Je li sustav e-Građani doista siguran? Pacijentici stigao poziv za pregled na koji se nikada nije naručila
Foto: Čitateljica
I DOK na mnoge liječničke preglede pacijenti još uvijek čekaju mjesecima, pacijentica iz Moslavine ovih je dana, putem servisa e-Građani, od HZZO-a dobila poziv da se javi na pregled za koji nikada nije dobila uputnicu od svog liječnika te se tako za isti nikada nije niti prijavila.
"Kada mi se pacijentica obratila s pitanjem na kakav je to pregled šaljem, bila sam zatečena jer nikada nisam napisala spornu uputnicu, tim više što je pacijentica iz grada koji gravitira Zagrebu, a navodni pregled je u KBC-u Osijek. Provjerila sam u sustavu, no obrazac koji je primila u svoj korisnički pretinac sustava e- Građani, nije niti sličan standardnim obrascima te ni sama, iz priloženog, nisam mogla doći do podataka o kakvom je točno pregledu riječ. Doista ne znam što se događa, je li riječ o pogrešci u sustavu ili o hakerskom upadu, budući da se prije nekoliko dana nije moglo pristupiti sustavu e- Građani je li moguće da su podaci o pacijentima tako lako dostupni?", pita se liječnica obiteljske medicine koja se prvi put susrela s ovakvim slučajem.
Zašto je pacijentica naručena na skupi pregled koji joj nije potreban, a zbog čega bi, da nije reagirala, neki drugi pacijent ostao lišen svog termina za sporni pregled? Je li riječ o ljudskoj pogrešci ili o pogrešci u sustavu e-Građani, čija bi sigurnost, zbog povjerljivih podataka korisnika, trebala biti na najvišem nivou. Odgovore smo zatražili od HZZO-a, IN2 grupe i KBC-a Osijek. Za potrebe članka stručnjak za sigurnost Dalibor Vlaho, voditelj Centra za edukaciju i prevenciju nasilja, i osobno se registrirao u sustavu e-Građani kako bi proanalizirao njegovu sigurnost, korak po korak.
"Čini mi se da je greška pri ukucavanju identifikacijskog broja ili slično"
"Kao što Vam je poznato sustavom e-naručivanja liječnici primarne zdravstvene zaštite mogu direktno naručiti svog pacijenta na neku pretragu, no i nadalje postoji uobičajeni sustav papirnatim uputnicama. Za bilo koji konkretni odgovor bi morali utvrditi da li je ta pretraga predviđena jednim od dva navedena sustava. Najvjerojatnije mi se čini da je neka greška pri ukucavanju identifikacijskog broja ili slično, no nastojat ćemo to razriješiti", stoji u odgovoru koji potpisuje prof.dr.sc. Svena Kurbela, dr.med. i sanacijski upravitelj KBC Osijek.
U odgovoru koji nam je stigao nam i iz Službe za odnose s javnošću HZZO navodi se da su im potrebni MBO, ili OIB pacijentice kako bi ju mogli pronaći u sustavu te vidjeti gdje je nastao problem.
IN 2 GRUPA: Smatramo da je greška nastala u bolnici
"Vjerujemo da je u pitanju nenamjerna ljudska pogreška, a neki od mogućih načina, kako je do greške došlo, su:
- da je liječnik obiteljske medicine prilikom naručivanja pacijenta na bolnički pregled, naručio krivu osobu. Kako se liječnici obiteljske medicine već dugo koriste nacionalnim elektroničkim sustavom naručivanja i vrlo su vješti i iskusni u tome, vjerujemo da ipak nije na taj način došlo do greške.
- Druga moguća opcija je da se pacijent telefonski naručio na pregled (to je način naručivanja koji još uvijek egzistira u Hrvatskoj) pri čemu nije predočen nikakav dokument i došlo je do greške u komunikaciji - krivi OIB ili ime i prezime ili neki drugi podatak i rezultat je ovakav, pogrešna osoba je naručena. No sumnjamo da je i ovako došlo do greške pošto je takva praksa naručivanja ipak rijetka.
- Treći mogući uzrok je taj što u neinformatiziranim ili loše informatiziranim bolnicama BIS sustav ne radi sve potrebne kontrole i ne ograničava operatera pri unosu podataka, što onda rezultira greškom kao što je ova. Dakle, mišljenja smo da je greška nastala u bolnici, no možemo i detaljno istražiti i potvrditi ovu analizu ukoliko dobijemo stvarne podatke i odgovarajući nalog od Naručitelja", rekla je za Index Tanja Jurić Klarić, voditeljica korporativnih komunikacija IN 2 grupe koja aplikativnim rješenjima za podršku rada bolnica pokriva preko 55 posto tržišta zdravstva u Hrvatskoj
"Pobrkali smo Tajanu i Tatjanu"
Prema odgovoru koji je pacijentica u međuvremenu primila iz KBC Osijek, do pogreške je, pretpostavljaju, došlo pri telefonskom naručivanju, pri čemu je službenica pobrkala Tajanu i Tatjanu.
"Službenica KZZNM naručila je pacijenticu Tajanu H. za 06.11.2015. na pregled štitnjače. Narudžba je upisana telefonom, kod upisa vjerojatno je došlo do greške u imenu. H. Tatjana je naša pacijentica i naručena je za 05.11.2015. Lijepo Vas molim da uzmete u obzir da mi kod narudžbe tel. nemamo uvid u dokumentaciju i nismo u mogućnosti upisati MBO pacijenta i najvjerojatnije je došlo do greške u imenu, prezime je isto samo se jedna pacijentica zove Tajana, a druga Tatjana", stoji u očitovanju Kliničkog zavoda za nuklearnu medicinu i zaštitu od zračenja.
No, odgovor nije u potpunosti umirio ni liječnicu ni pacijenticu koja je i dalje skeptična jer su očito olako korišteni njeni osobni podaci. Liječnica pak tvrdi da se gotovo nemoguće naručiti samo imenom i prezimenom, jer se i kod narudžbi telefonom traži MBO.
"Podaci građana su sigurni"
Što se samih sustava tiče, iz tvrtke IN2 tvrde da su građani sigurni od zlouporabe svojih podataka i da ništa ne trebaju činiti kako bi povećali svoju sigurnost.
"Upravo ovaj slučaj pokazuje da uspješnim nacionalnim integracijskim projektima (eNaručivanje, eListe čekanja, eGrađanin) otkrivamo nenamjerne ljudske pogreške i sprječavamo eventualne zlouporabe na način da informacije dolaze do korisnika, u ovom slučaju do korisnice čiji identitet se greškom koristio", kaže Jurić Klarić iz IN2 grupe koja u području eZdravstva pruža brojna IT rješenja među kojima su eListe čekanja, eNaručivanje, eBI-Lijekovi i eUgovaranje.
U sustav e-Građani do sada se prijavilo preko 200000 osoba
Sustav e- Građani dostupan je od 10. lipnja 2014. Riječ je projektu Vlade RH koji je pokrenut zbog modernizacije, pojednostavljenja i ubrzanja komunikacije građana i javne uprave te povećanja transparentnosti javnog sektora u pružanju usluga. No, iako nudi vrlo praktična rješenja, kroz primjerice usluge e-Matične knjige, e-Dnevnik za roditelje, registar birača, te uvelike štedi vrijeme, hrvatski su građani očito još uvijek pomalo skeptični prema suvremenim sustavima te se do 1. studenog ove godine u sustav e-Građani prijavio 206891 građanin.
"Na području zdravstva postoje 3 e-usluge. Uslugu izabrani liječnik - koristilo je 41185, uslugu realizirani recepti 4 647 građana, a novu uslugu HZZO Otvorene narudžbe, koja je dostupna od 16.10.2015., koristilo je 769 građana", stoji u odgovoru koji smo primili iz Službe za odnose s javnošću Vlade RH na čijim je stranicama nedavno objavljeno ida je projekt e-Građani proglašen najboljim projektom u Europi na području "Otvorena vlast za unapređenje javnih usluga".
