Vlákno názorů k článku Kudy mohou unikat data z nemocničních systémů? od pepa - Ano uživatelé si hesla prostě pamatovat nechtějí a...
-
NULL (neregistrovaný)
Tak hesla a jejich tvrdý management se dá vynutit, zažil jsem to, je to otravné, ale jde to. Druhá věc k tomu ale je, že to musí zavést někdo, kdo to myslý opravdu vážně (i s podporou vedení) a pak ale musí dát nástroje uživatelům, jako např. otestovat a doporučit software nebo taky třeba zajistit ne nutně jednoduchou ale rychlou výměnu hesla/hesel atd . . ..
-
Petr M (neregistrovaný)
Tak na JIPce a na ARO snad mají mezi pokojema za sklem sesterny s PC, takže na tu půlhodinu by to tam vyšlo, leda kdyby uklízečka vyhrožovala sestře, že jestli tlampne na čerstvě vytřený lino, tak dostane facana mokrou hadrou.
Co se práv týká, zaměstnanec dostane přístupový profil (SESTRA-LUZKOVY-INTERNA1) a hotovo. Když je problém, upraví se profil tak, aby sestry (ne)mohly k některýmu typu dokumentu.
A přejetí čtečky prstem je rychlejší, než hození pracky z klávesnice na krysu, pokud hesla tak moc zdržují. Pokud to celkově má odsejpat, tak heslo není nevětší problém. Vyhodit wokna a hned má MUDr v den vydání aktualizace o tři hodiny víc na pacoše...
-
j (neregistrovaný)
Jo a proto pouzivaj sestry hesla doktoru, protoze jim ten profil co dostaly staci k tomu co se po nich realne chce aby delaly ...
Ostatne ono to uplne stejne funguje i uplne jinde - DS. Tam taky sekretarka dostane proste login majitele ... protoze zarizovat povereni pro dalsi osoby je jeden velkej vopruz (a vetsina lidi ani netusi, ze to de).
-
NULL (neregistrovaný)
To je pak ale chyba toho, jak je to celé nastavené. S pracovní smlouvou má dostat svůj login, třeba jmeno.prijmeni.[rozlisovak]@nasenemocnice.cz a pak jenom při nástupu nebo změně pracoviště dostat přístupy. Říká se tomu ACL.
Případně ani není potřeba dostávat login majitele/doktora - stačí, pokud to tam někoho zajímá, aby byl třeba login 1 pro celý kancl / ordinaci ~= doktor a 2 sestry. Klidně heslo může být na papírku v 1. šuplíčku na klíček. Tyto problémy totiž nejsou problémem toho, že by neexistovaly způsoby jak přístupy efektivně řešit, ale problémem je to, že se hlavně řeší proč to nejde, než jak by to šlo . -
Palo (neregistrovaný)
Lenze niekedy si viazany aj zakonmi a preto oficialne napriklad na nieco nemozes siahat takze keby sa to povolilo tak by to priamo porusovalo zakon. To za sa to v beznej praxi porusuje nie je dokazatelne nakolko sa to obvykle deje medzi dvomi subjektami sestricka <-> doktor. Ked tam vstupi IT uz je z toho problem.
-
j (neregistrovaný)
2NULL: Tvuj problem je v tom, ze resis jak by se cosi melo nebo mohlo, kdezto nekteri z nas vedi, jak to realne je.
Predstav si totiz situaci (a rek bych ze ani moc neprehanim), kdy doktor cumi do pacienta a resi, jestli ma uriznout pravou nebo levou ledvinu. A protoze nejakej ten ITmanagor bezpecnosti vymyslel, ze k tomu ma mit pristup prece jenom lekar, protoze sestra nic rezat nebude ... tak samo ten doktor ty sestre rekne svy heslo ... a menit ho rozhodne nebude, protoze vi, ze za 3 nedele by si sam nepamatoval, co si tam nastavil.
