Bezpečnost dat
Bezpečnost dat ve zdravotnictví má sice podobné charakteristiky jako bezpečnost kterýchkoli jiných dat, avšak dopady útoku mohou být obrovské. Ve hře je nejen důvěryhodnost, ale i dostupnost a integrita dat.
Jednak musí být data chráněna před neoprávněným nahlížením. Pokud coby útočník zjistím, že pan Vomáčka z Horní Dolní měl ve 13 letech operaci mandlí, asi mi to mnoho nepomůže. Ale jiné citlivé informace, zvláště u veřejně činných osob, už mohou mít velkou cenu.
Dostupnost dat je další svízelná záležitost. V dnešní době, kdy počítače prolínají téměř jakoukoli naši aktivitu, může výpadek způsobit velké potíže. Zvláště v nemocnicích může kolaps systémů vést k úplnému zhroucení zdravotních služeb – od obyčejné recepce v hlavní budově („Kde leží moje babička?“), po diagnostiku, operační logistiku, laboratoře a vyšetření lékařem.
Integrita dat je klíčovou součástí tohoto bezpečnostního trojúhelníku. Pokud na pana Vomáčku zjistím operaci mandlí a zveřejním tuto informaci, má to stále menší dopad, než když mu jako útočník v nemocničním systému přepíšu krevní skupinu nebo jiný důležitý údaj. V tom případě jej může datový útok stát časem i život.
Zdravotnické informační systémy
Stejně jako v dalších odvětvích se ve zdravotnictví používají informační systémy pro získávání, správu a ukládání dat. V současnosti jde nejčastěji o komplexní systémy zahrnující jak klinickou složku (údaje o pacientovi a jeho zdravotním stavu, vyšetřeních a podobně), tak i radiologický modul (tj. obrazová dokumentace – rentgenové snímky, ultrazvuková vyšetření,…), laboratorní informační systém (krevní vyšetření, bakteriologická vyšetření,…), ekonomický a manažerský systém a další.
Všechna data v ambulantních i nemocničních informačních systémech jsou propojena; systém monitoruje péči o pacienta od jeho osobních údajů, diagnóz, ordinace léků, přes objednávky a výsledky klinických a jiných vyšetření, stravu (dietu), dopravu, skladové zásoby až k výkazům pojišťovnám, statistikám a podobně. Vidíte, že citlivých a žádaných dat pacienta takový systém obsahuje spoustu a musí být tudíž řádně zabezpečen. V dnešním díle se tedy společně letem světem podíváme na bezpečnost těchto systémů – a v dalších dílech bych se rád dostal i k podrobnostem jednotlivých problémů.
Architektura informačních systémů
Informační systémy ve zdravotnictví jsou ambulantní, nemocniční i jiné (pojišťovny, záchranné služby, apod). Protože nemocniční systémy jsou vzhledem k své funkci takřka nejkomplexnější, budu dále psát z pohledu nemocničních systémů.
Informační systémy ve zdravotnictví běží prakticky vždy pod systémem Windows (v současnosti je nerozšířenější – ano, hádáte jistě správně, Windows XP či Windows 7). Buď pracují prostřednictvím klienta nainstalovaného přímo na počítači nebo přes aplikaci distribuovanou ze serveru (např. přes Novell, VMWare) přímo s ostrou databází na centrálním serveru (nejčastěji je jedná o MS SQL 2008 či 2014), kam systém ukládá nešifrovaná data. Každá změna je ihned zapsána přímo do databáze a právě zde je velké riziko uživatelských chyb a nechtěných omylů. Návrat v historii konkrétního záznamu u pacienta není většinou sám o sobě možný, používají se tedy metody pravidelného zálohování databáze (zálohovací server, často LTO, disková pole se zabezpečením RAID).
Každý uživatel má v nemocničním systému přidělena určitá práva, do které části dokumentace může nahlížet či zapisovat údaje. Nejvíce zpřístupněných záznamů má správce systému. Lékař často vidí svá oddělení se všemi pacienty a jejich vyšetřeními, může z dokumentace číst i do ní zapisovat, obvykle však bývá z pochopitelných důvodů většině lékařů skryta gynekologicko-porodnická část dokumentace. Zdravotní sestry vidí dokumentaci jen u svých pacientů, případně pacientů na jediném oddělení, kde pracují; spoustu záznamů nemají právo měnit a mohou zapisovat jen ošetřovatelskou část dokumentace. Nejméně práv v dokumentaci má ostatní zdravotnický personál, pokud tedy vůbec má nějaký přístup k informačnímu systému.
Zde může být jeden z kamenů úrazu: nesprávně přidělená práva pak personál často řeší tím, že si navzájem sdělí přihlašovací údaje. Potřebuje-li například zdravotní sestra při své práci nahlédnout do určité části dokumentace, ale v systému ji nevidí, pak místo korektní prosby na správce systému použije přihlašovací údaje spřáteleného lékaře. Podobná praxe je v nemocnicích napříč republikou bohužel obvyklá a řešit lze jen důsledným přidělováním správných práv správným uživatelům.
