Menu

RA World wcześniej upublicznił dane ALAB Laboratoria

Auto­rką niniej­sze­go arty­kułu i poprzed­niej ana­lizy wycie­ku danych z ALAB Labo­rato­ria jest Val­kyria. Auto­rka nie chce publi­kować tego arty­kułu pod swoim imie­niem i nazwi­skiem. Kore­kty doko­nała Hota­ru, reda­ktor­ka porta­lu.

RA World odgra­żał się, że uja­wni dane pry­wat­ne (wyni­ki badań), gdy nie dosta­nie pie­nię­dzy z wymu­szo­nej zapła­ty. ALAB Labo­rato­ria pra­wdo­podob­nie nic nie zro­bił dla pacjen­tów, by ich dane nie sta­ły się publicz­ne, bowiem na stro­nie dar­kne­towej poja­wiły się już dane z wyni­kami pacjen­tów, wyni­kami ana­liz oraz doku­men­ty księ­gowe Ala­bu. Jest to taje­mni­ca ich przed­się­bior­stwa, pra­wdo­podob­nie naj­cen­niej­sza, bowiem pozwa­la na dowiedze­nie się, ile kosztu­je pro­wadze­nie takie­go labo­rato­rium, jakie są potrzeb­ne doku­men­ty zanim się podej­mie decy­zję o pro­wadze­niu tego typu dzia­łal­ności. Doku­men­ty też zawie­rają szcze­góło­we infor­macje o pra­cowni­kach i infor­macje o kon­tra­hen­tach, co uła­twić powin­no start w bizne­sie – przyp. red.

Przy­pomnę, jak pisa­łam już w poprzed­nim arty­kule, wystar­czy­ło zasto­sować zabez­pie­cze­nia zna­ne od mini­mum roku 1976. Stan­dardy prze­cho­wywa­nia danych medycz­nych w ALAB Labo­rato­ria nie odpo­wia­dały więc nawet sta­nowi wiedzy na rok 1980. Jak to świad­czy o pro­gra­mistach, któ­rzy napi­sali im opro­gra­mowa­nie?

Two­rząc opro­gra­mowa­nie zawsze dbam o zasto­sowa­nie PKI tam, gdzie to jest możli­we (gdy dane mają cha­rakter poufny). Szy­fro­wanie algo­ryt­mami Rabi­na, RSA oraz ElGa­mala jest to coś, co powin­no być powszech­nie dzi­siaj uży­wane nie tyl­ko do zabez­pie­cza­nia danych medycz­nych, ale tak­że naszej pry­wat­nej kore­spon­den­cji. W takim sce­nariu­szu – dane szy­fro­wane przed wysła­niem poprzez Google, Mic­rosoft czy też Apple – nie podle­gały­by uja­wnie­niu fir­mom trze­cim, bowiem infor­macja jest widocz­na tyl­ko dla osób znają­cych klucz. Mimo wiedzy i umie­jęt­ności pozo­sta­ję bez pra­cy, ponie­waż odma­wiam poka­zywa­nia twa­rzy na MS Teams.

W ALAB‑ie jednak nie zawiódł sam brak zasto­sowa­nia PKI, ale nie­przydzie­lenie poje­dyn­cze­go klu­cza każde­mu uży­tko­wni­kowi [lub wręcz jedne­mu spra­wozda­niu – przyp. red.] i nie­zaszy­fro­wanie cho­cia­żby naj­prost­szym algo­ryt­mem – AES – danych tym klu­czem. Ważniej­sze było by SZYB­CIEJ I WYGO­DNIEJ pobie­rało się dane tyl­ko po znajo­mości nume­ru PESEL.

Wspo­mnieć nale­ży też o obe­cno­ści na stro­nie ALAB (jak też innych labo­rato­riów, np. Dia­gno­sty­ki War­szaw­skiej) skry­ptów Google Ana­lytics i Google Cap­tcha – po(d)mio­tu Google – któ­ry jest zna­ny z tego, że pod­słu­chu­je swoich uży­tko­wni­ków Andro­ida – «bo tak jest lepiej».

Drodzy Rezy­lia­nie, kie­dy zacz­nie­cie w koń­cu mieć coś do ukry­cia i zacz­nie­cie pro­testo­wać przed Mini­ster­stwem Zdro­wia prze­ciwko upu­blicz­nia­niu w kon­tro­lowa­nym wycie­ku waszych danych medycz­nych? Kie­dy zacz­nie­cie uży­wać komu­nika­torów szy­fro­wanych, gdzie tyl­ko Wy macie dostęp do klu­czy kry­pto­gra­ficz­nych, czy­li takich, gdzie musi­cie się zalo­gować z uży­ciem doda­tko­wego pli­ku z klu­czem? Kie­dy włą­czy­cie GPG w obsłudze swo­jej pocz­ty?

Kon­tro­lowa­ny wyciek?

Nie da się użyć inne­go sło­wa, gdy nie chce się uży­wać nowo­mowy. Nie jest bowiem taje­mni­cą, że wszys­tkie dane zbie­rane w dużych bizne­sowo ważnych bazach danych wycie­kną i jest to pewne na 100%. Nie jest zna­na tyl­ko godzi­na, kie­dy to się sta­nie. Każde opro­gra­mowa­nie jest peł­ne dziur. Mozil­la Fire­fox ma już ponad 1800000 błę­dów, z cze­go część napra­wio­no. Google Chro­me, któ­re istnie­je kró­cej, ma ich już ponad milion.

W drodze pro­testu pole­cam:

  1. napi­sać do Mini­ster­stwa Zdro­wia wnio­sek o udo­stę­pnie­nie w prze­pisach kra­jowych możli­wości pro­wadze­nia doku­men­tacji w wer­sji papie­rowej, któ­ra jest sto razy bez­piecz­niej­sza od wer­sji elek­tro­nicz­nej (jej wykra­dnię­cie wyma­ga fizycz­nej obe­cno­ści, co już samo w sobie zwię­ksza bez­pie­czeń­stwo);
  2. napi­sanie do Mini­ster­stwa Pra­cy, aby pra­cowni­cy mogli żądać od pra­coda­wcy przed­sta­wie­nia w gru­pie pod pseudo­nimem, któ­ry pra­cownik sobie sam nada (pseudo­nim unie­możli­wi mene­dże­rom i kole­gom czy­tanie już upu­blicz­nio­nych wyni­ków badań medycz­nych);
  3. Napi­sanie do MSWiA żąda­nia wydłu­żenia nume­ru PESEL i możli­wości zmie­nia­nia go, jak ręka­wicz­ki, wraz ze zmia­ną imie­nia i nazwi­ska po każdym wycie­ku elek­tro­nicz­nych danych medycz­nych (Zmia­na imie­nia i nazwi­ska ma sens tyl­ko wraz ze zmia­ną nume­ru PESEL);
  4. wypro­wadze­nie się z ten­kra­ju do kra­ju, któ­ry ma wię­ksze powa­żanie dla danych oso­bowych, np. do Nie­miec, gdzie fir­my (np. call cen­ter) już dawno umo­żli­wia­ją swoim pra­cowni­kom przed­sta­wia­nie się innym «nazwi­skiem» (wypro­wadz­ka powo­duje, że nie musi­my już uży­wać nume­ru PESEL, a zamiast tego uży­wamy zagra­nicz­nego odpo­wie­dni­ka, toteż wyni­ki badań po zmia­nie nazwi­ska i wypro­wadz­ce i uzy­ska­niu kra­jowe­go iden­tyfi­kato­ra inne­go niż PESEL prze­sta­ją być łatwo powią­zywal­ne z oso­bą).

Baza mię­dzy­naro­dowa

Powsta­je już mię­dzy­naro­dowa prze­strzeń dla danych medycz­nych w ЄС (jewro­soju­zie, lub jak kto woli – euro­koł­cho­zie) [Euro­pej­ska prze­strzeń danych doty­czą­cych zdro­wia – przy­pis red.] Czy dane tam będą bez­piecz­ne, czy może jest to kolej­na zbę­dna i przy­muso­wa baza danych do kon­tro­lowa­nych wycie­ków? Po tym, jak w ostat­nim gło­sowa­niu stwie­rdzo­no, że pań­stwa człon­kow­skie będą mogły przydzie­lić pra­wo do sprze­ciwu prze­ciwko «e», a nie dać pra­wo już wprost każde­mu mie­szkań­cowi jewro­soju­za, odpo­wiedź nasu­wa się sama: wie­le oby­wate­li jewro­soju­za nie otrzy­ma takie­go pra­wa, a jego dane medycz­ne kie­dyś wycie­kną. Wte­dy, kie­dy będą komuś pil­nie potrzeb­ne.

Dla­cze­go jest tak mało pro­testów prze­ciwko temu? Dla­cze­go von der Lie‑en, Roth­schil­dowie i hake­rzy muszą wszys­tko o nas wiedzieć, a my o nich nic nie może­my wiedzieć? Cze­mu mamy mniej­sze pra­wa od prze­stę­pców?

Obudź­cie się Rezy­lia­nie w koń­cu i prze­stań­cie się zacho­wywać w tram­wajach i metrze, jak kovi­Dove gołę­bie dzio­bią­ce okru­szki nie­nor­mal­ności na wypo­życzo­nych wam smart­fonach i table­tach.

Lin­ki

http://raworl­ddecs­syq43oim3hxhc5oxvlbaxuj73xbz2pbbowso3l4kn27qd.onion/sha­re/QcKN5Win/Unpay/Alab/ – na dzień publi­kacji arty­kułu zawie­ra 92.8 GB danych w posta­ci umów, wyni­ków badań, danych o pra­cowni­kach i innych. Do otwar­cia tej witry­ny potrzeb­na jest prze­glą­dar­ka Tor Bro­wser.

Zamknij Przewiń w górę Przewiń w dół