Institut postgraduálního vzdělávání ve zdravotnictví, Praha Škola veřejného zdravotnictví Ochrana elektronických dat pacientů z pohledu manažera IT Pavel Henyš Praha 2010
Institut postgraduálního vzdělávání ve zdravotnictví Škola veřejného zdravotnictví Ochrana elektronických dat pacientů z pohledu manažera IT ( atestační práce ) Vypracoval: MUDr. Pavel Henyš Konzultant: MUDr. M. Seiner Praha 2010
Souhrn Cílem této práce je dát základní přehled o problematice zejména vedoucím pracovníkům, kteří mají dobré manažerské zkušenosti, ale v oblasti IT/C spíše tápou, aby si uvědomili, že bezpečnost dat neexistuje sama o sobě, ale je nedílnou a nezbytnou součástí bezpečnostní politiky zdravotnického zařízení. Klíčová slova: počítačová bezpečnost, bezpečnostní plán, bezpečnostní politika, komplexní bezpečnost, absolutní bezpečnost, bezpečnostní incident, zdravotnická data Summary The aim of this work is to provide a basic overview of electronic data security issues mainly to executives who have ample managerial experience, but are not really familiar with IT,. so as to make them realise that data security does not exist in itself, but is an inseparable and essential part of the security policy of any medical facility. Key words: computer security, security plan, security policy, comprehensive security, absolute security, security incident, medical data
1. Prohlašuji, že jsem atestační práci Ochrana elektronických dat pacientů z pohledu manažera IT vypracoval samostatně a použil jen pramenů, které cituji a uvádím v bibliografii ( 31 Autorského zákona 121/2000 Sb.). 2. Souhlasím, aby moje atestační práce Ochrana elektronických dat pacientů z pohledu manažera IT byla digitálně zpracována a v elektronické formě zpřístupněna odborné veřejnosti na webových stránkách IPVZ (dle 14, 18 a 37 Autorského zákona 121/2000 Sb.). Datum: podpis: Poděkování Rád bych na tomto místě poděkoval svému konzultantu MUDr. M. Seinerovi za inspiraci a pomoc s výběrem a hlavně zúžením tématu. Dále pak Ing. J. Chromcovi, vedoucímu programátorovi a analytikovi Nemocnice Na Homolce, za praktické připomínky zejména v oblasti databázových systémů, ing. B. Himmelovi, vedoucímu softwarových služeb firmy Oriflame, a RNDr. R. Goldweinovi, vedoucímu bezpečnostnímu technikovi firmy GRC, za jejich podnětné připomínky. V neposlední řadě pak PhDr. J. Pavlovské za neocenitelnou pomoc nejen při jazykových a stylistických korekturách.
Úvod 6 1. Proč chránit data pacientů 7 1.1. Právní zabezpečení ochrany dat 7 1.2. Právní předpisy 7 1.2.1. Zákon o péči o zdraví lidu č. 20/1966 Sb. 8 1.2.2. Zákon č. 140/1961 Sb., trestní zákon 8 1.2.3. Porušování autorských práv 9 1.2.4. Porušování předpisů o státním a hospodářském tajemství 10 1.2.5. Porušování předpisů o ochraně osobních údajů 10 1.2.6. Zákon o ochraně osobních údajů v informačních systémech 11 1.2.7. Nekalosoutěžní jednání, obchodní tajemství 11 1.2.8. Poškození a zneužití záznamu na nosiči informací 14 1.2.9. Další trestné činy 14 2. Datové hrozby 15 2.1. Vnitřní hrozby 15 2.1.1. Lidský faktor 15 2.1.2. Přírodní faktor 17 2.1.3. Technický faktor 17 2.2. Vnější hrozby 17 3. Ochrana dat pacientů komplexní bezpečnost 20 3.1. Předmět ochrany dat 20 3.1.1. Ochrana přístupu k počítači 21 3.1.2. Šifrování dat 21 3.1.3. Ochrana počítačové sítě 21 3.1.4. Ochrana pravosti a celistvosti dat 22 3.1.5. Míra zabezpečení 23 4. Přístupy k zabezpečení dat 24 4.1. Vytvoření zásad zabezpečení 24 4.2. Realizace zásad zabezpečení 25 4.2.1. Detekce a prevence narušení 26 4.2.2. Ochrana dat 26 4.2.3. Správa identit 27 4.3. Zálohování dat 28 4.3.1. Ukládání zálohovacích dat 29 4.3.2. Návrh plánu zálohování 29 5. Specifika ochrany zdravotnických dat 31 6. Absolutní bezpečnost je nedosažitelná 32 7. Závěr 34 8. Literatura 36 Příloha slovníček pojmů 38
Úvod Existuje mnoho cest, kterými uživatel může ohrozit počítačový systém, získat přístup k jeho výpočetní kapacitě a dostat se k tomu nejcennějšímu, co systém obsahuje k informacím. Potřeba chránit data je v přímém protikladu k nejvlastnějšímu účelu počítačů, kterým je zpracování, distribuce a dostupnost informací. Navíc každá ochrana dat se určitým způsobem nepříznivě projeví jak na výkonu počítačového systému, tak i na snadnosti jeho používání. V poslední době povědomí lidí o informační bezpečnosti stoupá. Řada jednotlivců i firem usiluje seznámit s touto oblastí co nejvíce lidí, ale paradoxně největší zásluhu nemají ti, kteří řeší bezpečnostní problémy, ale ti, kteří je vytvářejí. Je vcelku jedno, kdo zajistí bezpečnost počítačů a sítí, ale je dost smutné, když lidé hledají ochranu až po hackerských útocích, únicích dat a virových epidemiích. Na ochranu dat pacientů se dívám z několika úhlů: - zabezpečení právními, organizačními, personálními prostředky - bezpečnostní politika zdravotnických zařízení - zabezpečení technickými a programovými prostředky Ve zdravotnictví pracuji přes 20 let a o výpočetní techniku se zajímám ještě déle. V podstatě jsem pracoval na počítačích od sálových mainframů a se zájmem jsem sledoval, jak se úroveň techniky, znalosti programátorů a operátorů i všeobecná počítačová gramotnost promítaly do povědomí nutnosti data chránit a do způsobu jejich zabezpečení. Při zpracování práce jsem čerpal z běžně dostupných materiálů tzn. odborných publikací, časopisů, další informace jsem získával na Internetu a také hlavně z vlastních zkušeností.
