Názory k článku Děravé kardiostimulátory i ransomware decimující nemocnice
-
Muzou to mit na fyzicky oddelene siti a zabranit tim aspon nejhorsim pruserum. Tech par rezervaci z webu si muzou pretahnout kazdy den pres textovy soubor, pokud to uz musi mit v hlavnim systemu. Nebo at aspon maji vselijake ty pristroje se zhovadilym zabezpecenim na jine siti, oddelene krutym firewallem a strojem, ktery bude zprostredkovavat pristup k vysledkum, ale ne jiz k tem zarizenim.
-
Karel (neregistrovaný)
Není mi úplně jasné, jak chcete na fyzicky oddělené síti provozovat třebas eRecepty nebo jinou agendu se SÚKL, zdravotními pojišťovnami atd. Na vlastní síti mají být rentgeny apod., ale PC lékaře se dnes bez internetu neobejde.
Nehledě na fakt, že fyzicky oddělená síť je sama o sobě bezpečnostní problém. Bude to fungovat v zabezpečené budově, kde se k tomu fyzicky nepřiblíží nepovolaná osoba. Jenže nemocnice je zrovna ten případ, kdy se vám k ethernetové zásuvce na pokoji dostane kde kdo. Tam fyzicky oddělená síť nepřináší žádnou bezpečnost navíc. Takže společná síť a VPN. A to rázem ale narazíte na to, že plno těch high tech zařízení vlastně VPN neumí.
Jinak fyzická bezpečnost v našich nemocnicích je hodně špatná. U vchodu vás nikdo nelustruje. Dojedete do správného patra a dojdete až k pokoji, kde je jen někdo, kdo spí. Na dvěřích nebo na kartě si přečtete jméno. To kdyby se někdo ptal, co tam děláte, tak ať můžete říci, že jste bratranec pana Vyskočila, přijel jste až z Budějc, ale zatím ho nechcete budit. Na JIP to není o moc lepší, jen je tam mnohem větší provoz sester a lékařů. Na druhou stranu tam řada pacientů leží v bezvědomí, takže se neproflákne, že k nim vůbec nepatříte.
-
Ono i rentgen na vlastní síti je problém - k čemu bude lékaři RTG které dělá krásné digitální snímky, když si je na svém PC neprohlédne?
Zařízení musí být za firewallem a musí posílat informace (včetně snímků z RTG) do centrální evidence o pacientovi - kam ovšem zase musí mít přístup lékař ze svého PC: Jinak je to k ničemu.
A k fyzické bezpečnosti - primárním hlediskem z pohledu fyzické bezpečnosti jsou fungující výtahy, správné značení únikových chodeb apod. - tedy fyzická bezpečnost ve smyslu možnosti evakuace a nikoliv lustrování. Protože už vidím, jak je lustrován pacient se zlomenou rukou snažící se dostat co nejdřív na chirurgickou pohotovost.
Ale jména pacientů na dveřích by v souvislosti s GDPR měla zmizet - měl by zůstat jen anonymní identifikátor, který bude mít převedeno do jména sestra v knize na sesterně. -
Ono i rentgen na vlastní síti je problém - k čemu bude lékaři RTG které dělá krásné digitální snímky, když si je na svém PC neprohlédne?
Proc, proboha, by si je neprohledl? Rentgen naseka fotky, posle je na server a ten je protlaci skrz firewall na centralni info system. Lekar se ze sveho PC na rentgen nepripoji, takze pokud mu to nekdo hackne, tak aspon nikdo neupece pacienta davkami jak na metalurgickemu rentgenu. Ze se tohle zatim nestalo, je vlastne zazrak, kdyz se uvazi, kolik po svete beha kurev.
-
j (neregistrovaný)
Proc tak slozite, u nas na tebe ten rentgen proste jen hodej ... https://usti.idnes.cz/rentgen-pad-smrt-nemocnice-pacientka-usti-fgb-/usti-zpravy.aspx?c=A171012_132502_usti-zpravy_zuf
-
Jenze oni zretelne rentgeny, MRI a dalsi kramy na izolovane siti nemaji. A pokud lekar potrebuje lezt po Internetu, tak dneska by mohl mit virtualizovany OS, ktery muze jen na Internet a nikam jinam. Vsechno asi vyresit nejde a vzdycky budou nejaka rizika, ktera obcas budou zneuzita k pruniku, ale to, co se deje ve spitalnich sitich, by naznacovalo, ze se pri navrhu nad zabezpecenim nikdo moc nezamyslel. Viz treba odkaz v clanku na rsync backup, ktery si mohl kdokoliv precist. To je lamerina na urovni materske skolky.