A zcela konkretne a z praxe, jista banka a jista "bezpecnosti" politika pravi, ze hesla se meni kazdy tyden, musi mit minimalne 12 znaku, pochopitelne velka/mala/cisla/nepismenkove znaky ... a system si pamatuje 5 let historie. Jako bonus se pravidelne kontroluje, jestli nekdo z tech nebozaku nema heslo nekde nalepeny. A vis jakej je vysledek? VSICHNI maji hesla, ktery splnujou pozadavky ... a VSICHNI je meni uplne stejne podle tydne v roce. Takze ti staci to heslo videt jednou, a primitivnim algoritmem mas hesla na libovolnej tyden kdykoli v budoucnu.
-
NULL (neregistrovaný)
Pochop, že i když víš, jak to reálně je, tak není moc rozumné vykládat, že to prostě jinak nejde. Jde. A není žádná obdoba cesty na Mars.
I když dá lékař heslo i 20 sestrám, tak to nemusí vadit. To jen záleží na tom, jak je to nastaveno. Já třeba jednou na kontrole poslouchal o doktorověSW a myslíš že ho zajímalo, jestli má sestra přístup do jeho počítače a svoje heslo? Nezajímalo. Tam stejně nikdo krom nich neleze a nedostane se. Zajímalo, jak to rozjet na Win7, protože soft je boží, zvykl si, má to napojené, ale už nechce XPčka. To je realita jak jsem ji poznal já. Akorát nechápu, co je za tak šílený problém nastavit ACL na (pseudo)
location.[pobocka]
location.[pobocka].[mistnost/komp/nejakeid]zamestnanec.admin
zamestnanec.doktor
zamestnanec.sestra
zamestnanec.udrzbapristup.full
pristup.read
pristup.....zdroj[abc] = true/false
zdroj[xyz] = true/false
zdroj[...] = true/falsetřeba s ( pro java ) JWT když už byla řeč o javě - je to zdarma - a máš to vyřešené pro celou síť po republice. Nebo může vrchní sestra nastartovat mašiny, zadat hesla a hola-hej . . . . Jako srry, ale kvůli tomu tu brečet že je to po celé republice na hovno, nefunguje to a nikdy nebude, protože nějaký blázen nechá měnit heslo každý týden - mimochodem i to je chyba - přímo v návrhu, protože donutil ty zeměstnance udělat co udělali. Já třeba zažil instituci, kde bylo několik levelů přístupů, několik druhů přístupů i veřejné a privátní, hromada budov, hromada APček, k tomu i veřejné vstupy do sítě, asi 20 informačních systémů a údajně 20 tis. lidí za rok kde se tak 1/3 odchází přichází - a div se, fungovalo to, heslo se s "pamětí" měnilo jedenkrát za rok, nebyl to kritický systém - až na jejich agendu a účetnictví, finance - přístupy, DB atd. , dalo se telefonem nebo na mail resetovat heslo. No a co je v tom za problém? Protože nějaká banka to má na <|> (pardon), tak to nejde nikdy nikde a nepůjde? Nechápu . . .
-
j (neregistrovaný)
Ale to neni o tom, ze to nejde, to je o tom, ze to nikdo nebude pouzivat. Vsichni to budou brat (a naprosto opravnene) jako hazeni klacku pod nohy.
Podivej, cekal bys, ze v roce 2016 umi stredoskolak poslat mail? Tak ti sdelim sladky tajemstvi ... 80% z nich ... to nevladne, a kdyz, tak horkotezko a blbe.
Jak myslis, ze zvladaj pouzivat pocitac doktori? Nj, 80% z nich .. horkotezko, z donuceni, a v lepsim pripade jako psaci stroj.
Nebo z jinyho prostredi OK? Mam tu uzivatele od vyucenych po vysokoskolaky ... maji obsluhovat primitivni objednavkovej system. Logicky by bylo, aby mel kazdej svuj login, vedelo by se kdo kdy co ... jenze ... pro jejich naprostou neschopnost ... maji proste login spolecnej, a prosychr ho maj nalepenej na monitor.
Jo, a primarni pricinou tohodle "reseni" byl pan inzenyr, kterej se ptal 10x tejdne jak ze ma to heslo (pricemz se opakovane zjistovalo, ze to co si nepamatuje neni heslo, ale login ... kterymz je jeho prijmeni).Nebo jinej pripad ... tisk na spolecny tiskarny. Od uzivatele se chce jedinej primitivni ukon - prijit s RF chipem a pipnout si na libovolny tiskarne, kde mu vyleze co si poslal tisknout. 15% lidi to... nezvladne. Jasne, takovej clovek proste na dany pozici nema co pohledava a ma jit k lopate. Je to zcela bez ohledu na vzdelani/stari.
