Vlákno názorů k článku Jak vymýtit Windows XP ve zdravotnictví od Howard - Řešení je samozřejmě nepoužívat Windows, ale vážně, žádný...
-
František Koudelka (neregistrovaný)
Tomu nerozumím, proč nemocnice kecá do toho, jaký OS na tom stroji bude? Ať tam výrobce dá to, co se pro daný účel hodí nejlépe. Pak stejně nemocnice platí support a maintenance u dodavatele. Pochybuju, že nemocniční IT (často menič myší a tonerů) nebude ty widle nijak opravovat.
Pravda, setkal jsem se také ve veřejném sektoru se situací, kde něco muselo být na windows, protože to prostě muselo být na windows. Protože zkrátka firma, která měla dělat outsorcing údržby ničemu jinému než windows a předraženým polofunkčním bastlům nerozuměla (sama měla své interní systémy outsorcované na Linuxu od někoho jiného).
To je tak, když ve státním není na platy a IT tam dělá kdejaký trouba a kecal, který hezky šéfovi převypráví fráze z prezentace komerčního dodavatele (přeci nebudete rukojmím v rukách Linuxáků, kteří rozjedou firemní mailserver, intranet a ....., ale už neřekne, že raději bude rukojmím v rukách dodavatele, poskytovatele licencí nebo pronajimatele cloudu ...). -
Mln (neregistrovaný)
Ten QNX RTOS tiez nie je moc bezpecny, maju napr star6 webbrowser (tusim to bol firefox ked som sa w tym hral vo VM), celkovo sa pri RTOS hladi na ine priority ako odolnost voci sofistikovanejsim kyberutokom. Vacsi problem bude ked niekto zautoci na tieto riadiace RTOSy, nieco na styl Stuxnetu v Irane a dojde k poskodeniu pristroja alebo zdravia alebo falosny negativny nalez lebo pristroj nefungoval spravne. Neviem ako CR, ale napr som bol na exkurzii IKT v Zilinskej nemocnici (krajske mesto, 2-3 roky dozadu), spravu IT mal jeden clovek. Nemocnicny IS bezal cez web, s diagnostickymi systemami (rtg) ten IS moc nespolupracoval dobre nespolupracoval. Ajtak mal k dispozicii mal 2 kompletne rezervne pc. "Serverovna" bola jedna skrina s par rackmi. Mal tam Raid pole. Ak by sa pokazil hlavny Cisco router, bol by to problem. Rezervny nemali, ale zjednanu dozivotnu zaruku na hw. Zatial sa im to este nestalo. Ale ma obavu z povinneho ehealth system.
V nemocnici v Martine (velka nemocnica, 4-5 rokov dozadu) som na exkurzii videl na sale skiaskop s C ramenom (realtime rentgen pouzivany pocas operacie) ktoreho riadiaci PC bol IBM XT s nejakym specialnym softim tusim od Siemensu. S okolitym modernejsim IS to komunikovalo pomocou plastovej krabice s jednym gombikom ktoru im postavili "nejaky madari". V tej krabici bola USB videokarta do ktorej bol cez T clanok privedeny videosignal urcen6 do doboveho IBM XT monitora. Videokarta robila printscreeny obrasovky IBM XT a ukladala to cez USB na "moderny pc". Doktor stlacil gombik, spravilo to printscreen IBM XT a na modernom pc sa spustil nejaky maly program ktory sa pytal kam to ulozit.
Ostava dufat ze hackeri si uvedomia ze z nemocnic fakt moc penazi nevytrieskaju. Horsie to bude s roznym autonomn3 sa siriacim malwarom. Fakt nezavidim pracu spravcom IT/akemukolvek personalu nemocniciach. Som rad ze nepracujem v prostredi kde je system nastqveny tak ze korupcia, rodinkarstvo.a rozkradanie prekvita a chybaju peniaze na samotnu prevadzku, o investiciach nehovoriac. -
Adam KaliszStříbrný podporovatelNa bsdnow.tv jsem viděl rozhovor s někým, kdo píše firmware pro nemocniční zařízení a celé je to založené na OpenBSD. Když se chce, tak to jde.
