Vlákno názorů k článku Jak vymýtit Windows XP ve zdravotnictví od ernie - Nějak nechápu, proč jsou tyhle věci připojený k...

To ti je taky hovnajs platny, jeste bys mezi nima musel mit aspon 3m zelezobetonu, a preventivne amputovat ruce - to aby do toho nikdo nestrkal nejaky flashky s tim "videem" ktery vazne musis videt.

Upřimně, to samo o sobě nefunguje. Ani když to chráněné PC je odděleno od okolního světa, izolovaná nepropojneá síť, 3x 2 metry betonu zdi, vstup jen cca desítka osob (většinou IT dost dobře znalých osob) z personálu cca 2000 lidí a i v této síti radostně řádí viry a další bordel donesený přes USBčka na těch W2K/NT4 stanicích (pravda, ta pro funkci pdostatná část IT na bázi DEC alpha serverů s VMS asi je Windows breberkám odolná).

Nikdo nepsal, že tam bude fungovat USB a budou na tom widle.
Možná jednodušší je ono povolení vlastních počítačů s připojením přes oddělenou, nepracovní wifi VÝHRADNĚ ven.

Ano, to je další možnost skládačky. V podsatě na špitály v hledání podobných věcí bude tlačit i slavné GDPR a pak zákon o kybnetické bezpečnoti (pro špitály s větším počtem pacoušů a dat).
Že povolím zaměstancům jejich počítače a půjdou vyhrazenou sítí ven, podobně jako mám pak třeba vyhrazenou síť pro pacienty (aspoň do doby, než nám EU hodí na hlavu odpovědnot provzovatele za data tekoucí neveřejnou sítí, kterou provozuje). Plus pak musím ještě pořešit napájení těch počítačů a jejich revize. :-)
Ale aktuální realita v řadě špitálů je taková, že se z té guest sítě pro pacoše dostanu i k vnitřním věcem. :-(
A i těch soukromých firem, kde by to bylo takto pěkně a funkčně odděleno moc neznám, a to mají IT zdroje n jiném levlu, než provinční nemocnice.

„napájení těch počítačů a jejich revize“ Co?

„Ale aktuální realita v řadě špitálů je taková, že se z té guest sítě pro pacoše dostanu i k vnitřním věcem.“
To je ale totální diletantství, které 1. nemá omluvu, 2. nesouvisí s penězi.

To diletanstvi souvisi s vedenim ... sefovi (a je jedno jestli nemocnice nebo firmy) prijde kamos ... a jaka to drzost, on se nedostane k ... databazi/obraz­kum/...

I hodne blbej ITk vi ze to je spatne, ale on neni ten, kdo by o tom moh rozhodovat.

Jakmile svému zaměstnanci dovolím, aby si přinesl svoje zařízení, které se připojí do elektriky (ať už je to nabíječka na mobil, notebook, rádio, ...), tak se stávám odpověný já za to elektrozařízení, že je v pořádku. Musím ho zaevidovat, kontrolovat, revidovat, ...
Pokud dojde k průseru, od nabíječky zaměstance bafne firma a způsobí to škodu, tak odpovědnost jde za mnou. Taková jest legislativní realita...
Proto řada firme zakazuje soukromé elektrospotřebiče svým zaměstancům.

A vedle elektro se nám a rok zkomplikuje tato situace i z pohledu zprcovávání osobních dat. Pokud zaměstnanci povolím používat jeho vlastní prostředky tak, že na nich bude pracovat s osobními údaji, tak daný prostředek musí být pod kontrolou a správou firmy, a to i vpřípadu blbého soukromého mobilu (ale to se týká firem dovolujícíh BYOD a ne zde aktálně řešené varianty, kdy jeho placatku chci chvályhodně oddělit od "firemního/špi­tálního").

Ano, je to diletansví, které zcela zapdá do kontextu článku. Takže pak nějaký virus je pk už jen vrchol.

Rozumím. Předpokládám, že se to dá řešit evidencí zařízení a pojištěním zaměstnance či zaměstnavatele.
Ano, BYOD nepřichází v úvahu.
Všimněte si, jak pečlivě se řeší, co se ve firmě strká do elektrické sítě, ale co se strká do datové sítě, nikoho nezajímá.

Protože legislativa nařizující nakládání s elektro zřízením existuje desítky let a při průseru je to vidět, je to občas kontrolováno, tak to některé firmy řeší (a velká část neřeší, protože netuší, že něco řešit má, dokud to někoho nepřizabije).

Legislativa ohledně zacházení s datovou sítí a IT přitom fakticky neexistuje (vyjma obecných předpisů), respektive vzniká až v poslední době a v provozu se to objeví až časem (snad) - např. zmíněné zákony o kybernetické bezpečnosti a GDPR minimálně. Také při průseru to není tak rychle vidět a lepe se to tutlá, než hořící firemní sídlo. Mrtvej pacient se svede na něco jiného, než že ho usmažil hacknutý RTG. :-)

Takže toto bude chtít čas. Zmíněný GDPR bude celkem problém, tam nejvíc to dopadne na zdravotnictví a pojištováky. A nejsem si jist, zda na to budou mít, pokud např. Škodovka bokem říká, že respektování GDPR v jejich IS/procesech bude dle odhadu zatím snad v řádů desítek-stovek MKč, a to neskladují vyložene zvlášť chráněná data, která jsou ve zdravotnictví...

To zarizeni prinesl zamestnanec nebo pacient proti vnitrnim predpisum a tudiz nedoslo k pochybeni zamestnavatele. Tak se to vysvetli bezpecakovi/revizi, vyda se naoko pokarani zamestnanci ( tj. problem vyresen) a normalne se to u koncoveho zamestnance prehledne). Tohle je minimalni prestupek proti predpisu ktery je nanic.
Pred inspekci(vetsinou jsou ohlasene) se rekne sestram at vyndaji schovaji nabijecky na mobily.

V ceskych nemocnicich mne irituje spise diletantstvi ze nikdo sestram nevysvetli rozdil mezi zalohovanymi zasuvkami,neza­lohovanymi a pak zasuvkami ktere jsou jeste za nemocnicnim oddelovacim trafem. Toto je dulezita vec ktera cloveku muze zachranit zivot.

Nemocnice jsou obvykle produkty brutalismu a tam chyti maximalne papiry v kosi a ta nabijecka tak vyhodi jistic nebo jen blafne.
Oba dva vime ze tento predpis je k nicemu a bezne by to resily vyhrazene zasuvky nebo uzamykatelna charging mista. Zas se snazime byt papezstejsi nez papez. CR a Nemecko ma nejslozitejsi legislativu co se elektra tyce.

2Trident: Az na to, ze ty jako zamestnavatel musis zajistit, ze takove zarizeni nikde nepripoji. A je zcela na tobe jak to udelas, to nikoho nezajima. Takze vymluv si muzes vymyslet kolik chces, ale nesplnil si svoji zakonnou povinost = tvoje vina.

Totez plati trebas o pouzivani prileb a dalsich ochranych pomucek, leckdo si mysli, ze staci kdyz to peoni podepisou ... jenze pokud neni schopen dolozit, ze taky trval na tom ze to dodrzovat a nosit budou, tak jde opet pripadnej smrtak za nim - a nikoho nezajima ze ta prilba by byla stejne hovno platna kdyz na nej spad dvoutunovej kus cehosi.

To může říct jen teoretik, který to nezkoušel v praxi. Já jsem zažil na nejmenovaném úřadě, kde pracují s bezpečnostně citlivými údaji, že podle podobných pravidel (tuším od NBÚ) měli vyhrazený certfikovaný počítač. Je to 2-3 roky zpátky a bylo to staré PC s CRT monitorem, na které se prášilo, ale muselo tam být. V praxi se stejně používali na běžnou práci normální počítač a smartphone.

Kdo viděl, jak složité systémy musí používat dnešní doktoři, i když jsou to třeba lidi v důchodovém věku, těžko může po nich chtít, aby si prohlíželi rentegeny na jednom PC a pak třeba psali zprávy na jiném. Zvlášť když samozřejmě nejde o porno, ale online je spousta odborných informací.

je někde bezpečnostní problém, strč tam VPN, to jsou asi nejčatější rady v diskuzích. To ale nic neřešní, nemocnice nemají problém v přístupu do sítě z venku nebo odposloucháváním komunikace uvnitř sítě, největší problém je v přístupu k jednotlivým službám, když už jsem uvnitří sítě, mám skoro neomezené možnosti a jednotlivé služby nejsou řádně zabezpečeny, používají se protokoly, které mají slabiny atd.

Teď jsem o tom mluvil!!! Přece nebudete používat jednu VPN na všechno! Argument neomezené možnosti je nesmysl!

To je problém. Nevedete JEDEN účet, vedete jich 150, a každý má jinou politiku podle toho, jaký admin v dané nemocnici zrovna pracuje. K tomu bonus, ta VPNka se nepoužívá denně, jen pro údržbu (čti průser), takže admin v Prdelkovické nemocnice smaže dlouho nepoužívaný VPN účet a příští měsíc se objeví problém, ale technik se už na ten rentgen nedostane.

A o tom to bohužel je. Pracuji ve firmě, kde bereme bezpečnost vážně. Desítky dodavatelů. Technicky naprosto žádný problém dát dodavateli VPNku. Jenže, z důvodu bezpečnosti buď jednorázové heslo, takže dodavatel obratem ztratí klíčenku. Nebo námi vlastněný notebook, pro změnu ten když se dlouho nepřihlásí do sítě, tak z bezpečnostních důvodů jej AD odmítne. No, takže ve finále stejně je přístup pro diagnostiku přes sdílení plochy. A zde, aby opravdu byla sranda, tak je to přes Skype, Webex, Logmein, Zoom, SecureMeeting, a to jsem si vzpomněl jen na poslední týden. Kupodivu zatím nikdo nechtěl Teamviewer nebo Hangouts, ale otázka času :)

To pro mě pořád nejsou argumenty, to jsou jen důkazy lemplovství. Zde platí jediné: Když něco neumím, tak se do toho neseru. Když něco nezvládnu na odpovídající úrovni, tak to prostě dělat nemůžu. A platí to na straně jak dodavatele, tak odběratele.

Ano i ne. Dodavatel primárně dělá super rentgeny. V nemocnici o nákupu nerozhoduje IT, ale tým lékařů (beru tu lepší variantu). No, a na vás jako admina jen zůstane to zapojit do sítě. Je to lemplovství, ale na úrovni mangementu.

Tak nejak, zrovna sem nahazoval zakaznikovy novej web ... na nic se neptal, s nikym to nekonzultoval, pozadavak byl jen tohle bude odted nas web ... mno coz, forwardnul sem DNS tam kam chtel, a dal to resit nebudu.

Dusledky (ty o kterych vim a na ktery sem upozornoval) nekolik dalsich webu sosalo data z toho puvodniho = nefunckni. web jako takovej vypada a (ne)funguje v kazdym browseru jinak (typicka zprasopatlanice plna js).

Pocitam ze ITk v nemcnici funguje uplne stejne = objednali sme novej rengen, bude treba ho zapojit ... ono to neumi ssl? ... Smlouva je podepsana, vec objednana ... => ITk pokrci rameny a zapoji to.

A pak se v TV zvanilove prsej tim, jak je treba najmout nejakyho dodavatele (za par miliard) kterej udela nejakej ten bezpecnosti audit (za dalsich par miliard) aby se zjistilo to, co vi i uklizecka, ze ta bezpecnost stoji zahovno.

Existují požadavky na provedení zdravotnických zařízení, jejich práce s informacemi a zapojení do sítě ze zákona? Jestli ne, asi to tu chybí.

Kdo chce, hledá způsoby, kdo ne, hledá důvody.

