Információbiztonság a járóbeteg-ellátásban Dr. Hajnal Miklós Pál (Adware Q1 Fejlesztő és Tanácsadó Kft) Bevezetés Az egészségügyi intézmények információs rendszerében az igazi érték az adatok által hordozott információ, amely ma már változatos formákban jelenik meg (szöveg, kép, video, mérési eredmény, hang). Az adatokat tárolni kell, biztosítani kell a hatékony és gyors elérést, de ugyanakkor gondosodni kell a sértetlenségről és titkosságról is. Az informatikai és kommunikációs eszközök körének soha nem látott bővülése kapcsán új dimenziót kapott a személyiségi jogok és az orvosi titoktartás védelme. Ez a komplexitás rendkívül sebezhetővé teszi a páciensekről gyűjtött adatokat kezelő rendszereket, így az adatok védelme, a rendszerek biztonsága napjainkra az egyik legjobban preferált kérdéssé vált [D1], [T1]. A járóbeteg-ellátás sajátosságai információ-biztonsági szempontból A járóbeteg-ellátás a korábbi „SZTK”-hoz képest jelentősen kibővült: ma már ide számíthatjuk a következőket: • klasszikus önálló járóbeteg szakrendelés, • kórházhoz kapcsolódó szakambulancia, • egynapos sebészet, • nappali kórház, • Az
egészségturizmus vonatkozó szegmense (balneoterápia, fogturizmus, stb.). ily
módon
kibővített
értelmezésű
járóbeteg-ellátás
néhány
olyan
sajátossággal rendelkezik, ami speciális információ-biztonsági problémákat vet fel. Ezek közül a betegadatokra vonatkozóan legfontosabbak a következők: 1. Az egyik legnagyobb információbiztonsági probléma nem is az adatokkal kapcsolatos, hanem azokkal a vizsgálati anyagokkal, mintákkal függ össze, amelyekből a diagnosztikához, terápiához szükséges nélkülözhetetlen adatokat 1
kinyerik. A legtöbb járóbeteg-ellátó ugyanis legfeljebb J0 kategóriájú mintavételi helyként funkcionál, és a mintákat gyűjtő rendszerben központi – távoli – laboratóriumokban elemzik. A jelenlegi mintaszállítási rendszerben véges valószínűsége van annak, hogy maga a minta megváltozik, így a belőle kinyerhető információ hamis lesz. 2. Az információhordozó a jelenlegi átmeneti rendszerekben többféle lehet: (i) A korábban általános, de még ma is gyakran megkövetelt „papír”, ami lehet kinyomtatott vagy kézzel írt dokumentum, röntgenfilm, UH nyomtatvány, stb. Ezek tárolása általában megoldott, az archiválás a helyhiány miatt többnyire problematikus. Utóbbi esetben a védelmet, az illetéktelen hozzáférés megakadályozását
többnyire
csak
a
rendetlenség
szolgálja.
Sajátos
problémaforrás, hogy a páciens távozáskor kézbe kapja az addig szigorú adatvédelmi módszerekkel titkosított és óvott személyes adatait, melyek útja és sorsa ettől kezdve követhetetlen. (ii) Digitális (gyakran elektronikusnak mondott) eszköz, vagy struktúra, mint pl. számítógép, hálózatok, CD, DVD, stb. Az információbiztonsági rendszerek általában csak ezzel a csoporttal foglalkoznak. (iii) Az ember, mint információ tároló és hordozó „eszköz”. A teljes ellátó rendszernek ez a legsebezhetőbb eleme, mivel - durva esetektől eltekintve – szinte csak etikai eszközökkel lehet adatbiztonsági szempontból kielégítően
kézben
tartani.