A ted si (ve finale) predstav, ze (a to nejsem doktor) bude muset nekdo takovej pracovat se systemem, kterej bude, co se tyce datovyho modelu naprosto gigantickej (pokud vubec lze vsemozny diagnozy naladovat do strukturovanych dat). Delat neco na zpusob papirovy kartoteky jen v digitalni podobe je totiz zcela nanic. Naopak, doktor zesili z toho, az bude prohrabovat 50let historie a zjistovat, co je a co neni aktualni.
-
NULL (neregistrovaný)
Dobře. ACL prostě nefunguje, je to jen teoretický výmysl, třeba do Azure, Facebooku, nebo Google SSO, Emailů, LinkedIn, Twiteru 80% lidí neumí ani zadat ani login jak to tak popisuješ . . . .tak nebudem zadávat nikde a na celé to divadlo se vyse...... Spíš mi to (promiň) ale připadá, že jsi na to rezignoval. Jako znám to z praxe ( i když už nejakou dobu už neadminuju a vracet bych se nechtěl . . .), když ti vedení na něco, co by jsi si klidně a s přehledem obhájil, řekne NE - a ještě se ti pak volové z "managemntu" ksichtí, ale tvrdit že to nemá cenu? To ne. Nikdy. Už jenom kvůli těm blbům z managementu ( disclaimer: už jsem poznal i dobré managery, bohužel jenom s blbým zadáním a tvrdými mantinely)
-
NULL (neregistrovaný)
No a hledáš jak to řešit nebo jak to neřešit?
"Coz selze u prvniho pripadu kdy se doktor bude stezovat jak ho to zdrzuje."
Ty když se někam přihlašuješ, třeba facebook, tak tě to tak zdržuje? Resp. Ty v práci nemáš nikde hesla aby tě to nezdržovalo? A když máš, tak už nestíháš práci? Asi ne, že . . . ráno se přihlásíš - i kdyby 1 minuta - a odpoledne odhlásíš - i kdyby 1 minuta. To ti musí s produktivitou zahýbat ....
-
jinej muf (neregistrovaný)
Tak "jednoduchá a rychlá výměna hesel", to by chtěl každý... Problém ve zdravotnictví je, že tam si nemůže každý "hrát s počítačem" a generovat 80 % pracovní doby rádobyprací a administrativními zbytečnostmi. Mimojiné i kvůli české politice je doktorů takový nedostatek, že tam se jako v jednom z mála oborů musí stále ještě opravdu pracovat a to dokonce rychle a efektivně (což je v přímém rozporu s tím, co produkují autoři informačních sytémů).
Druhá varianta je, že to tu bude jako v USA... Napojit se na kapačku a předávkovat člověka přes WiFi v čekárně sice jde, ale zato známá ležela skoro hodinu na lůžku v otřesných křečích při akutním slepáku jen proto, že baba na příjmu nebyla schopná naťukat do počítače její jméno a ověřit si pojištění...
-
jinej muf (neregistrovaný)
A která z těch služeb nabízí důvěryhodnost na takové úrovni, že ji lze považovat za naprosto spolehlivou ohledně autentifikace a spolehlivého ověření identity? To bych rád viděl...
Systém ve stylu klikněte a my vám pošleme heslo do mailu nenabízí ani důvěryhodnost ani rychlost.
Jediné, co by snad šlo aplikovat, by bylo přihlašování pomocí jednorázových hesel ze sms. Telefon musí mít doktor u sebe stejně pořád. Ale zase, jak se zajistí, aby nebyl zcizen za účelem získání přístupu do databáze?
Ne není to tak jednoduché a není to jen o brblání. Je to o tom, že určitá skupina lidí nechápe, že náš odosobněný, ale zato dokonale systematizovaný svět nemůže z principu fungovat. Žádný systém nenahradí lidskou slušnost a svědomí...
-
NULL (neregistrovaný)
Jo, a která služba má tu výhodu že není veřejná, jako nemocniční síť? Neumíš zabezpečit neveřejnou síť aspoň na nějaké normální ~ úrovni? Tak to bych se moc neozýval . . .
Je spousta způsobů a spousta jejich kombinací. Jenom si vybrat - ne jak před 15 lety když ty softy vznikaly ( nikoho neobhajuji ). Ale stylem -> je to na <|> a tak na to se.u se ničeho nedosáhne. . . . Jenom to zkazí ještě ty poslední, kteří se na to nevysr. . . .
-
jinej muf (neregistrovaný)
> Telefon s BT a RFID na klíčích.
Řešení zcela k ničemu. Odložený telefon na stole je imho i u lékařů běžná věc. Já si třeba telefon na WC taky neberu, neberu si ho ani do jídelny. Nepředpokládám, že radiolog ho bude brát k rentgenu, nebo že chirurg si ho vezme na operační sál nebo na převazech bude někdo patlat sádru s mobilem v kapse... Jen to zvýší četnost krádeží mobilů.Co se týče technologie RFID, tak ta je fakt skvělá. Doporučuji kouknout na http://www.instructables.com/id/A-Universal-RFID-Key/?ALLSTEPS -- dá se to zjednodušit, zkoušel jsem to, stačí za 35 Kč z číny Arduino Pro mini, cívka namotaná ze starého trafa, 4 diody a kondenzátor. Vleze se to do krabičky od TicTaců. Je dobré mít ke kradení čísel RFIDů ještě za $2.15 z Ali čtečku... To je vše, co potřebujete na to, abyste mohl pípat stejným čipem, co pan doktor, aniž by to kdokoliv tušil. Váš emulátor vysílá stejné číslo jako čip pana doktora, který absolutně netuší, že máte kopii. Pokud to nechcete vyrábět, dá se koupit přímo příruční kopírka na RFIDy na 2 tužkové baterky, pár programovatelných čipů v ceně tuším cca 500 Kč na Ali celkem.
-
Lael Ophir (neregistrovaný)
V nemocnicích se přidává ten problém, že by se mělo zamezit zbytečným dotekům zařízení, zvlášť těch která nejsou omyvatelná. Například čtečka otisků z tohoto hlediska asi není dobrý nápad, nehledě na bezpečnost vlastní technologie. Podobně jednorázová hesla přes mobil jsou dost špatná, nehledě na problémy s mobily (konkrétně Android děravý jako ementál). Naopak RFID tagy jsou z hlediska hygieny OK. V případě ztráty ji stačí nahlásit, a podpora účet zamkne. Urychlené vydání nového RFID tagu se dá řešit například tak, že na daném místě je zapečetěná obálka s náhradním kusem.
Ad Žádný systém nenahradí lidskou slušnost a svědomí - to je částečně pravda. Například většina lidí nemá mříže v oknech ani fólie na sklech. Do jejich bytu nebo domu se dá triviálně dostat pomocí cihly, případně v kombinaci s žebříkem, a v řadě případů stačí jen pořádný kopanec do dveří. Věci jako vykopávání dveří ale slušní lidé nedělají, což vás do jisté (a upřímně dost nízké) míry chrání. Jenže když necháte otevřené dveře nebo okna a odjedete na dovolenou, tak na lidskou slušnost a svědomí můžete rovnou zapomenout.
-
nemo (neregistrovaný)
Ono to ani nieje tak o heslach. Skor naopak, uz dnesna generacia mladych lekarov s tym az taky problem nema. Skor je potrebne zmenit postoj a myslenie ludi, teda lakarov ale aj celeho personalu. Nic nezvycajne ze lekar je prihlaseny do systemu/konzoly, ma u seba pacienta a odbenhne si na 5-10 minut. Proste treba im nadrvit do hlavy ze tie udaje su dolezite a ked odbieham tak sa odhlasit alebo aspon zamknut pc. Nieje to ziadne terno ale aspon nieco.
Ale v principe je to jedno. Aj tak ten unik by bol relativne limitovany a lokalny. Prave eldorado zacne az dementom vo vladach prejde a dotlacia elektronicke zdravotne karty. Vzhladom na to aky je stat casto krat schopny zabespecit it systemy a ako funguju, bude to zabavne.
