Filozofická Fakulta Univerzity Karlovy v Praze
Základy informační politiky
Ochrana informací ve zdravotnictví
Zpracoval: Třída:
Jan Kouba F2D
Úvod Pojem ochrany informací se v dnešní době skloňuje každý den a ve všech aspektech lidského konání. Celý náš současný svět je postavený na informacích, ať už jsou to informace o nás samotných, našem majetku či zdravotním stavu. Takovéto informace je samozřejmě potřeba bránit a ochraňovat před pádem do nepovolaných rukou a jejich následným zneužitím. V dřívějších dobách byly veškeré informace uloženy na fyzických nosičích (papíry, šanony, knihovny, kartotéky,…). Jejich zcizení tak bylo značně komplikováno několika faktory: • • • •
Zloděj se musel fyzicky dostat na místo jejich uložení, což mohl být a mnohdy také byl silně zabezpečený či hlídaný sklad. Jednalo-li se o velké množství informací, bylo také množství a objem jejich nosičů značný. Krádež obsahu celé kartotéky se tak mohla stát velmi složitou logistickou operací. Zmizení cenných či citlivých materiálů si velmi brzy někdo všiml. I v dobách, kdy již byla k dispozici kopírovací či fotografická technika k pořízení kopie dokumentů, se stále jednalo o obrovský objem, který musel někdo takto zkopírovat.
Podíváme-li se na tyto problémy, se kterými se musel dobový zloděj informací potýkat a uvědomímeli si povahu tvorby správy a užívaní informací v dnešní době, zjistíme, že ruku v ruce s pokrokem a zjednodušením informačních toků a systémů nám přišlo i výrazné zjednodušení odcizení a zneužití informací. V době, kdy se celé obrovské databáze dají uložit na zařízení či paměťové karty velikosti lidského nehtu, nám odpadá celý výše zmíněný seznam úskalí a problémů, které na zloděje číhají. V tomto textu se pokusím shrnout problematiku ochrany informací jako celek a poukázat zejména na aspekty, které se přímo týkají ochrany informací ve světě zdravotnictví, se kterou mám díky své praxi bohaté zkušenosti. Závěrem si také povíme o elektronických certifikátech, které jsou v současné době (a zejména ve zdravotnictví) jedním z nejsilnějších nástrojů k ochraně informací.
Požadavky na zabezpečené informace Na citlivé a utajované informace je kladeno velké množství požadavků. Ne všechny tajné či důvěrné informace jsou si rovné, avšak při práci s nimi se dá shrnout několik obecných požadavků a nároků, které si na ně klademe. Zároveň se pokusím u těchto bodů ve zkratce popsat jejich současné řešení ve světě zdravotnických softwarů, které citlivé informace schraňují. •
K citlivým údajům a informacím by měly mít přístup pouze a výhradně oprávněné osoby. V případě nutnosti přístupu neoprávněných osob by měly oprávněné osoby alespoň zajišťovat dozor, aby nedošlo k narušení bezpečnosti. Přístup k informacím a datům v rámci zdravotnických softwarů je vždy chráněn heslem určujícím o jakého uživatele se jedná. Administrátor má také možnost omezit informace které uvidí jednotliví nižší uživatelé.
•
Pravost a autenticita informací by měly být snadno ověřitelné ve všech fázích jejího zpracování. Pokud by tomu tak nebylo, bylo by velice snadné nahradit původní informaci podvrženou. Tuto problematiku řeší právě elektronický podpis, kterým je informace opatřena ihned při svém vzniku a nikdo kromě oprávněné osoby k němu nemá přístup. Tento podpis informaci provází po celou dobu její existence a zajišťuje její pravost.
•
Historie každé informace by měla být zcela jasná a ověřitelná. Neměl by tak být problém ověřit si kdo informaci vytvořil, editoval, smazal nebo opětovně zařadil do oběhu. Stejně jako u předchozího bodu se k řešení tohoto problému užívá certifikátů jednotlivých pracovníků, kterým informace projde pod rukama. Je tak snadné zpětně ověřit kdo provedl s informací jaké změny.
•
Měly by být zavedeny a nastaveny mechanizmy zabraňující jejímu vyzrazení. Bohužel v praxi to znamená pouze normy, nařízení a seznam postihů pro ty pracovníky, kteří svým úmyslně či neúmyslně špatným, nebo nedbalým jednáním umožnili únik informace. Toto je bohužel problém, který nejsme schopni v rámci softwaru nijak ovlivnit. Problematika lidského faktoru je bohužel Achillovou patou každého řešení informační bezpečnosti.