-
Pupik (neregistrovaný)
Z vlastní zkušenosti vím, že IT v českých nemocnicích má největší starostí 1. Kde sehnat peníze aby vůbec mohli potřebný HW a SW nakoupit.
2. Jak napsat výběrovku tak aby dostali co potřebuji a nebyli neustále jednou nohou v kriminále. 3. Jak odolat politickým a mocenským tlakům, kdy vám do IT cpou doktoři, docenti atd.. své spřátelené firmy. Vlastně vůbec, spousta doktorů jsou zároveň vyhlášení ajťáci co tomu rozumí. 4. Pokud objednáváte náhradní díly, tak po administrativním kolečku a vysoutěžení máte díl již za půl roku... Tedy pokud to někdo mezitím nezruší.
No a klidně pošlete dotaz do nemocnic jestli mají někoho na pozici bezpečnostního IT manažera. Pošlete to ale radši přímo na IT. Tisková mluvčí vám to totiž klidně potvrdí... Ajo vlastně ne. IT má zákaz komunikovat s novináři... Ještě by se z toho jejich IT sklepa prokecla nějaká nepříjemná pravda. -
Smazaný profil
Máte úplnou pravdu, ajťáci v nemocnicích mají dost tvrdý chleba. Přesně jak píšete. Navíc bezpečnost úpí na všech úrovních: dost smutná je například počítačová gramotnost koncových uživatelů. Není výjimkou vzájemné sdílení hesel, ukládání citlivých dat na plochu nebo flashku apod. Tam sebelépe zabezpečený systém nepomůže...
Když jdu do banky a paní jde od počítače k tiskárně vytisknout nějaké papíry k podpisu, tak pootočí monitor, abych na něj neviděl, odhlásí se od informačního systému, zamkne obrazovku Windows, fyzicky zamkne šuplík a vezme svou identifikační kartu a klíče s sebou k tiskárně, která je tři metry vedle. V nemocnici skoro nikde nic takového nezažijete.
Ale snažím se to měnit pomalu aspoň ve svém okolí... a zmiňovat v přednáškách.
-
Pupik (neregistrovaný)
IT oddělení v českých nemocnicích mají úplně jiné problémy. Musí se poprat s nízkými platy oproti soukromému sektoru a tím i nedostatkem lidí. Pak s nedostatkem peněz na IT technologie. S výběrovými řízení, kde buď zvítězí produkt který není dobrý a nebo se opravdu snažíte dopodrobna vyjmenovat všechna kritéria a jste hned jednou nohou v kriminále, protože to zase vede k jednomu produktu. Výběrovky se táhnou a IT nemá samozřejmě na práci nic jiného, než úředničinu. Dále jsou to politické tlaky a často nekompetentnost vedení nemocnice, kde se s novým volebním obdobím mění ředitel a s ním často i vedení. Tam jsou pak tlaky na spřátelené dodavatele.
Dejte českým nemocnicím dotaz, jestli mají IT bezpečnostního manažera či někoho podobného. -
Peter FodrekZlatý podporovatel
myslel som si,m ze na tom bude zdravotnictvo horsie
Útoky na průmyslové systémy: vede energetika a strojírenství
Pavel Houser , 28. březen 2018Necelých 39 % všech průmyslových řídicích systémů v energetickém sektoru bylo od července do prosince 2017 alespoň jednou napadeno malwarem. Na druhém místě se za nimi se 35 % umístily sítě strojírenských firem. Všechny ostatní sektory zaznamenaly běžné množství útoků na své řídicí (ICS) počítač
http://www.itbiz.cz/zpravicky/utoky-na-prumyslove-systemy-vede-energetika-a-strojirenstviAj ked tieto sektory maju mnadproiemernych IT-akov, lebo nas ucili, ze o utoku sa dozvie pri dobrych It-akov kazda treatia firma, co bola napadnuta, a so spickovymi It-akmi kazda druha napadnuta firma..
39*3=117
35*3-105a kazdemnu je jasne, ze nemohlo byt napadnutych 105% strojarskych firiem.
-
Peter FodrekZlatý podporovatel
A aky je ten pomer podla Vas. Rozhodne by som to videl v zlomku a nie v cisle blizkom 100%
-
Z manazerskeho pohledu ma mozna smysl sledovat trend - jestli za stejnych podminek tyhle cisla rostou nebo klesaji. Tezko z toho vyvodite cokoliv tak konkretniho, jak zamyslite.
V podstate by clovek musel rict jedno cislo odpovidajici na zakladni otazku zivota, vesmiru a vubec. A i kdyz odpovite spravne, tj. 42, tak to stejne bude spatne, protoze malware je tak siroky pojem a "dobry ITak" zase natolik abstraktni pojem, ze je tezke cokoliv rozumne kvantifikovat.
-
Peter FodrekZlatý podporovatel
suhlasim, az na toho dobreho ITaka, pri teme bezpecnost
Business
IT salary not enough? Want to make £10,000 a DAY?
Time to call yourself a cybersecurity expert
By Kieren McCarthy in San Francisco 8 Dec 2015"Some individuals can command daily rates in excess of £3,000, and some top cyber-security specialists can even earn five-figure sums daily," according to Manpower – saying this is something that is set to continu
https://www.theregister.co.uk/2015/12/08/10000_a_day_for_cybersecurity_experts/Podla google (napr. 10000 GBP per day to EUR per month)
10 000 (British pounds per day) = 351 901.251 Euros per month
10 000 (British pounds per day) = 8 889 680.68 Czech koruny per month99 999 (British pounds per day) = 3 518 977.32 Euros per month
99 999 (British pounds per day) = 88 895 917.8 Czech koruny per monthTo rozhodnme nedostane slaby ITak...
-
Karel (neregistrovaný)
Daily rate je kolik peněz si účtují za den své práce pro zákazníka. Měsíční příjem pak závisí na tom, kolik dnů se jim podaří prodat. Což u těch opravdu špičkových expertů bývá v řádu jednotek dnů měsíčně. Zbytek času musí věnovat studiu, konferencím a přednáškám a zejména shánění zakázek - což obnáší třebas i pravidelné psaní článků a vypracování analýz, na kterých pak ukazují, jak jsou dobří.
Ostatně proto si pak účtují takové částky - aby se jim to vyplatilo. Platíto i pro DBA experty, ERP konzultanty atd. Denní tarif od 1000 Euro výš sice vypadá lákavě, ale vy jste pak rád, když seženete zakázky na 5 dnů do měsíce.
-
Petr M (neregistrovaný)
Víš, jak s liší ajťáci?
- Podprůměrný nerozezná útok a neví,co s ním dělat.
- Průměrný dokáže poznat útok a reportovat ho.
- Nadprůměrný dokáže poznat útok a zastavit ho, nebo se na některý útoky připravit dopředu.Takže jestli ta statistika není o tom, že ty útoky probíhají plošně, ale někde o nich nikdo ani neví...
-
Karel (neregistrovaný)
To mu jasné bude. Jeho chyba je, že vzal dva nesouvisející zdroje, kde jeden tvrdí, že 39% firem na to přišlo a pak druhý zdroj, kde mu tvrdili, že se přijde jen na třetinu útoků a zbylé dvě třetiny firem to ani neví. A z nějakého důvodu mu ani to 39% * 3 = 117% nenapovědělo, že spojit ty dvě informace dohromady je kravina, protože buď spolu nesouvisí (specifická vs obecný průměr), nebo je jedna špatně (a zrovna ta "přijde se jen na třetinu" zavání cucáním z prstu, čemuž by odpovídal i zdroj "lebo nas ucili", což málokdy bývá spolehlivý zdroj přesných a aktuálních informací).
-
Pupik (neregistrovaný)
Zálohují, jenže když mají zálohovací server v doméně a ransomware nakazí PC přihlášené pod účtem nějakého ajťáka, tak ten je zpravidla na PC a serverech lokálním adminem. No a lokální admin má práva k diskům pod systémovým sdílením jako \\server\c$, d$ atd.. V doméně pak nepotřebuje na serveru extra účet, ale dělá vše pod tím doménovým. Když k tomu přidáme tolik moderní zálohování na zálohovací diskové pole bez offsite zálohování třeba na pásky, tak ransomware zašifruje i ty zálohy přímo z PC toho ajťáka.
(Takto se to přibližně stalo).
Rozdíl je totiž mezi adminem, který má školení ve kterých se naučí, že doména je sice žůžo, ale má svá dost velká rizika, které se dají řešit, ale musíte vědět jak, a mezi adminem, který řeší jen provoz a IT mu na hlavu padající a luxus v podobě bezpečnostních fičurek nemá čas.
Nevěřím, že by byl admin kterému je bezpečnost lhostejná, jenže tam kde je IT poddimenzované, je bezpečnost tím prvním co se omezuje, protože je i nejnákladnější. Na čas, na lidi, na peníze. -
j (neregistrovaný)
Bezpecnost neexistuje vetsinou proto, ze soudruh managor/reditel/... prece musi mit pristup vsude, a jeho namestci si prece nebudou pamatovat nejaky hesla, natoz delsi nez jedno pismeno.
ITk pak tak maximale pokrci ramenama, protoze tohle neni jeho starost, on resi pripadnou technickou realizaci, ale ne politicky rozhodnuti jestli se neco udela nebo ne.
-
Pupik (neregistrovaný)
Právě proto je třeba toto bezpečnostního IT manažera, který by měl být na úrovni hned pod ředitelem a který by měl být brán vážně. Takový člověk si pak může dovolit se postavit i řediteli. Toto se samozřejmě netýká jen nemocnic, ale všech firem, protože všude má vedení pocit, že ta omezení jsou jen pro ty dole a oni jsou přeci nad nimi. Jenže v soukromé firmě bývají tyto choutky brzděny, protože nad ředitelem je buď nějaký dozorčí orgán, nebo je to majitel, a ten ať si dělá s firmou co chce. Největší škodu by pak totiž pocítil právě on.
Ve státním tento vzorec neplatí. Vedení stejně ví, že je šance 1:1, že půjde po volbách od válu a tak necítí takovou míru odpovědnosti za něco co není jejich a kde se peníze sypou ze státního pytle.
To radši postaví z dotací nějaký nový pavilon, ale už si nespočítají, že jeho provoz už z dotací hrazen není a oni pak nemají na to aby jej provozovali. Tak seškrtají třeba to IT. Stejně bydlej ve sklepě a tam nic nepotřebujou.... -
j (neregistrovaný)
"Takový člověk si pak může dovolit se postavit i řediteli."
lol, to jiste, na tech 10 minut nez ho vykopne. Co nechapes na tom, ze sef/majitel bud neco resit chce, a pak na to nepotrebuje stado managoru, nebo to resit nechce, a pak snim nepohne ani stado volu.
Zrovna ted (2 roky po terminu) zacli vsichni "resit" GDPR. Ve finale to skonci tim, ze spousta firem(a statnich organizaci) vyhodi miliardy za "analyzy", ale na to aby se neco realne udelalo, uz nezbudou prachy zadny.
-
K> (neregistrovaný)
mel jsem za to, ze kdyz napr. firma vyrobi rentgen, ktery chybou pristroje upece pacienta, tak za to odpovida vyrobce. je to tak? pokud ano, pak by se prece dalo firmy zalovat za to, ze treba nechali zamerne otevreny podivny port ci napevno zadane pristupove udaje, pres ktery doslo k hacknuti. ale asi ne, protoze v USA je zvykem zalovat a tudiz uz by se zalovalo ve velkem.
-
j (neregistrovaný)
Ale je to minimalne v CR jedinej spravnej zpusob ... ostatne, kdyz te nekdo bude prejizdet autem, tak se taky mas nejdriv nechat ozralym a sfetovanym ridicem prejet ... a teprve pak si muzes stezovat. Kdyz to udelas opacne (nebo se nedej boze rozhodnes tomu prejeti zabranit) tak za to dostanes 12 let. A zduvodni se to tak, ze prejetej si nebyl, takze ti vlastne nic nehrozilo.
-
Verita (neregistrovaný)
Jakožto zdravotní sestra můžu jen přihlížet. IT v naší nemocnici, ač relativně na úrovni je k smíchu. Chvíli na veřejné wifi běžel Sophos, ten jsem obcházel Torem, a VPN. Ten však ale už na síti není, díky ustavičnému stěžování si personálu a tvrdých filtrech. Počítače na sesternách sic už neběží na XP'čkách, ale sposta softwaru který je proprietární je viditelně děravý, a to ani nemluvím o počítačích na specializovaných pracovištích které ještě staré děravé XP používají kvůli starým přístrojům jejichž software prostě neběží na novějších OS.
Problém je že každý nemocniční software je brán jako kdyby byl ve svém 'sandboxu' a "přece nemocnice je bezpečné místo kam se nikdo nedostane". Jenže je tomu jinak. Se strachem očekávám první únik dat pacientů (Rodná čísla, diagnózy, adresy, telefoní čísla, předepsaná medikace...) A bude to jen horší s pokrokem techniky.
ČLÁNKY DO MAILU