Tak se prostě do serveru, na který to ukládá foty, lupne další síťovka a mašina jde za ni. Server má plnou kapacitu linky na komunikaci s mašinou (už jenom tím se dá investice do karty odůvodnit), je aktualizovaný a nebezpečnou infrastrukturu si pohlídá routovací služba a firewall na něm.

Desitky milionu nejsou ve zdravotnictvi zadne penize. Ty jako zakaznik si muzes vybrat maximalne ze 4 vyrobcu z nichz 3 z nich splnuje medicinske nalezitosti ktere potrebujes. A posledni z nich je vyrobce s vyvojem v cine bez certifikaci pro EU/CR.
A zadny z nich nesplnuje bezpecnostni kriteria protoze ty priority jsou v tech normach trochu jinde.
Nevim kde zijes. Fakt jak nekdo muze byt takhle hloupy a myslet si ze ve zdravotnictvi si vyberes z x vyrobcu a x typu a jeste si muzes diktovat.
Desitky milionu nejsou zadne penize. Tolik proplanuju na nasem IT kazdy den a jsem jenom lepe placena lopata.

Tohle je problem obecne a spital je v tom vicemene nevine.

Predstavte si ze pro svoji praci potrebujete stroj ktery umi dva ci tri vyrobci na svete. Samozrejme ze vam ho vsechni nabidnou i s komplet servisem jehoz soucasti je vzdalena sprava/dohled. A kupodivu vzdy je to o otevrenem portu - nejcasteji rdp / http / https / vnc . Pokud date pozadavek na vpn pristup , tak vam zdvorile reknou ze toto nepodporuji a pri debate s jejich ITkem se dozvite , ze je to pro ne neresitelny , protoze tech zakazniku maji nekolik desitek/ stovek a vpn klientu je nekolik desitek a vetsina se na jednom compu vzajemne nesnese ( namatkou checkpoint / cisco ) . Pokud je to pro vas problem , ten otevrenej port, tak to muzete omezit na jejich IP adresy (ale nekdy ne ) a jinak ze taky samozrejme muzete jit jinam. Jinde se ale setkate s naprosto stejnym pristupem ...

Posledni trend je, ze nekteri vyrobci zacali do siti svych zakazniku davat svoje "servisni stanice" . Ve skutecnosti to je nejcasteji PC s RedHat/debian nebo windows a OpenVPN klient udrzuje permanentni vpn tunel k nim do site. K teto stanici nemate vubec zadny pristup a tato stanice _musi_ mit konektivitu do netu. O zabezpeceni tohoto stroje si nedelejte iluze ....

No nastavit na te "servisni stanici" jednu routu na pristroj, druhou na sit vyrobce, a vsecho ostatni zakazat by snad nemel byt problem...

No nastavit na te "servisni stanici" jednu routu na pristroj, druhou na sit vyrobce, a vsecho ostatni zakazat by snad nemel byt problem...
Myslel jsem nastaveni sitovych pravidel, ne nastaveni primo v te krabici.

K masine vas nepusti , neb ji maji ve sve sprave , k "servisni stanici" vas nepusti neb ji maji ve sve sprave. To je dnesni realita. Pokud lze realizovat dedikovanou VLAN a paranoidni FW mate relativne vyhrano. Pokud je servisni konzole a UI na jednom eth rozhranni a neumi vlan , mate smulu. Potkal jsem bohuzel oboji ...

Ani když podmíníte jejich požadovaný navýšení platby dodatkem ke smlouvě, ve kterým budou ručit za průšvihy toho řešení?

Tak vam vypovi servisni smlouvu a jste nahranej. Vyzkouseno.

Dokud mají dostatek zakázek jinde, tak se vám na to vykašlou a nebudou si komplikovat život. Mnohkrát vyzkoušeno i v jiných oborech.

Jinak: Náplní práce nemocnice není jen léčení lidí, ale v současnosti nově též práce s elektronickými informacemi, která má z pochopitelných důvodů nějaké nároky. Jestliže to nemocnice (její vedení) nedokáže zajistit, je něco špatně.