Zdravotnická zařízení se stávají novým cílem hackerů
Podle ředitele nemocnice byly pak veškeré počítače a přístupy zase obnoveny.
Do počítačového systému nemocnice se hackerům podařilo dostat zřejmě přes e‑mail jednoho ze zaměstnanců, jehož prostřednictvím zaplavili síť vyděračským programem ransomware. Šifrovací ransomware je druh malwaru, který je populární mezi hackery z východní Evropy. Poté, co se jednou dostane do nějakého počítače, veškeré počítače v síti zašifruje a zamezí tak jakémukoli přístupu k uloženým datům.
Kromě toho, že tím došlo ke kompletnímu ochromení celé počítačové sítě nemocnice, bylo znemožněno i používání zdravotnické techniky, jako jsou například rentgeny nebo laboratorní a další zařízení, která jsou napojena na počítače. Poskytování zdravotních služeb pacientům sice nebylo podle slov ředitele nemocnice ohroženo, přesto museli být z nemocnice s více než 400 lůžky přestěhováni do jiných prostor. Zdravotnický personál byl pro zapisování údajů do zdravotnické dokumentace pacientů nucen vrátit se k tužce a papíru a komunikace mezi zaměstnanci mohla probíhat výlučně telefonicky nebo prostřednictvím faxu.
Hackeři napadli počítačovou síť s jasným cílem získat výkupné. Za odšifrování a opětovné zprovoznění sítě požadovali 40 bitcoinů, což je přibližně 17 000 dolarů. Jelikož nemocnice nebyla schopna systémy jinak zpřístupnit, přiklonilo se její vedení k nejrychlejšímu možnému řešení a se zaplacením výkupného souhlasilo. Poté, co hackeři dostali, co chtěli, počítače odšifrovali a systémy spolu s veškerými administrativními funkcemi byly obnoveny.
I když k bezprostřednímu ohrožení zdraví pacientů nedošlo, útok hackerů by měl být pro další zdravotnická zařízení odstrašujícím příkladem. Aktuálnost problematiky zabezpečení systémů a dat obecně koresponduje se zvýšeným zájmem o ochranu osobních údajů. O to citlivější je toto téma, pokud jde o osobní údaje, které se zaznamenávají ve zdravotnické dokumentaci jednotlivých pacientů.
Deník Los Angeles Times uvedl, že narušení bezpečnosti počítačových systémů a únik dat ze zdravotnických zařízení není v současnosti ničím neobvyklým. Od roku 2010 více než 150 zdravotnických zařízení, pojišťoven a nemocnic v USA hlásilo případy, kdy došlo k neoprávněnému úniku záznamů o pacientech. Je nejspíš jenom otázkou času, kdy cyberhacking namířený proti zdravotnickým zařízením dorazí i do České republiky.
Jak zabránit útokům
Je zde tedy způsob, jak těmto útokům předejít? Hackeři jsou často sofistikované skupiny profesionálů, kteří přicházejí stále s novými nápady, jak proniknout do počítačového systému, a není vůbec snadné se jejich napadení bránit. Mají k dispozici nejmodernější technologie a know‑how a s těmito prostředky se drží o krok napřed před mnohdy zastaralou obranou počítačových systémů.
Řešením by mohlo být odstavení moderní techniky na vedlejší kolej a navrácení se k vedení zdravotnické dokumentace v papírové formě v kartotékách. Vzhledem k náporu práce a kvantům informací, kterými jsou zdravotnická zařízení často zavalena, toto řešení asi mnoho poskytovatelů zdravotní péče neocení. Diskutabilní je i zabezpečení takto vedené dokumentace. Proniknout do karty pacienta nebo archivu zdravotnického zařízení nebude typicky v případě zařízení, o jehož bezpečnost se stará pouze jeden vrátný, něčím zcela nemožným.
Cloudová úložiště
Za zvážení by ovšem mohla stát i opačná varianta, a to přiklonění se k technologické revoluci posledních let – cloud computingu. Cloudy jsou v dnešní době uživateli běžně využívány pro jejich osobní potřeby jako praktické úložiště velkých objemů dat. Stále více společností ale zavádí cloud computing jako komplexní systém určený nejen k ukládání dat, ale například i pro efektivnější komunikaci mezi zaměstnanci nebo zjednodušení administrativy za současného snížení nákladů.
Cloud může nabídnout v podstatě cokoli, co dané zdravotnické zařízení bude požadovat. Typicky jsou to komunikační prostředky, jako je e‑mail nebo konferenční hovory, úložiště a paměťový prostor. Nabídka aplikací může být nicméně mnohem širší. Poskytovatelé cloudových služeb jsou schopni poskytnout uživateli klasické kancelářské aplikace, ale také umožnit správu aplikací ušitých pro konkrétní profese přímo na míru.
V případě, že by poskytovatel zdravotních služeb měl v rámci používání cloudu zájem využít možnosti vést zdravotnickou dokumentaci pacientů pouze v elektronické formě, jsou zde základní pravidla stanovená zákonem o poskytování zdravotních služeb, která je nutno dodržet. Klíčové je takové nastavení přístupů a fungování elektronické zdravotnické dokumentace, aby byla v co největší možné míře zajištěna ochrana údajů pacientů. Každá oprávněná osoba by například měla mít vlastní identifikátor, resp. přihlašovací jméno a heslo, což by mělo zaručit, že bude možné zjistit, kdo a kdy provedl určitý záznam, i zajistit, že přístup k dokumentaci budou mít pouze oprávněné osoby. Systém by rovněž neměl umožňovat provádění dodatečných modifikací již provedených záznamů apod.
Nepraktické při vedení zdravotnické dokumentace v elektronické formě je, že i nadále bude nutno uchovávat určité dokumenty i v listinné podobě. Zákon totiž poskytovateli zdravotních služeb ukládá povinnost uchovat v listinné podobě dokumenty, které jsou podepsány osobou, jež není zdravotnickým pracovníkem nebo jiným odborným pracovníkem, a to navzdory souběžné povinnosti převést takové dokumenty do elektronické podoby a opatřit uznávaným elektronickým podpisem.
Právní rámec používání cloudů je obecně dán primárně směrnicí 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Principy zakotvené v této směrnici pak byly převzaty zákonem č. 101/2000 Sb., o ochraně osobních údajů, který reguluje jejich zpracování. Do kategorie osobních údajů spadají i tzv. citlivé osobní údaje, což jsou např. informace týkající se zdravotního stavu. Kromě ochrany osobních údajů v souladu s právními předpisy je jedním z nejdiskutovanějších aspektů používání cloudů i dostupnost a zabezpečení uložených dat. Uživateli totiž nezbývá nic jiného než spoléhat na poskytovatele, že veškerá data budou uživateli přístupná v okamžiku, kdy to bude potřeba. Kromě smluvních záruk ve smlouvě s poskytovatelem lze tedy doporučit věnovat stejnou pozornost i výběru samotného poskytovatele cloudu. Při tomto výběru je vhodné se zaměřit zejména na celkovou důvěryhodnost daného poskytovatele, na případné dřívější prohřešky při ochraně a zpracování osobních údajů, bezpečnostní standardy a certifikáty, které se dodavatel zavázal splňovat, a také na nástroje, které má zákazník k tomu, aby dokázal ověřit plnění těchto závazků ze strany dodavatele.
Při současném vývoji technologií cloud computingu není lehké konkurovat míře zabezpečení, které kvalitní poskytovatelé cloudových služeb nabízejí. Profesionální poskytovatelé cloudových služeb mají k dispozici takové personální a technologické zabezpečení poskytování těchto služeb, že z ekonomických důvodů není v moci většiny firem dosáhnout podobné úrovně. Neproniknutelnost bezpečnostních systémů trvale zkoušejí specializované týmy a další specializované týmy zase vyvíjejí stále účinnější formy ochrany. Jako prevenci znemožnění přístupu k datům jsou data často zálohována na více místech s různými fyzickými lokacemi. Tímto způsobem se lze vyhnout ochromení fungování zařízení v případě jakékoli havárie nebo ztráty dat.
Nezbytnou podmínkou využívání cloudových služeb je připojení k internetu. Poslední data EUROSTAT ukazují, že již v roce 2014 mělo více než 97 procent evropských podniků s více než deseti zaměstnanci přístup k internetu a každá pátá firma využívala cloudové služby. Velké rozdíly lze spatřovat mezi jednotlivými evropskými zeměmi. Například ve Finsku, Švédsku, Itálii, Dánsku nebo na Islandu využívalo cloud více než třicet procent společností, ale například v Maďarsku, Bulharsku, Řecku nebo Rumunsku to bylo méně než deset procent.
Cloud je pro podniky stále přitažlivější a každoročně vzrůstá zájem o jeho využívání v různých sférách. Je zde ale pořád jistá nedůvěra v souvislosti s bezpečností dat uložených mimo samotnou společnost nebo její datová úložiště. Zkušenost kalifornské nemocnice každopádně potvrzuje, že provozování datových úložišť vyžaduje specializované zázemí, zvláštní přístup a tým profesionálů, který je schopen čelit útokům skupin hackerů. Přenesení odpovědnosti na specializovaného poskytovatele cloudových služeb bude pro společnost ve většině případů znamenat snížení nákladů a zvýšení kvality poskytovaných služeb.
Zdroj: