Kybernetická bezpečnost v praxi nemocnice

Každá nemonice by měla mít svůj vlastní plán krizové připravenosti. Ten řeší jak neplánované situace vznikající vně nemocnice, jako například živelné pohromy, velké dopravní nehody či teroristickí útoky, ale také ty související přímo s jejím samotným chodem a fungováním. Příkladem může být požár. Ať už nastane jakákoliv z těchto záležitostí, je nutné si uvědomit, že pro jejich zvládnutí potřebuje nemocnice vždycky správně a efektivně fungující ICT podporu. Jak by měl tedy základní prvek krizového řešení – plán propojený s ICT podporou vypadat?

Zlaté číslo dvě

„ICT podporou myslíme hned několik procesů,“ vysvětluje Vladimír Rous z Thomayerovy nemocnice, která patří mezi největší zdravotnická zařízení v České republice. „Vně nemonice se jedná zejména o včasnou a fungující komunikaci s Integrovaným záchranným systémem, kde mluvíme jak o telefonickém mobilním, tak pevném připojení. Patří sem určitě i svolání zdravotnických týmů prostřednictvím SMS nebo GSM sítě nebo emailová komunikace. Krizové situace uvnitř instituce zase souvisejí se zpřístupněním informačních zdrojů a neohroženým fungováním komunikačních prostředků,“ vysvětluje Rous.

Jestliže pak mluvíme o tom, jak by měl opravdu prvek krizového řešení vypadat, je důležité zdůraznit číslo dvě, a zdvojování. Dle odborníků je totiž nutností mít právě ITC podporu jištěnou vždy dvěma stranami, objekty, prvky, faktory…Vně nemocnice je tak možné vytvořit ideální stav prostřednictvím dvou pevných či internetových linek, uvnitř zase dvěma geograficky odloučenými servrovnami a zdvojením páteřních aktivních i pasivních prvků. Ochranou pak může být i virtualizace serverů či disků.

Je reálná hrozba kybernetického útoku a jak se nás může dotknout?

Velká část nemocničního personálu, zejména ta část zodpovědná za plynulý chod a fungování nemocnic, si tak dnes a denně pokládá otázku, zda je v dnešní době možná a reálná hrozba opravdového kybernetického útoku. Nastiňme si tedy několik možných scénářů, protože k takovémuto útoku bohužel dojít může. Řeč byla nejdříve o vnějším prostředí nemocnice, takže se nejprve zaměřmě právě na ně. Kybernetickým útokem zde totiž mohou být myšleny útoky na poskytovatele služeb nemocnic, tedy například banky, státní instituce, jež jsou v nemocnici ve spojení prostřednictvím datových stránek či například e-preskripce, nebo samotné provozovatele aplikací, mezi něž patří třeba e-PACS, REDIMED nebo hostovaný web. Útok pak může směřovat i ke zdravotní pojišťovně. „Kdyby došlo k napadení banky, nemocnice samozřejmě dokáže fungovat několik dní separátně. V případě napadení například datových stránek si e-preskripce už by však mohl být následný scénář výrazně horší,“ soudí Rous.

Jesliže vezmeme v úvahu prostředí přímo uvnitř nemocnice, na mysli pak máme, v souvislosti s kybernetikou a útoky na ni, zejména zřejmý nebo skrytý průnik zvenku, a to průnik internetem, wifi sítěmi, GSM sítí z chytrých zařízení či vzdálenou správou aplikací. K útoku pak může dojít  i přímo uvnitř, a to akcí nevzdělaního užovatele, uživatele nedisciplinovaného či přímo účelně akcí záškodníka. „Kybernetická hrozba je již dnes opravdu realitou, které musíme čelit. Nejde už totiž jen o ochranu osobních údajů, ale o udržení chodu celé nemocnice,“ zdůrazňuje Vladimír Rous.

Jak hrozbě čelit?

Řešením výše popsaných situací a jejich prevencí je podle odborníků zavedení systému řízení rizik v souladu s principy normy ISO 27000. „Základem je již dopředu identifikovat možné hrozby a také je kategorizovat, tedy přiřadit jim různé váhy. Pro eliminaci jedntlivých útoků je pak dobré vytvářet havarijní plány a neustále aktualizovat legislativu, tedy směrnice, s důslednou kontrolou jejího dodržení. Velkou váhu má pak v neposlední řadě i školení uživatelů ICT systémů,“ říká Rous. „Jednotliví uživatelé se tak výborně seznámí s jednotlivými procesy a zejména s tím, kde hledat v případě potřeby rychlou pomoc. Jedině vzdělávání může pomoci odstranit bariéry mezi informatiky a lékaři či sestrami,“ dodává.

 

 

 

Komentáře

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *