ΠΦΥ -Εκπαίδευση > Συζητήσεις πάνω σε ιατρικά θέματα
medisto
tsoukase:
Καταρχήν μπορείς να συνταγογραφείς από ένα ιστιοπλοϊκό στη μέση του ωκεανού με δορυφορικό internet χωρίς καμία άδεια. Η φύση του συστήματος το επιτρέπει, αν ήθελαν να το περιορίσουν θα μπορούσαν με πολλούς τρόπους (πχ λίστα IP).
Πολύ συνοπτικά, η σύνδεση με την ΗΔΙΚΑ γίνεται μέσω ενός αριθμού "hops" (περίπου 3-10) μεταξύ του χρήστη και του συστήματος. Το πρώτο hop ανιχνεύει που βρίσκεται ο χρήστης αλλά η πληροφορία αυτή βρίσκεται στα Logs του IP provider και θεωρείται (τουλάχιστον στην Ελλάδα και προς το παρόν) επτασφράγιστο μυστικό, όπως ο τραπεζικός λογαριασμός. Το τελευταίο hop που βλέπει η ΗΔΙΚΑ δεν έχει καμία σημασία. Οι ελληνικοί IP providers προστατεύουν συνήθως ικανοποιητικά τους πελάτες τους, όχι σαν τους γερμανικούς που τρέμουν με κάθε καταγγελία και τους στήνουν στο απόσπασμα. Για να ανακαλυφθεί η θέση του χρήστη πρέπει να εξαναγκαστεί ο IP provider να ανοίξει τα Logs και πρέπει να εγερθεί εισαγγελική διαδικασία, να περάσουν οι διευθυντές τα ταμπού νοοτροπίας και να κρυφτεί το γεγονός από τα ΜΜΕ. Μέχρι σήμερα μόνο ο Κούγιας κατόρθωσε κάτι τέτοιο εκ μέρους της ευγενούς πελάτισάς του Τζούλιας Αλεξανδράτου και να ξεσκεπάσει και τελικά να κλείσει το θρυλικό torrent site gamato.info.
Το καλύτερο είναι να αφεθεί η λειτουργία του IP addressing ως έχει, δηλαδή dynamic και χωρίς proxy, γιατί μπορεί κατά λάθος ή από hackers να προσβληθεί (πχ. να φανεί ότι είσαι σε άλλο σημείο από το φυσικό). Η ελευθερία του να γίνεται συνταγογράφηση από οπουδήποτε, σε συνδυασμό με την πρωτοφανή (σε σχέση με άλλα δεδομένα) προστασία των IP addresses μας νομίζω δεν απαιτεί περαιτέρω τροποποίηση.
Δ. Κουναλάκης:
Είμαι σίγουρος ότι με αυτά που γράψαμε ο αδαής έχει μπερδευτεί.
Ο αρχικός μας φόβος ήταν πως αποτρέπουμε/πιάνουμε τον κλέφτη του password ενός γιατρού που εκδίδει συνταγές στο σύστημα εν αγνοία του γιατρού.
Σαν γνώση για να προχωρήσουμε παρακάτω αποδεχόμαστε ότι η ΗΔΙΚΑ βλέπει σε κάθε σύνδεση που γίνεται στο server την κωδικοποιημένη διεύθυνση (ή IP διεύθυνση) που έχει το μηχάνημα που συνδέεται στο server της Ηλεκτρονικής Συνταγογράφησης (ΗΣ). Η διεύθυνση αυτή μπορεί να είναι η ΙΡ διεύθυνση του ADSL router μας και είναι μοναδική παγκοσμίως ή μια διεύθυνση της μορφής 10.χ.χ.χ που είναι η ΙΡ διεύθυνση του υπολογιστή μας εάν μπαίνουμε μέσω Σύζευξις ή η διεύθυνση ενός proxy server μέσω του οποίου βγαίνουν στο Internet παρά πολλοί υπολογιστές όπως συμβαίνει με τα κινητά & τα ασύρματα 3G sticks.
Στην περίπτωση του adsl router η ΙΡ διεύθυνση που παίρνει μπορεί να είναι δυναμική ή στατική. Στατική σημαίνει ότι έχει πάντα την ίδια. Δυναμική σημαίνει ότι κάθε φορά που ο ADSL router συνδέεται στο ADSL δίκτυο παίρνει και άλλη ΙΡ διεύθυνση που ΔΕΝ είναι βάση τοποθεσίας αλλά βάση των διαθέσιμων ΙΡ διευθύνσεων που έχει εκείνη την ώρα ο πάροχος του Internet. Οι ΙΡ διευθύνσεις που χρησιμοποιεί κάθε πάροχος είναι καθορισμένες για τον πάροχο.
Στην περίπτωση του 3G όλα τα κινητά πρακτικά φαίνεται να συνδέονται από μια ΙΡ διεύθυνση (αυτή του proxy server της εταιρίας κινητής τηλεφωνίας) και αυτό μπορούμε να το δούμε σε κάποιες περιπτώσεις και αλλού.
Η ΗΔΙΚΑ διατηρεί σε κάθε σύνδεση που γίνεται στο server της την ΙΡ διεύθυνση από την οποία φαίνεται να προέρχεται η κλήση, δηλαδή την ΙΡ διεύθυνση που περιγράφουμε παραπάνω. Πρακτικά αυτό σημαίνει ότι σε κάθε έκδοση/ακύρωση/αναζήτηση συνταγής η ΗΔΙΚΑ έχει καταγράψει και μια ΙΡ διεύθυνση από την οποία έγινε. Έως εδώ όλα καλά.
Ας υποθέσουμε ότι μια ωραία μέρα χτυπά το τηλέφωνο και ο διευθυντής του ΕΟΠΥΥ στην περιοχή σας κατηγορεί για μια συνταγή με viagra σε νεαρά ασφαλισμένη του ΕΟΠΥΥ και εσείς πέφτετε από τα σύννεφα γιατί ποτέ δεν θυμάστε να έχετε γράψει τέτοια συνταγή. Τι κάνετε; Πρέπει να προσπαθήσετε να αποδείξετε ότι δεν είστε εσείς.
1. Θα πρέπει να μάθετε από την ΗΔΙΚΑ ποια είναι η ΙΡ διεύθυνση που καταγράφηκε.
2. Εάν είναι της μορφής 10.χ.χ.χ θα πρέπει να πρέπει να απευθυνθείτε στο Σύζευξις για να μάθετε που ανήκει αυτή η ΙΡ διεύθυνση. Εάν όχι, θα πάρετε τον κάθε Κούγια δικηγόρο για να ξεκινήσει εισαγγελική παραγγελία και να βρεθεί σε ποιον πάροχο ανήκει αυτή η διεύθυνση και το δύσκολο λόγω προσωπικών δεδομένων σε ποιο συνδρομητή του παρόχου ανήκει όπως περιέγραψε ο tsoukase. Αν πέσετε στην δεύτερη περίπτωση, θα έχετε απενεργοποιημένο τον κωδικό σας στην ΗΔΙΚΑ, θα σας διαπομπεύει ο κάθε δημοσιογράφος, να μην πω και η ΗΔΙΚΑ, μέχρι να αποδείξετε ότι δεν είστε ελέφαντας. Χώρια που στο τέλος, μπορεί να καταλήξει σε ΙΡ διεύθυνση που εκείνη τη στιγμή την είχε το ασύρματο κάποιου καφέ και άντε ξανά η ίδια διαδικασία για να βρεθεί από τυχόν κάμερες ποιος μπορεί να είναι ύποπτος.
Πρακτικά, σε αυτή την περίπτωση βολεύει είτε να εργάζεσαι εντός σύζευξις είτε η συντριπτική πλειοψηφία των συνταγών σου να βγαίνει από 1-2 συγκεκριμένες ΙΡ διευθύνσεις, πάντα αν είναι δυνατόν. Κάθε εξαίρεση πρακτικά, θα είναι κάτι που το θυμάσαι. Και βασικά, έχεις το επιχείρημα ότι να όλες οι συνταγές μου είναι από εκεί, μήπως αυτή που καταγράψατε δεν είναι δική μου ευθύνη αλλά έχει υποκλαπεί το password;
Δεν σας λέω ότι το παραπάνω επιχείρημα σας τεκμηριώνει, καθώς υπάρχουν πάμπολλες λύσεις για να σας υποκλέψει κάποιος τον κωδικό σας ακόμη και από τον υπολογιστή σας, καθώς η https σύνδεση σίγουρα δεν είναι απόλυτα ασφαλής. Και καλά το e-syntagografisi που με πολύ ψυχαναγκασμό μπορείς να το παρακολουθείς αναζητώντας και βλέποντας μια-μια τις συνταγές, με το e-diagnosis τι γίνεται;;;
Και το κερασάκι: Τα medisto & med-express εάν ο κατασκευαστής τους ή κάποιος προγραμματιστής της εταιρίας τους αποφασίσει να κάνει κάτι, μπορεί να το κάνει κάλλιστα από τον Η/Υ σας, μέσα από το ίδιο το λογισμικό, χωρίς να φαίνεται τίποτα στην οθόνη σας και χωρίς να μπορείτε να το καταλάβετε. Και εκεί να δω πως θα αποδείξετε ότι δεν είστε ελέφαντας.
Το συμπέρασμα: Πρέπει στην καρτέλα κάθε γιατρού στο e-syntagografisi/e-diagnosis να υπάρχει μια οθόνη που να μπορείς να δεις τι διαδικασίες (έκδοση/ακύρωση/αναζήτηση συνταγής) φαίνεται ότι έγιναν από το λογαριασμό σου την τελευταία εβδομάδα, ώστε να μπορείς να παρακολουθείς τι φαίνεται ότι έκανες. Αυτό είναι απαραίτητο για να έχεις άμεσα μια εικόνα τι έχει γίνει.
Νομίζω ότι μπορεί να καταλάβει κανείς με πόσο επαγγελματισμό έχει γίνει το συγκεκριμένο έργο και πόσο γραμμένους έχουν τους γιατρούς.....
Αδαμάντιος Σκούφαλος:
Χρησιμοποιώντας το συγκεκριμένο λινκ Δεν είναι ορατοί οι σύνδεσμοι (links).
Εγγραφή ή Είσοδος (υπάρχουν και πολλά άλλα) βλέπω στο ιατρείο ότι έχω λάβει κατά καιρούς IP από Λάρισα, Βόλο, Θεσσαλονίκη, Ηράκλειο, Κω (αλλά ποτέ από τη Χίο που βρίσκεται!) Υπάρχει τρόπος (απλός όχι μέσω εισαγγελέων κλπ) να φανεί από τη συγκεκριμένη ΙΡ ότι ο υπολογιστής βρίσκεται στη Χίο;
Επίσης μην ξεχνάμε ότι υπάρχει και το team viewer οπότε μπορεί κάποιος να χειριστεί υπολογιστές που βρίσκονται οπουδήποτε στην Ελλάδα και να εκδώσει συνταγές χωρίς να βρίσκεται μπροστά στον υπολογιστή που τις εκδίδει.
tsoukase:
Στο e-synt υπάρχει η δυνατότητα να δεις τι ακριβώς έχει κάνει ο χρήστης, στο e-diag ακόμα όχι.
