Tutaj jednak chciałbym się skupić na zagrożeniach zewnętrznych, jeszcze nie tak dawno całkowicie pomijanych przez placówki medyczne (zwłaszcza publiczne) z powodu przechowywania wszystkich danych na miejscu, bez konieczności przekazywania ich drogą elektroniczną. Wraz z postępem technologicznym oraz zmianą przepisów, które obecnie wymagają już od placówek medycznych świadczenia niektórych usług w formie elektronicznej, zagrożenia te znacznie zyskały na znaczeniu.
Kiedy ostatnio
robiłeś analizę ryzyka?
Świadczenie usług drogą elektroniczną było dotąd domeną głównie prywatnych placówek, które dysponowały większym budżetem na informatyzację ośrodków i budowanie systemów bezpieczeństwa. Obecnie również placówki publiczne muszą o nie zadbać. Przykładowo, zgodnie z rozporządzeniem Ministra Zdrowia z 19 kwietnia 2013 r. w sprawie minimalnej funkcjonalności dla systemów teleinformatycznych, umożliwiających realizację usług związanych z prowadzeniem przez świadczeniodawców list oczekujących na udzielenie świadczenia zdrowotnego zobowiązuje placówki medyczne m.in. do udostępnienia możliwości zarejestrowania się na wizytę. Rozporządzenie obowiązuje od 1 marca 2014 r. Na uwagę zasługuje fakt, że zgodnie z nim systemy muszą spełniać wymogi ustawy z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną oraz, że administratorzy systemów w zakresie niezbędnym dla właściwego działania przypisanego im systemu opracowują i ustanawiają, wdrażają i eksploatują, monitorują i przeglądają oraz utrzymują i doskonalą system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji, gdzie wyraźnie wskazane jest, że system zarządzania bezpieczeństwem informacji ma być wdrożony zgodnie normami ISO 27799 oraz ISO 27002.
Wdrażanie międzynarodowych norm ISO w placówkach medycznych nie jest niczym nowym. Przy kontraktowaniu z NFZ za posiadanie certyfikacji na normy ISO 9001, ISO 27001, ISO 14000, ISO 18000 można otrzymać dodatkowe punkty. Spełnianie wymienionych norm realizuje również wymagania Krajowych Ram Interoperacyjności zgodnie z Rozporządzeniem Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.
Zagrożenia zewnętrzne spotęgują się zapewne z końcem lipca 2017 roku, do kiedy to placówki medyczne mają obowiązek prowadzić pełne dokumentacje medyczne w wersji elektronicznej – zgodnie z ustawą z 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia. Obecnie placówki są w tzw. okresie przejściowym. Od 1 stycznia 2016 roku zaczną natomiast działać takie usługi elektroniczne jak e-zwolnienie, e-recepta i e-skierowanie. Ich wdrożenie również wiąże się z pewnymi ryzykami, które odpowiedzialna placówka medyczna powinna wziąć pod uwagę.
Dostosowując placówkę medyczną do nowej rzeczywistości, warto zwrócić uwagę na eksport danych do systemów zewnętrznych, współpracę z zewnętrznymi podmiotami, udostępnienie kanałów komunikacji dla systemów webowych (ryzyko podsłuchu transmitowanych danych, ich modyfikacji lub usunięcia), możliwość upublicznienia danych przez podmiot zewnętrzny oraz ryzyko włamania do wewnętrznej infrastruktury teleinformatycznej z wykorzystaniem luk w zabezpieczeniach.
Kluczowym czynnikiem zapewniającym najwyższy stopień bezpieczeństwa informacji i danych jest kompleksowe wdrożenie zabezpieczeń organizacyjnych (dokumentacja bezpieczeństwa informacji w tym danych osobowych, szkolenia pracowników), technicznych (kryptografia, monitoring bezpieczeństwa, kopie zapasowe) i prawnych (umowy powierzenia, kary umowne, SLA). Pozwoli to zminimalizować ryzyko wystąpienia incydentów (kradzieży czy nieuprawnionego udostępnienia danych, utraty danych, itp).