Bezpečnost informací ve zdravotnictví

Právě informace a data však představují pro danou společnost určitá aktiva, která mají finanční hodnotu a stojí za to je chránit i řídit. Nehledě na splnění legislativních požadavků. „V okamžiku, kdy dojde na zákon o ochraně osobních údajů, troufám si tvrdit, že by inspektor z Úřadu pro ochranu osobních údajů u vás v organizaci mohl vyměřit poměrně vysokou pokutu, dosahující částek až několika milionů korun,“ varoval účastníky mezinárodní konference ICEQ 2007 – Efektivita, kvalita a spokojenost klientů ve zdravotnictví a sociální péči, která se konala 7. až 8. března v Praze, Ing. Radek Blaško ze společnosti Future Engineering, a. s.

Jeden ze způsobů, jak systematicky řídit společnost s důrazem na bezpečnost i ochranu dat, představuje management bezpečnosti informací ISMS (Information Security Management System). Aby řízení bezpečnosti informací mělo vůbec smysl, měla by organizace splňovat určité podmínky – například zpracovávat osobní údaje, dále zvyšovat podíl výpočetní techniky a poskytovat důkazy o její důvěryhodnosti zákazníkům nebo třetím osobám.

Problémy způsobují vlastní zaměstnanci

Ing. Blaško upozornil na skutečnost, že většina bezpečnostních incidentů vzniká uvnitř společnosti a je způsobena vlastními zaměstnanci nebo managementem. „Organizace vynakládají velké peníze na vnější zabezpečení a přitom si neuvědomují, že útoky zvnějšku představují pro společnost mnohem menší riziko. Ze statistik pro západní Evropu vyplývá, že průměrná cena bezpečnostního incidentu je 45 000 €, což je pro mnoho organizací poměrně zásadní částka.“ Bohužel jedním z největších problémů mnoha českých společností je podle Ing. Blaška neschopnost bezpečnostní incidenty odhalit.

A jakým způsobem řešení incidentu probíhá? Nejčastěji se řeší pouze vzniklý problém a nápravná opatření netvoří ucelený systém. V případě dílčích opatření totiž nebývá celé zabezpečení nijak zásadní a dobře postavené. Pro komplexní řízení bezpečnosti a ochrany dat je třeba zaměřit se na pět základních oblastí. První je určení strategie – stanovení vize a politiky vedení společnosti.

Další oblastí jsou technologie, neboť většina dat a informací je v současné době uložena v různých databázích, adresářových systémech a souborech, takže na jejich bezpečnost by se nemělo zapomínat. Pak se jedná o tzv. fyzické zabezpečení, kde je nutno stanovit nejdůležitější oblasti organizace – archiv dokumentů, serverovnu nebo úložiště zdravotnické dokumentace – a zde sledovat provoz například kamerovými systémy nebo umožnit přístupy na různé úrovni. Čtvrtou částí je lidský faktor, který většinou představuje největší problém v zajištění bezpečnostních pravidel. Posledním prvkem jsou procesy, kdy je nutno všechny výše zmíněné oblasti sladit a propojit do jednoho celku tak, aby vznikl funkční bezpečnostní systém.

Řešení nabízejí bezpečnostní standardy

Optimální úroveň systému zabezpečení bude vždy záviset na poměru vynaložených prostředků do ochrany organizace a dále na míře škod, které mohou incidenty způsobit. Řešením, jak zavést efektivní a mezinárodně uznávaný systém ISMS, mohou být určité bezpečnostní standardy. „V současné době jsou nejznámější BS 7799‑2 a ISO 27001, což je velmi moderní mezinárodní a komplexně pojatá norma. Nevynechává žádnou část důležitých bodů a především neřeší problémy technicky, ale z hlediska managementu organizace,“ upozornil na možnost certifikace Ing. Blaško a představil klíčové oblasti ISO 27001: „Jedná se o personální bezpečnost, kde jasně definujete pravomoci a odpovědnosti ve společnosti, dále způsoby prověřování zaměstnanců nebo způsob reakce na bezpečnostní incidenty. Další podstatnou součástí je fyzické zabezpečení, kdy si vytvoříte bezpečnostní perimetry a určíte kontrolu pohybu a přístup do chráněných oblastí. Dále jde o zajištění bezpečnosti ICT a sítí pomocí přístupových práv nebo například kryptografie. A samozřejmě je třeba vytvořit havarijní plány pro případ výpadku, aby byla zajištěna kontinuita provozu klíčových oblastí.“

Starodávná kryptografie pomáhá i dnes

Problematiku zabezpečování a ochrany zdravotnických informací prezentoval také Marko Golob, ředitel společnosti Amoebius. „Během několika posledních let se systém ochrany dat výrazně změnil. Ve vzájemně propojeném světe jsou staré modely bezpečnostních perimetrů a systémy bezpečnosti orientované na společnost nahrazovány tzv. end‑to‑end bezpečnostními řešeními a orientací na zákazníka.“

Podle M. Goloba lze určité bezpečnostní požadavky uskutečnit pouze použitím velmi staré vědy – kryptografie, kterou většinou nevědomky používáme, když identifikujeme například sami sebe nebo když nakupujeme přes internet. Kryptografie neboli šifrování je díky svým vlastnostem vhodná pro digitální technologie a zabezpečení nejen dat, ale i komunikací, identit a soukromí.

Základním nástrojem šifrováni je kryptografický algoritmus, který převádí čitelnou zprávu na její nečitelnou podobu neboli šifrovaný text. Dále sem patří například hashovací funkce, které z celého textu vytvoří krátký řetězec, jenž s vysokou pravděpodobností jednoznačně identifikuje původní text.

„Dobrá implementace kryptografie je podmíněna použitím mezinárodně uznávaných standardů bezpečnosti a měla by být kombinována s holistickými přístupy a komplementárními bezpečnostními opatřeními,“ uvedl M. Golob a zároveň dodal: „Koncový uživatel by však neměl vědět, jak je celý systém zabezpečení složitý.“

Plnou verzi článku najdete v: Medical Tribune 9/2007, strana B4

Zdroj: