Stanovisko pre živé.

sk

Bratislava 19. 8. 2021

Dobrý deň,

nižšie uvádzame odpovede na Vaše otázky v súvislosti so zverejnenými informáciami pri

vypĺňaní formuláru eHranica (https://nethemba.com/sk/moznost-plosneho-ziskania-a-
zneuzitia-eu-vakcinacnych-certifikatov/). Ak sa ich rozhodnete uverejniť, žiadame Vás zároveň
o ich úplné zverejnenie, ktoré je vzhľadom na verejný záujem a pochopenie súvislostí
nevyhnutné.

1. Aký bol dôvod na to, aby si vedel ktokoľvek cez webslužbu Overenie poistného vzťahu
poistenca kontrolovať správnosť rodného čísla cez zadanie mena a priezviska a čísla?

Služba je určená všetkým používateľom, ktorí potrebujú overiť platnosť poistného

vzťahu vo verejnom zdravotnom poistení, ako napríklad zamestnávatelia, lekári,
lekárne, zdravotné poisťovne, Sociálna poisťovňa, samotní poistenci.

2. Prečo bolo možné opakovať žiadosť o preverenie prakticky donekonečna?

Overenie poistného vzťahu prostredníctvom rodného čísla musí byť možné

realizovať opakovane, vyplýva to z bežných situácií, kedy napríklad pri návšteve
pacienta u viacerých lekárov si lekári viacnásobne overujú jeho poistný vzťah, pri
prevzatí lieku v lekárni si môže lekárnik overovať poistné vzťahy, ako aj samotní
poistenci si overujú svoj poistný vzťah. Opakované overovanie cez webové rozhranie
bolo a je obmedzené použitím funkcie CAPTCHA.

3. Kto a kedy realizoval bezpečnostné testy zamerané na podobné slabiny?

Bezpečnostné testy realizoval dodávateľ riešenia. Proti obdobnému útoku, ako

realizovala Nethemba, bol nastavený systém CAPTCHA, tento typ ochrany sa
štandardne používa. Na základe nám dostupného posúdenia od nezávislých
odborníkov jej „cracknutie“ nie je triviálne, tak ako to uvádza Nethemba na svojej
stránke.

4. Od kedy sa využívala predmetná služba v danej podobe s možným zadaním aj mena a

priezviska?

Služba je poskytovaná od roku 2010 a v danej podobe je dostupná od roku 2014.

5. Kedy ste chybu – slabinu systému odstránili?

Nastavenie služby bolo upravené do 24 hodín od nahlásenia. V súčasnosti navyše

prebieha príprava na verejné obstarávanie informačného systému na novej
platforme.
Úrad pre dohľad nad zdravotnou starostlivosťou
Žellova 2
829 24 Bratislava 25
mail: hovorca@udzs-sk.sk
6. Dostali ste v minulosti upozornenia, že webslužba je v danej podobe potenciálne
zneužiteľná? Kedy a prečo nebola reflektovaná upravením služby?

Nie, nedostali. Bezpečnostné testy v minulosti realizoval dodávateľ riešenia.

7. Aké úpravy plánujete na webe portaludzs.sk v oblasti bezpečnosti tak, aby sa nedala
donekonečna verifikovať pravosť rodných čísel alebo bola aspoň významne eliminovaná,
že skúšanie správnosti by bolo náročný proces?

Opakované overovanie cez webové rozhranie je obmedzené použitím funkcie

CAPTCHA, ktorá je nastavená podľa odporúčaní CSRIT.SK. Ako sme už uviedli, jej
„cracknutie“ nie je triviálne, ako to uvádza Nethemba na svojej stránke.

Úrad pre dohľad nad zdravotnou starostlivosťou

Žellova 2
829 24 Bratislava 25
mail: hovorca@udzs-sk.sk