcu a ako casto potrebuju.
Tu sa tocia okolo hromadneho spracovania a systemu captcha, ten tam nema co hladat a nie si nim zlahcovat pracu. captcha univerzalna na vsetko. Dame tam captchu a nemusime rozmyslat v case navrhu systemu…
Ani len jeden osobny udaj by sa nemal dat ziskat/overit len tak z internetu kazdemu kto ma pristup na internet. (napr. ak sa mi dostane do ruk KEPom podpisany subor fyzickou osobou, mohol som si takto od roku 2014 az doposial zistit aj poistny vztah tykajuci sa zdravotneho poistenia)
Ak by zaistili ze tuto cinnost mozu robit len ti co su opravnení tak ti nech to robia kludne aj hromadne 24 hodin v kuse.
Ano, spravne.
Vyzsie som pisal, ze kazda poistovna ma pre tento ucel vlastnu sluzbu, kde okrem platnosti poistneho vztahu doplni aj informaciu ci poistenec je/nie je neplatic. Ak je neplatic, tak ma narok iba na neodkladnu zdravotnu starostlivost. Kedze UDZS nema informaciu o tom ci poistenec je neplatic, tak si to lekari/lekarne radsej overuju priamo u poistovni a nie cez statnu sluzbu, ktoru prevadzkuje UDZS ( kludne by ju mohli vypnut ).
Ta sluzba na overenie poistneho vztahu je ovela starsia ako eZdravie, a doteraz sa nikto nezamyslal nad tym ako to zneuzit. Ved komu by napadlo, ze nejaky <<…>> pouzije RC ako prihlasovacie heslo.
Na implementaciu prihlasovania je potrebne rozdistribuovat prihlasovacie tokeny ( napr. hesla alebo preukazy zdravotnickeho profesionala). Pred eZdravim to nikto neriesil/nepotreboval a eZdravie to riesilo iba a len pre lekarov/lekarnikov pre C2B a aj to iba pre pripojenie na eZdravie a nie pre pripojenie do poistovne.
Nemocnicne/ambulatne systemy vsak pouzivaju aj administrativni pracovnici ( napr. v nemocnici oddelenie pre styk zo ZP ), tak by bola potrebna integracia B2B. Kedze informacia o tom, ci pacient je/nie je neplatic je podstatna pre uroven poskytnutej zdravotnej starostlivosti, tak je potrebna integracia B2B na system zdravotnej poistovne.
Pre potreby eRecept to dnes nejako poistovne a poskytovatelia vyriesili ( poistovne poslali hesla pre B2B v plain-text suboroch), stacilo by pouzit rovnaky mechaniznus prihlasenia aj pre overenie poistneho vztahu. Resp. este lepsie riesenie je overovat tuto informaciu az v momente vypisania receptu/ziadanky o vysetrenie, ktore tiez podla zakona idu cez system ZP. V tom pripade by sme usetrili jedno sietove volanie.
Lenze taketo riesenie by este viac poukazalo na zbytocnost eZdravie prevadzkovaho v NCZI, preto sa tomu brania. Napr. teraz vymyslaju, ze ziadanky pojdu od lekara do eZdravie/NCZI nasledne do poistovne ( lebo zakon ) odtial naspat do eZdravie/NCZI a az potom lekar dostane schvalenie. ( z BA do KE cez Aš ).
Vsakze ten Elasticsearch tam nieje ako primarny data storage? Vsakze?
Je. Ale hento v článku mi práve ako dôvod ho nepoužiť nepríde.