A
járóbeteg-ellátás
esetében
különösen
problematikus, hogy a gyakori orvos-váltások, a nagy esetszám, az asszisztencia csere-beréje és fluktuációja miatt általában nem módosítják a belépési kódokat, sőt azokat felírják a képernyőre, illuzórikussá téve az információbiztonsági rendszert. A helyzetet árnyalja az etikai kódexek hiánya, és sok olyan szubjektív tényező, mint a jólértesültség fitogtatása, a kirúgás miatti bosszú, s.í.t. 3. A szakorvosok többsége részmunkaidőben, közreműködőként látja el feladatát. Saját mozgékonyságának, rugalmasságának fokozása érdekében gyakran használ korszerű infokommunikációs eszközöket adatok tárolására, hordozására a telepített, hálózatba szervezett eszközökön kívül (saját notebook, 2
pendrive, palmtop, okostelefon, iPad, iPod, iPhone, beszédfelismerő, stb.). Ezek az eszközök a vezeték nélküli, mikrohullámú kommunikációs rendszerek (W@P, WLAN, WiFi, stb.) révén még a WPA (WiFi protected access) alapú kriptográfiai módszerek alkalmazása esetén sem nyújtanak kellő védelmet, aránylag könnyen feltörhetők. (Nem is beszélve arról, hogy maguk az eszközök is – éppen hordozhatóságuk, kicsiny méretük révén – könnyen illetéktelen kezekbe kerülhetnek.) 4. A progresszív ellátási rendszerben a járóbeteg-ellátás közbülső helyet foglal el a háziorvosok és a fekvőbeteg-intézmények között. Az általánosnak mondható területi széttagoltság és az on-line kapcsolat hiánya, vagy fejletlensége miatt a páciens-információk mindkét irányban „papíron”, vagy jobb esetben e-mailen kerülnek a célállomásra. Mindkét mód súlyos információbiztonsági kockázatot hordoz magában, mintegy lyukat ütve az egyébként mintaszerűen megvalósított védelmi rendszeren. Az információ-biztonság és a minőségirányítás kapcsolata Az információbiztonsági rendszer nem működhet eredményesen és hatékonyan megfelelően megvalósított és alkalmazott minőségirányítási rendszer nélkül, mivel a fentiek is mutatják, hogy ez nemcsak műszaki és informatikai probléma (bár gyakran csak annak tekintik). Egyébként mind az ISO 9001 szabvány, mind a MEES irányelv indirekt módon érinti ezt a kérdést. A minőségirányítási követelmény eléggé laza – a 6.3., 7.2. és 7.5.4. fejezet tartalmaz utalásokat az információ védelmére [M3]. Az egészségügyi standard-gyűjtemény keményebb; a III/1 Betegjogok, tájékoztatás, adatkezelés (BTA) fejezetben aBTA.7. standard egyértelműen megköveteli: „A betegek egészségügyi és hozzájuk kapcsolódó személyes adatait a hatályos jogszabályi előírásoknak megfelelően bizalmasan kezelik és elvesztés, vagy illetéktelen használat ellen védenek.” [E1]. Mindenesetre fontos gyakorlati tapasztalat, hogy tisztességesen kidolgozott, bevezetett és működtetett minőségirányítási rendszer – amely tartalmazza a 3
szükséges minőségbiztosítási elemeket is - nagymértékben segíti az informatikai biztonsági rendszer kialakítását és alkalmazását. A két rendszer – és egyúttal más diszciplínák - kapcsolatát mutatja az 1. ábra. [I7] 1. ábra
Minőségirányítás Minőségbiztosítás Védelemtudomány Informatikai rendszer
Információvédelem
„Hagyományos biztonság”
Informatikai biztonság Megbízható működés
Jogtudomány, etika
Az ábra szemléletesen mutatja az információbiztonság nem informatikai elemeinek fontosságát és kapcsolódását. Az információbiztonság kockázatai A járóbeteg-ellátásban – mint általában az egészségügyi ellátásokban – az információt hordozó adatoknak két fő csoportja különböztethető meg: (i) Páciens-adatok, és (ii) Működési/üzemeltetési adatok. Információbiztonsági szempontból a (i) csoport a kritikus – a továbbiakban jórészt ezzel foglalkozunk. A (ii) csoport problematikája lényegében azonos minden egyéb szervezetével, eltekintve egy fontos kivételtől. Az egészségügyi ellátóknál egyre jobban terjednek azok a processzoros, on-line működtetésű diagnosztikai és terápiás berendezések, amelyek üzemeltetési zavarok esetén kiesnek, esetleg téves, vagy
4
hibás adatokat szolgáltathatnak, közvetlen életveszélynek kitéve ezáltal a pácienseket. Az adatokat, mint információhordozót fenyegető kockázatokat a 2. ábra mutatja. [I7]
2. ábra
A digitálisan kezelt páciens-adatokat az ábrán látható kockázatok következtében az alábbi veszélyek fenyegetik: az adat/információ 1) elveszhet 2) torzulhat 3) illetéktelen kezekbe kerülhet A páciens szempontjából 1) a személyiségi jogokat sérti, de nem jelent közvetlen veszélyt. Ha 2)-t észrevesszük, korrigálható, de van közvetlen veszélykomponense. 3) veszélyt jelenthet a páciensre nézve. A szolgáltató szemszögéből 1) pluszköltséget jelent, 2) esetében fennáll a szakmai és/vagy
5
finanszírozási hiba veszélye, 3) egyértelmű bizalom- és presztizsvesztéshez vezet.
