11:05
4/11/2022

Czerwony Krzyż opublikował raport, który jest podsumowaniem różnych koncepcji tzw. “cyfrowego emblematu” Czerwonego Krzyża — znaku, którym miałby wskazywać różnym atakującym, że dotykają infrastruktury powiązanej z służbą zdrowia lub pomocą humanitarną. Takie znakowanie miałoby pomóc oszczędzić infrastrukturę przed atakami, nie tylko w czasie wojny:

The idea and objective of a ‘digital emblem’ are straightforward: for over 150 years, the distinctive emblems (the red cross and red crescent, and more recently the red crystal) have been used to convey a simple message: in times of armed conflict, those who wear them, or facilities and objects marked with them, must be protected against harm.

Raport jest obszerny i wymienia różne wyzwania. A jest ich sporo. Bo taki znak powinien być prosty i szybki do wdrożenia, powszechnie rozpoznawalny na różnych typach zasobów (znakowanie serwisu różni się przecież od znakowania pendrive’a z danymi pacjentów, czy komputera kontrolującego tomograf).

Czerwony Krzyż jest świadomy tego, że emblemat mógłby też zostać wykorzystany złośliwie, jako ochrona dla infrastruktury komputerowej przestępców. Z drugiej jednak strony, to akurat ryzyko dotyczy też klasycznego, fizycznego znaku Czerwonego Krzyża, co oznacza, że wdrożenie emblematu to nie tylko zaadresowanie kwestii technicznych, ale także osadzenie tego w prawie, tj. ścigalność i karalność za nadużycia w tym obszarze.

Lekturę raportu polecamy, bo dobrze pokazuje, jak wiele kwestii i interesów różnych grup trzeba uwzględnić i zaadresować, aby wdrożyć w zasadzie prosty co do idei pomysł. A ponieważ wiemy, że najbardziej ciekawi Was jak miałby wyglądać taki emblemat od strony technicznej, to już wyjaśniamy, co Czerwony Krzyż rozważa:

  • Znakowanie plikiem. Nie wskazano jak miałby wyglądać, co zawierać, ani jak się nazywać. Ale chodzi o to, aby po rzucie oka na filesystem można było stwierdzić, że należy on do instytucji “chronionej”.
  • Znakowanie na warstwie DNS/IP, żeby można było zawczasu sprawdzić, że skanowanie / atak na daną infrastrukturę oznacza atak na instytucję korzystającą z ochrony Czerwonego Krzyża.
  • Znakowanie przy użyciu PKI i łańcucha certfikatów, dzięki czemu można by było zweryfikować, czy dany zasób faktycznie ma prawa do wykorzystywania znaku

Czy to się przyjmie? Czas pokaże. Wdrożenie i ustandaryzowanie takiego znakowania raczej zajmie jeszcze długie lata.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

22 komentarzy

Dodaj komentarz
  1. I to samo z stronami porno powinno być by chronić lepiej dzieci

    • Dokładnie, może wtedy mniej byłoby tego syfu w internecie.

  2. Znakowanie przy użyciu PKI i łańcucha mnie się podoba. Można dynamicznie generować nieskończony łańcuch i atakujący nie będzie w stanie rozeznać czy to z ochroną czy nie :)

    • Atakujący będzie miał w dupie te całe emblematy.

  3. Taa… Ruskie i Chińczycy już na to czekają, będzie im łatwiej znaleźć co atakować. Humanitaryzm i prawa człowieka przecież dla nich nie istnieją, a atakowanie infrastruktury i instytucji niosących pomoc jest strategicznie wskazane – nic lepiej nie osłabia morale przeciwnika.

  4. Nie sądzę, żeby zatrzymało to osobników gotowych atakować szpitale tak po prostu dla hecy. Zamiast wygłupiać się z projektem, który będzie tylko prowokował popaprańców, lepiej te środki wydać na ochronę i szkolenia personelu.

  5. Złodzieje nie mają skrupułów kraść w szpitalach, to i emblematem CK się nie przejmą. A samym szpitalom nic to nie pomoże, bo przecież nikt im nie odpuści wykradzenia danych wrażliwych pacjentów. Tylko kasę im obetną, bo “po co mają opłacać zabezpieczenia, mają emblemat”.

  6. Tak tylko przypomnę komentującym, że ICRC nie zajmuje się ochroną przed przestępcami.

  7. Nikogo to nie powstrzyma, lepiej te środki wydać na ochronę.

  8. Uwazam, ze to dobry pomysł. Dodałbym do tego legislację, która karałaby złośliwych, lokalnych trolli z premedytacją atakujących strony “z krzyżem wymalowanym na dachu”.

  9. Wątpię w skuteczność. Szpitale są świetnym celem – są bogate i kiepsko zabezpieczone a zawierają dane wrażliwe. Są kiepsko zabezpieczone z uwagi na chamstwo i arogancję najbardziej zarozumiałej i przekonanej o własnej genialności i nieomylności grupie zawodowej na świecie, czyli lekarzy, którzy żądają dostępu do wszystkiego (prawa odpalania dowolnych programów ściągniętych z internetu, z pena, z DVD), prawo oglądania wszystkiego w Internecie, prawo podłączania własnych urządzeń do szpitalnej sieci itp. a przy próbie wprowadzenia jakiejś sensownej polityki bezpieczeństwa, drą r y j a u dyrekcji, że “IT przeszkadza im w leczeniu pacjentów” i grożą zwolnieniem się. Awanturują się nawet o standardową politykę haseł (że “debilne” min. 10 znakowe i niepodobne do imienia i nazwiska itp.). Dlatego żaden sensowny admin tam zwykle nie chce pracować i trafiają tam administratorzy “drugiego sortu” (przepraszam wyjątki). Mam kolekcję zawirusowanych płytek DVD z tomografiami z renomowanych słynnych szpitali uniwersyteckich. I by było śmieszniej, UE potrafi normalizować krzywiznę bananów czy ilość warstw łusek cebuli ale jakoś nie potrafi wymusić standardu DICOM tj. tego, by program jednego producenta potrafił czytać pliki DICOM drugiego producenta (złośliwie nie czytają), więc zachodzi wyżej opisana konieczność przenoszenia nie tylko plików zobrazowania medycznego, ale również ich viewerów czyli trzeba udostępniać prawo odpalania szemranych binarek a na dodatek trzymania tuzinów baz danych w formatach czytanych przez różne co aktualnie bardziej popularne oprogramowanie zobrazowania medycznego, bo oczywiście nie ma niczego, co czytałoby wszystko, mimo że wszystko formalnie czyta DICOM. Nie ma też żadnego parsera czy translatora, który pozwalałby DICOM znormalizować. Nie ma też zakazu, by takie normy DICOM wymusiło Ministerstwo Zdrowa, ale ono jest zbyt zajęte stręczeniem dzieciom niepotrzebnych i wręcz szkodliwych śmiercionek na kowid, które cywilizowane kraje już w przypadku dzieci (prawdopodobieństwo śmierci zdrowego dziecka na kowid jest 1 do wielu milionów i jest wielokrotnie mniejsze od prawdopodobieństwa śmierci od szczepionki a chore dzieci i tak mają zwykle przeciwwskazanie do szczepienia) i usprawiedliwianiem się z zakupu 240 mln szczepionek na 38 mln Polaków…

    • @Józef

      Rzeczywiście dobrze byłoby ustandaryzować te DICOMy, podstawowy tekst w wielu gabinetach to że komuś nie czyta płytki ;-) I w ogóle dużo śmieciowego sprzętu i oprogramowania jest po przychodniach, całkiem dużo z powodu sposobu zakupów, przetargów, kombinacji, i tak dalej. Że lekarze zwalają winę na IT? A kto nie? Że w rewanżu my obwiniamy wszystkie branże? Wszyscy jesteśmy sfrustrowani. I tak się to kręci a rozwiązywanie problemu u podstaw leży i nie zanosi się na zmiany.

    • Otworzyłeś mi oczy! Lekarze wolą się dać zbombardować, byle tylko zrobić na złość adminom i głównie pacjentom.
      Sądząc po Twoim przekonaniu “o własnej genialności i nieomylności” oraz o profesjonalnej wiedzy o szczepionkach, śmiertelności i całej reszcie, jesteś lekarzem. Dziwi mnie tylko, że nie potrafisz odczytać zdjęć DICOM, bo jesteś pierwszą osobą, która otwarcie mówi, że ma z tym problemy – większość może je otworzyć, ale ich nie rozumie ;)

      Czyżbyś był lekarzem najbliżej pacjenta, czyli radiologiem? Trochę ci zazdroszczę…
      Dobra, tylko proszę nie odpowiadaj.

    • @kunduz: GUANO wiesz nt. DICOM. To jest dobry i elastyczny standard, a problemem jest to, że producenci złośliwie go nie przestrzegają, by nie czytać danych konkurencji. Taka np. tomografia, to zbiór “plasterków” z płaskich obrazów. I jeden producent softu do tomografii podaje grubość “plasterka” i mniejszy odstęp między “plasterkami” a drugi podaje zerową grubość “plasterka” i większy o ich grubość odstęp między “plasterkami”. Jedni mają stały odstęp między plasterkami a inni zmienny – zagęszczony w miejscu zainteresowania. Jedni stosują stałą rozdzielczość obrazów tych plasterków a inni zmienną, zagęszczoną wokół miejsca zainteresowania. Format DICOM na to pozwala, ale producenci w pełni go złośliwie nie implementują, więc viewer jednego producenta nie czyta danych po innym producencie lub odtwarza obraz zniekształcony, więc nie da się importować bezpiecznych samych danych lub przechowywać ich w jednej bazie, tylko trzeba mieć multum viewerów i baz danych z jakich korzystają. Jeśli jesteś takim jeniuszem, że tobie wczytywanie w/w DICOM nie sprawia problemu, to zorganizuj kursy, o wielki guru, jak to robisz – będzie pełno chętnych i pierwszy się zapiszę i nie tylko dobrze zarobisz, ale jeszcze zrobisz dobry uczynek dla służby zdrowia.

  10. Oznaczenia mają sens, bo zapobiegają tłumaczeniu że ktoś nie wiedział co atakuje. Wiedział czyli zaatakował z premedytacją instytucję zajmującą się ratowaniem. Jako infrastrukturę krytyczną. Kolegom którzy myślą że to wskazywanie celów chciałbym powiedzieć że teraz też łatwo takie cele namierzyć jeśli ktoś ich celowo szuka. Napastnicy nie są tak głupi jak chcielibyśmy wierzyć.
    Jednak prócz motywacji typu paraliż instytucji nielubianego państwa, istnieje też motywacja czysto finansowa. I tu już zwrot inwestycji z ataku na szpital, szczególnie publiczny, nie przedstawia się tak dobrze. Kto bowiem miałby zapłacić okup? Szpital? Ministerstwo? Żartujecie? Znacznie taniej wyjdzie im olać skutki wycieku danych pacjentów, a zablokowane możliwości leczenia kazać odzyskać etatowym pracownikom IT. Że to potrwa tygodniami, miesiącami i część ludzi utraci swoją szansę na pomoc? Trudno, taki klimat, a wieloaspektowo niższy koszt dla systemu.
    Lepiej opłacalne są dla przestępców nakierowanych na zysk ataki na przedsiębiorstwa w których zarząd ma świadomość że każda godzina przestoju to realna strata i może zdecydować się na zminimalizowanie jej za pomocą zapłacenia okupu.
    Dlatego oznaczenie że dana infrastruktura jest szpitalem ma swoją logikę, jako jedno i nie jedyne z podejmowanych działań.

  11. ciekawe, ostatnio słuchałem jakiegoś podkastu, z którego wynikło, że szpitale są wręcz idealnym celem bo mają dane wrażliwe za które muszą zapłacić by nie wypłynęły. a są bogate (przynajmniej rynek USA) wiec płacą choć twierdzą że jednak nie.

    oznakujmy je by było łatwiej je znaleźć.

    tak, wiem że krążą historyjki po sieci, że po potwierdzeniu że to był szpital kradzieje dawali klucz, ale czy zawsze? no nie bardzo.

    • @ktośtam

      Może w USA, gdzie obywatel ma możliwość skutecznie dojść dużego odszkodowania przed sądem i w sytuacji że szpital jest jednostką generującą zyski którymi jeszcze do tego może samodzielnie dysponować, rzeczywiście opłaca się przestępcom brać te instytucje na celownik.

      Jednak tam gdzie szpitale są państwowe, samorządowe, czy prowadzone w ramach misji organizacji pomocowych (np. Red Cross/Red Crescent) + organizacje kontrolne słabe (to powszechne w krajach pogrążonych w chaosie gospodarczym i/lub wojennym) a sądy nie umożliwiają skutecznego dochodzenia praw przez zwykłego człowieka przeciw silniejszym ludziom (oligarchie, mafie) lub instytucjom (autorytaryzmy różnego rodzaju), to szanse na uzyskanie okupu od takich żebraków lub bankrutów są bliskie zera.