•
Poslední požadovanou vlastností je přístupnost těchto informací, kdykoli je jich třeba. Této vlastnosti se také poměrně obtížně dosahuje, když si uvědomíme veškeré bezpečnostní prvky, které je potřeba aplikovat k dosažení výše zmíněných bodů. Mnohdy se může stát, že její dosažení není tak svižné jak bychom čekali, nebo jak je zrovna potřeba. Informace ve zdravotnictví jsou momentálně dostupné pouze v rámci daného pracoviště nebo schválené a nastavené sítě. Jejich přístupnost on-line není z důvodu citlivosti obsahu zatím podporována. Na řešení, které by tuto situaci mělo změnit v současné době pracuje společnost Microsoft, která vyhrála tendr ministerstva zdravotnictví na přípravu konceptu elektronizace českého zdravotnictví.
Rizika Nejčastější a zároveň nejhůře řešitelnou příčinou úniku informací je chyba člověka. Ačkoli samotná databáze a veškeré přístupy k ní jsou zabezpečené dostatečně před napadením jak zevnitř tak zvenčí, často končí citlivá data na soukromých flash discích či jiných nezabezpečených mediích. A tak, aniž by tím ve většině případů zamýšleli něco špatného, vynášejí pracovníci informace ze svých pracovišť například ve formě záloh uložených většinou na soukromých flash discích které používají také na sdílení a přenášení jiných dat. V případě ztráty takovéhoto zařízení a jeho nalezení osobou, která si uvědomí potencionál jeho obsahu, hrozí vážný problém. Další hrozbou v žebříčku nebezpečí pro citlivé informace bývá často nevhodně umístěné úložiště. Přes rychlý rozvoj odvětví zabývajícího se elektronickou správou dat a informací a problematiky s ním spojené stále velké množství organizací podceňuje správnost umístění a zabezpečení svých informačních systémů a databází. Přístup do místností, kde jsou uloženy servery s informacemi, je pak velice snadný a prakticky každý se základními znalostmi práce s těmito zařízeními si tak může informace zkopírovat „přímo od zdroje“. Mnohé organizace též podceňují nutnost dohledu nad přístupy ke své informační bázi. Stává se kvůli tomu, že informace jsou sice v rámci firmy perfektně zabezpečeny, ovšem o tom kdy, kde a kdo k nim má přístup neexistuje žádný záznam, ani žádný protokol. Tím nám okamžitě vzniká možný prostor pro únik informací do nepovolaných rukou. Bezpečnostní politika v oblasti IT by měla být nedílnou součástí všeobecné bezpečnostní politiky organizace, ať už se jedná o mobilního operátora či malou soukromou ordinaci.
Řešení V boji s výše zmíněnými riziky úniku informací je nutné nasazovat bezpečnostní mechanizmy, postupy a funkce, které omezí nebo vyloučí výskyt nechráněných míst v procesu práce s informacemi. Můžeme je rozdělit podle jejich úrovně: • • •
Slabé - brání v přístupu pouze amatérům nebo náhodným útočníkům. Střední - brání proti cíleným útokům vedeným s omezeným množstvím prostředků. Silné - brání proti profesionálním útokům vedeným s dostatečným množstvím prostředků s cílem získat citlivé informace.
Dále je možné tyto prostředky dělit dle použité technologie: • • • •
Administrativní - mezi tyto formy se řadí výběr důvěryhodných osob, bezpečná hesla, jejich častá změna, vyhlášky a předpisy. Fyzické - záložní kopie, trezory, zámky, zabezpečené a monitorované prostory. Hardwarové - tokeny a čipové karty zajišťující pouze oprávněné a bezpečné přístupy. Softwarové – zde se jedná pravděpodobně o nejrozsáhlejší skupinu bezpečnostních opatření, mezi které patří například certifikáty a různé druhy šifrování (symetrické, asymetrické). Dále do této skupiny můžeme zahrnout software pro sledování práce jednotlivých uživatelů a jejich přístupů do jednotlivých sekcí informačních zdrojů.
Postup pro zmírnění, či úplné odstranění všech hrozeb z konkrétního systému se liší organizaci od organizace. Obecně by se však dal shrnout do několika základních kroků a otázek: • • • • • •
Identifikace a analýza hrozeb. Určení požadavků na zabezpečení. Určení cílů, strategií a politiky zabezpečení. Identifikace a analýza rizik pro organizaci plynoucích z používání informačních systémů. Specifikace přiměřených bezpečnostních opatření eliminujících nebo snižujících rizika. V neposlední řadě pak především sledování a pružné reagování na nastalé situace a změny v informačních systémech společnosti.