Každý OS se ale musí udržovat a žádný není bez chyby. -
. . (neregistrovaný)
to není řešení, do stejných problémů dostaneš každý neudržovaný OS, ve spojení se špatným návrhem infrastruktury, to je průser, viz současný stav.
Na druhou stranu řada nemocnic již začíná tohle řešit. Bohužel nemocnice nemají dostatek prostředků na vybudování vlastního silného IT týmů, s tím mají problémy i společnosti z oboru. Pořídit si řešení na klíč je zase relativně drahé, začíná to na částce 5 - 10m.
Takhl v diskuzi se dají navrhovat šílené věci a dělat jaký jsem mistr, že bych to udělal lépe, ale těch systémů v nemocnicích, které je nutné propojit je poměrně dost a požadavky nejsou snadno splnitelné, proto v reálných podmínkách díky nezkušenosti daných IT oddělení vznikla řada špatných rozhodnutí.
-
Mard (neregistrovaný)
Na koupi lékařského zařízení dostanou dotaci ale řešení bezpečnosti dotaci nedostanou. Jak by to politici prodávali voličům? Každý pochopí - "zajistil jsem nový rentgen do naší nemocnice" ale "zajistil jsem nový firewall a zvýšení bezpečnosti v její síti pomocí VPN" to moc bodů u průměrného voliče nepřinese.
-
Ona to není úplně pravda, prachy tam jsou, podívejte se, kolik bere odborník na cokoliv ve zdravotnictví. Sice si pořád stěžují, že je to málo (v porovnání třeba s Německem ano), ale zase taková tragédie to není. Za podobný peníze už se pár vcelku schopných lidí sežene, na velkou nemocnici třeba tři a zbytek IT může, stejně jako do teď, roznášet tonery a leštit kuličky v myších. Mám pár let staré zkušenosti z FN Brno, tečou tam měsíčně takový prachy, že těch 300k by se už měsíčně našlo, kdyby se chtělo. Jenomže ono se nechce, protože penízky se sypou jinam, nicméně zvláštní na tom je, že se ani tak nesypou do samotného léčení a věcí s tím spojených...
Jenomže ono to IT v tom zdravotnictví není tak vidět, pokud je s něčím problém, tak se prostě operace nepovedla, ale nikdo vám už nepřizná, že za to můžou stoletý nespolehlivý přístroje a už vůbec nikdo neřekne, že za to taky třeba mohl vadný SW. On to tam totiž nikdo ani neví, protože to nikoho ani nezajímá. A i kdyby zajímalo, ty přístroje s vlastním SW, ať už je v tom cokoliv, jsou stejně jenom black box, výrobci si hlídají, aby se v tom nikdo moc nevrtal a personál se samozřejmě nevrtá, protože jakákoliv oprava čehokoliv je neskutečně drahá.
Dalším problémem je to, že když už se kupuje něco novýho, plácnu třeba CTčko, tak se řeší cena, zakládají se nadace, pořádají sbírky, doktory potom zajímá spousta parametrů, s tochou štěstí je tam i někdo, kdo předem řeší servis - samozřejmě ten hardwarový, ale nikoho ani nenapadne se zeptat, co je v tom za SW, jak je to bezpečný, jak se to aktualizuje... mooožná by někoho mohlo zajímat, jak z toho polezou obrázky, ale odpověď po (nespecifikovaném) kabelu do připojeného PC, přes flešku, nebo po síti (nespecifikovaným protokolem do nespecifikovaného úložiště) je prostě dostatečná a zbytek se dořeší za chodu. -
j (neregistrovaný)
Ve skutecnosti je to jeste mnohem horsi nez popisujes. Zcela aktualni zkusenost. Kdyz se zeptas, kdy mas prijit na vytazeni stehu, tak ti reknou, ze se za 14 dnu rozpadnou samy ... kdyz ani za mesic rozpadly nejsou, tak nikdo nevi, cim te vlastne sili ... a z 5ti doktoru ani jeden neni ochotnej ty stehy vytahnout, takze skoncis u toho, ze si je musis vytahat sam.
Priste si budes sam operovat slepak, a prespriste si sam budes delat transplantaci srdce ...
