Slovenský audítor a manažér kybernetickej bezpečnosti Marián Illovský zo spoločnosti Cyllium pre Štandard vysvetľuje, ako sú dnes chránené zdravotné záznamy Slovákov a aké riziká prináša ich digitalizácia. Hovorí aj o tom, kto má k citlivým informáciám prístup, ako môže pacient odhaliť ich zneužitie a prečo sa zdravotníctvo musí pripraviť na kybernetické útoky ako na nevyhnutnú realitu.
Aká je súčasná úroveň zabezpečenia zdravotníckych dát v slovenských nemocniciach a ambulanciách?
Na Slovensku aktuálne funguje centrálny systém, ktorý spravuje Národné centrom zdravotníckych informácií (NCZI). Tento systém spadá pod zákon o kybernetickej bezpečnosti, kde sú stanovené konkrétne bezpečnostné opatrenia, ktoré sa musia plniť.
Lekári doň zapisujú všetky zdravotné aj osobné údaje o pacientoch, ako sú meno, priezvisko, rodné číslo, adresu, anamnézu, diagnózy a súhrn absolvovaných vyšetrení či operácií. Z praxe neviem vymedziť presný počet lekárov, ktorí tento systém používajú, no zo skúseností viem, že v nemocniciach sú už bežnou súčasťou. Úroveň zabezpečenia dát je adekvátna.
Riziko na zneužitie alebo napadnutie zdravotných údajov a dát však vidím v menších zariadeniach. Ambulancií je veľmi veľa a môže v nich byť zastaraný počítačový softvér alebo môžu používať slabé heslo.
Čo sa v takýchto ambulanciách môže v súvislosti s dátami stať?
Nemalo by sa stať, že cudzí človek získa prístup ku karte, ktorá slúži ako prístupové médium do centrálneho systému NCZI a je vložená do počítača. A, nedajbože, má na nej má lekár ešte napísaný prístupový kód. Ak má tento bod riadne zabezpečený, nemalo by sa stať, že sa niekto dostane nepovolene do centrálneho informačného systému.
Centrálny systém je totiž zaujímavá príležitosť a lákadlo pre hekerov. Keď sa doň dostanú, majú prístup k zdravotným záznamom veľkého počtu osôb. Spravidla platí, že hekerom sa neoplatí robiť útok na ambulanciu s malým počtom pacientov v malom mestečku. Útočia skôr na centrálnu databázu, kde sa dostanú k miliónom záznamov.
Úroveň bezpečnosti sa skladá z viacerých prvkov. Všetko je to o ľuďoch, ich návykoch, dodržiavaní opatrení a financiách. Keď sme robili audit v nemocniciach, veľakrát mi povedali, že oni, ak už majú nejaké peniaze navyše, tak kúpia radšej polohovacie postele ako bezpečnostné systémy. Mení sa to, ale stále sú peniaze na infraštruktúrne veci pre menšie organizácie problematické.
Aké sú motivácie hekerov, ktorí sa dostanú k zdravotným záznamom ľudí? Na čo všetko môžu informácie o zdravotnom stave ľudí zneužiť?
Motivácie sú rozličné. Hlavnou je predať to a získať za to peniaze. Zdravotné dáta sú v porovnaní s údajmi o platobnej karte na trhu cenené. Platobnú kartu totiž zablokujem a údaje z nej sú platné zopár minút, možno hodín. Keď zmizne zdravotný záznam, je platný stále. Ak má raz človek nejakú diagnózu, má ju stále, nezmizne, a keď už raz unikne na verejnosť, je to nezvrátiteľné.
Napríklad sa dozviete, že váš konkurent sa lieči na nejakú pohlavnú chorobu alebo chodí na pravidelné návštevy psychiatra alebo psychológa. Ako konkurent na to už viete zareagovať. Sú tu prítomné vydierateľnosť a zneužitie.
Takisto je nelegálny prístup k zdravotným dátam iných osôb problematický pri rozvodoch a dedičských konaniach. Ak človek vie na toho druhého citlivé informácie, dokáže ovplyvniť procesy.
Problém vzniká aj vtedy, ak uniknú informácie o verejne známych osobách. Vtedy môže dôjsť k vydieraniu napríklad v zmysle: ak nezaplatíš, zverejníme, že máš HIV alebo nejakú pohlavnú chorobu.
Môže dochádzať aj k riziku priamej diskriminácie. Najmä v prípade, keď si zamestnávateľ pozrie záznamy svojich zamestnancov a povie: ty pôjdeš preč, lebo máš ťažkú chorobu a budeš veľa vynechávať.
V neposlednom rade sa dajú údaje zneužiť na falošné predpisovanie liekov, ktoré sú drahšie alebo cenené, lebo sú bežnému človeku nedostupné, napríklad opiáty.
Kto si vie v súčasnosti legálne pozrieť naše zdravotné údaje?
Prístup majú lekár, zdravotná poisťovňa a kontrolné a regulačné orgány, čiže Úrad pre dohľad nad zdravotnou starostlivosťou a ministerstvo zdravotníctva. Potom sú to špecifické orgány – súdy či polícia, ktoré sa k nim dostanú na základe oficiálneho rozhodnutia.
Ošetrujúci lekár a personál sú však široké pojmy. Predstavte si, že vás hospitalizujú a dva týždne ste v nemocnici. Každý deň má službu iná sestra, čiže každý deň má iná sestra prístup do vášho záznamu. Počet tých, ktorí majú vaše dáta k dispozícii, je teda veľký.
Aký prístup k údajom má samotný pacient?
Na Slovensku je takzvaný Národný portál zdravia, kde je elektronická zdravotná knižka. Keď sa do nej pacient prihlási prostredníctvom svojich identifikačných údajov, má možnosť vidieť celý obsah aj to, kto pristupoval k jeho dátam.
Keď som si svoju knižku prezeral ja, nenašiel som tam nič pofidérne. Boli tam skutočne moji ošetrujúci lekári. Pacient si to teda vie skontrolovať. Keď má podozrenie na to, že boli jeho dáta použité nesprávnymi osobami, môže sa obrátiť na Úrad na ochranu osobných údajov alebo už spomínaný Úrad pre dohľad nad zdravotnou starostlivosťou. Je však potrebné myslieť na to, že svoje tvrdenia budete musieť vedieť vydokladovať.
Čo môže byť signálom, že údaje boli zneužité? Ako to človek môže odhaliť?
Signálom môže byť napríklad to, ak je meno toho, kto si prezeral elektronické záznamy, iné ako meno vášho lekára.
Je potrebné spozornieť, ak sa v niekoľko po sebe idúcich záznamoch objaví cudzie meno viackrát, prípadne je v jednom čase väčší počet cudzích mien naraz. Vtedy by si tieto záznamy mal človek najskôr skontrolovať s papierovými správami.
Ale to, že sa objavilo iné meno, ešte neznamená, že údaje boli hneď zneužité. Pacient môže zistiť, že cudzie meno je meno lekára, ktorý vykonával napríklad vyšetrenie jeho krvi v laboratóriu.
Prístup k údajom by zároveň mal mať lekár na základe definovanej indikácie, čiže ani náhodné prezeranie údajov, aj keď som lekár, nie je v poriadku.
Jedným zo základných pilierov bezpečnosti zdravotníckych záznamov je aj to, aby lekár nepovoľoval vstup iných ľudí prostredníctvom svojho prihlásenia, pod svojím menom. Mohlo by sa totiž stať, že ten niekto dá do záznamov zlé výsledky, prípadne by niečo zle zapísal.
V čom je elektronický systém bezpečnejší ako papierová dokumentácia?
Všetko má svoje riziká. Z pohľadu krádeže ide o to, že ak niekto príde do ambulancie a zoberie disk so šifrovanými údajmi, neurobí s ním nič. V papierovej kartotéke si všetci všetko prečítajú, a to hneď.
Pri prírodných katastrofách, napríklad keď vyhorí ambulancia s papiermi, lekár skončil. V elektronickej podobe by však mal mať zálohu, lebo keď sa mu pokazí disk alebo počítač a nemá zálohu, skončil by tiež. No a ľahšie sa robí elektronická záloha ako papierová.
Pri papierovej podobe je zároveň nedokázateľné, že si záznamy pozrel niekto neautorizovaný. V dobre nastavenom elektronickom systéme máme auditné záznamy, ktoré povedia presne, kto sa prihlásil a čo pozeral.
Dostupnosť je pre lekára tiež jeden z parametrov bezpečnosti. V elektronickej podobe prejde informácia o pacientovi napríklad z Košíc do Bratislavy rýchlejšie ako v papierovej.
Čo je však rozdielne, je rozsah útoku zneužitia. Keď sa zneužívateľ dostane k papierovým podkladom, získa záznamy o stovkách ľudí, pričom pri elektronických útokoch môže ísť aj o milióny.
Spomínali ste, že nemocnice sú na systém eZapisovanie pripravené. Ale čo ambulancie? Aké kroky by mali urobiť, aby boli dáta ich pacientov chránené?
Základom, a to nielen pri zdravotníckych zariadeniach, je mať aktualizovaný počítač, mať aktualizované operačné systémy a používať posledné verzie nástrojov a systémov. Ja viem, že je to oštara, ale dáva to zmysel.
Informačné systémy nemocníc poskytujú etablovaní dodávatelia, ktorí bezpečnostné prvky a pravidlá už majú v systémoch integrované. Len je potrebné udržiavať tieto systémy aktuálne. Ambulantní lekári by si mali dať záležať na niekoľkých veciach.
Prvou je kybernetická hygiena, čo znamená, že by nemali mať rovnaké heslo do firemného aj osobného počítača. Heslo má byť čo najkomplexnejšie, nech to nie je lekar123. Druhou podstatnou vecou je zálohovanie. Aj keď ide o malú ambulanciu, je potrebné mať jeden náhradný disk so šifrovanými dátami a napríklad raz za týždeň (ideálne každý deň) naň zálohovať údaje z počítača. Ak aj počítač „odíde“, stratia sa dáta od posledného zálohovania, nie všetky.
Samozrejmosťou má byť aktuálny softvér na ochranu pred škodlivým kódom v počítači.
Pokiaľ lekár využíva vzdialený prístup, čiže sa napája na pracovný počítač z domu, je potrebné používať nástroje na bezpečné vzdialené pripojenie (VPN).
Sieťová segmentácia je ďalším prvkom prevencie pred útokmi. Ak lekár poskytuje voľnú wi-fi pre pacientov, tak by táto sieť mala byť oddelená od siete, ku ktorej má lekár pripojený počítač. Napríklad pre pacientov je vyhradená sieť „cakaren“ a lekárov počítač je pripojený k wi-fi sieti „ordinacia“, ktorá má nastavené silné heslo.
Pri niektorých medicínskych zariadeniach vyžadujú ich dodávatelia vzdialený prístup, aby nemuseli cestovať z dôvodu servisu na miesto. Vtedy je veľmi dôležité urobiť im selektívny prístup cez samostatnú sieť, a to len v určitom čase, keď ich služby lekár skutočne potrebuje.
eZapisovanie budú musieť robiť aj lekári, ktorí ho dosiaľ nerobili. Objem dát a počet prístupov sa tak niekoľkonásobne zvýši. Zvládne takúto zmenu slovenské zdravotníctvo? Len nedávno sme boli svedkami hekerského útoku na kataster.
Povedzme si rovno, dnes sa už nepýtame na to, či bude útok, ale kedy bude útok. Treba počítať s tým, že útok bude. Jedným z opatrení je pripraviť si procesy, čo budeme robiť, keby sa to skutočne stalo.
Predstavte si situáciu, že ste lekár, prídete jedného dňa do ambulancie a zistíte, že máte zašifrovaný počítač, máte ransomware. Je to typ škodlivého softvéru (malvéru), ktorý útočníci použijú na zašifrovanie dát alebo zablokovanie prístupu k počítačovým systémom.
Čo by ste robili? Komu by ste zavolali? Myslím si, že by malo byť niekde pripravené, čo treba v takých prípadoch robiť. Komu zavolať ako prvému, aby mi ako lekárovi pomohol, čo budem robiť medzitým, či vyvesím na ambulanciu oznam, že dnes neošetrujem, či môžem fungovať bez počítača. Viem si zohnať iný počítač? Ak áno, u koho? Bude nakonfigurovaný podľa toho, ako potrebujem? Ako si prenesiem dáta zo záloh, ak ich mám, do nového počítača?
Ak sú tieto veci vopred ujasnené, lekár zvládne situáciu v relatívne krátkom čase a ordinuje ďalej. Ak to nemá, potrvá to aj niekoľko dní.
Kto by to mal pripraviť?
Ak ide o nemocnicu, malo by to zastrešiť krízové plánovanie, IT pracovníci a bezpečnosť. Ak ide o jednotlivca, lekára v ambulancii, môže využiť externé konzultačné firmy, prípadne stavovské organizácie či župy. Štát by mohol byť aktívny v tom smere, že ak by bolo eZapisovanie povinnosťou, mohol by pripraviť príručku, ako tieto veci zabezpečiť.