Zkušenosti z praxe Pracuji ve společnosti, která vyvíjí software pro lékaře a zdravotnická zařízení. Starost o zabezpečení dat a informací je tak u nás na denním pořádku. V našich systémech a databázích je často ukládáno obrovské množství citlivých informací o pacientech našich klientů. A nejedná se jen o záznamy pojednávající o aktuálním zdravotním stavu pacienta či jeho krevním tlaku a ordinovaných lécích. Velké množství našich zákazníku tvoří také psychiatři a psychologové, kteří si do dekurzů (a následně databází) svých pacientů píší veškeré záznamy a poznámky o jejich osobních problémech a věcech, které je tíží natolik, že je dohnaly do psychologické, nebo psychiatrické ordinace. Veškerá citlivá data musí být pečlivě zabezpečena proti zneužití a ztrátě. Z tohoto důvodu máme ve firmě mnoho nařízení a směrnic, které jasně vymezují způsob užití a nakládání s chráněnými daty. Vše začíná smlouvou o zápůjčce dat. Protokol je sepsán s každým lékařem, který je nucen svěřit svá data do našich rukou (oprava poškozených databází, převod dat mezi programy či jiné servisní úkony). Dále pak platí přísný zákaz sdílení těchto takzvaných ostrých dat (obsahují informace o reálných lékařích a pacientech, včetně jejich rodných čísel, čísel pojistek a osobních záznamů) pomocí webových úložišť či nešifrovaných emailů. Pro potřeby přesunů dat v rámci firmy máme speciálně zřízené zabezpečené FTP, přes které musí být veškerá zákaznická data směřována. Přísný zákaz též platí pro ukládání těchto informací na harddiscích služebních notebooků. Jako ukázku funkčnosti a důležitosti ochranných prvků bych uvedl příhodu, která se stala ve firmě, v níž jsem zaměstnaný. Před nedávnem se v naší společnosti odehrál zásadní bezpečnostní incident, při kterém zaměstnanec ochranky naší budovy umožňoval vstup jinému člověku do prostor našich kanceláří za účelem drobných krádeží vybavení. Ten nejprve zcizil jen pár stravenek ze šuplíků kolegů a několik balíčků balené kávy. Pak mu však drobné předměty začaly být málo a během své další návštěvy si odnesl několik telefonů, navigaci a jeden služební notebook. Ten díky firemním nařízením a směrnicím žádná citlivá data či informace neobsahoval, a tak mohl být pouze nahrazen jiným kusem a bezpečnost zákaznických ani firemních dat nebyla ohrožena. Pro všechny případy jsou navíc naše služební počítače a chytré telefony napojeny na server Exchange, který má v případě nouze možnost vzdáleně smazat veškerý obsah těchto zařízení a zajistit tak nezávadnost zcizeného zařízení pro bezpečnost firemních zájmů a zájmů našich zákazníků. Jak je vidět, snažíme se pro ochranu dat našich zákazníku udělat maximum. Pokud je zákazník nucen nám svá data (a svých pacientů) svěřit, vždy si může být jist, že je s nimi nakládáno dle nejpřísnějších bezpečnostních standardů. Na straně zákazníka je pak situace jiná, naše programy jsou standartě chráněny uživatelskými hesly, avšak na jejich délku nebo strukturu se nijak nehledí. Není možné, aby společnost přebírala zodpovědnost za klientská data i v rámci jejich prostředí a počítačů. Uživatelé jsou velmi důrazně instruováni k častým a pravidelným zálohám, aby v případě neočekávané situace o svá data nepřišli. To, že někteří lékaři zálohují jednou za měsíc a heslo do programu mají xxx, už není v našich silách některak ovlivnit. Jak již bylo několikrát řečeno i v případě bezpečnosti informací našich klientů je nejslabším článkem řetězu člověk potažmo uživatel.
Použití certifikátů Dalším nástrojem, kterým se snažíme zabezpečit komunikaci a práci s daty v naší firmě, je užití certifikátů k jejich šifrování a ověřování totožnosti. Při zřizování certifikátu ověří příslušná certifikační autorita fyzicky vaši totožnost (případně příslušnost ke společnosti či organizaci). Vydaným certifikátem se pak identifikujete při komunikaci s pojišťovnou, bankou či jinou organizací vyžadující ověření vaší totožnosti. V závislosti na způsobu použití se využívají 2 typy certifikátů Komerční a Kvalifikovaný.