1. Proč chránit data pacientů 1.1 Právní zabezpečení ochrany dat Rozvoj informatiky přinesl potřebu koncentrace velkého množství různých údajů ze všech oblastí lidské činnosti. Tato data mají ve většině případů mnohem větší hodnotu než samotné informační systémy určené k jejich zpracování. Informace jsou neustále zhodnocovány a upravovány tak, aby byly aktuální a co nejvíce užitečné. Propojením často samostatně nevýznamných údajů z více databází může dojít k takové situaci, kdy by zneužití dané informace (její zveřejnění, zničení, poskytnutí někomu dalšímu, kdo by z ní mohl mít prospěch) mohlo výrazně poškodit určitou osobu či organizaci. Často totiž jde o data týkající se obchodních údajů firem či osobních údajů osob (registry obyvatel ministerstva vnitra, údaje zdravotních pojišťoven, údaje o bankovních kontech, o finančních pohledávkách nebo i údaje sociální z různých statistických průzkumů či reklamních kampaní). Proto musí být zajištěna důsledná ochrana dat, a to jak technická (hierarchické přístupy k datům pomocí hesel, kódování dat, fyzické zabezpečení pracoviště), tak i právní formou přijetí příslušných zákonných norem. 1.2 Právní předpisy S informačními systémy souvisí hlavně tyto obecné právní předpisy: zákon o péči o zdraví lidu, občanský zákoník, trestní zákon, autorský zákon, zákon o ochraně osobních údajů v informačních systémech, zákon o ochraně topografií polovodičových výrobků, obchodní zákoník, zákon o ochraně státního tajemství, zákon o telekomunikacích, zákoník práce a konečně i sama Listina základních práv a svobod, jež je součástí naší Ústavy. Všechny tyto právní předpisy se týkají informačního systému organizace, a to především v oblastech: a) prevence před porušováním zákonů (např. autorského zákona, zákona o ochraně státního tajemství a osobních dat v informačních systémech) bez dopadu na organizaci ( s výjimkou odpovědnostního postihu), b) prevence před poškozením vlastní organizace zaměstnanci nebo jinými osobami (např. porušování pracovních předpisů, obchodního tajemství, neoprávněné používání cizí věci, poškozování a zneužití záznamu na nosiči informací atd.)
Z těchto hledisek by také měla být vybudována v organizaci právní ochrana informačního systému. 1.2.1 Zákon o péči o zdraví lidu č. 20/1966 Sb. 55 Povinnosti pracovníků ve zdravotnictví (2) Každý zdravotnický pracovník je povinen zejména d) zachovávat mlčenlivost o skutečnostech, o nichž se dověděl v souvislosti s výkonem svého povolání, s výjimkou případů, kdy skutečnost sděluje se souhlasem ošetřované osoby nebo kdy byl této povinnosti zproštěn nadřízeným orgánem v důležitém státním zájmu: povinnost oznamovat určité skutečnosti, uložená zdravotnickým pracovníkům zvláštními předpisy, není tím dotčena. (3) Povinnosti uvedené v odstavci 2 písm. d) se vztahují i na zdravotnické pracovníky, kteří nevykonávají zdravotnické povolání.. Zpracování osobních údajů souvisejících se zajišťováním zdravotní péče 67 a (1)Zpracováním osobních údajů 11b) podle tohoto zákona se rozumí zpracování osobních údajů při vedení zdravotnické dokumentace a další nakládání s ní a zpracování osobních údajů v Národním zdravotnickém informačním systému (dále jen NZIS ). 1.2.2 Zákon č. 140/1961 Sb., trestní zákon 178 Neoprávněné nakládání s osobními údaji (1) Kdo, byť i z nedbalosti, neoprávněně sdělí, zpřístupní, jinak zpracovává nebo si přisvojí osobní údaje o jiném shromážděné v souvislosti s výkonem veřejné správy, bude potrestán odnětím svobody až na tři léta nebo zákazem činnosti nebo peněžitým trestem. (2) Stejně bude potrestán, kdo osobní údaje o jiném získané v souvislosti s výkonem svého povolání, zaměstnání nebo funkce, byť i z nedbalosti, sdělí nebo zpřístupní, a tím poruší právním předpisem stanovenou povinnost mlčenlivosti.
(3) Odnětím svobody na jeden rok až pět let nebo zákazem činnosti nebo peněžitým trestem bude pachatel potrestán, a) způsobí-li činem uvedeným v odstavci 1 nebo 2 vážnou újmu na právech nebo oprávněných zájmech osoby, jíž se údaj týká, b) spáchá-li čin uvedený v odstavci 1 nebo 2 tiskem, filmem, rozhlasem, televizí nebo jiným obdobně účinným způsobem, nebo c) spáchá-li čin uvedený v odstavci 1 nebo 2 porušením povinností vyplývajících z jeho povolání, zaměstnání nebo funkce. 1.2.3 Porušování autorských práv Z hlediska pracovněprávní a autorskoprávní ochrany organizace je třeba, aby byla mezi programátorem a zaměstnavatelem předem uzavřena smlouva (pracovní nebo zvláštní autorská), v níž obě strany definují programy takto vzniklé jako autorské dílo konkrétních autorů, stanoví rozsah oprávnění obou stran (souhlas autora s distribucí, případně závazek o vzdání se šíření jím samým), výši odměny nebo způsob jejího určení (jako prémiovou složku platu nebo jako samostatnou odměnu, např. podle výše prodeje či využívání). Z hlediska ochrany proti nelegálnímu užívání programů v organizaci což se děje zejména užíváním programů zaměstnavatele k soukromým účelům, užíváním nelegálně získaných programů na počítačích zaměstnavatele, provozováním programů na více počítačích, než bylo ve smlouvě dohodnuto, zasahováním do programu, dalším prodejem nebo jiným poskytnutím programu třetí osobě i dalšími způsoby jde o dva aspekty: občanskoprávní a trestní. Stávající praxe orgánů činných v trestním řízení při zjištění porušování autorských práv v organizaci spočívá ve vznesení obvinění proti osobě, která odpovídala za provoz programů v organizaci. Jestliže taková osoba neexistuje nebo takové úkoly nemá jednoznačně v pracovní náplni, je stíhán statutární zástupce odpovídající za celou organizaci nebo její autonomní část.
1.2.4 Porušování předpisů o státním a hospodářském tajemství Některá jednání v souvislosti s informačními systémy se mohou za určitých okolností jevit např. jako vyděračství, ohrožení hospodářského tajemství, zkreslování údajů hospodářské a obchodní evidence, nekalá soutěž apod. Zejména účetní a ředitelé by si měli uvědomovat, že zkreslování údajů hospodářské a obchodní evidence lze posuzovat i jako trestný čin. Právě tento trestný čin je snadno realizovatelný pomocí počítačů, protože možnosti manipulace s počítačovými záznamy jsou pro uživatele počítače a softwaru prakticky neohraničené. Ještě bezpečnější je pro pachatele změnit podklady či vstupní údaje vkládané do počítače. Prevence proti této trestné činnosti leží na bedrech kontrolního systému organizace je to obvykle úkolem vnitřního a vnějšího auditu, případně kontrolního oddělení. 1.2.5 Porušování předpisů o ochraně osobních údajů Veškeré úpravy v oblasti ochrany osobních údajů u nás mohou vycházet z Listiny základních práv a svobod, kde je v článku 10 výslovně řečeno, že každý má právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě. Článek 13 Listiny základních práv a svobod pak uvádí, že nikdo nesmí porušit listovní tajemství ani tajemství jiných písemností a záznamů, ať již uchovávaných v soukromí nebo zasílaných poštou anebo jiným způsobem, s výjimkou případů a způsobem, které stanoví zákon. Stejně se zaručuje tajemství zpráv podávaných telefonem, telegrafem nebo jiným podobným zařízením. Ochrana zájmů o fyzických osobách občanech, zejména údajů o zdraví, občanské cti a soukromí vyplývá přímo z 11 občanského zákoníku. Podle tohoto ustanovení jde o nedělitelnou součást celkové fyzické a psychicko-morální integrity osobnosti. V případě zveřejnění nepravdivých nebo zavádějících údajů může fyzická osoba podat soudní žalobu na základě 19 občanského zákoníku. Co se týče ochrany údajů o právnických osobách, vychází právní úprava z obchodního zákoníku. Jde zejména o 17 obchodního zákoníku obsahující ochranu obchodního tajemství.