Stručnjak za sigurnost: Sustav e-pass ne bih nikome preporučio!
Jesu li podaci korisnika registriranih u sustavu e-Građani doista sigurni, pitali smo i đakovačkog hakera Dalibora Vlahu iza kojeg je bogato iskustvo u radu na području Informacijske sigurnosti, a slabe je točke pronašao i u sustavima poput Microsofta, Apple, i NASA-e. Kako bi to utvrdio i sam je pristupio otvaranju korisničkog računa te nam je detaljno opisao sam postupak registracije upozorivši na moguće sigurnosne propuste koje pri tom možemo napraviti.
"Kao prvi korak u postupku otvaranja računa za sustav e-Građani, otišao sam u poslovnicu FINA-e i zatražio pristupnicu u koju sam potom upisao osobne podatke. Za prijavu na sustav, potrebno je potom izabrati između opcije mToken s oznakom sigurnosti 3 i opcije ePass s oznakom sigurnosti 2. Odabrao sam ePass opciju. Nakon ispunjene pristupnice, potpisa i priložene osobne iskaznice, u FINA-i su mi dali upute o aktivaciji računa. Na e-mail adresu, navedenu u pristupnici, stigao mi je potom link koji vodi kroz proces aktivacije računa. Budući da u ovom koraku treba odabrati korisničko ime i zaporku, upozorio bih na vrlo čest problem. Naime, mnogi korisnici za prijavu na vise online servisa koriste isto korisničko ime i zaporku, čime je razina sigurnosti svedena na minimum. Treba svakako spomenuti i sigurnosno pitanje koje korisniku sluzi za oporavak računa - moj savjet je da ne odabirete uvijek isto sigurnosno pitanje s istim odgovorom, jer je, primjerice, onima koji vas znaju najčešće poznat odgovor na sigurnosno pitanje.
Nakon što sam otvorio račun, mogu reći da je sam postupak otvaranja računa dosta siguran samim tim što osoba osobno mora zatražiti pristupnicu koju mora dostaviti u poslovnicu FINA-e, potpisati ju i priložiti osobnu iskaznicu. Aktivacija računa je također u redu i sigurna. No, nažalost, kada je račun kreiran, korisnik ima pristup sustavu unosom korisničkog imena i zaporke te ePass opcija koju sam odabrao nema dodatnog sloja sigurnosti kao što to ima opcija mToken koja je i u način prijave i korištenja mnogo sigurniji način uporabe sustava e-Građani", kaže Vlaho.
Da bi dodatno, ali u granicama legalnog, testirao dostupnost korisničkih podataka, "napao" korisnički račun svoje prijateljice Martine Marić.
"Moram priznati da sam vrlo jednostavno došao do njenih korisničkih podataka. Martini sam, naime, poslao e-mail u kojem stoji kako je na njenom računu došlo do pogreške te se od nje traži da se prijavi u svoj račun radi provjere. Martina je kliknula na link u poruci i prijavila se u svoj račun, ne znajući da je pri tom svoje podatke poslala i meni. Ima još mnogo načina kako podaci mogu "procuriti", no treba uvijek imati na umu da je ljudski faktor najslabija karika u lancu sigurnosti. Dakle, iako se sustav e-Građani u osnovnom testiranju pokazao kao siguran, opcija ePass nije sigurna jer su i uz malu ljudsku pogrešku, podaci lako dostupni. Stoga strogo preporučam korištenje mToken sustava prijave jer je to znatno sigurnija opcija. Želite li još bolju kontrolu, poželjno je imati Elektroničku osobnu iskaznicu koju izdaje MUP RH, a nosi oznaku sigurnosti 4", savjetuje đakovački haker Dalibor Vlaho.
bi Vas mogao zanimati
Izdvojeno
Pročitajte još
bi Vas mogao zanimati