Az információbiztonság követelményei Az IT technológia robbanásszerű fejlődése drámai módon megnövelte az alkalmazások kockázatát. Emiatt az 1. ábrán jelzett társtudományok mindegyike élénk tevékenységbe kezdett a kockázatok, sőt potenciális veszélyek csökkentése érdekében. E törekvések célja, hogy a társadalom működése szempontjából létfontosságú információs infrastruktúrák biztonságos működése, védelme lehetőleg optimális legyen [K1], [K2]. A jogi szabályozás területén az USA élenjáró, ahol a polgári – ezen belül az egészségügyi – információk védelmét állambiztonsági és terrorizmusellenes aspektusok is motiválják (USA Patriot Act, 2001). [H1] A hazai jogalkotás is igyekszik követni a nemzetközi trendeket [K4]. Az információbiztonság műszaki követelményeit elsőként a British Standard Institute által kibocsátott BS 7799-1,2:1995 szabvány foglalta össze. Az International Organization of Standardization ISO/IEC 17799:2000 néven nemzetközi szabvánnyá nyilvánította. [B1], [F1] Az újabb frissítés nyomán született az ISO/IEC 27001:2005 szabvány, amely 2006-ban magyar szabvánnyá is vált [M1], [M4]. Azóta családdá terebélyesedő, az ISO 9000 logikáját követő követelményrendszer újabb és újabb tagjai látnak folyamatosan napvilágot [I1], [I2], [I3], [I4], [I5], [I6], mutatva a kérdés fontosságát. Természetesen egyéb szakmai szabályozók is léteznek (ISO/IEC 15408 Common Criteria, BS 15000:2000 Information Technology Infrastructure Library, COBIT 4.1. Control Objectives for Information and Related Technology, s.í.t.) [H1], [C1]. Ezek általában egyes partikuláris területeket kívánnak lefedni, ezért az ISO/IEC 2700 szabványcsalád mindezeket figyelembe véve megkísérli a teljes terület komplex kezelését.
6
Az információbiztonság hatékony megvalósítása érdekében számos szervezet alakult,
melyek
elsősorban
az
állambiztonság
céljait
szolgálják,
de
tevékenységük kihat az egészségügy területére is (ENISA, CERT, CSIRT, FIRST, EGC, s.í.t., hazánkban PTA-CERT-Hungary, SZTAKI Hun-CERT, NIIF CSIRT) [H1].
ISMS megvalósítás járóbeteg-ellátónál Az információbiztonságot megvalósító ISMS (Information Safety Management System) rendszerek kiépítése az MSZ/IEC 27001:2006 szabvány követelményei alapján történik [M1]. Az ISMS-t a PDCA alapmodell motiválja, melynek lényegét a 3. ábra mutatja.
