МРТ: вопросы прикладной безопасности. Часть 4



ua3ndx


С нами с: 2014-07-04
Посты: 346
Кострома

 
     
2020-08-08 on 11:31
По опыту работы в «МРТ-Эксперт» г. Костромы

В продолждение темы безопасности МРТ-исследований, теперь уже информационной.
Да, как я уже писал насчёт программного софта – в организациях навроде подобных сетевых центров ситуация одинаково дураковатая и непонятная: якобы их постоянно контролируют серьёзные дяденьки (вроде как из подразделения «К») причём и лично, и по сети, регулярно залезая на все их сервера и базы данных – так по крайней мере говорил мне Руслан, сисадмин и инженер из «Эксперта». А потому должны бы всё о них знать!

Но в реальности это не мешает им пользоваться во всех центрах бесплатными версиями скайпа (заместо Premium-версий для бизнеса), забывая о том, что бесплатные версии предназначены для физических лиц и некоммерческого использования. А потому, когда идут обрывы связи из-за перегрузки на линиях, коммерческий директор вызывает и дрючит Руслана, как-будто именно он виноват в том, что вся сеть «Эксперта» сидит на халявных серверах скайпа – но само начальство до очередной разборки какбэ забывает об этом. Но забавно совсем другое: на всех компьютерах «Эксперта» стоит антивирусная защита ESET Endpoint Antivirus, вроде бы для корпоративных сетей достаточно современная, но это обычный антивирус, без сетевого экрана – видимо, кто-то из высокого начальства решил «сэкономить» и прикупить защиту чуть-чуть подешевле. То есть компьютеры со всеми рабочими программами и базами данных практически не защищены от сетевых атак или утечки информации! И хотя, как говорил Руслан, на их входном сервере какая-то фильтрация потоков осуществляется, но как видно все порты открыты, если дяденьки-чекисты так легко входят и выходят туда каждый день. А значит, для профессионального хакера тут вообще работы на 5—10 минут, чтобы грохнуть или утащить все базы данных.

К чему это приводит – или может привести – в нашей приземлённой реальности?
Да всё очень просто: пациенты «Эксперта», их личные данные, диагнозы и банковские карты, которыми они платят, практически не защищены ни от какой утечки информации. Ни от внутренней, в лице сотрудников (например, тех же смазливых администраторш на ресепшене, набранных «по знакомству»); ни от любого внешнего вмешательства. Вопрос только в том, кому и когда эта информация может потребоваться, и когда этот слив произойдёт. Как говорится, со всеми вытекающими отсюда. Но об этом – чуть позже, в выводах статьи.

Те же ресепсионистки, которые на полных правах подключены к глобальной Сети всей экспертовской системы, часто откровенно на «вы» с компьютерами, а потому просто не понимают, что они делают. Ведь не зря же говорят специалисты-айтишники, что лучшая защита для компьютера это прокладка между креслом и монитором!

Например, пару лет назад, будучи сотрудником «Эксперта» и работая под ограниченной учётной записью – естественно, как и все остальные, – мне ничего не стоило установить на свою машину официальную программу от «Яндекса» Punto Switcher, то есть автоматический переключатель клавиатуры. Правда, у программки есть интересная особенность: опция кейлоггера, или клавиатурного перехватчика, когда она сохраняет в памяти любой набранный текст. После этого мне не составляло труда читать всю переписку своих милых кураторш из владимирского центра, которые по очереди работали в Костроме. И они ежедневно, с абсолютно инфернальной лексикой, обсуждали не только свои излюбленные грыжи-протрузии, но и сотрудников центра, и свои насущные женские проблемы... Естественно, не только в прямом эфире, то есть собственно в разговорах по скайпу, но и открытым текстом на клавиатуре. Поскольку я на полных правах считал, что это всё входит в процесс обучения и обмена опытом – а тем более, на докторской рабочей машине! – то сохранил у себя все эти скрины. А почему бы и нет? Ведь если даже у военных радистов над каждым рабочим местом висит лозунг «Внимание, противник подслушивает!», то в «Эксперте», по-моему, такой девиз надо вывешивать во всех доступных местах – от кабинета начальника до ресепшена и туалетных комнат-))

Или второй момент: уже уйдя из этой замечательной организации, я ещё несколько месяцев, до конца 2014 года, спокойно сидел в скайпе с их учётной записи, наблюдая за всеми их рассылками, картинками и текстовыми файлами. И иногда что-то вставляя от себя, ради озорства, что до их ресепсионисток даже не доходило! (естественно, поскольку сменить пароль/логин тогда никто не удосужился, а любая версия скайпа позволяет одновременный вход в аккаунт с нескольких терминалов). Потом, когда мне надоели эти мелкие шалости, я решил отправить на их ресепшен тестовый вирус Eicar, не определяемый антивирусной защитой, и всё опять прокатило – до них даже не дошло, чем exe.-файл отличается от стандартного doc.-файла, в котором идут все их протоколы. Ведь у них одна задача: отправить документ на печать и отнести на подпись, а думать здесь совершенно необязательно. Естественно, администраторши не задумались над происхождением этого файла и его необычным внешним видом, поскольку шёл он с докторского аккаунта (на котором я и сидел). И если бы вместо теста это была настоящая атака, вроде вируса-шифровальщика или программы класса back-door для скрытого считывания данных, то работа центра была бы парализована на несколько месяцев. Или все данные пациентов благополучно и незаметно утекали бы на любой сторонний ресурс – например, к конкурентам. А обвинили бы в этом естественно того, кто сидел в том момент на врачебном компьютере, то есть через стенку от самого ресепшена. А я здесь совершенно не при делах!
Затем мне стало просто интересно, где же кончается профессиональная тупость сотрудников «Эксперта»: я залез в аккаунт скайпа и заменил им пароль – раз они сами не догадались это сделать за столько времени, ради собственной безопасности, то можно же тонко намекнуть, правда? Как я помню, второго рабочего аккаунта у них не было изначально, так пускай хотя бы учатся на своих глупостях и ошибках. Надеюсь, что неработающий скайп и отсутствие помощи от своих кураторов, как манны небесной, они всё-таки заметили быстро-))

После этих экспериментов, меня уже совершено не удивляло – даже задним числом, ретроспективно, как говорится, – когда я обнаружил у них на компьютерах и ломаную версию программы E-Film (которую начальство разрешило даже поставить домой, чтобы работать по удалёнке), и просроченную версию программы Team Viewer для удалённого доступа; и даже пиратским способом активированную Windows. Как-то непонятно у нас в стране идёт борьба с компьютерными пиратами, если она вообще шла, конечно – или и здесь всё проплачено? И я уже вовсе не удивился, узнав, что начальство «МРТ-Эксперта» решило сэкономить и на компьютерах, а потому наши локальные сети по скорости и пропускной способности не отвечали никаким стандартам: вместо нужных 1 Гбит/сек поставили только 100 Мбит/сек – а чё такого? цифры вроде же не намного различаются, всего в 10 раз... Ну как тут не перепутать «пендели с пикселями», по тому же дяде Мише Задорнову! Зато естественно, при любой неисправности выход сразу находился: вызвать, вздрючить и назначить виноватым всё того же Руслана, инженера и системного администратора костромского центра, как и в случаях с обрывом связи на скайпе. Интересно, начальство ему хотя бы доплачивает за работу «мальчиком для битья», или как?

Основной вывод: такой гремучей взвеси непрофессионализма, глупости и беспечности на грани бытового идиотизма я не видел ещё нигде и никогда! Вопрос даже не в том, что «эксперты» должны бы мне выдать премию за столь показательные, хотя и безобидные по сути эксперименты – как говорится, могло бы быть и хуже, а я всё-таки, как и Остап Бендер, чту уголовный кодекс. Ну, или хотя бы стараюсь это делать – тем более что в статье я ещё не обо всём написал, чтобы не травмировать морально своих бывших работодателей.

Но основная проблема намного шире и серьёзнее: нет сомнения, что все наши данные в Сети и реальной жизни периодически утекают, причём в разных и неизвестных направлениях, и главное – в совершенно чужие руки. Именно поэтому давно не секрет не только все наши паспортные данные и адреса, но и данные биографии, и всевозможные диагнозы/заключения (представляющие несомненный интерес и для возможных работодателей, и для их конкурентов, и для прочих заинтересованных лиц). Например, тех, кто будет навяливать вам пищевые добавки в вашей же поликлинике, или ближайшем к «Эксперту» медцентре. Ведь никого уже всерьёз не удивляет, когда вам звонят на мобильный или городской номер, называют по имени-отчеству и предлагают очередные курсы для похудения, или бытовые товары; или предлагают голосовать за имярека на очередных выборах. Я уже не говорю про периодические взломы банковских карт и прочие откровенно хакерские заморочки. Просто я уверен, что те же сетевые центры имеют к этому самое непосредственное отношение – тут даже не надо быть хакером-профессионалом, чтобы узнать об их работе и клиентуре практически всё. А особенно, учитывая ту многоуровневую утечку информации, о которой я писал ещё пару лет назад, в отношении администраторов «Эксперта»: работают они, судя по всему, не только на свою фирму, но и столь же успешно на конкурентов, в лице тех же МИБСов из Петербурга. Это, учитывая тот факт, что МИБС столь успешно начали свою пиар-кампанию во всех больницах и поликлиниках Костромы, как-будто изначально были в курсе всех экспертовских событий, проблем с аппаратурой, и даже кадровых перестановок (включая и моё появление там после учёбы, в апреле 2014 года).

Вывод №2 (дополнительный): прежде чем обращаться в подобные фирмы за медицинской помощью, хорошо подумайте, хотите ли вы, чтобы все ваши данные-диагнозы-заключения стали не просто достоянием гласности, а инструментом в конкурентной междоусобной борьбе. Конечно, заполняя стандартные бланки добровольного (!!) согласия на обработку персональных данных, вы искренне надеетесь, что они никогда не будут использованы против вас. Только не убеждайте меня, что вы и правда свято во всё это верите! Особенно в нашем просвещённом 21-м веке, где информация всегда была самым дорогим, а потому самым ходким товаром в мире.

Продолжение следует....

А. Копёнкин, врач-маммолог-рентгенолог, заведующий рентгенслужбой Окружного военно-клинического госпиталя (г. Кострома) – филиал №3 ФГКУ «422 ВГ» Минобороны России



[ Редактировалось ua3ndx - 2020-08-08 on 11:42 ]
Yandex
Спонсор


В начало

Быстрая навигация по форуму

Выберите форум:


Заблокировать тему Перенести тему Удалить тему