1.2.6 Zákon o ochraně osobních údajů v informačních systémech č. 256/1992 Sb. a Zákon o ochraně osobních údajů č. 101/2000 Sb. Tento zákon vznikl právě za účelem ochrany dat a informací. Zákon stanoví odpovědnost právnických a fyzických osob, které přichází do styku s informačními systémy. V úvodu zákona jsou vymezeny některé pojmy, např.: 4 Vymezení pojmů Pro účely tohoto zákona se rozumí a) osobním údajem jakýkoliv údaj týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za učený nebo určitelný, jestliže lze na základě jednoho či více osobních údajů přímo či nepřímo zjistit jeho identitu. O osobní údaj se nejedná, pokud je třeba ke zjištění identity subjektu údajů nepřiměřené množství času, úsilí či materiálních prostředků, b) citlivým údajem je osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuálním životě subjektu údajů. Za informační systém zákon považuje funkční celek zabezpečující systematické shromažďování, zpracovávání, uchovávání a zpřístupňování informací. V podstatě tedy nejde jen o samotný výpočetní systém, databázi a odpovídající programové vybavení, ale i o pracovníky, kteří se stávají součástí takového informačního systému. Provozování informačního systému představuje soubor komplexních činností: shromažďování, zpracování, poskytování a rušení informací. Poskytování informací se v této souvislosti nazývá informační službou. Zpracování informací spočívá v podstatě v udržování aktuálnosti údajů prostřednictvím jejich modifikace, doplňování a automatizovaného zpracování. Likvidace informací představuje jejich trvalé znepřístupnění, ať už formou výmazu nebo dokonce likvidací fyzického nosiče údajů. S daným informačním systémem přichází do styku řada osob. Zákon definuje provozovatele informačního systému, uživatele informačního systému a zprostředkovatele. Provozovatelem informačního systému je fyzická nebo právnická osoba, zabezpečující zpracování údajů a zpřístupňování informačních služeb. Je zároveň nositelem práv a povinností spojených s provozováním informačního systému.
Uživatel využívá informace z informačního systému, a to buď přímo nebo prostřednictvím informačních služeb. Ke styku uživatele s provozovatelem může sloužit zprostředkovatel. Ten může dále zajišťovat sběr informací pro provozovatele. Sběr informací musí probíhat tak, aby nedocházelo k narušování práv a svobod občanů. Provozovatel musí požádat o registraci informačního systému u zvlášť k tomu zřízeného orgánu ( 24 ZOÚ), s výjimkou systémů určených výhradně pro vnitřní potřeby provozovatele nebo systémů pracujících pouze se zveřejněnými informacemi. Při ukončení činnosti musí být tento orgán informován bezodkladně provozovatelem. U nás nebyl prozatím tento orgán zřízen. Na fyzické osoby, které v rámci svého pracovního nebo obdobného poměru nebo v rámci své funkce či smluvní činnosti mají přístup k danému informačnímu systému, se vztahuje povinnost mlčenlivosti. Tato povinnost platí i po ukončení pracovního poměru či výkonu smluvní činnosti. Ochrana zatím může probíhat pouze soudně, důkazy si postižená strana musí zajistit v podstatě sama. Jelikož ovšem provozovatel není povinen vpustit cizí osoby do podniku ani poskytnout podklady, může velice dobře odstranit veškeré důkazní stopy. Povinnosti osob při zabezpečení osobních údajů 13 (1) Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů. (2) Správce nebo zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy. 14 Zaměstnanci správce nebo zpracovatele a jiné osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, mohou zpracovávat osobní údaje pouze za podmínek a v rozsahu správcem nebo zpracovatelem stanoveném.
15 (1) Zaměstnanci správce nebo zpracovatele, jiné fyzické osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, a další osoby, které v rámci plnění zákonem stanovených oprávnění a povinností přicházejí do styku s osobními údaji u správce nebo zpracovatele, jsou povinni zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací. (2) Ustanovením předchozího odstavce není dotčena povinnost zachovávat mlčenlivost podle zvláštních zákonů. 44 Přestupky (1) Fyzická osoba, která a) je ke správci nebo zpracovateli v pracovním nebo jiném obdobném poměru, b) vykonává pro správce nebo zpracovatele činnosti na základě dohody, nebo c) v rámci plnění zvláštním zákonem uložených oprávnění a povinností přichází u správce nebo zpracovatele do styku s osobními údaji, se dopustí přestupku tím, že poruší povinnost mlčenlivosti ( 15). (2) Fyzická osoba se jako správce nebo zpracovatel dopustí přestupku tím, že při zpracování osobních údajů b) zpracovává nepřesné osobní údaje [( 5 odst. 1 písm.c)] c) shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem, který neodpovídá stanovenému účelu [( 5 odst. 1 písm. d), f) až h)] e) zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy uvedené v zákoně ( 5 odst. 2 a 9) h) nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů ( 13) (3) Fyzická osoba se jako správce nebo zpracovatel dopustí přestupku tím, že při zpracování osobních údajů některým ze způsobů podle odst. 2 písm. a) ohrozí větší počet osob svým neoprávněným zasahováním do soukromého a osobního života, nebo
46 (1) Právnická osoba za správní delikt neodpovídá, jestliže prokáže, že vynaložila veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti zabránila. (2) Při rozhodování o výši pokuty se přihlíží zejména k závažnosti, způsobu, době trvání a následkům protiprávního jednání a k okolnostem, za nichž bylo protiprávní jednání spácháno. 1.2.7 Nekalosoutěžní jednání, obchodní tajemství a porušování pracovního řádu Nekalosoutěžní jednání podle ust. 44 ObchZ odst. 2 písm. g) je mj. porušování obchodního tajemství. Obchodní tajemství definuje 17 ObchZ jako veškeré skutečnosti obchodní, výrobní či technické povahy související s podnikem, které mají skutečnou nebo alespoň potenciální materiální či nemateriální hodnotu, nejsou v příslušných kruzích běžně dostupné, mají být podle vůle podnikatele utajeny a podnikatel odpovídajícím způsobem jejich utajení zajišťuje. Proti porušení nebo ohrožení práva na obchodní tajemství přísluší organizaci právní ochrana jako při nekalé soutěži ( 53 a násl. ObchZ). Aby bylo obchodní tajemství organizace chráněno, musí tedy v interních normách být definováno, zajištěno utajení, sankcionováno porušení těchto norem podle pracovněprávních předpisů, příp. upozorněno na možnosti trestního stíhání pachatelů. 1.2.8 Další trestné činy U počítače stejně jako u jiné movité věci může jít o trestný čin krádeže, zpronevěry, podvodu, podílnictví, zatajení věci, jakož i poškozování cizí věci. Poměrně častý je výskyt deliktů podle ustanovení 249 neoprávněné užívání cizí věci. Většinou však dochází ke dvěma typickým projevům počítačové kriminality: počítání na počítači zaměstnavatele a v návaznosti na to prodávání programů, které vznikly v rámci pracovního poměru., jiným uživatelům pod vlastní hlavičkou. Tady je však vhodné rozlišovat nevýdělečné počítání v pracovní době, mimo pracovní dobu a výdělečné počítání.
1.2.9 Poškození a zneužití záznamu na nosiči informací Podle 257a odst. 1 je postihován ten, kdo v úmyslu způsobit jinému škodu nebo jinou újmu nebo získat sobě nebo jinému neoprávněný prospěch získá přístup k nosiči informací a a) takových informací neoprávněně užije, b) informace uničí, poškodí nebo učiní neupotřebitelnými nebo c) učiní zásah do technického nebo programového vybavení počítače. 2. Datové hrozby 2.1 Vnitřní hrozby 2.1.1 Lidský faktor Potvrdí to každý, kdo se někdy jen trochu věnoval informační bezpečnosti. Největšího nepřítele není třeba hledat na druhé straně planety, ale - u vedlejšího stolu. Vnitřní nepřítel, tedy kolega z kanceláře, má mnohem více možností než virtuální útočník z druhé strany planety. Jednak je zpravidla důvěryhodný, takže jakékoliv žádosti se dostane slyšení. Kdyby ji vyslovil v nějaké podobě internetový útočník, zpravidla by se se zlou potázal. Dále má úplně jiné znalosti než vzdálený agresor. Může být technicky velmi nenadaný, a přesto dosáhne úžasných výsledků. Ví totiž, jaké jsou v organizaci zvyklosti. A dokáže si přečíst třeba heslo napsané na malém žlutém lístečku na monitoru nebo dokáže heslo prostě vysledovat. Má také zcela jiné možnosti. Za všechny lze jmenovat fyzický přístup nemusí jít přímo o fyzický přístup k serverům, stačí k okolním počítačům. Příkladů, které to dosvědčují, by šly jmenovat desítky. Mnoho řadových zaměstnanců nemá tušení o bezpečnostním zajištění svého firemního počítače či notebooku a ani si neuvědomují, že by měli mít aktualizované bezpečnostní záplaty. Nemluvě o tom, že skoro každý z nás do sítě připojuje vlastní zařízení, např. ipody, USB paměťová média nebo digitální fotoaparáty. Pokud zdravotnické zařízení nemá přesně stanovena jasná pravidla (zakotvená jednak v dokumentech o bezpečnostní politice, ale hlavně v pracovním řádu) pro použití firemních zařízení jako jsou notebooky či např. PDA, představují pro ně zaměstnanci riziko, že se vnitropodnikové počítačové sítě nakazí viry, červy či jinými škodlivými programy, nemluvě o zcizení dat. Podle nedávného průzkumu společnosti Datamonitor 46% společnosti tvrdí, že zdrojem nákazy podniku byly divoké systémy jejich zaměstnanců. Jako divoké systémy
označujeme takové systémy, které nejsou identifikovatelné, nevedou se o nich záznamy a nejsou centrálně spravované, ale mají přitom přístup k podnikové síti. Datamonitor zjistil, že někteří respondenti označili tyto systémy jako odpovědné za více než 50% nákaz. Vnitřním nepřítelem jsou nejenom zdravotničtí pracovníci či správci a pracovníci IT, ale i dodavatelé, zaměstnanci v administrativě nebo i pacienti atd. Tak jako je široké spektrum potenciálních agresorů, jsou různé i jejich pohnutky k takovéto činnosti. Ať už se jedná o pouhou zvědavost, osobní, skupinové či komerční zájmy, spolupráci s médii a senzacechtivost, touhu po diskreditaci zdravotnického zařízení (např. v případě nespokojeného pacienta) nebo pomstychtivost propuštěného zaměstnance. Na základě průzkumu identifikovala společnost McAfee čtyři odlišné profily těchto agresorů: + Neznalý uživatel: zaměstnanci s velmi omezenými znalostmi o bezpečnosti a výpočetní technice + Nadšenec pro elektroniku: zaměstnanci s několika privátními elektronickými zařízeními, které připojují k síti + Squatter: zaměstnanci, kteří používají podnikovou síť nedovoleným způsobem, ale záměrně neškodí např. stahují hudbu, ukládají fotografie, on-line hry + Sabotér: zaměstnanci, kteří záměrně hackují firemní IT systémy a zcizují informace Neznalost významu instalování a aktualizování softwaru ilustrovala studie AOL Online Safety Study 63% uživatelů mělo na svém počítači virus. 67% počítačových uživatelů během posledních sedmi dnů neaktualizovalo virové definice. Celých 72% uživatelů nemělo správně nakonfigurovaný firewall. Proto by výše zmíněné akce měly být v podnikové síti prováděny automaticky (buďto dle časového plánu nebo při přihlášení uživatele apod.) Jak se mohou firmy chránit? Tzv. vnitřní hrozby jsou jedním z bezpečnostních problémů, jímž se musí majitelé firem i podniků či bezpečnostní manažeři zabývat a hledat vhodná řešení jak možným útokům předejít. Vynucování bezpečnostní politiky je obtížné, protože neschválená zařízení není snadné detekovat a kontrolovat. Ke zranitelnosti sítě vůči útokům přitom stačí pouze jedno jediné nezabezpečené zařízení, připojené k podnikové síti. Základní podmínkou je absolutní pořádek v datech a pořádek v organizaci. Dodržování bezpečnostních nařízení se musí stát součástí chodu firmy a musí být včleněno
do organizačních předpisů a postupů. Řešení spočívá v kombinaci vzdělávání zaměstnanců a investování do komplexních řešení pro správu bezpečnosti. Tyto podmínky přitom žádný software sám o sobě nesplní, pouze pomůže s jejich implementací v praxi. Asi nejdůležitějším krokem je určení bezpečnostních priorit. S Systém safe (zabezpečte systémy) E Everyone knows (všechny poučte) C Compliance (zajistěte dodržování pravidel) U Update regurarly (provádějte automaticky aktualizace) R Risk monitoring (sledujte rizika) E Encourage communications (začněte komunikovat) 2.1.2 Přírodní faktor Celkově zhruba osmi procenty se ve statistice projevuje tzv. přírodní faktor. Eliminací výskytu této části poškození nelze příliš ovlivnit. Blesk během bouřky, následné přepětí v síti, požár a souvisejcí kouř nebo povodeň učiní své. I přes nemožnost eliminace příčin existují způsoby obrany pomocí zdrojů UPS, bleskojistkami, svodiči přepětí, zálohováním dat atd. 2.1.3 Technický faktor 7% ztráty dat tvoří chyby technického faktoru jako například poruchy hardware, únava materiálu, poruchy vinou opakovaných výpadků napájení, přetížení systému apod. Velké řadě chyb technického faktoru lze úspěšně předcházet pravidelným zálohováním na odlišné typy datových médií, speciálním hardwarem, pomocí zdrojů nepřerušitelného napájení (UPS) atd. 2.2 Vnější hrozby Zde se jedná o oblast hrozeb, které jsou díky medializaci veřejnosti vnímány jako ty hlavní, o kterých se nejvíce hovoří, je jim věnována maximální odborná pozornost, směřováno maximální úsilí na ochranu. Drtivá většina rozpočtů na ICT bezpečnost padne na ochranu před vnějšími útoky, a to i přesto, že interní útok je v konečném důsledku pravděpodobnější.
