Az információbiztonság megjelenése az egészségügyi szolgáltató szervezetek minőségirányítási rendszerében Dr. Horváth Zsolt, Dr. Tóth Zoltán (INFOBIZ Kft.) Az egészségügyi szolgáltató szervezetek életében egyre jelentősebb szerepet kap az adatok, az információk biztonságának, bizalmasságának védelme. Noha a kérdés manapság egyre divatosabbá is válik, a kérdéssel való foglalkozást nem a divat, hanem a kényszerűség és az intézmény saját érdeke váltja ki. Hiszen az információk biztonságának és bizalmasságának sérülése közvetett és közvetlen károkat, veszélyeket jelenthet az intézmény számára. Ha a minőségirányítási rendszer nézőpontját választjuk kiindulási alapul, akkor megfogalmazhatjuk, hogy az intézmény működése az intézmény folyamatainak működéséből áll össze. Az egyik nagyon fontos erőforrás a folyamatok működéséhez az „információ”. Hogyha ez az információ a kellő időben nem áll rendelkezésre, vagy pontatlan az információ, akkor annak súlyos gyógyítási, betegellátási vagy egyéb intézmény-működési következményei lehetnek. Ha az információk kiszivárognak, és illetéktelenek (vagy illetékesek) visszaélnek az információkkal, akkor azoknak szintén súlyos, sokszor jogi következményei lehetnek. Fontos tehát az információnak, mint erőforrásnak, a megfelelő és biztonságos kezelése! Elég, ha mindenki saját maga felteszi magának, saját intézményére vonatkoztatva a következő működési kérdéseket, és őszintén elgondolkozik a válaszokon: • Tisztában vagyunk az információbiztonság kapcsán felmerülő működési kockázatokkal és megfelelően foglalkoztunk velük? • A betegek által rendelkezésre bocsátott adatokat / információkat megfelelően kezeljük és védjük a szervezetünkön belül?
1
• Valóban bizalmasan kezeljük / kezelik az alkalmazottak az információkat az intézményen belül és kívül? • Biztosítva vagyunk az információink sértetlenségéről? • Pontos és ellenőrzött információkkal dolgozunk? • Tényleg csak azok és csak akkor férhetnek hozzá az információkhoz, akik erre jogosultsággal rendelkeznek? • Nyugodtak vagyunk az információk folyamatos rendelkezésre állását illetően? • Felkészültünk
az
esetleges
adatvesztések
esetén
a
megfelelő
visszaállításukra? Az egyik szigorú követelmény, amelyre az adatok kezelése kialakításánál figyelemmel kell lenni, az mindig a vonatkozó jogszabályi háttér betartása. Jelenleg az egészségügyi gyógyító (betegellátó) szervezetekre vonatkozó legfontosabb, információbiztonsághoz kapcsolódó jogszabályok a következők: ¾ 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról ¾ 1997. CLIV törvény az egészségügyről ¾ 1997. XLVII törvény az egészségügyi és hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről ¾ 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről ¾ 2080/2008. (VI. 30.) kormány határozat a Kritikus Infrastruktúra Védelem Nemzeti Programjáról De nézzük, hogy mit is jelent mindez a gyakorlatban! Amikor információk, adatok biztonságáról van szó, akkor mindig valamilyen adat valamitől való
2
védelmére gondolunk. Tehát akkor nézzük meg konkrétan, hogy az egészségügyi szervezeteknek milyen adatokat kell védeni, és mitől? Milyen főbb adatokat kell védeni? • betegek egészségügyi és személyes adatait; • egészségügyi dolgozók, beszállítók, stb. adatait; • gyógyszerek, vizsgálati eszközök és eljárások, stb. adatait; • minőségirányítási dokumentációt és gyűjtött indikátorokat; • kórházi gazdasági / finanszírozási / ügyviteli adatokat. Kitől – mitől kell védeni? • Adatszivárgástól (pl. jogosulatlanok hozzáférése az adatokhoz); • Adatok hibás felhasználásától (pl. hibás információk a gyógyításban, menedzsmentben); • „Nem az előírt célnak megfelelő” adatkezeléstől (pl. adatok illetéktelen célú felhasználása gyógyszercégek piaci versenyelőnyéhez); • Adatok rendelkezésre állásának hiányától (pl. üzemszünet az informatikai rendszerben). Nézzünk néhány példát ezekre, a betegadatok fenyegetettségei esetén: Adatszivárgás: • Illetékteleneknek (szándékosan vagy véletlenül) kiadott betegadatok, majd azokkal való visszaélés. (Erre számos példát tartalmaz a jelen konferencián a megelőző, Tóth Zoltán: „Csapdás esetek és ezek tapasztalatai a betegek adatvédelmével kapcsolatban” c. előadása.) • Hibás felhasználás: • Az „elnézett”, vagy elcserélt vizsgálati eredmények (vagy kórlapok) alapján történő hibás döntés a kezelésről.
3
• A gondatlanul rögzített adatok alapján készült betegdokumentációk következményei. • A gondatlanul rögzített vagy szándékosan „kozmetikázott” adatok alapján készült finanszírozási adatszolgáltatás. „Nem az előírt célú” felhasználás: • Szakdolgozatokban, tudományos munkákban nem megfelelően kezelt adatok közzététele. • Adatok rendelkezésre állásának hiánya: • Diagnosztikához, beavatkozáshoz, gyógyításhoz nem, vagy késve (vagy hibásan) állnak rendelkezésre a szükséges információk. Ezek alapján látható, hogy milyen sokféle információval dolgozik (egyidejűleg) egy egészségügyi intézmény, és hogy ezeknek az információknak a biztonsága mekkora jelentőséggel bír. Ezek a követelmények egy része közvetve megjelenik a minőségirányítási rendszer egyes szabványpontjaiban és a Magyar Egészségügyi Ellátási Standardok követelményeiben is – mindig az adott folyamat biztonsága és szabályozott működése szempontjából. Ezek az MSZ EN ISO 9001:2009 szabványpontok, amelyek – közvetve – információ-biztonságra vonatkozó követelményeket tartalmaznak, a következők: 4.2.3. A dokumentumok kezelése (Követelmény: A szabályozó dokumentumok módosítatlanul, az érvényes formában mindig álljanak rendelkezésre az arra jogosultaknak, módosításuk csak az arra illetékes által a megfelelő dokumentumkezelési folyamat lépéseként legyen lehetséges.) 4.2.4. A feljegyzések kezelése (Követelmény: Az igazoló dokumentumokat az arra jogosultak készíthessék, a feljegyzések hitelességét a készítőik igazolják, a feljegyzések a későbbiekben módosítatlanul az arra jogosultak számára (és csak nekik) mindig álljanak rendelkezésre.) 4
5.5.3. Belső kommunikáció (Követelmény: A folyamatok működtetéséhez szükséges belső kommunikáció működtetése, amely maga az adatok / információk transzportját, átadását jelenti. Ezek közben értelemszerűen az adattartalom nem sérülhet vagy nem módosulhat, illetve a kommunikációnak biztosítania kell, hogy annak során az illetékesek (mindig időben) hozzájutnak a szükséges információkhoz, és az illetékteleneket pedig kizárja abból.) 6.3. Infrastruktúra (Követelmény: Az informatikai és az információs rendszerek a vállalati infrastruktúra részét képezik, aminek biztosítani kell a folyamatos, megbízható és biztonságos működtetését.) 7. A termék előállítása (Követelmény: Az egészségügyi intézmények esetén a termék alatt a betegek ellátása, gyógyítása, mint szolgáltatás értelmezhető. Ennek folyamatai során a kezelt információk, mint erőforrások megfelelő (megbízható, biztonságos) kezelése a működés egyik alapfeltételét jelenti, a főfolyamatok teljes életciklusában, egészen a tevékenységek tervezésétől az elvégzéséig – utókövetést beleértve, annak támogató tevékenységeivel együtt.) 7.2. Ügyféllel kapcsolatos folyamatok (Követelmény: Folyamatok kialakítása a termékre
/
szolgáltatásra
vonatkozó
követelmények
azonosítására,
teljesíthetőségére, ill. az ezekkel kapcsolatos folyamatos vevői kapcsolattartásra és kommunikációra. Az egészségügyi ellátás esetén ezek felölelik többek közt a betegek személyes adatait, kórelőzményeikkel és egészségügyi állapotukkal kapcsolatos adataikat és információikat, a gyógyszerek és gyógymódokkal kapcsolatos információkat és a vonatkozó jogszabályokat is.) 7.5.1 A termék-előállítás és a szolgáltatás-nyújtás szabályozása; c) a megfelelő berendezések használata (Követelmény: A gyógyításhoz szükséges megfelelő 5
berendezések felölelik mid az informatikai rendszer eszközeit, mind a különböző egészségügyi diagnosztikai és beavatkozást ellátó speciális műszereket,
eszközöket.
Ezek
megfelelő
karbantartása,
működtetése,
rendelkezésre állásuk biztosítása, ill. működési és az általuk tárolt betegadatok biztonsága mind a berendezések működtetése dokumentált folyamatainak részét képezi.) 7.5.4 A vevő tulajdona (Követelmény: A betegek személyes és betegséggel kapcsolatos adatai mind a beteg tulajdonát képezik.) 8.4. Az adatok elemzése (Követelmény: A statisztikai adatfeldolgozás lehetőséget ad trendek megállapításához, kutatások végzéséhez, illetve – az intézmény működése vonatkozásában – helyesbítő és megelőző intézkedések bevezetéséhez. Ehhez azonban az egyes betegadatok csak olyan módon használhatók fel, hogy azok a feldolgozás során anonimitásukat megtartsák. További fontos szempont, hogy az adatok feldolgozása során az adatminőség romlása vagy azok előnyszerzési célból történő torzítása a statisztikai eredmények, majd az azokból levezetett intézkedések hibáihoz vezethetnek.) MEES értelmezhető standardjai, pl.: MEES 1.0 - BTA.7. standard (Követelmény: A betegek egészségügyi és hozzájuk kapcsolódó személyes adataikat a hatályos jogszabályi előírásoknak megfelelően bizalmasan kezeljék, és elvesztés vagy illetéktelen használat ellen védjék.) Ezek után értelmezzük, hogy mit is értünk tulajdonképpen az információ biztonsága alatt. Ehhez először magát az információ fogalmát kell meghatározni: Az információ = (számomra értelmes) tartalommal bíró adat. 6
Ezek után az információ biztonsága a következő három követelmény egyidejű teljesülését jelenti: • Az információ rendelkezésre állása – az információ minden jogosult (személy, folyamat, …) számára a szükséges időben mindig álljon rendelkezésre! • Az információ sértetlensége – az információ az eredeti, módosítatlan formájában álljon rendelkezésre! • Az információ bizalmassága – az információ csak az arra jogosultak számára álljon rendelkezésre! Az információk jellemzően nem önmagukban léteznek, hanem mindig valamilyen információhordozóhoz kötötten. Az egyes információhordozók tárolják az információkat, és egyben az információk biztonsága ezeken keresztül sérülhet is! Az egyes információhordozók nagyon sokfélék lehetnek. Azonban egyik csoportosítási szempont szerint – jellegük alapján – a következő három kategóriába sorolhatók: • Informatikai
adathordozók
(informatikai
rendszer
biztonsága
–
üzemeltetésben, felhasználók kezelésében, …) • Papír
(és
hagyományos)
adathordozók
(adminisztrációs
folyamatok,
iratkezelés és tárolás, TÜK, …) • Személyek, mint adathordozók (fenyegetések: social engineering, emberi tényező, szándékos és szándékolatlan esetek, …) Az
adathordozóknak
/
információhordozóknak
számtalan
fajtája,
megnyilvánulása van. Nézzünk ezek közül néhány példát a következő ábrán:
7
Az adatok fenyegetettségei során fel kell mérni, hogy a védeni kívánt adatok hol is vannak tulajdonképpen. Az informatikai adathordozók esetén ezek alapvetően a következő kategóriákba sorolhatók (szemléletesen, de a teljesség igénye nélkül): • Szervereken – adatbázisokban; • Szervereken – önálló fájlokként, könyvtár-struktúrákban; • PC-ken / notebookokon (akár hálózathoz kapcsolt munkaállomáson, akár önálló gépként) • Diagnosztikai berendezések, műszerek memóriájában / adathordozóin • Kimentve (egyénileg) külső elektronikus adathordozókon (CD / DVD / DAT / Floppy / USB Flash / …) • Központi mentésekben, archív állományokban (backup site-ok, stb…)
8
Ennek megfelelőn ezek azok a helyek, ahol pl. adatszivárgás lehetőségei is vizsgálhatók.