Komerční certifikát Komerční certifikát je nejrozšířenějším druhem certifikátu. Naproti Kvalifikovanému certifikátu není spjat se zákonem o elektronickém podpisu. Vystavuje jej certifikační autorita, která ověří žadatele dle svých vlastních směrnic. Tento druh certifikátu nemusí striktně splňovat náležitosti zákona o elektronickém podpisu a je na dané certifikační autoritě jaké si stanoví podmínky. Komerční certifikáty mají široké uplatnění. Ať už se jedná o šifrování e-mailů, zajištění autentizace či k elektronickému podepisování zpráv. Komunikující strany však musí obě důvěřovat dané certifikační autoritě.
Kvalifikovaný certifikát Kvalifikovaný certifikát je takový certifikát, který má náležitosti podle §12 zákona č. 227/2000 Sb., o elektronickém podpisu. Tyto certifikáty jsou určeny výhradně pro elektronické podepisování (nikoliv například pro šifrování). Kvalifikovaný elektronický podpis zajišťuje integritu a autenticitu dat. Pro oficiální komunikaci se subjekty státní správy, pojišťoven apod. je zapotřebí právě tento certifikát, který byl vydán kvalifikovanou certifikační autoritou. Bezpečnost a důvěryhodnost těchto certifikačních autorit je kontrolována a standardizována příslušnými úřady. Kvalifikovaný certifikát se proto často označuje jako elektronický podpis.
Hlavní vlastnosti elektronického podpisu o o o
Elektronický podpis ověřuje identitu podepisujícího. Příjemci je tak zcela jasné, kdo je autorem či odesílatelem zprávy. Elektronický podpis ověřuje a zajišťuje, že zpráva nebyla změněna či upravena v průběhu přenosu. Elektronický podpis zajišťuje svou nenapodobitelnost. Při dodržení všech bezpečnostních opatření má správu nad svým podpisem pouze jeho držitel.
Certifikační autority Na českém trhu v současné době je možné nalézt tři certifikační autority, které vystavují jak komerční, tak ověřené certifikáty. o o o
PostSignum První certifikační autorita a.s. eIdentity
Vzhledem k tomu, že každý náš klient potřebuje vlastní certifikát, aby mohl využívat naše produkty pro komunikaci s pojišťovnami a státní správou, zřídila si naše firma v mém zastoupení certifikáty u všech tři výše zmiňovaných autorit. Bylo to nezbytné pro správné pochopení jejich vzniku a procesu vydávání, který bylo nutné shrnout v manuálu distribuovaném všem našim zákazníkům.
Úložiště certifikátů a jejich zabezpečení Dalším tématem, o kterém se snažíme naše klienty poučit je nutnost starat se o svůj kvalifikovaný či komerční certifikát tak, jako by to bylo například razítko, či jiný doklad totožnosti. Lékaři mají občas bohužel tendenci podceňovat sílu výpočetní techniky a všech věcí s ní spojených. Hlavní myšlenkou, kterou se jim snažíme vštípit, je bezpeční externího úložiště certifikátu. Z praxe mohu říci, že lékaři nemají vůbec problém svůj kvalifikovaný či komerční certifikát zpřístupnit k použití jiným lékařům v zařízení nebo své sestřičce. Z osobního hlediska se o zásadní problém nejedná, avšak ve vztahu k našemu tématu bezpečnosti informací se jedná o jeden z nejzávažnějších prohřešků, jaký si vůbec dokážeme představit. Tyto certifikáty mají mnohdy možnost exportu privátního klíče (části certifikátu, která z něj děla právě váš certifikát) a mohou se tak začít nekontrolovatelně šířit i mimo zařízení. Mnohem vhodnější by bylo, kdyby měl každý pracovník svůj soukromý certifikát a používal pouze ten, toto řešení je však poměrně finančně náročné a tak se mu snaží většina lékařů vyhnout. Dalším problémem je možnost ztráty či zcizení takto nevhodně uloženého a sdíleného certifikátu. V případě zcizení je nejpalčivějším problémem samozřejmě možnost jeho zneužití a v případě ztráty (zničení pc či hdd) nutnost nechat si nový certifikát vystavit a registrovat si ho u všech smluvních pojišťoven. Dokud totiž nemá pojišťovna k dispozici veřejnou část lékařova platného certifikátu, nepřijme od něj žádné dávky, ani mu nevydá informace o registrovaných pacientech. Jako ochranu před těmito situacemi obecně doporučujeme dvě nejběžnější řešení externích úložišť certifikátů:
Čipová karta Nejpoužívanějším typem čipové karty je v současné době model Starcos. Ten nabízí možnost využití klasického formátu kreditní karty, nebo vyjmutí samotného čipu z rámečku a získání formátu karty SIM. V obou případech je však potřeba vlastnit čtečku čipových karet, která umožní načít obsah karty do počítače. Podle formátu v jakém hodláte kartu používat, je také potřeba zvolit vhodnou čtečku. Pro klasický formát kreditní karty se používají čtečky velmi podobné těm, které se používají například v obchodech vybavených platebními terminály. Pro karty ve formátu karty SIM se jedná o jakési vetší flash disky obsahující slot pro vložení karty. Karta samotná je pak schopna pojmout osm různých certifikátů najednou a její obsah je chráněn kódem PIN (podobně jako u karty SIM v mobilním telefonu) a v případě jeho ztráty umožnuje obnovení pomocí dalšího bezpečnostního kódu PUK.
USB token Dalším možným řešením bezpečného uložení certifikátů je USB token. Jedná se vlastně o flash paměť, která obsahuje čip zabezpečující její obsah kódem PIN. Tyto tokeny jsou schopné pojmout až 10 certifikátů a ve většině případů jsou vybaveny ještě další nešifrovanou pamětí pro vaše osobní data. Dají se tak opravdu použít jako přenosné paměťové medium. Výhodou oproti čipové kartě je standartní rozhraní USB pro připojení do počítače, které nevyžaduje žádnou speciální čtečku či další zařízení. V případě obou těchto řešení je hlavní výhodou vysoká bezpečnost certifikátu. Uživatel jej vždy má bezpečně při sobě a nikdo jiný k němu tak nemá přístup. Ani v případě ztráty nosiče se nemusí obávat zneužití certifikátu díky blokaci kódem PIN a speciální konstrukci znemožňující rozebrat token bez jeho nenávratného poškození. Nevýhodou jsou pak vyšší pořizovací náklady (v případě obou zařízení okolo 1500 Kč) a náchylnost obou nosičů k poškození (například při nošení v peněžence či na svazku klíčů). Instalace certifikátů do těchto úložišť ve většině případů probíhá s pomocí speciálního softwaru dodávaného s konkrétním zařízením, či prostým nakopírováním souboru certifikátu do šifrované paměti úložiště.
Závěr Problematika bezpečnosti informací v dnešní době je velice široká a svět zdravotnictví osobně považuji za nejmarkantnější případ. Na jedné straně snaha, aby společně s pokrokem a technologiemi kráčela i snadnost přístupu k těmto informacím. Na straně druhé se jedná o jedny z nejcitlivějších informací které si vůbec dokážeme představit. A jelikož pokrok zaznamenaly jak technologie pro ochranu a sdílení informací, tak i prostředky umožňující jejich zcizení a zneužití, bude vždy každý krok který usnadní přístup osobám oprávněným i ústupkem pro ty druhé. Celým tímto textem a problematikou ochrany informací se se navíc jako červená nit vine jeden zásadní a doposud nevyřešený problém. Je jím lidský faktor. Ať už jsou úložiště zabezpečeny či ukryty sebelépe, vždy je potřeba člověk, který by je udržoval a spravoval. Tento člověk je pak automaticky nejslabším článkem celého řetězu informační bezpečnosti. I když mu omezíte pravomoci a přístupy, stejně někde musí být někdo, kdo ty pravomoci a přístupy má a problém se jen přesouvá na jiné místo. Dokud tedy nebude vyřešen tento nejzásadnější bezpečnostní problém, nebudou data a informace nikdy 100% chráněna.
Zdroje 1. JIROVSKÝ, V. Kybernetická kriminalita. Praha : Grada a.s., 2007, ISBN 978-80-2471561-2 2. KOUBA, J. Pořízení certifikátů a práce s nimi. Praha : ComuGroup Medical Česka republika s.r.o.,2011 3. PETERKA, J. Báječný svět elektronického podpisu. Praha : CZ.NIC z.s. p.o., 2011, ISBN 978-80904248-3-8 4. Wikipedia.[online].[cit.2012-06-15].Dostupné z: http://en.wikipedia.org/wiki/Information_security