6.5.8.2
Budování kybernetické bezpečnosti ve zdravotnictví, 2. díl
RNDr. Dagmar Brechlerová, Ph.D., ČVUT, Fakulta biomedicínského inženýrství, Kladno
V minulém tedy počátečním díle byly popsány některé zákony, které se týkají oblasti informačních technologií ve zdravotnictví, a některé počáteční kroky při budování kybernetické bezpečnosti. Když si tedy uvědomíme, jaká máme data, jaké zákony, nařízení, normy atd. se na nás vztahují, můžeme pokračovat dále. Pokud jsme si zmapovali, co vlastně máme a kde, učinili jsme zásadní krok. Zjistit, kde jsou uložena naše data (jak jsem se již v minulém díle zmínila), nemusí být tak snadné, jak se zdá. Zejména dodavatelé různých informačních systémů (IS) ale i technologií velmi často nejsou ochotni sdělovat, jaká data vlastně sbírají, kam je ukládají atd. Odpovědnost však nese ten, kdo data pacientů sbírá (správce), proto by opravdu nejprve měl zjistit kde, v jaké podobě a jaká data jsou uložena. Je to jeho odpovědnost.
Zde bych se chtěla zmínit o jevu, který jsem již zaznamenala u několika lékařů, kteří na moji otázku, kde mají data pacientů, odpověděli, že vlastně neví. Mají na to najatou nějakou firmu a ta se stará. Nikdo samozřejmě neočekává od lékaře, že se bude zcela sám starat o své IT, kontrolovat zálohy, dělat archivy atd. Lékař je vysoce vzdělaný specialista na jinou činnost. Čili to, že si lékař najímá na tuto záležitost specializovanou firmu, je logické. Ale je nutno si uvědomit, že dle zákona č. 110/2019 Sb., o zpracování osobních údajů, je správcem osobních dat lékař (zdravotnické zařízení). Najatá IT firma je pouze tzv. zpracovatel. Proto je nutné mít v takovém případě uzavřenou odpovídající smlouvu, samozřejmě nejlépe od právníka, který se takovým věcem věnuje.
Bezpečnost má několik základních pilířů: technická a organizační opatření, legislativní situace (tomu jsem se zběžně věnovala minule) a lidský faktor. Lidský faktor je základní slabina, to je ten bod, kde bezpečnost nejčastěji selhává. A kupodivu to obvykle není zlý vnější útočník, ale nejčastěji vnitřní uživatel, který buď útočí záměrně, nebo je jen unavený, málo školený, přepracovaný apod. Pak ale právě chyba vnitřního uživatele může vytvořit cestu pro úspěšný vnější útok. Pokud jsme tedy zmapovali data, přístroje atd., je nutné zmapovat také lidi. Jistě si nyní většina čtenářů řekne, co to je za divný požadavek. Vždyť jde o jednoho (maximálně 2 či 3 lékaře) u malých zařízení, sestru, možná laboranta, někoho, kdo se stará o IT, a to je vše. Ale to často není vše.
Kdo má tedy přístup ke zdravotním datům? Lékaři, sestry, laboranti, ten, kdo zpracovává výkazy pro pojišťovny. Nejsou to ale třeba také členové rodiny? Nemůže si dítě některého ze zaměstnanců na počítači třeba hrát? Co uklízečka? Nebere si uklízečka sebou na úklid také své děti (což je mj. velmi časté) a nemůže mít takové dítě přístup k počítači? Je počítač v ordinaci zabezpečený? Je přístup opravdu na heslo, a to na silné heslo? Heslo "Ordinace1" opravdu není to pravé. Nepodceňujte děti, jejich uživatelské schopnosti jsou pozoruhodné a nemají jakékoliv zábrany. Pro ně to je zábava. Není náhodou heslo napsané na monitoru, zespoda na klávesnici, na nástěnce? Heslo "xy5rm*udt6Rv9bc2+" je sice skvělé a bezpečné, ale pokud je napsané někde v ordinaci, tak je také na nic. A ruku na srdce, kdo z nás (v rozporu se všemi doporučeními a radami), nemá svá hesla někde zapsaná?
Pokud se již jedná o zařízení větší (nemocnice), případně propojené s dalšími provozy, je situace mnohem komplikovanější. Zde bude celkový počet zaměstnanců, kteří mají přístup k datům pacientů, samozřejmě výrazně vyšší. Dále zde mohou být zaměstnanci na různé částečné úvazky nebo na dohody či spolupráce formou OSVČ – medici, studenti dalších oborů, budoucí sestry. Všichni tito lidé možná mají přístup do IS a dostanou se k datům. Často je možno vidět, že do systému mají přístup i zaměstnanci, kteří již dávno v daném zařízení (nemocnici) nepracují. Zde zejména pozor na různé dočasné brigádníky či spolupracovníky. Procesy by měly být v každém případě nastaveny tak, aby ve chvíli, kdy jakémukoliv zaměstnanci či jinak spolupracující osobě skončí pracovní poměr, skončil také jeho přístup do systému. Toto je nutno ohlídat…