Így
néhány
tipikus,
illetéktelen
általi
adathozzáférési
fenyegetettség a következő: • Illetéktelen bejutása a szerverterembe. • Illetéktelen hozzáférése a számítógépekhez / notebookokhoz. • Illetéktelen hozzáférése a mentésekhez. • Illetéktelen hozzáférése a külső / mobil adathordozókhoz. • Illetéktelen bejutása az interneten / külső hálózaton át az informatikai hálózatba (hacking, virus, spyware, maleware, trojan, spam, hoax, …). • Illetéktelen hozzáférése a WiFi-hez. • stb. Ugyanakkor az adatokhoz való hozzáférés nemcsak illetéktelenek általi hozzáférések következtében fordulhatnak elő. Statisztikák sajnos kimutatták, hogy az információbiztonsági incidensek legnagyobb része emberi tényezőre, hibára vezethető vissza, valamint azokon belül a döntő többség esetén belső munkatársra volt visszavezethető a hiba. Ilyen esetben illetékes általi hozzáférésről, mint hibáról beszélünk. Amikor adatszivárgás esetén egy belső ember (pl. kórházi dolgozó) kiadja a bizalmas adatokat illetéktelennek, akkor ez többféle okra lehet visszavezethető. Nézzünk erre néhány tipikus példát: • nem tudta, hogy nem lehet; • megtévesztették, azt hitte ki kell adnia; • megfenyegették / megzsarolták; • bosszúból (mert sértettnek érzi magát!); • csak hogy megmutassa, hogy milyen rossz a rendszer; • stb …
9
A fenyegetettségek elleni védekezés kiépítése csak tudatosan, módszeresen végrehajtott
intézkedések
sorozatával
lehetséges.
A
konkrét
védelmi
intézkedések kiépített rendszere minden egyes szervezet, vállalat, intézmény esetében más és más. Mindenütt egyedileg testre szabottan kell a védelmi rendszert, annak elemeit meghatározni. Minden biztonsági rendszer olyan, mint egy „lánc”. A biztonság erősségét a leggyengébb elem („láncszem”) biztonsága határozza meg. Ebből következik, hogy hiába növeljük bármelyik fenyegetettség elleni védekezést divatos és drága eljárások vagy eszközök bevezetésével, ha egy másik, annál gyengébb biztonságú elem biztonságát nem javítjuk! A költséghatékony védekezést mindig az egyenszilárdságú védelem felé való törekvés valósítja meg a legjobban! Ebben segítenek a védelem kiépítése során az információbiztonsági kockázatkezelés módszerei, amelyek segítségével objektíven összemérhetővé válnak az egyes fenyegetettségek, veszélyhelyzetek kockázatai, illetve az ott működő jelenlegi védelem erősségei – gyengeségei. Az információbiztonság megvalósítása során, az adatok / információk szivárgásának és az illetéktelen hozzáférések megakadályozására, illetve az adatok folyamatos rendelkezésre állásának biztosítására számos, és sok különböző szakmai területhez tartozó intézkedés hozható. Ezek az intézkedések egymással összefüggnek, egymással kölcsönhatásban vannak, és rendszerben alkalmazva egymást erősíthetik. Az információvédelmi eljárások szakmai területei a következők: • objektum, terület védelem, • személy védelem (rendszerben a személy – mint információhordozó – védelme, illetve a rendszer védelme személyektől, a személyekhez kapcsolódó támadásoktól), • hagyományos adatok (pl. papíralapú), módszerek, eszközök védelme, • informatikai védelem (fizikai, logikai és szervezési eljárások), 10
• elemi károk, természeti vagy társadalmi katasztrófahelyzetek elleni védelem (az információbiztonság szemszögéből). Az INFOBIZ Kft. kidolgozott egy több lépcsőből álló programot az egészségügyi betegellátó intézmények számára az információbiztonsági irányítási rendszer kiépítésére, amely során minden lépcső önálló projektként / részfeladatként valósítható meg, miközben minden lépcső után önálló és kézzel fogható eredmények születnek, amelyek során az információbiztonság erőssége fokozatosan, lépésről lépésre javítható. 1. lépés: Adatvédelmi, információbiztonsági témájú figyelemfelhívó és tudatosságnövelő ismeretterjesztő prezentációt követően önértékelő kérdőíves felmérés és a kapcsolódó intézkedési javaslatok a statisztikailag feltárt problémák pótlására 2. lépés: Szakértői informatikai és információbiztonsági kezdeti állapotfelmérés és a kapcsolódó intézkedési javaslatok a feltárt gyenge pontok, problémák javítására 3. lépés: Az információs vagyon és fenyegetettségeinek, kockázatainak felmérése és a kapcsolódó intézkedési javaslatok az el nem fogadható kockázatok kezelésére 4. lépés: Folyamatos kockázatkezelésen alapuló biztonsági intézkedések beemelése az irányítási rendszerbe (az integrált irányítási rendszer ezzel tartalmazza az információbiztonsági irányítási rendszert is)
11