Το να βρούμε την IP address και μέσω αυτής την τοποθεσία αυτού που συνταγογράφησε με το δικό μας λογαριασμό μπορεί να είναι από εύκολο ως πολύ δύσκολο και συνήθως είναι το δεύτερο. Η έρευνα όμως δε θα βασιστεί σε αυτό αλλά σε άλλα: αν υπήρξε διαφυγή password, περιεχόμενο και αριθμό συνταγών, ώρα και μέρα, ποιος τις εκτέλεσε κτλ. Σαν εξιχνίαση ανθρωποκτονίας δηλαδή...
Η είσοδος μέσω του site της e-synt είναι γενικά ασφαλής, ενώ μέσω άλλων (πχ medisto) εν δυνάμει τελείως ανασφαλής. Σαν να κάνεις ανάληψη στην πρώτη περίπτωση από ΑΤΜ της τράπεζας και στη δεύτερη από μηχανή φρουτακίων καζίνου...
Πρακτικά, όσο το password είναι κρυφό και η πρόσβαση στο σύστημα γίνεται από το e-synt δεν θα υπάρξει κανένα πρόβλημα, όπως και στα secure logins οποιουδήποτε site. Συνεπώς δύο συμβουλές: συχνή αλλαγή password (που ούτως ή άλλως μας εξαναγκάζει το σύστημα) και ποτέ δεν εισάγουμε το password με κάποιον πάνω από το κεφάλι μας. Θα αφήνατε κάποιον να δει το pin σας στο ΑΤΜ?
hathat2:
Φυσικά υπάρχει και η option η ΗΔΙΚΑ να διαβάζει MAC address (μοναδική ανά τον κόσμο διεύθυνση-ταυτότητα του μηχανήματος από το οποίο μπαίνεις η οποία δεν αλλάζει και ανατίθεται από τον κατασκευαστή της κάρτας δικτύου). Έτσι ο ιατρός θα έχει και δυνατότητα να φτιάξει λίστα έμπιστων μηχανημάτων τα οποία χρησιμοποιεί. π.χ. το σταθερό του μηχάνημα στο σπίτι, το laptop του και ένα tablet είναι τα μόνα μηχανήματα από τα οποία ο ιατρός tsoukase μπορεί να μπαίνει στο e-syntagografisi. Όπως στο facebook δηλαδή και στο gmail που αυτές οι τεχνολογίες υπάρχουν εδώ και καιρό.
Δεν εκτιμώ ότι αυτή την στιγμή η ΗΔΙΚΑ το κάνει, (για την ακρίβεια ποντάρω ότι έχω ότι ΔΕΝ το κάνει) αλλά καλό είναι να μπει και λίγη μαύρη μαγεία για την ασφάλεια...
Για το ενδεχόμενο του μηχανήματος που στέλνει συνταγές από wirless ενός καφέ τώρα, αν ο ISP κρατάει πίνακες με τις αντιστοιχίες IP-MAC address που έχει δώσει (που εδώ αντίστοιχα είμαι βέβαιος οτι το κάνει), κάνεις cross-reference για μια MAC address με όσες πιθανές IP πήρε. Βρίσκεις μια IP που ήταν χρεωμένη σε κάποιο συνδρομητή (γιατί με το laptop του ο κακόβουλος σίγουρα μπήκε και απο το σπίτι του κάποτε, ή απο την δουλειά του) και την βγάζεις την άκρη. Όμως για το ενδεχόμενο ο admin του medisto όπως λές να κάνει κάτι απο το μηχάνημά σου όντως δεν υπάρχει γιατρειά.
Γιαυτό και οτιδήποτε εκτός API, όταν γράφει στο ΕΣΥ είναι κενό ασφάλειας, σαν αυτά που αφήνουν εκατοντάδες χιλιάδες συνταγές να πέφτουν στο σύστημα και μετά να ψαχνόμαστε εθνικά για το πού παν τα τρία.
Πλοήγηση
[0] Λίστα μηνυμάτων
[#] Επόμενη σελίδα
Μετάβαση στην πλήρη έκδοση