Popis všech těchto hrozeb by zabral několik stran a ani tak by nejspíše nebyl úplný, protože s novými, perspektivními technologiemi, které se teprve začínají objevovat na trhu, se objevují i nové hrozby. Patří sem zejména hrozby typu: - viry - spyware (špionážní programy) - fishing (rybaření) - spam (zahlcování) - boty (bot zkrácenina slova robot) - backdoor - trojský kůň - útoky na mobilní zařízení a bezdrátové (WiFi) produkty - peer-to-peer exploits - kybernetický terorismus - Zero-Day - Denial of Service (odmítání služby) - sociální inženýrství - XENO (extended enterprise network overseas) - sniffery Alfou a omegou vnitřní bezpečnosti by se tak měla stát bezpečnostní analýza, která definuje potřeby, a také bezpečnostní politika, jež zajistí jejich soulad s praxí. Technické prostředky pak de facto hrají podružnou roli. Například nutí uživatele měnit hesla dostatečně často a vytvářet je dostatečně silná. V ideálním případě pak nespoléhejte na samotná hesla, ale na jejich kombinaci s čipovými kartami (tedy fyzickými prostředky, nad nimiž má uživatel kontrolu na rozdíl od virtuálních hesel, která představují pouze znalost) nebo dokonce s biometrickými znaky. Protože napsání hesla na poznámkový papírek je asi jen těžko možné technicky zabránit Jde tedy o to, jak použít technické prostředky tak, aby riziko lidského faktoru eliminovaly. Těžko někdo spustí škodlivý kód v e-mailu, pokud mu nakažená zpráva vůbec nepřijde, tedy pokud je zablokovaná už na úrovni serveru. A takto by samozřejmě bylo možné pokračovat dále.
Kromě technických opatření je nutné mobilizovat i opatření administrativní. Jedná se o postupy, standardy a procedury, které v konečném důsledku vytvářejí bezpečnější prostředí. Je třeba zdůraznit, že administrativní opatření vytváří schémata pro řízení technických a fyzických opatření a definuje jejich mantinely. Zapomínat nelze ani na fyzickou bezpečnost ani vlastní zaměstnanci by neměli mít přístup vždy a všude. Zamčené dveře, vyhrazené místnosti, kontrola přístupu a další Opatření jsou velmi důležitou součástí ICT bezpečnosti. Objekty jsou jaksi samozřejmě chráněny před vstupem nepovolaných osob, tak proč by se stejnou samozřejmostí nebyl regulován i pohyb osob v nich? Politika každý může všude je cestou do jisté zkázy. Nesmí se zapomínat ani na personální opatření, která ovšem mají hned několik rovin. Především jde o výběr vhodných adeptů na určitou pozici, kdy se vyplatí zajímat se o morální bezúhonnost (nejen trestní!) či schopnost splnit některé požadavky jako je třeba mlčenlivost, schopnost samostatné práce apod. Bohužel současný pracovní trh nevypadá úplně bezchybně, takže mnoho zdravotnických zařízení je rádo, že vůbec určité pracovní pozice obsadí a raději nezkoumají nebo rovnou velkoryse přehlížejí minulé hříchy uchazečů obsazené místo je často důležitější než pozice neobsazená. Do oblasti personální bezpečnosti patří také pravidelná školení, která mají za cíl zajistit odpovídající znalostní úroveň. Aby se tato školení nestala samoúčelnými nebo je zaměstnanci neignorovali, měly ba na ně navazovat i odpovídající testy, které prokáží odbornou způsobilost plnit stanovené požadavky. Jen důkladná znalost práv a povinností sníží pravděpodobnost, že se dotyčný zaměstnanec stane nebezpečím z nedbalosti. Ostatně tato poučka by se dala paušalizovat. Celá informační bezpečnost totiž nespočívá jen v nastavování pravidel a hranic, ale také v kontrole. V kontrole toho, zda jsou tato pravidla a hranice nastaveny správně a zda se všichni pohybují v jejich rámci. Podstatnou a většinou opomíjenou součástí těchto opatření jsou sankce za jejich nedodržení či porušení.. K čemu je vám zákon, když nestanoví postih za jeho nedodržení?
3. Ochrana dat pacientů komplexní bezpečnost 3.1 Předmět ochrany dat Obecně lze problémy počítačové bezpečnosti rozdělit do šesti klíčových oblastí: 1. Zajištění soukromí Každý jedinec nebo organizace musí mít možnost volby, kdy a s kým bude sdílet svá data. 2. Zajištění utajení U velkých firem není prakticky možné definovat explicitně pro každého uživatele, ke které části dat má mít přístup. Místo toho se užívá klasifikace dat do kategorií, nazývaných stupně utajení. Každému jedinci je pak přiřazena jistá míra jeho prověření, tzv. oprávnění uživatele, které uvádí, že daný jedinec je oprávněn pracovat s daty určitého stupně utajení. 3. Zajištění integrity Žádnému jedinci nesmí být zabráněno v použití informace proto že někdo jiný informaci zničil či modifikoval nebo poškodil prostředky, zajišťující k této informaci přístup. 4. Omezení možnosti zneužití Privilegovaným uživatelům nesmí být umožněno zneužít důvěry k získání neautorizovaného přístupu k datům a prostředkům nebo k oprávněnému udílení přístupu jiným osobám. 5. Identifikace problémů Administrátor musí v případě prolomení bezpečnosti stanovit konkrétní příčinu a určit co nejpřesnější rozsah škody. 6. Zajištění bezpečnosti Uživatelé musí mít jistotu, že komunikují se skutečně důvěryhodným systémem. Tím se dostáváme k otázce, co vůbec chránit a kdo ochranu potřebuje. V každé organizaci se najdou data, která je nutné chránit před odcizením a volným přístupem všech zaměstnanců. Typicky je to účetnictví, databáze klientů, různé druhy smluv, obchodní plány a strategie a know-how. Zajisté každý uzná, že tato data nejsou pro každého a že je nutné je i odpovídajícím způsobem chránit. Je třeba si uvědomit jednoduchou věc ztráta či zveřejnění těchto informací může způsobit velké škody a náklady na ochranu jsou pouze jejich zlomek.
Jaké možnosti ochrany dat vlastně máme k dispozici. V zásadě jsou to: - ochrana přístupu k počítači - ochrana přístupu k datům - ochrana počítačové sítě - ochrana pravosti a celistvosti dat (autenticita a integrita). 3.1.1 Ochrana přístupu k počítači Přístup k vlastnímu počítači je třeba chránit především jako takový (fyzický přístup). K počítači by se měl tedy co nejobtížněji dostat případný narušitel. Fyzická ochrana počítače se dá rozdělit do dvou hlavních částí: na hardwarovou ochranu (ochrana, která vyžaduje přítomnost nebo použití hardwaru pro přístup) a na softwarovou ochranu (ochrana založená čistě na programových prostředcích). Každé toto řešení má určité výhody a nevýhody. Hardwarové řešení bývá většinou dražší, ale zase o něco bezpečnější. Softwarové řešení je zpravidla o něco levnější nemusíte nic přidávat do počítače, ale zase je lze principiálně snáze napadnout pouze softwarovým způsobem. 3.1.2 Šifrování dat Z hlediska vlastního zabezpečení je jedno, jestli jsou data šifrována symetrickou nebo asymetrickou šifrou, více záleží na zvoleném algoritmu a na efektivní délce šifrovacího klíče (viz Tab. 1). Jedno je jisté: šifrování jakoukoliv metodou je mnohem lepší než ochrana žádná. 3.1.3 Ochrana počítačové sítě Pokud chráníme jen jeden izolovaný počítač, vše je relativně jednoduché a dá se udržet pod kontrolou. Jenže počítače jsou dnes většinou pospojovány, a tím se nám vynoří mnoho dalších bezpečnostních problémů. Pokud jsou počítače zapojené v sítí, tak je obvyklé vyžadovat přihlášení uživatele k nějakému autentizačnímu serveru a nutit používat uživatele nejednoduchá hesla. Použitím silných hesel navíc se zkomplikuje též možnost útoku na přihlašovací informace putující po síti. Lze totiž, pokud jsou hesla krátká a jednoduchá, odposlouchávat provoz na síti a odchytávat identifikační
a autentizační pakety ze sítě a pak útokem hrubou silou se je snažit dešifrovat. Pokud však jsou hesla dlouhá a komplikovaná, tento útok je v rozumném časovém úseku neproveditelný. Dalším krokem v zabezpečování počítačové sítě je nastavení práv a možností uživatele. Tedy přístupová práva k jednotlivým serverům, službám, adresářům a souborům. Toto umožňují nastavit dnes již všechny serverové operační systémy samozřejmě v různých hloubkách a kvalitách. Nejdůležitější je však fakt, že existují závazná pravidla bezpečnostní politika pro jednotlivé druhy uživatelů a jejich nastavení práv a omezení. Tento dokument je vlastně jakýsi základ bezpečnosti v organizaci. Všechny organizace, které to s bezpečností myslí vážně, mají tento dokument velmi pečlivě vypracován. Obsah tohoto dokumentu a jeho tvorba jsou nastíněny v jiné části této práce. Dalším neméně důležitým krokem je ochrana serverů v organizaci. Většina opatření těží z toho, že pro běžný provoz sítě není nutná přítomnost zaměstnance u serveru, a proto server bývá zabezpečen převážně fyzicky. To znamená je umístěn v zamčené místnosti, chráněné zabezpečovacím zařízením a monitoringem. Pro většinu případů je ochrana fyzického přístupu k serveru tímto způsobem naprosto nedostačující. Administrátor nebo pověřený zaměstnanec by denně měl procházet logovací soubory, aby zaznamenal neprovedené úlohy, hrozící hardwarové či softwarové selhání či odhalil útok hackera. Velkým problémem je i ochrana počítačové sítě jako celku. Tím je myšlena ochrana kabeláže, ochrana komunikace v síti, ochrana připojení do jiných sítí a Internetu. Pro tyto účely existuje velké množství řešení a produktů., které pokrývají různým způsobem tuto oblast. Jsou to: firewally, VPN, linkové šifrátory a standardy typu SSL, IP Sec, HTTPS a mnoho dalších. Vše, co bylo dosud uvedeno o bezpečnosti sítí, se týkalo hlavně ochrany přístupu k síti. Ale i na počítačové síti lze řešit ochranu přístupu přímo k jednotlivým souborům šifrováním. 3.1.4 Ochrana pravosti a celistvosti dat Speciální kategorií bezpečnostních problémů tvoří ochrana pravosti a integrity dat. Jedná se o to, že v mnoha případech potřebujeme nejenom chránit důvěrnost veřejně dostupných elektronických dokumentů, ale i zaručit jejich pravost a nezfalšovatelnost. Pro tento účel byly vyvinuty metody tzv. digitálního podpisu (což není zdigitalizovaný, tedy naskenovaný podpis). Přijetím zákona č. 227/2000 Sb., o elektronickém podpisu
může být právoplatný podpis proveditelný v rámci digitálního dokumentu bez potřebného vytištění na papír, a to připojením ověřitelného elektronického podpisu. Ten se dá využít všude tam, kde se dnes užívá běžný psaný podpis. Výhodou je nesrovnatelně rychlejší, přesnější a jednodušší ověřitelnost, ale také možnost podepsat se i pod to, co se dá jinak ověřit jen velmi těžko, např. obsah diskety, fotografie, přístupy do databáze atd. 3.1.5 Míra zabezpečení Není vždy nutné na vše použít to nejlepší (a nejdražší), co je k dispozici. Je třeba si uvědomit hodnotu a význam chráněných dat, případně dobu jejich platnosti a od toho odvíjet požadavky na jejich zabezpečení. Navíc žádná ochrana není stoprocentní a úspěšnost nebo odolnost ochrany je tak vysoká, jak dlouho odolává útokům, případně kolik je třeba vynaložit prostředků na její prolomení. Pro méně důležitá data stačí použití operačního systému s nutnou identifikací a autentizací pro práci v systému a nastavení přístupových práv k souborům a omezení konfigurace operačního systému. Proti znalému útočníkovi je již nutné použít zabezpečení formou šifrování. Proti odbornému útoku je nutné použít kvalitní šifru s rozumnou délkou klíče a samozřejmě proti profesionálnímu útoku (kryptografická analýza, útok na čipové karty dle spotřeby energie, analýza disků na zbytkové magnetické pole) je nutné nasadit kvalitní zbraně jako nedělitelné šifrování pomocí hardwaru, samodestruktivní zařízení aj., nejlépe v různých kombinacích s kvalitním monitoringem a auditem. Ano, to je ten rozdíl mezi dopisem zašifrovaným před zvídavou manželkou a ochranou dat o stavu a připravenosti armády státu. Obecný recept jak dosáhnout 100% zabezpečení asi neexistuje. Asi nejvýstižnější je pionýrské buď připraven a v případě, že prevence selže a k narušení bezpečnosti dojde, reagovat rychle a efektivně a vzniklý problém se snažit odstranit s co možná nejmenšími následky. Dále platí, že klíčem k bezpečnosti počítačů a aplikací je koncový uživatel. Čas vynaložený do jejich neustálého vzdělávání se tedy určitě vyplatí. Každý uživatel by měl vědět, že je nedílnou součástí počítačové bezpečnosti, že bezpečnost jeho stanice se týká také jeho, ne pouze správce, který se o jeho stroj stará, a že se na bezpečnosti své pracovní stanice a sítě aktivně podílí. Každá koncová stanice s narušenou bezpečností se může stát přestupním prvkem pro útok na ostatní zdroje v síti, proto se počítačová bezpečnost týká všech prvků, každé pracovní stanice, ne pouze centrálních serverů a datových úložišť.