Kazdopand kdybys tam nedej boze nekdy musel, tak si vlastnotucne namaluj co ti maj uriznout, protoze jinak ti uriznou misto bradavice treba taky nohu zejo ...
Po operaci oci te slepyho vyhodej, protoze ti vlastne nic neni ... a na to ze bys zustal aspon do druhyho dne, kdyz stejne chtej abys (slepej) prisel na kontrolu zapomen ... A sanytku ti nedaj, chodit prece muzes ...
-
. . (neregistrovaný)
a co je odpovídající váha a kdo jí definuje? Dokud peníze drží pojištovny a ty si diktují na co mohou být peníze vynaloženy, žalovat nemocnice je je dost kontraproduktivní, proč kecáš takové kraviny, když vůbec nemáš přehled o tomhle oboru?
V našem prostředí únik nemocničních dat není tak velký problém jako třeba v USA a co vím neděje se často, co je už ale častější je ztráta dat, ať už nedostatečnou zálohou nebo právě určitým ransonwarem a v tomhle případě nemá podle jakého zákona pacient nemocnici žalovat, tučné odškodnění je jen tvůj sen.
Osobně bych raději, aby nemocnice léčili a neřešili tyhle chujoviny, stejně jako neřeší jiné věci a koupí si hotové řešení (budovy, agregátory, sály, vybavení atd.). Tady jen chybí sjednocená definice jak s čím nakládat a co jak má fungovat, ideálně vynucené legislativou, nařízením, vyhláškou nebo přístupem pojišťoven.
Ona situace, kdy mi pojišťovna povolí koupit jen jeden konkrétní přístroj jedné značky, který schválila, ale ten nemá vyhovující zabezpečení, protože to po něm nikdo nepožaduje a jako nemocnice nemám naprosto na výběr a jsem v kleštích.
-
. . (neregistrovaný)
@SB, ty jsi dobrej demagog. Kdyby mě bylo víc, s bezpečnostní by tak velký problém nebyl. Nepíšu, že bezpečnost je chujovina, ale že to nemůže řešit každá nemocnice sama a po svém, bezpečné řešení už musí dostávat/kupovat stejně jako dostává bezpečné dveře nebo sejf. Pokud si to všichni budou řešit sami a nebudou používat standardy a hotová řešení, moc se toho nezmění proti současnému stavu, vždy bude někdo, kdo to udělá špatně.
-
Velké procento zdravotnického SW je k dispozici pouze pro Windows, protože je to velmi rozšířený OS, HW (i ten medicínský) podporují prakticky všichni výrobci, má široké a stabilní API, dobrou dokumentaci a kvalitní vývojové nástroje. Přitom nejde jen o psaní "čistých" desktopových aplikací, ve kterých se vývojářskému komfortu Windows těžko konkuruje. Důležitá je také široká nabídka third party komponent. Pokud potřebujete například podporu pro zobrazování DICOM (řekněme standardní kontejner pro medicínské obrázky, včetně vícerozměrných, psaný se přihlédnutím ke specifikům RTG, CT a MRI), tak si koupíte za pár dolarů komponentu. Podobně seženete komponenty pro prakticky cokoliv dalšího, co při psaní aplikace potřebujete.
Ohledně děravosti SW: v roce 2016 měl jen kernel Linuxu 217 vulnerabilities, nemluvě o distrech. Celé Windows 10 jich měly 172. A vyjma Linuxu už moc alternativ není, protože z důvodu nákladů potřebujete, aby to jelo na levném x64 HW.
http://www.cvedetails.com/top-50-products.php?year=2016 -
Akorátže porovnáváte všechny verze linuxového kernelu s jednou verzí windows. Navíc velká část vulnerabilities v Linuxu je v driverech, takže se často týká jen konkrétního zařízení. Ve windows jdou tyto vulnerabilities prakticky vždy za výrobcem hw a ne za Microsoftem, takže ve vaší statistice prostě chybí. Dále v případě Windows máte výrazně méně lidí, kteří se dostanou ke zdrojovým kódům (jádra, ovladačů, ...) a jsou schopni nahlásit vulnerabilitu jenom proto, že si zdrojový kód přečtou, pochopí a najdou chybu. Takže je tam nepochybně výrazně vyšší poměr zneužitých vulnerabilit vůči těm nahlášeným.