3. ábra
Tervezés Az ISMS kialakítása
Az ISMS bevezetése és működtetése
A létrehozás, karbantartás és fejlesztés ciklusa
AZ ISMS fenntartása és fejlesztése
AZ ISMS figyelemmel kísérése és átvizsgálása
Bevezetés
Követelmények és elvárások az információ biztonságra
Érdekelt felek
Végrehajtás
Érdekelt felek
Irányított információ biztonság
Ellenőrzés
A szabvány egyik legfontosabb követelménye olyan ISMS szabályzat elkészítése és működtetése, amely az információbiztonsági szabályzat szuperkészletének tekinthető. Magának a tevékenységnek a gerince az 7
adatvagyon felmérése, valamint a kockázatok felmérése, értékelése és a kockázatok kezelése, hatásuk minimalizálása. A szabvány tudatosan épít az ISO 9001 és ISO 14001 szabványokkal fennálló kapcsolódásokra, és ösztönöz az együttes alkalmazásra. Az
ISMS
járóbeteg-ellátónál
történő
realizálását
a
fentebb
említett
sajátosságokon túlmenően az is befolyásolja, hogy – lévén többnyire kisebb szervezet – az informatikai rendszernek nemcsak a kiépítését, hanem a fenntartását,
működtetését
is
külső
közreműködő
végzi.
Ez
azt
is
eredményezheti, hogy az információbiztonsági rendszer szabványban előírt szinte valamennyi szereplője „külsős”, ami persze újabb biztonsági kockázatot rejt magába.
Informatikai Biztonsági Szabályzat (IBSZ) Az ISMS alapvető dokumentuma, amely az MSZ/IEC 27001:2006 szabvány követelményei alapján készül. Fő fejezeti a következők: 1. Az IBSZ célja és hatálya 2. Általános biztonsági irányelvek 3. IT biztonsági feladatok 4. Az információ értékelése 5. Hálózati külső kapcsolat 6. A számítástechnikai eszközök védelme 7. Eljárás IT esemény bekövetkezésekor 8. Fizikai és környezeti biztonság 9. Munkaállomás és hálózat menedzsment 10. Az IT rendszerekhez való logikai hozzáférés 11. E-mail szabályzat 12. Az internet használatának szabályozása 13. Kapcsolódó jogszabályok, szabványok Intézkedések és teendők 8
Az IBSZ alapján egy sor olyan intézkedést kell megvalósítani, ami biztosítja az információbiztonság gyakorlati megvalósulását. Ezek közül a fontosabbak a következők: I Előírt szabályzatok kidolgozása 1. Szervezeti és Működési Szabályzat (a továbbiakban: SZMSZ); 2. Titokvédelmi Szabályzat; 3. Ügyviteli eljárásrend; 4. Tűzvédelmi Szabályzat; 5. Etikai Szabályzat; II Felelősök kinevezése (IT biztonságért felelős vezető; IT biztonságért felelős rendszergazda; Vírusvédelmi felelős; Hálózat- és tűzfal biztonságért felelős.) III. Elkészítendő dokumentumok
Katasztrófaterv Információs vagyonleltár (adatvagyon-tárgy neve, az adatkezelését támogató alkalmazás neve, az adatgazdai feladatkört betöltő munkakör megnevezése, az adat biztonsági besorolása) Nyilvántartás valamennyi olyan eszközről, amelyért az IT biztonságért felelős vezető felelősséggel tartozik. Az ilyen kritikus eszközök közé tartoznak a következők: hálózati aktív eszköz (különösen: router, switch, HUB, stb.); szerver (különösen: mail, file, web, stb.); külső kapcsolat egyéb komponense (modemek, RAS – Remote Access Server); biztonsági komponensek (autentikációs rendszer, tűzfal); munkaállomás és hordozható számítógép. A hozzáférési jogosultságok meghatározása a jelszókezeléssel, a felhasználói azonosítókkal együtt. Ennek alapján biztonsági ellenőrző lista készítése a felhasználói jogokról: (a felhasználó fizikai neve, a felhasználói azonosító(k),a jogosultság áttekintés dátuma, az áttekintés során tapasztaltak szerint a ténylegesen
beállított
jogosultságok
9
megfelelnek-e
a
jóváhagyott
jogosultságoknak; szükséges intézkedés: dokumentáció frissítése / jogosultságok módosítása, az intézkedés dátuma. Információs adatbázis kialakítása Az IT biztonsági események azonosítása, jelentése, rögzítése és megfelelő kezelése. Biztonsági eseménynek minősül minden vírusfertőzés; számítógépes betörési kísérlet (belső hálózati vagy külső pl. Internet); működési rendellenesség; eszköz elvesztése vagy megsemmisülése; adatlopás). A gépnaplóban rögzíteni kell a hálózat bármely hardver elemén történő javítást, karbantartást, eszközök értékesítését és selejtezését. Az IT helyiséget besorolásának megfelelően tűzvédelmi riasztó rendszerrel kell védeni. Valamennyi hordozható adathordozót biztonságos és arra alkalmas helyen, azonosíthatóan kell tárolni. Az érzékeny és fontos adatokról rendszeresen biztonsági mentéseket kell készíteni az IBSZ-ben meghatározott biztonsági szabályozás követelményei szerint. A mentési módszer sémája automatizált GFS (Grandfather-Father-Son) típusú. Esettanulmány: Jánoshalma szakrendelője A Jánoshalma Kistérség Egészségügyi Központ NP Kft. járóbeteg szakrendelője egyike a hazánkban uniós támogatással, „zöldmezős” beruházással létesített hiánypótló intézményeknek. Építészeti kialakítása, szakmai szervezete és informatikai rendszere példaértékű, melynek ismertetésére az előadásban röviden szó kerül. Speciális vonása, hogy a partnerként közreműködő háziorvosok, védőnők a házban vannak elhelyezve, ami on-line kapcsolat kiépítését tette lehetővé [J1]. Záró gondolatok Az egészségügyi intézmények, jelesül a járóbeteg-ellátók páciens-adatokkal kapcsolatos információbiztonsági aspektusai az IT rohamos fejlődése miatt eddig nem ismert problémákat és feladatokat generálnak, melyeket a szakma 10
művelői nem is realizálnak minden esetben [D2] .Pedig fel kell vetni azt a megkerülhetetlen kérdést, hogy biztonságban vannak-e a betegadatok a világhálón? [B2]. A kérdés több esetben már az adatvédelmi biztoshoz is eljutott [A1]. A műszaki, jogi kérdések mellett etikai kérdések is felmerülnek, mivel az adatok gondozóinak vállára súlyos felelősség nehezedik [N1]. Ráadásul azzal kérdéssel is meg kell birkózni, hogy a biztonságra áldozott anyagiak arányban vannak-e az elérhető eredményekkel [K3]. Az információbiztonság kérdését mindenképpen halálosan komolyan kell venni.
Irodalom [A1] Adatvédelmi Biztos: Állásfoglalások 2011 ABI-2982-3/210/K http://abiweb.obh.hu/abi/index.php?menu=aktualis/allasfoglalasok/2011&dok=2 982_K_2010-3 [B1] Baross Szabolcs: Általános irányelvek az egészségügyi intézmények információbiztonsági rendszerének kialakításához. IME II. évfolyam 6. szám, 2003. szeptember, p. 42-46 [B2] Baross Szabolcs, Balog Géza: Biztonságban vannak a betegadatok az informatikai rendszerekben és a világhálón? IME III. évfolyam 8. szám, 2004. november, p. 40-45. [C1] Carisma: Informatikai kockázatok http://www.carisme.hu/cikkek/itkockcobit
kordában
tartása
COBIT-tal.
[D1] Dévényi Dömötör: Infokommunikációs és globális technológiák az egészségügyi informatikában. IME I. évfolyam 1. szám 2002. június, p.33-37 [D2] Dénes Tamás: Információbiztonság kontra polgári szabadságjogok http://www.pointernet.pds.hu/ujsagok/evilag/2004-ev/ [E1] Egészségügyi Minisztérium: Magyar Egészségügyi Ellátási Standardok – MEES kézikönyv V.01 (2007) Egészségügyi közlöny LVII. évfolyam 4. szám p.705-826 [F1] Fazekas Tibor: Az információ biztonság követelményrendszere. IME II. évfolyam 6. szám, 2003. szeptember, p. 39-41 [G1] Dr. Gődény Sándor szerk.: A klinikai hatékonyság fejlesztése az egészségügyben. Pro Die Kiadó, 2007. [H1] Dr. Haig Zsolt: Az információbiztonság szabályozói és szervezeti keretei.
11
http://hadmernok.hu/kulonszamok/robothadviseles7/haig_rw7.pdf [H2] Dr. Hajnal Miklós Pál: Integrált minőségirányítási rendszerek kialakításának tapasztalatai egészségügyi szervezetekben. Magyar Minőség XIII. évfolyam 2. szám, 2004. február, p. 15-23. [H3] Dr. Hajnal Miklós Pál: Út a betegellátás biztonságához. Integrált minőségirányítási rendszer. Kórház XI. évfolyam 2004. október, p. 44-45. [H4] Dr. Hajnal Miklós Pál: Minőségközpontú menedzsment az egészségügyi és szociális intézményekben. Szociális Menedzser 7, évfolyam, 6/2005. szám p. 56-61. [H5] Dr. Hajnal Miklós Pál: Integrált irányítási rendszerek és modellek alkalmazási lehetőségei és buktatói az egészségügyben. IME Információ Menedzsment az Egészségügyben IV. évfolyam 9. szám 2005. december, p. 3036. [H6] Dr. Hajnal Miklós Pál: Minőségirányítás az egészségügyben. Róth András (szerkesztő, lektor: Varga Lajos): ISO 9000:2000 minőségügyi rendszer. Aktuális tanácsadó minőségirányítási szakembereknek. 12.7. fejezet. VERLAG DASHÖFER Szakkiadó Kft. és T. Bt. Budapest, 2004 [I1] ISO/IEC 27000:2009. Information technology – Security techniques – Information security management systems – Overview and vocabulary [I2] ISO/IEC 27002:2005. Information technology – Security techniques – Code of practice for information security management [I3] ISO/IEC 27003:2010. Information technology – Security techniques – Information security management system implementation guidance [I4] ISO/IEC 27004:2009. Information technology – Security techniques – Information security management systems – Measurement [I5] ISO/IEC 27005:2008. Information technology – Security techniques – Information security risk management [I6] ISO/IEC 27006:2007. Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems [I7]
ITB: Az informatikai biztonság fogalma, tartalma és határai.
http://www.itb.hu/ajanlasok/a12html/a12_1.htm [J1] Jánoshalma Kistérségi Egészségügyi Központ: Információbiztonsági Szabályzat, 2011. [K1] Ködmön József, Takács Péter: Hálózatbiztonsági technikák az egészségügyben. Informatika a felsőoktatásban ’96 Networkshop (Debrecen) kiadványa, p. 1126-1132
12
[K2] Dr. Ködmön István: Az információ- és adatvédelem nemzetközi trendjei a XXI. század elején. Magyar Minőség XVII. évfolyam, 2. sz. 2008. február, p. 50-56. [K3] Dr. Kürti Sándor: Az információgazda(g)ság buktatói, avagy még mennyit áldozzunk a biztonság oltárán. IME I. évfolyam 3. szám, 2002. október, p. 40-43 [K4] Kormány: A NFM megkezdte a hálózat- és információbiztonsági törvény előkészítését. http://www.kormany.hu/hu/nemzeti-fejlesztesiminiszterium/hirek/ [L1] Dr. Lukács György et al. szerk.: Információ – biztonság. Cedit, Budapest, 1997. [M1] Magyar Szabványügyi Testület: Információvédelmi irányítási rendszerek (ISMS) MSZ ISO/IEC 27001:2006. http://www.mszt.hu/tanusitas/infosec.html [M2] Michelberger Pál, Lábodi Csaba: Információbiztonság az ellátási láncokban. MEB 2009 -7th International Conference on Management, Enterprise and Benchmarking (Budapest) p. 273-290 [M3] MSZ EN ISO 9001:2009 Minőségirányítási rendszerek. Követelmények. Magyar szabvány [M4] MSZ ISO/IEC 27001:2006 Informatika. Biztonságtechnika. Az információbiztonság irányítási rendszerei. Követelmények. Magyar szabvány. [N1] Dr. Naszlady Attila: Inform-etika a metakommunikációban. IME I. évfolyam 2. szám, 2002. szeptember, p.40-42 [N2] NAT: Nemzeti Akkreditálási rendszer. EA útmutató információbiztonságirányítási rendszerek tanúsításáűt/regisztrálását végző szervezetek akkreditálásához. NER-EA-7/03 [T1] Dr. Tóth Zoltán: információbiztonsága.
Kórházak,
egészségügyi
http://infobiz.hu/korhazak-egeszsegugyi-intezmenyekinformaciobiztonsaga
13
intézmények