    • @stukot. Bzdury opowiadasz. W Polsce szpitale toną w forsie (a nawet w nowoczesnym sprzęcie, który w fabrycznych opakowaniach zalega nigdy nie otwierany w piwnicach), ale jej “nie mają”, bo średnio 78% jej idzie na absurdalnie wysokie nawet na tle świata pensje lekarzy (w stosunku do przepracowanych – spanie na tzw. dyżurze nie jest dla mnie pracą – godzin i ilością leczonych pacjentów) i dopiero z reszty jest opłacany pozostały personel, lekarstwa, wyżywienie pacjentów, sprzęt i utrzymanie budynków. Po zaszyfrowaniu danych szpital staje i lekarzom kończy się bonanza (bo w naszym nieszczęsnym kraju, w przeciwieństwie do Niemiec, wolno równocześnie pracować w publicznej i prywatnej służbie zdrowia, więc ideałem jest etat w publicznej, który opłaca ZUS i pozwala na odpowiedzialność i koszt podatnika przyjmować poza kolejnością własnego pacjenta skierowanego poza kolejnością z własnej praktyki prywatnej, gdzie się prowadzi zazwyczaj tylko konsultacje itp. bezpieczne czynności niegrożące komplikacjami i pozwami). Gdy szpital staje, to ponieważ “nie wolno płacić przestępcom”, to wynajmuje się “specjalistyczne firmy” i to one tym przestępcom płacą. Szpital na to stać, bo jak stoi “i nie ma pieniędzy na specjalistów IT” to się propagandową kampanię w mediach jak to życie pacjentów jest zagrożone i gmina/uczelnia/rząd czy komu tam akurat konkretny szpital podlega, sypie kasą “na pomoc IT” (na zapłacenie przestępcom by nie wypadało…). Służba zdrowia w Polsce to głęboko patologiczny system, którego żadna ilość pieniędzy nie uleczy, bo bez jego zmiany, zmarnują lub ukradną każdą ilość pieniędzy – “walka z kowid” (np. “szpital” na stadionie narodowym) była tylko tego drobnym przykładem.

    • @Józef

      Niektóre Twoje obserwacje są naprawdę celne, ale wnioski które na ich podstawie wyciągasz bywają mocno uproszczone, a nawyk atakowania odwraca uwagę od tego co masz do powiedzenia ciekawszego – a masz.
      Podpowiem Ci że w niektórych państwowych szpitalach nie udaje się “wynająć specjalistycznych firm” nawet na naprawę tomografu popsutego miesiącami, na rentgen pacjenci bywają wożeni na drugi koniec miasta, na oddziale ortopedycznym może latami nie być poręczy w kiblach i tak dalej. Dane pacjentów w ogóle nie są postrzegane jako coś wartościowego. Zaszyfrowane? Zleci się kolejne badania, za które można skasować i NFZ i pacjenta. Za miesiąc? Luzik. Pacjent tymczasem kipnie? Odciążył system. Nie jest tak, że tylko Ty widzisz patologię systemu ochrony zdrowia w Polsce. Widzi ją każdy kto miał z tym systemem styczność. Ale to niestety nie znaczy ani że każdy szpital ma swobodną kaskę na zapłacenie okupu, ani że nawet jeśli ją ma, będzie miał ochotę go zapłacić. Nie ma póki co powodu, bo może bezkarnie zlewać swoje zobowiązania wobec pacjentów.
      Poza tym, nawet jakby chciał, to istnieje jeszcze coś takiego jak rachunkowość, co w przypadku instytucji budżetowych oznacza że nie ma takiej swobody wydatkowania pieniędzy jak w prywatnym przedsiębiorstwie, przesuwania środków między jednostkami organizacyjnymi, zamawiania specjalistycznych usług bez przetargu i tak dalej. Można coś wykombinowac, ale znów, musi być powód. Nie bardzo wierzę że dobro pacjenta takim powodem może się stać. To że szpital publiczny źle działa, tylko wzmacnia zarobek lekarzy łączących prywatną praktykę z pracą w nim.
      Tyle że tam, gdzie zarabia się na działalności, zwykle szybko wpada się na myśl że można zbudować systemy ochrony swojego biznesu, a nie czeka się że ktoś go rozwali. Prywatne spółki medyczne potrafią mieć świetne zabezpieczenia.

    • @stukot:
      Mam do czynienia ze szpitalem uniwersyteckim, który TONIE w forsie i z rachunkowością nie liczy się wcale, w piwnicach leży sprzęt nie rozpakowany a profesorowie ordynatorzy toczą krokodyle łzy przed kamerami, że “nie mają na czym leczyć”, ale niech ktoś taki sprzęt rozpakuje, to od razu jest “KTO k… to ruszył bez mojego pozwolenia?”. To szpital, który w środku dnia, przez największe korki wozi pacjentów na drugi koniec miasta karetkami “R” na badania, gdzie stoi się w korkach 2 godz. to to “nie jest transport ratujący życie”, więc nie można jechać na sygnale (d… Kaczki na sygnale wolno wozić…) a potem “brakuje karetek”. Mam też do czynienia z prywatnym centrum medycznym. “Prywatne spółki medyczne potrafią mieć świetne zabezpieczenia.” – to bardzo proste: najwyższa kara dla podmiotu rządowego lub samorządowego za naruszenie RODO lub danych wrażliwych to ile? – 30 tys. zł? A dla podmiotu prywatnego 51 mln €…

Odpowiadasz na komentarz Piotr

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: