hirdetés
2024. március. 28., csütörtök - Gedeon, Johanna.
hirdetés

Megfelelő-e az adatbiztonság az egészségügyben?

Világszerte egyre nő az okostelefonok, tabletek és más „kütyük” térhódítása, amelyek egyre inkább használhatók egészségügyi információk tárolására, továbbítására is. De vajon kellőképpen figyelnek-e az emberek személyes adataik, az egészségügyi intézmények pedig az általuk kezeltek és a velük szerződésben állók adatainak biztonságára? Mi az egészségügyi adat elvesztésének az ára?

Milyen alkalmazások várhatóak az egészségügyben a kiskereskedelemi piacon? És mit használ majd ebből az „átlagpáciens”? Mennyire épült be az egészségügyi szoftverfejlesztésbe az IT-biztonság, ami a webfejlesztések területén már jelen van? Ilyen és ehhez hasonló kérdések kerültek terítékre azon a szakmai megbeszélésen, amelyen az integrált rendszerek fejlesztésével és forgalmazásával foglalkozó GlobeNet Zrt. és az informatikai biztonság, az IT security teljes területét lefedő kancellar.hu képviselői cseréltek eszmét.

A kancellar.hu nagy tapasztalatokkal rendelkezik az informatikai biztonság ingoványos talaján. Ügyfelei kérésére számos esetben végzett  már auditokat és úgynevezett etikus támadásokat az ügyfél intézményénél annak érdekében, hogy kiderüljön, megfelelő-e az informatikai biztonság. Mint azt Papp Péter címzetes egyetemi docens, a kancellar.hu elnöke jelezte, a TOP 1000 magyar cégnek dolgoznak, kellő rálátással bírnak a helyzetre, meglátásai szerint azonban, bár hazánkban az adatvédelmi törvény szigorúbb, mint sok helyen a világon, ezek rendelkezéseit a cégek javarészt nem tartják be.

Az államigazgatásban már él az információbiztonságról szóló törvény, ami azonban az egészségügyre nem kötelező, ettől függetlenül biztonságosan üzemeltetni ma sem egyszerű ezeket az intézményeket. Tapasztalatai szerint az információbiztonság ma Magyarországon inkább gazdasági kérdésnek számít; források híján az intézmények közül inkább azok költenek erre, akiknek kötelező.

Az egészségügy IT-biztonság szempontjából le van maradva más szektorok mögött, aminek a legfőbb oka a forráshiány – erősítette meg Pittner Ferenc, a GlobeNet vezérigazgatója is. A cég elsőnek számít Magyarországon az integrált informatikai rendszerek szállítói között. Jelenleg mintegy 50 hazai ügyféllel rendelkeznek, ezek döntő többsége kórház. A vezérigazgató meglátása szerint, a technológiai fejlődéssel és az új megoldások használatával párhuzamosan kellene fejlődniük a magyar egészségügyi intézmények által használt biztonsági rendszereknek is. Az intézményeknek együtt kellene fejleszteniük az informatikai és biztonsági rendszereiket a kor elvárásainak megfelelően, s ez a feladat – a korlátozott büdzsé, a nem egyszer elavult hardverek és szoftverek miatt - nem egyszerű. Pittner Ferenc büszke rá, hogy cégük felügyeli, monitorozza az ügyfelek rendszereit, s az általuk kifejlesztett, modulokból álló integrált rendszer figyelmezteti is a klienst, ha baj van – ebben előrébb tartanak, mint a versenytársaik.

Kőpataki Csaba, a GlobeNet ügyféltámogatási és üzemeltetési igazgatója ezt azzal egészíti ki, hogy a GlobeNet az ISO 27001 minőségtanúsítással biztosítja azt, hogy a szervezet maximálisan megfeleljen az információ biztonsági előírásoknak, ami jelentősen szűkíti a támadási lehetőségeket. A kórházi és a GlobeNet-nél lévő monitoring rendszerek folyamatosan kapcsolatban vannak egymással, a nap 24 órájában figyelik a tárhelyet, terhelést valamint az egyéb működéshez nélkülözhetetlen paramétereket. A cég sokszor azzal szembesül, hogy az ügyféloldalon nincs megfelelő szaktudás és erőforrás.

