Bolniki se lahko na spletni strani napotnica.kclj.si naročijo na pregled ali poseg v UKC Ljubljana. Poleg imena in priimka morajo vnesti tudi podatke o datumu rojstva, telefonski številki in naložiti z obeh strani "skenirano" napotnico. Kot izpostavlja Delo, pa vsi ti podatki zaradi ranljivosti spletne strani niso bili ustrezno zavarovani.
Ranljivost je odkril anonimni napadalec, ki je o tem obvestil Informacijskega pooblaščenca. Ta si je septembra lani po prejemu prijave zadeve ogledal in ugotovil, da ranljivost omogoča nezaščiten dostop do večje količine zdravstvene in druge dokumentacije, skupaj z napotnicami, ter do osebnih podatkov večjega števila zaposlenih. Te podatke je bilo mogoče pridobiti z vpisom določenega naslova url v spletni brskalnik.
Iz UKC Ljubljana so Informacijskemu pooblaščencu še isti dan, ko so prejeli njegovo obvestilo o varnostnem incidentu, sporočili, da so varnostno luknjo odpravili. Navedli so, da so vzpostavili intervencijsko skupino strokovnjakov. Poleg tega so omejili pravice uporabnikov aplikacije Napotnica, odvzeli pravico za branje in pisanje dokumentov, ki jih naloži uporabnik aplikacije, spremenili gesla v aplikacijah, ki so komunicirale z aplikacijo Napotnica, v testni scenarij dodali zahtevo, da se posebej testira tudi ta - sicer odpravljena - varnostna luknja, ter sprejeli druge tehnične ukrepe za zagotavljanje višje stopnje varnosti.
Ob tem so navedli, da je napadalec poznal naslov url, ki je omogočal dostop do podatkov. Po njihovi oceni je bil zelo verjetno dobro poučen o informacijskem sistemu, v okviru katerega so se osebni podatki obdelovali. Informacijskemu pooblaščencu so poslali tudi dnevniški zapis, iz katerega je razvidno, da je poleg inšpektorja do podatkov dostopal zgolj napadalec, navaja Delo.
Na podlagi teh pojasnil UKC Ljubljana je Informacijski pooblaščenec inšpekcijski nadzor ustavil z ugotovitvijo, da je UKC odpravil nepravilnosti.
Strokovnjak za informacijsko varnost Matej Kovačič je od informacijskega pooblaščenca po zakonu o dostopu do informacij javnega značaja zdaj pridobil dokumente o tem primeru. Glede na prebrano v dokumentaciji Kovačič po poročanju Dela opozarja, da iz dokumentacije ni videti, da bi informacijski pooblaščenec preveril, kako so bili ukrepi UKC Ljubljana izvedeni in kako učinkoviti so bili, ampak je razmeroma hitro ustavil inšpekcijski postopek. Poleg tega je poudaril, da je pol leta po inšpekcijskem pregledu spletišče ljubljanskega kliničnega centra še vedno dostopno le po nešifrirani povezavi HTTP.
Po njegovem mnenju je tudi vprašanje, ali se je kakšen tak napad na to spletišče zgodil že kdaj prej in ali je bila to edina šibka točka v sistemu UKC Ljubljana.
Kovačič pa je, tako Delo, kot veliko težavo označil tudi to, da o vdoru nihče ni obvestil ne morebitnih oškodovancev ne javnosti. "Ne gre za lov na čarovnice, ampak za to, da se opozori na neko težavo, da se naredi analiza, zakaj se je napaka zgodila, in ugotovi, kateri ukrepi so bili sprejeti. S tem bi na podobne težave opozorili tudi druge in pokazali, kakšne bi morale biti dobre prakse na tem področju," je pojasnil za Delo.
Za tehnološki portal Slo-Tech je Kovačič izpostavil tudi problematiko razkrivanja varnostnih ranljivosti. "Verjetno se vsi strinjamo, da naj bo razkrivanje varnostnih ranljivosti odgovorno. To pomeni, da se z objavo podrobnosti počaka, dokler ranljivost ni odpravljena, oziroma, dokler ne poteče nek razumen rok, v katerem bi odgovorni ranljivost lahko odpravili, če bi želeli."
Skrivanje obstoja ranljivosti po tem, ko je ta že zdavnaj odpravljena, z izgovorom, da se je s tistim, ki je s svojo malomarnostjo ranljivost pravzaprav povzročil, glede objave potrebno uskladiti, pa z odgovornim razkrivanjem ranljivosti nima dosti skupnega, je še zapisal na Slo-Techu "Prav nasprotno. V tem primeru lahko govorimo kvečjemu o neodgovornem nerazkrivanju, ki spodbuja kulturo skrivaštva in pometanja pod preprogo."