Někteří uživatelé (typicky vedoucí lékaři, konziliáři, lékaři na telefonické příslužbě) mají přes VPN (IPSec…) přístup k dokumentaci z vlastních zařízení (např. z domácího PC či notebooku). Těžko se kontroluje přístup z externích zařízení, lze sice mít technické zabezpečení sítě (filtrované MAC adresy, firewall,…), ale pokud lékař se vzdáleným přístupem použije svůj notebook na veřejném místě, případně notebook ztratí a neodhlásí se ze systému, může být takové zařízení zdrojem zajímavých dat pro nálezce či útočníka.
Nemocniční systém může mít i bránu pro export dat do externích systémů. Často kvůli finanční úspoře vznikají na jednotlivých odděleních různé ad hoc skripty od lokálních IT pracovníků. Tyto skripty pak například zpracovávají statistiky, analyzují data či rozšiřují nebo suplují chybějící funkce nemocničního systému. Taková praxe je sice obvyklá, ale z pochopitelných důvodů nebezpečná, protože nemocniční systém ukládá data (byť většinou nešifrovaná) na zaheslovaném databázovém serveru, zatímco externí systém vytvořený IT nadšencem může data ukládat v prostém CSV či TXT souboru, který pak ideálně uloží na ploše Windows. Důsledky takových exportů dat jsou nasnadě, řešením je omezení exportu dat jen pověřeným uživatelům a důsledné lpění na rozšiřování funkcí nemocničních systémů výhradně firmou, která je dodává.
K omezení dopadů nesprávných nahlížení, exportů či zásahů do zdravotní dokumentace má ve vyspělých informačních systémech každý záznam vlastní log, kdo a kdy do dokumentace nahlížel a případně jestli záznam změnil.
Velké nebezpečí útoků hrozí i přes zařízení připojená k nemocničním systémům (infuzní pumpy, anesteziologické přístroje, CT a MR přístroje, sonografické přístroje – viz minulý článek). Tato zařízení často běží nad operačním systémem Windows Embedded v jednoduchém rozhraní, ale firmware ani operační systém těchto přístrojů se neaktualizuje dlouhá léta (a jak často se kupuje nová magnetická rezonance?). Navíc jejich administrační rozhraní mívají mnohdy pevně nadefinované přístupové heslo kvůli umožnění rychlého (i vzdáleného) servisu.
Nebezpeční uživatelé
Základní riziko vždy a všude představují uživatelé. Lidský faktor je nevypočitatelný a nevyzpytatelný a dvojnásobně to platí ve zdravotnictví. Pohybují se zde lidé, kteří IT mnohdy nerozumějí a berou počítače jen jako nutnou součást svého zaměstnání. O slabých heslech zde snad ani nemusíme hovořit.
Nebezpečná je už základní práce zdravotníka na počítači. Jednak je nutno pracovat rychle a efektivně, na prvním místě je zdraví pacienta a často jakékoli (byť domnělé) prodlení u počítače zdržuje lékaře i sestry od jejich ostatní práce. Nezřídka se tedy stává, že se od informačního systému neodhlašují a nechávají běžet aktuální session, i když opouštějí ambulanci či své pracoviště například na urgentním příjmu. Pokud je přihlášený lékař, může se přes jeho účet kdokoli u počítače dostat k datům, ke kterým nemá mít přístup.
Dalším rizikem je logicky zanesení infekčního kódu z internetu či vlastních USB flashdisků (jinak hlavně mail, sociální sítě). Na počítačích v nemocnici bývá standardně nainstalovaný firemní antivir, proxy server nepouští uživatele na rizikové stránky a někde je síť nastavena dokonce tak, že na každém oddělení je například pouze jeden počítač s (omezeným) přístupem k internetu. I v poměru k rizikům je to tvrdé řešení, neboť zdravotníci často potřebují hledat aktuální informace v dostupných databázích (CDSS – clinical decission support system) a omezení počtu počítačů připojených k internetu je znát hlavně na odděleních s velkým obratem pacientů.
Dále v důsledku neideálních funkcí nemocničního systému se často stává, že uživatelé potřebují zkopírovat část textu (diagnózy pacienta, výsledky vyšetření, osobní údaje apod.) do jiného pole systému. Běžně používané prosté kopírování Ctrl+C přes schránku Windows je zatíženo zřejmým rizikem: data zůstávají ve schránce i po odhlášení uživatele od nemocničního informačního systému, stačí sednout k počítači a vyzkoušet, co po směně zůstalo ve schránce.
I jednoduchá pravidla mohou pomoci
Některé způsoby řešení bezpečnostních rizik jsem nastínil již výše v textu – jako základ je jistě nezbytné pravidelně školit zaměstnance, klást důraz na dostatečně bezpečné chování na počítači i na síti. Samozřejmostí by mělo být technické zabezpečení dat (šifrování databáze, šifrovaná komunikace, firewall, antivir, antispyware, apod.), aktualizované systémy od informačních systémů přes servery i aplikace a koneckonců hlavně operační systém (a rozhodně již ne Windows XP). Na aktuálním stavu je stále ještě co vylepšovat.
Nutné je také správné nastavení přístupových údajů uživatelům tak, aby se dostali ke všem potřebným informacím bez nutnosti „přihlašovat se na někoho jiného“.
Už jen tato bazální doporučení mohou zvýšit bezpečnost citlivých dat pacientů – a samozřejmě je nutný další vývoj bezpečných zdravotnických informačních systémů, které data ochrání s vyšší spolehlivostí.