-
Tak jsem se teď pořádně podíval na nahlášené vulnerability linuxového kernelu v kategorii "code execution" a prakticky všechny se týkaly Androidu a nějakého ovladače telefonního/tabletového hw. Takže prakticky celá tahle kategorie svědčí o kvalitě programátorů výrobců těchto telefonů a ne o kvalitě skutečného Linuxového kernelu jak je nasazen na běžném serveru. Dokonce si troufám tvrdit, že se neaplikují ani na provoz běžného embedded controlleru nějakého specializovaného zařízení (třeba průmyslového), ale jsou specifické právě pro to jak si výrobci ohýbají Linux do Androidu.
-
Hmm, a teď koukám, že jste psal o 2016 a ne 2017. V roce 2016 měl Linux Kernel 'code execution' vulnerabilit 5. Windows 10 jich měl 17. Nejvíce vulnerabilit měl linux v kategorii DoS, takže útočník měl další způsoby (kromě standardního přetížení procesoru/disků/...) jak zablokovat počítač. Na proti tomu ve Windows 10 bylo více vulnerabilit v kategorii (arbitrary) 'code execution' (viz výše) a v kategorii 'gain privileges'. Takže bylo snadnější ovládnout systém a nainstalovat třeba rootkit.
-
Částečně souhlas s vašimi argumenty. Na druhé straně se pořád bavíme o pořád jen o kernelu Linuxu, a o celých Windows 10 včetně Win32 a WinRT, což je zatraceně velká spousta kódu. Co se koukám u Windows na kategorii code execution, tak je to většinou grafika, video, animace, jednou vidím OLE, a jednou podle všeho kernel.
Pokud jde o drivery, tak těch se s Windows distribuuje veliká spousta.
Pokud jde o to že open source je údajně bezpečnější, protože každý vidí zdroják: takovému argumentu chybí podpora ve faktech. -
Neříkám, že je absolutně bezpečnější. Na absolutní bezpečnost otevřenost kódu nestačí. Tvrdím, že otevřenost kódu a široká vývojářská komunita zvyšuje relativní bezpečnost - tedy počet odhalených a opravených vulnerabilit vůči počtu zneužitelných vulnerabilit. Pokud je ale cílem bezpečný kód, tak často více pomáhá, to když je kód malý (jednoúčelový, to běžné nasazení linuxu ani Windows nejsou) a když programátoři mají motivaci to udělat dobře. (Do toho spadá i (ale nejenom) finanční motivace, ta bývá ve světě free software naopak nižší.)
Docela by mě zajímalo kolik těch zranitelností u obou systémů se týká Embedded zařízení - tedy při instalaci ve které není nainstalováno prakticky nic co běžné embedded zařízení nepotřebuje. Tady na tom bude Linux hodně dobře. O Windows tu nic netuším, jen jsem slyšel, že jádro mají celkem dobré. Ani nevím jestli Windows 10 mají embedded verzi, nebo je na to nějaká jiná řada.
-
Ad počet odhalených a opravených vulnerabilit vůči počtu zneužitelných vulnerabilit - tam je problém v tom, že se takové tvrzení velmi špatně prokazuje.
Pokud je cílem bezpečný kód, tak to chce OS typu Singularity, ve kterém se díky konstrukci jazyka (zde C# a jeho nadstavby) dají statickou analýzou prokázat požadované vlastnosti. Například to že kód nemůže sáhnout mimo přidělený adresní proces, nebo že v kódu nemůže dojít k deadlocku.
https://en.wikipedia.org/wiki/Singularity_(operating_system)Windows mají Embedded edici. V současné době MS nabízí Windows 10 IoT Core (no shell, boot to app, s displayem nebo bez), IoT Mobile (ARM-only, více-méně komponentizované Windows 10 Mobile) a IoT Enterprise (více-méně komponentizované desktopové Windows 10). Samozřejmě čím menší attack surface, tím lépe zranitelností se systému týká. Pokud jde o kernel, tak neznám nikoho kdo by znal kernel Linuxu i Windows, a hodnotil ten první jako kvalitnější.
http://wincom.blob.core.windows.net/documents/Windows10_IoT_Overview_Datasheet.pdf