Tab. 1 Vliv délky klíče na čas nutný k prolomení symetrické šifry 4. Přístupy k zabezpečení dat Zabezpečení IT se neustále mění, protože se každý den objevují nové hrozby a způsoby zneužití slabých míst. Nikdy se sice nedá zaručit, aby byla firma stoprocentně zabezpečená, ale pomocí dvou základních kroků se mohou přiměřeně podniková data, softwarové aplikace a každodenní provoz ochránit a tím i pověst a výkonnost firmy. První krok představuje formulování zásad zabezpečení, které odpovídají charakteristikám firmy. Druhým krokem je docílit, aby tyto zásady efektivně fungovaly, a to pomocí komplexního programu správy zabezpečení, který se dokáže pohotově přizpůsobovat novým hrozbám. 4.1 Vytvoření zásad zabezpečení Zásady zabezpečení představují komplexní rámec prevence, detekce a reakce na bezpečnostní hrozby. Pokrývají logické a fyzické zabezpečení, ochranu osobních údajů a důvěryhodných informací a rovněž zákonné nároky kladené na firmu. Určují také úlohy a odpovědnost správců, uživatelů a poskytovatelů služeb. Jejich nedílnou součástí jsou mechanizmy vynucování a sankcí, které definují chování, jež bude považované za porušení zásad, a disciplinární kroky v případě jejich porušení. Pro vytvoření efektivních zásad zabezpečení by se mělo přijmout pět základních kroků:
+ uskutečnit důkladnou inventuru firemní infrastruktury a připojených prostředků IT + dokumentovat úlohu veškerého informačního majetku + analyzovat veškerý tento majetek a prvky infrastruktury jednotlivě i jako celek + zvážit identifikovaná rizika a zranitelnost s ohledem na význam daného zranitelného prostředku + stanovit priority na základě zhodnocení rizik. Zásady zabezpečení by kromě jiného měly řešit: - náležité používání firemních systémů e-mailu a rychlého posílání zpráv, - ochranu provozních dat (např. informací o zaměstnancích, zákaznících nebo účetnictví) a dalších citlivých informací, - postupy reakce na bezpečnostní hrozby, pokusy o narušení, ztrátu dat, poruchy systémů nebo sítě, - náležitou péči a používání protokolů a systémů ověřování (uživatelských jmen a hesel). Aby byly zásady zabezpečení trvale aktuální, je důležité počítat s funkcí revize, jež zajistí jejich průběžný vývoj v souvislosti se změnami ve firmě a v prostředí, v němž firma působí. 4.2 Realizace zásad zabezpečení Vytvořit zásady zabezpečení je jedna věc, ovšem zajistit, aby fungovaly, to je úplně něco jiného. S novými nástroji pro správu informací však lze proaktivně spravovat zabezpečení IT mnohem jednodušeji a přehledněji než v minulosti. Například pomocí informací ze systému automatického bezpečnostního auditu je možné sledovat trendy, které signalizují bezpečnostní slabiny, zjišťovat a blokovat narušení, filtrovat obsah, blokovat červy a viry a automatizovat aktualizace softwaru bez plýtvání časem personálu. Celkově lze říci, že se dosáhne nejvyšší efektivity, pokud se bezpečnostní úsilí zaměří na tři klíčové oblasti: 1. detekce a prevence narušení 2. ochrana dat 3. správa identit ověřování a oprávnění uživatelů pro přístup k systémům a datům
4.2.1 Detekce a prevence narušení Při vytváření bezpečnostních postupů pro detekci a prevenci narušení by se mělo držet následujících pravidel : - Používání firewallu jako bezpečné nárazníkové zóny mezi firemními systémy a veřejným internetem. - Nainstalování systému detekce narušení, sloužící k ochraně hranic firemní sítě před neoprávněnými uživateli a hackery. - Pokud je provozován vlastní webový server, měla by se vytvořit tzv. demilitarizovaná zóna, tedy počítač nebo podsíť, které se budou nacházet mezi interní a externí sítí, aby se na webový server a z něho dostával pouze schválený provoz. - Využití virtuální privátní sítě pro připojení vzdálených ordinací. - Pravidelně aktualizovaný software. Časová prodleva mezi odhalením chyb a jejich svévolným zneužitím se dramaticky zkracuje. 4.2.2 Ochrana dat Pro ochránění dobrého jména firmy a udržení si důvěry klientů je ochrana dat naprosto rozhodující. Například náklady na jeden bezpečnostní incident, kdy klienti zjistí, že došlo k ohrožení nebo neoprávněnému nakládání s jejich daty, činí podle nedávné studie organizace Ponemon Institute 14 milionů dolarů. Je důležité mít na paměti, že ochrana dat má dva komponenty: vytvoření adekvátních bezpečnostních opatření a pravidelné zálohování dat. Podle nedávné studie agentury Quocirca padesát procent malých a středních firem v posledních dvanácti měsících vůbec nekontrolovalo schopnost obnovit data ze záloh. Pokud z jakéhokoliv důvodu ztratíte data a zálohy selžou, nastane velký problém. Opatření pro lepší ochranu dat: - Zabezpečení přístupu k datům jak fyzicky, tak prostřednictvím mechanizmů identifikace, ověřování a oprávnění. - Pořizování denní záložní kopie dat a jejich uchovávání na bezpečném místě mimo provozovnu, kde jsou operační data uložena.
- Automatizování zálohování stolních počítačů a zajištění centrálního zálohování nejen serverů, ale také osobních a přenosných počítačů. Na místních discích bývá často uchováváno velké množství dat, která nejsou nikde zálohována tato data mohou být v případě poruchy počítače ztracena. - Instalace záložních zdrojů napájení kvůli výpadku proudu, při kterém by mohlo dojít ke ztrátě nebo poškození dat. - Implementovat vysoce dostupné úložiště dat s odolností vůči chybám. - Používání spolehlivého antiviru a antispywaru, jeho správného nakonfigurování a aktualizací, šifrování citlivých souborů. Správně implementované nástroje pro správu informací pomohou snížit náklady, zamezí komplikacím spojeným se správou zabezpečení a sníží rovněž administrativní výdaje a zároveň přispějí k lepšímu zabezpečení firmy. 4.2.3 Správa identit Tradiční (převážně ruční) mechanizmy autentizace a autorizace zaměstnanců, tedy zjišťování, kdo jste a k čemu smíte přistupovat, se stávají významným zdrojem rizik pro všechny firmy. Většina zaměstnanců je totiž ověřována pomocí kombinace identifikace (například uživatelského jména) a hesla (které si zaměstnanci obvykle vyberou sami). Tento systém může být nebezpečný v okamžiku, kdy je potřeba přistupovat do více oddělených systémů, protože uživatelé si musí pamatovat obrovské množství hesel, a proto mají tendenci volit slabá nebo samozřejmá hesla, která mohou případní útočníci snadno odhalit. Navíc je třeba ručně odstraňovat účty bývalých zaměstnanců, což se často opomíjí, a systémy pak bývají vystaveny neoprávněnému přístupu. Řešením tohoto problému je systém tzv. federované správy identit, který centralizuje správu veškerého ověřování a oprávnění uživatelů. Usnadňuje prosazování zásad zabezpečení, automaticky odstraňuje prošlé uživatelské účty, vytváří prostředky automatizace koncových uživatelů a možnosti samostatné obsluhy, které snižují nároky kladené na tým IT, pomáhá též uvádět nové uživatele do provozu.
4.3 Zálohování dat Zálohování vytvořených a zpracovaných dat je pro každou organizaci životní nutností. Data jsou tím nejdůležitějším a nejdražším, co každá organizace vlastní. Všechny uživatelské a systémové programy jsou obnovitelné a všeobecně dostupné, ale jen vlastní pořízená data jsou jedinečná a nenahraditelná. Pro správný chod každé organizace. V současnosti většina organizací uchovává zásadní informace o své činnosti v elektronické podobě. Jakýkoliv neoprávněný zásah na narušení sytému informací může mít pro organizaci katastrofické následky. Bez promyšleného systému zálohování důležitých dat nelze tato data v případě nějaké havárie vrátit do původní podoby. Taktéž doba, potřebná na obnovu činnosti organizace do původního stavu, může trvat i několik dní. Znovu vytvoření potřebných dat bez obnovy ze zálohy někdy ani není možné nebo způsobí firmě nemalé ekonomické ztráty. Mnohým firmám takto vzniknou i existenční problémy, které mohou vyústit až ke krachu. Ke ztrátě nebo zničení dat dochází většinou nečekaně, bez upozornění, snadno a může se tak stát kdykoliv. Nejčastějším způsobem ztráty dat je: - lidská chyba (neúmyslné smazání či přepsání dat, nedbalost, nepozornost při práci ) - selhání systému a hardware (selhání disku, výpadek napájení, havárie systému ) - úmyslné zničení dat (napadení virem, krádež počítače, sabotáž konkurenční firmy ) - přírodní katastrofy (záplavy, požár, zásah bleskem ) Existuje více metod zálohování dat, které pokrývají možnosti jejich ztráty a poškození. Každá z těchto metod řeší specifická rizika a pro minimalizaci vznikajících rizik je dobré tyto metody kombinovat. Neexistuje jediná správná univerzální metoda. Pro výběr metody je tedy v prvé řadě důležité, jaká rizika chceme zálohováním řešit. Dalším kritériem je rychlost obnovení dat po poškození a srovnání ušlého zisku způsobeného nedostupností dat s cenou řešení. Důležité je alespoň nějaké zálohování. Převážně většina případů ztráty dat totiž není způsobena špatnou metodou, ale zanedbáním nebo úplnou absencí jakéhokoliv zálohování.
4.1.1 Ukládání zálohovacích médií Jedná se o rozsáhlou oblast spíše administrativního charakteru, jde o vytvoření zálohovacího plánu vycházejícího z potřeb organizace na délku uchovávání zálohových dat danou například zákonem, způsob jejich uložení a dostupnost dat. Většina profesionálních zálohovacích programů řeší tuto problematiku prostřednictvím interních databází, ve kterých jsou uchovávány informace o jednotlivých médiích se zálohovanými daty, dobou platnosti těchto dat, hospodaření s médii apod. Média se zálohovanými daty by měla být ukládána na jiném místě než byla pořízena pro případ požáru apod. 4.1.2 Návrh plánu zálohování Účetní data se zálohují v případě provedení velkých změn, pravidelně pak jednou týdně vždy v sobotu (05 hod.) a jednou měsíčně na konci kalendářního měsíce (22 hod.). Data pacientů se zálohují denně, týdně (vždy v sobotu 01 hod.), měsíčně (vždy 1. den v měsíci v 05 hod.). Ostatní data se zálohují nepravidelně podle potřeby a podle množství provedených změn. Časy jsou voleny tak, aby s ohledem na dobu zálohování i v případě časového posunu (letní/zimní čas) došlo k regulérnímu spuštění/ukončení zálohy. Označení složek pro ukládání záloh: - Zaloha.denx týdenní zálohování účetních dat, x znamená pořadové číslo dne (1-7) - Zaloha.tydenxx týdenní zálohování účetních dat, xx znamená pořadové číslo týdne - Zaloha.mesicxx-rok měsíční záloha účetních dat, xx znamená pořadového číslo měsíce
Tab. 2 ZÁLOHOVACÍ MÉDIA
5. Specifika ochrany zdravotnických dat Ačkoliv by se z výše napsaného mohlo zdát, že problematika ochrany zdravotnických dat se neliší od ochrany dat v jiných informačních systémech, opak je pravdou. Zde totiž do hry vstupují dvě zákonná práva pacienta (a tím pádem i povinnosti zdravotnického zařízení) a to právo na ochranu osobnosti a zpracovávaných dat, které však je zcela jistě rovnocenné právu na adekvátní zdravotní péči na úrovni současné vědy, a tedy i na dostupnost těchto informací. Provozování informačního systému v souladu s oběma požadavky je nesmírně komplikované a nemá analogii v žádném jiném informačním systému. To hlavně proto, že je dopředu naprosto neodhadnutelné kdo, kdy, jaká data, jak rychle a v jaké míře bude potřebovat. Dostupnost životně důležitých dat musí být zabezpečena kdekoliv, kdykoliv (nepřetržitě) a v podstatě komukoliv (samozřejmě na podkladě příslušných práv daných autorizací a autentizací). Zde do hry vstupuje nejrůznější zdravotnický personál (ošetřující lékaři, sloužící lékaři, zastupující, stážisté, zdravotní sestry střídající se ve službě, či např. rehabilitační sestry, průchod pacienta různými odděleními resp. odesílání na konziliární vyšetření do jiného zdravotnického zařízení apod.). V úvahu je také nutno vzít právo pacienta omezit přístup k těmto datům, resp. dát souhlas, což může být problémem např. u pacientů v bezvědomí, psychiatrických pacientů atd. Kapitolou samou o sobě jsou tzv. celebrity, resp. VIP pacienti. Zažil jsem na vlastní kůži, kdy se takový pacient přijal s jinou identitou (stejně však každý v nemocnici věděl, o koho jde) a pak bylo velmi, velmi složité přiřadit data skutečné identitě pacienta. Osobně se domnívám, že ve správně nastaveném informačním systému není třeba tyto hrátky provozovat, neboť k datům se dostane jen ten, kdo je skutečně potřebuje. Zdravotnická data sama o sobě mají data s různou, většinou však velmi vysokou citlivostí a jejich zneužití může adekvátně tomu i velmi ublížit. Navíc je si třeba uvědomit, že ve zdravotnictví stále ještě ochrana dat není na pořadu dne a je zde tendence k vyšší míře podceňování jejich (ne)bezpečnosti.