Papp Péter szerint vannak előjelei annak, ha baj lesz valahol. Tendenciája van annak is, miként terjednek a vírusok – fel lehet tehát készülni rájuk. Arra egyelőre azonban kevesen gondolnak még, hogy mi történhet, ha elhagyják például az okos telefonjukat, amelyben saját és mások egészségügyi, pénzügyi adatait tárolják… Tiborcz László a GlobeNet fejlesztési igazgatója szerint sajnos általánosságban elmondható az, hogy a nagymértékű technológiai fejlődéssel az emberek, az átlagfelhasználók nem tudnak lépést tartani. A szolgáltatókra emiatt egyre nagyobb teher hárul, ennek következtében egyre több mindent a szolgáltatótól várnak el az ügyfelek, pedig tudják, hogy a legnagyobb kockázatot az új technológiát használó emberek jelentik, akik a veszélyekkel szinte egyáltalán nem törődnek. Ilyenkor kap kiemelt szerepet a tájékoztatás és az oktatás, felkészíteni az ügyfeleket és a végfelhasználókat a lehetséges kockázatokra, következményekre.

Pittner Ferenc szerint jól láthatóan terjednek azok az eszközök, amelyek az egészségügyi vizsgálatot függetlenítik a helyszíntől. Ma még ugyan kérdés, hogy ezek a társadalom mennyire széles rétegeihez juthatnak majd el, a fejlődés azonban megállíthatatlannak tűnik, s mindez egyúttal komoly biztonsági kérdéseket is felvet.

S hogy ezek megválaszolása, sőt továbbgondolása érdekében mit tud tanulni az egészségügy az emberek „üzemeltetése” esetében a számítógépek üzemeltetéséből? Azaz a log management (az adatok, események összegyűjtése, elemzése és azokból tendenciák kiolvasása) itt is mindent megváltoztat? Papp Péter szerint igen.

Mint fogalmaz, mindennek régi kultúrája van az IT-üzemeltetés terén, és ez szerinte meg fog jelenni az egészségügyben is a következő 10-20 évben.

Ma is vannak már berendezések, amelyek a testen viselve azokat, információt küldenek az orvos számítógépére a beteg állapotáról. Arra számít, hogy teret fognak nyerni azok az alkalmazások, amelyek az összegyűjtött információ alapján predikciókat fogalmaznak meg és akár intézkedéseket hoznak. Az alkalmazási területek egyre inkább proaktívvá válnak, így elképzelhető például, hogy nemcsak a Google adhat majd influenza járvány-előrejelzést, hanem a mobil eszközök is segítenek megelőzni mondjuk egy infarktust, majd megfelelő intézkedéseket tesznek – vallja Papp Péter, aki szerint akkor azonban valóban nagyon fontos lesz az IT-biztonság, hiszen adatainkat nem akarjuk majd mindenkivel megosztani. Fontos tehát komolyan venni azt, hogy a szenzitívnek számító egészségügyi adatokhoz ki, milyen jogosultsággal férhet hozzá, és miként, mennyi ideig tárolja azokat. Ugyanez igaz persze a hagyományos módon keletkezett egészségügyi adatokra is – a tapasztalatok szerint a legtöbb gondot a hozzá nem értő, nem megfelelően képzett „belső emberek” okozhatják, de ne feledkezzünk meg a szándékos károkozásról sem, vagy az üzleti céllal történő adatszerzésről.

Egy új kihívást jelent majd az egészségügyben Magyarországon (is) az e-Health fejlesztése. Mint azt a MedicalOnline már megírta: az egészségügyi kormányzat 2012 januárjától a háziorvosok, 2013 áprilisától a gyógyszerészek, és 2014 januárjától bármely kezelőorvos számáralehetővé tette, hogy betegeik társadalombiztosítási ellátásait az OEP honlapjáról lekérdezhessék. A jogszabály alapján egy magánorvos vagy akár kezelőorvos is hozzájuthat ezekhez az adatokhoz. Az egész rendszerhez valódi működéséhez ugyanakkor hiányzik még az összeköttetés: mint Szócska Miklós egészségügyért felelős államtitkár egy informatikai témájú tájékoztatón elmondta, a most kezdődött parlamenti ciklus elején kerülhet a képviselők elé az Elektronikus Egészségügyi Szolgáltatási Tér elindításához szükséges jogszabálytervezet. A Szolgáltatási Tér jogszabályi hátterét és a hozzá kapcsolódó informatikai fejlesztéseket a Gyógyszerészeti és Egészségügyi Minőség- és Szervezetfejlesztési Intézet tavaly év végére elkészítette, be is nyújtották a parlamentnek, ám adatjogi aggályok miatt egyelőre visszavonták.

Egyelőre nem működik az ugyancsak uniós forrásból fejlesztendő közhiteles adatbázis sem, ha azonban minden egy helyen lesz elérhető, akkor valóban komoly hangsúlyt kell arra fektetnie az egészségügyi kormányzatnak, hogy ki, milyen jogosultsággal férhet az adatokhoz. Most nagyjából tudja az átlag-felhasználó, hogy hol tárolnak róla egészségügyi adatot, ha azonban mindez „összeér”, bizonyosan többet kell költeni a biztonságra. Mint Papp Péter mondja, a pénzügyi szektorban már megbecsülhető az adatvesztés kára, amely előbb-utóbb az egészségügyben is szorító kérdés lehet. Kockázatmenedzsmenttel mindez azonban csökkenthető; vannak módszerek, amelyek bármely szektorban jól alkalmazhatók. Vannak kvantitatív és kvalitatív eljárások, amelyekkel jól „belőhető”, hogy egy-egy intézmény hol helyezkedik el a „kicsi a baj” és az „itt a világvége” szélső értékekkel jellemezhető skálán. A már említett, információbiztonságról szóló törvény is azt írja elő, hogy az intézmények sorolják be magukat, s jelöljék meg azt is, hová akarnak eljutni.

S hogy az adatvesztés mellett fenyeget-e külső támadás? Inkább szoftver- vagy felhasználói hibák vezethetnek ilyenekhez? Papp Péter azt mondja, támadások mindig vannak és lesznek is. A kancellar.hu elnöke azt látja, hogy a nagy szoftvergyártók saját security modelleket fejlesztettek, s azokat be is építették saját rendszereikbe. Mára az általánosabb tendencia az, hogy a hibák nagy része a végfelhasználók miatt következik be. A FaceBook vagy a Google teljes rendszerét például szinte lehetetlen feltörni, míg egy-egy felhasználó adatának eltulajdonítása nem jelent gondot. Ezért oktatni kellene őket is a megfelelő biztonság eléréséhez – na de ez kinek a dolga? – teszik fel a kérdéseket a szakemberek, akik szerint a felelősség az egészségügyben mindenképpen a szolgáltatók oldalára helyeződik. Az ágazatban gondot okozhat a különféle szerződések kiszivárogtatása, a magánszemélyek adataihoz való illetéktelen hozzáférés, az ezzel kapcsolatos adatok elveszítése is, amely elvezethet akár az ipari kémkedés témaköréig is ...

Papp Péter szerint az IT-biztonságban alapkérdés a sérülékenység, a bizalmasság és a rendelkezésre állás. A TOP 10-nek számító sérülékenység közül szinte minden cégnél akad legalább egy, amely jellemző lehet, s amit csak folyamatos fejlesztésekkel lehet kivédeni. Ez azonban jelentős összegekbe kerülhet, ami a végfelhasználókat terheli, de nyilvánvalóan megéri.

Pittner Ferenc információi szerint a pályázati lehetőségeken túl, ma főleg a hardverek és az infrastruktúra elöregedése hajtja az egészségügyi intézményeket az új rendszerek bevezetésére, viszont egyre több az inhomogén, egymással nem kompatibilis rendszer is. Magyarországon jó ötmilliárd forint kellene csak az egészségügyben az elavult géppark cseréjére. Mivel azonban még a koncepciók sem véglegesek, az egyre nagyobb felelősségnek egyelőre ellentmondani látszik az új technológiák bevezetése és a hosszú távú tervezés lehetetlensége.

Összegzésképpen elmondható: számítani lehet arra, hogy az információbiztonsággal kapcsolatos szabályozások hamarosan az egészségügyi szektorra vonatkozóan is egyre részletesebbé és hangsúlyosabbá válnak. A rendszerek integrációjával és összekötésével párhuzamosan minden intézményre egyre nagyobb felelősség hárul, hogy az adatbiztonsággal komolyan foglalkozzanak, ugyanis a kapuk kinyitásával a szándékos károkozás, a jogosulatlan adateltulajdonítás témakörökkel is kötelező foglalkozni – lehetőleg jóval azelőtt, mielőtt a baj bekövetkezik.

Olvasói vélemény: 0,0 / 10
Értékelés:
A cikk értékeléséhez, kérjük először jelentkezzen be!