Zanedbání bezpečnosti může často výrazně snížit zprvu naprosto nesporné výhody technologií a u uživatelů jejich služeb vygenerovat spíše averzi než nadšený souhlas s pokrokem. Stejně jako v jiných oblastech i ve zdravotnictví je nutná pečlivá analýza rizik a hrozeb, které s sebou zavedení nové technologie nese. A i zde platí obecné pravidlo, že pokud už při vývoji nejsou respektovány bezpečnostní otázky, potom jsou bezpečnostní opatření aplikována ex post výrazně dražší.

eHealth jako takový bezesporu přináší obrovské příležitosti pro zkvalitnění a zefektivnění zdravotní péče. Při správném nastavení eHealth mimo jiné umožní sdílení zdravotní dokumentace a její efektivní používání, zrychlení administrativní části vyšetření pacienta, rychlý přístup k výstupům z diagnostických přístrojů apod. Pokud používané prvky eHealth nejsou bezpečné z pohledu informační bezpečnosti a nezaručují základní tři atributy bezpečného informačního systému, tedy důvěrnost informací v něm obsažených, jejich integritu a dostupnost, potom jakékoliv narušení těchto atributů vede k výraznému snížení efektivity poskytovaných zdravotnických služeb, a tím také ke snížení, nebo i ztrátě důvěry v takovéto systémy.

Když selže zabezpečení

Na jednom z mnoha příkladů lze ukázat, jak nedostatečné zabezpečení nemocničního informačního systému vedlo k narušení všech tří výše uvedených atributů bezpečnosti. V jednom zdravotnickém zařízení ráno personál zjistil, že nelze pracovat s nemocničním informačním systémem. Vedení tohoto zařízení obdrželo od skupiny hackerů zprávu, že její členové pronikli do databáze nemocničního informačního systému, tu zašifrovali, a tím znepřístupnili s tím, že ji za určitý obnos opět zpřístupní. Zablokování přístupu k funkcím nemocničního informačního systému vedlo k totálnímu kolapsu. Po marných pokusech o obnovu a po zjištění, že systém je bohužel tak děravý, že vlastními silami jej není možné přivést zpět k životu, nezbylo vedení než výkupné zaplatit. Průnikem do databáze byla narušena její důvěrnost, zašifrováním byla porušena její integrita. To celé vedlo k její nedostupnosti, a tím i nedostupnosti veškerých služeb závislých na informačním systému. Lze snadno vytipovat škody, které tím byly způsobeny: ztráta prestiže, problémy s obnovou, náklady na obnovení chodu služeb pro pacienty, náklady na zavedení informační bezpečnosti ex post atd. V tomto případě šlo jednoznačně o selhání zabezpečení informačního systému. Pokud tedy nějaké měl. Nejen v tomto případě, ale obecně platí, že zodpovědnost samozřejmě nese vlastník takovéhoto informačního systému.

Motivace takovýchto útoků jsou různé: zlomyslnost „zlovolných šikulů“, konkurenční boj, peníze (údaje o pacientech jsou v současné době žádaným obchodním artiklem). Můžeme také spekulovat o možné motivaci politické. V případě masivní nedostupnosti zdravotnických služeb na větší ploše může dojít k rozkolísání společnosti.

Až vám hacknou inzulínovou pumpu

Důležitou a z pohledu bezpečnosti velmi zajímavou součástí eHealth je telemedicína. Telemedicína je podle definice WHO souhrnné označení pro zdravotnické aktivity, služby a systémy provozované na dálku cestou informačních a komunikačních technologií za účelem podpory globálního zdraví, prevence a zdravotní péče stejně jako vzdělávání, řízení zdravotnictví a zdravotnického výzkumu. Její bezpečnost je pacientům často mnohem blíže než typické informační systémy zdravotnických zařízení (myšleno provozní, evidenční apod.). Telemedicína není jen o vyšetření pacientů na dálku, o sdílení znalostí nebo telekonzultacích mezi specialisty. Z pohledu bezpečnosti jsou zvláště kritické elektronické zdravotnické prostředky, které přímo ovlivňují zdraví člověka. Například automatické inzulínové pumpy nebo kardiostimulátory. U těchto a podobných zařízení výrobce uvádí jako výhodu jejich řízení a nastavení na dálku pomocí některé z technologií bezdrátového spojení. V případě nedostatečného zabezpečení se z výhody stává hrozba. Jsou notoricky známé případy prolomení ochrany inzulínové pumpy, kdy hacker na dálku dokázal měnit dávkování inzulínu do těla pacienta, nebo vzdálené ovládnutí kardiostimulátoru a řízení síly impulzů vysílaných do srdečního svalu. I v této oblasti je každý pokrok obrovským přínosem, nicméně pouze při vyváženém důrazu na bezpečnost.

Pro zajištění bezpečnosti informačního systému ve zdravotnictví platí totéž, co pro každý jiný informační systém. Samozřejmě při respektování specifik informací v něm obsažených, jako jsou citlivé informace z kategorie osobních údajů. Proto je nutno při snaze o zajištění bezpečnosti mít na paměti následující:

• Důkladné zhodnocení (nejen) informačních aktiv a analýza rizik, tzn. mít jasno, co je nutno chránit, s jakou hodnotou a proti čemu. Mezi aktiva nepatří pouze zařízení a systémy, ale také know-how, prestiž, značka apod. To vše může být ohroženo. S tím souvisí zavedení bezpečnostních politik, a hlavně vůle vedení k budování bezpečnostní kultury instituce.
• Řízení dodavatelů, aby jejich produkty, jejich zaměstnanci nebo subdodavatelé nebyli bezpečnostní dírou jinak vcelku dobře zabezpečeného systému. I když je bezpečnost informačního systému zajištěna jako služba, zodpovědnost stejně nese vlastník.
• Řízení celého životního cyklu všech prvků informačního systému, od pořízení přes údržbu, upgrade až po jejich bezpečnou likvidaci s ohledem na informace v nich uložené.
• Personální bezpečnost ve smyslu bezpečného chování zaměstnanců při práci s informačními a komunikačními technologiemi. Bez nepřetržitého vzdělávání personálu a vytváření povědomí o hrozbách se z nich stávají mnohdy největší bezpečnostní díry v systému.
• Nastavení procesů pro zvládání incidentů a sdílení a rozvíjení znalostí o hrozbách a zranitelnostech. Samotné technologie bez procesů a vzdělaných lidí bezpečnost nezajistí. Velmi důležitá je také spolupráce a vzájemná výměna informací o řešení incidentů.
• Zavedení monitorovacího systému, který je schopen průběžně vyhodnocovat stav informační bezpečnosti systému. Mít zavedeny procesy pro pravidelnou kontrolu funkčnosti tohoto systému.
• Zavedení procesů pro zajištění kontinuity činnosti, respektive pro rychlé obnovení činnosti po výpadku. I když je systém sebelépe zabezpečen, výpadek vždy hrozí a je nutno mít nástroje pro návrat do původního stavu.
• Fyzickou bezpečnost všech rozhodujících technologií informační infrastruktury instituce, a to nejen těch bezpečnostních. Sebelepší firewall je k ničemu, pokud je vystrčen na veřejně přístupném místě.
• Mít jasně definovány parametry bezpečnosti informačního systému, ze kterých mohou například vyplynout požadavky na dodavatele apod. Zde patří i požadavky na ochranu identit, pravidla pro přístupy do informačního systému, pravidla pro používání mobilních zařízení, pravidla pro BYOD (bring your own device) apod.
• Zajistit síťovou bezpečnost pro komunikaci částí informačních systémů mezi sebou i pro komunikaci s vnějším okolím.

Veškerá bezpečnostní opatření musí samozřejmě odpovídat chráněným hodnotám. Jít s kanonem na vrabce je stejně kontraproduktivní jako jít s vrabcem na kanon. Z tohoto důvodu je nesmírně důležité zhodnocení aktiv a analýza rizik, které poskytnou podklad pro úspěšné budování účinné informační bezpečnosti.

Výše popsané problematice se na jaře roku 2013 věnovala úspěšná konference „eHealth a jeho bezpečnostní rizika“ pořádaná Českým institutem manažerů informační bezpečnosti. Na této konferenci zazněl i můj oblíbený Murphyho zákon: máte-li pocit, že je všechno v naprostém pořádku, pak jste zcela určitě něco přehlédli. Což v informační bezpečnosti platí dvojnásob.

Autor vystudoval technickou kybernetiku. V roce 2011 koncipoval strategii kybernetické bezpečnosti České republiky a spolupracoval na věcném záměru zákona o kybernetické bezpečnosti. V současné době pracuje jako ředitel odboru bezpečnostní politiky Ministerstva práce a sociálních věcí. Je spoluzakladatelem Akademie forenzních věd, členem rady Českého institutu manažerů informační bezpečnosti, zastupuje Českou republiku v Cyber Security Coordination Group.