Gramotnosť a vzdelanie – top riziko pre eZdravie

Prvoradým zameraním lekárov je liečenie svojich pacientov a hoci únik informácií alebo iné hrozby sú súčasťou ich práce už dlhodobo, informačné technológie priniesli aj do tejto oblasti zásadný zvrat. Téma, o ktorej sa najviac hovorilo v prvom z cyklu okrúhlych stolov, ktoré majú prispieť k čo najobjektívnejšiemu obrazu o stave kybernetickej bezpečnosti najväčších verejných elektronických služieb na Slovensku.

Podujatie s názvom Okrúhly stôl – DIGITÁLNE ZDRAVOTNÍCTVO BEZPEČNE prinieslo viac ako 4 hodinovú živú a vecnú diskusiu hlavných aktérov projektu eZdravie o ťažiskových témach bezpečnosti elektronického zdravotníctva na Slovensku. Podujatia sa zúčastnilo 13 panelových hostí zastupujúcich zdravotnícku obec, dodávateľov riešení elektronického zdravotníctva ako aj zástupcov riadenia projektu a expertov z oblasti kybernetickej bezpečnosti. Diskusiu sledovalo a prostredníctvom mobilnej aplikácie sa do nej zapájalo niekoľko desiatok účastníkov auditória z oblasti dodávateľov elektronických riešení a zdravotníckej obce.

„Bezpečnostné pásy boli v minulosti nepríjemnou povinnosťou, dnes ich používame úplne samozrejme.“ To sú slová Petra Blaškovitša, generálneho riaditeľa NCZI, prvého muža elektronického zdravotníctva Slovenska, ktorými reagoval na otázky tandemu moderátorov v zložení Roman Juraško a Zlatica Švajdová Puškárová pri otváraní podujatia.

„Dáta, dáta, dáta“, to je stručná citácia z panelovej debaty, ktorá charakterizuje jednotný názor všetkých účastníkov, vrátane zdravotníkov, že elektronické zdravotníctvo je užitočné. Na platforme tohto konsenzuálneho postoja sa potom intenzívne diskutovalo o druhej strane mince, ktorou je bezpečnosť elektronického zdravotníctva.

„Globálny útok v roku 2017 znamenal pre nitriansku nemocnicu výmenu niekoľkých desiatok počítačov a týždeň konsolidácie, kým všetko nabehlo na úroveň ako pred útokom..“ povedal   MUDr. Kamil Koleják, donedávna riaditeľ nitrianskej fakultnej nemocnice, dnes prednosta Neurochirurgickej kliniky v Nitre. Pripravenosť nemocníc a najmä ambulancií bola jednou z dominantných tém debaty, keďže poskytovatelia zdravotníckych služieb sú súčasťou celého systému, minimálne z pohľadu bezpečnosti. Debata ukázala, že práve táto časť elektronického zdravotníctva prináša najzávažnejšie bezpečnostné riziká, a to hneď v troch oblastiach.

Ľudia sú popri technológiách a procesoch jeden z troch prvkov systému riadenia rizík, v prípade elektronického zdravotníctva na Slovensku, vo výraznej jednote všetkých zúčastnených, ten najzávažnejší. „Vzdelanosť a povedomie je pre kybernetickú bezpečnosť rizikovým faktorom č.1.“ povedal pán Lukáš Hlavička, riaditeľ vládnej jednotky CSIRT pri ÚPVII, pod ktorú jednotka organizačne spadá. O zdravotníkoch a ich vzťahu k výpočtovej technike sa dlho diskutovalo nie len v kontexte profesionálneho zvládania práce s výpočtovou technikou v prostredí lekárskej praxe, ale najmä z pohľadu adaptácie na nové prostredie, ktoré digitálne zdravotníctvo a projekt eZdravie prináša. „Elektronické zdravotníctvo je užitočná vec, ale nemožno ho implementovať bez zohľadnenia ľudského faktora..“, povedala pani MUDr. Jana Bendová, hlavná odborníčka pre všeobecné lekárstvo, SSVPL, na margo školení. Jej slová naznačujú, že problém vzdelávania zdravotníckych pracovníkov v oblasti digitalizácie zdravotníctva je zásadnejší a širší.

Technologické vybavenie poskytovateľov zdravotnej starostlivosti sa ukazuje ako minimálne tak veľké riziko, ako pripravenosť ľudí. Vektory kybernetických útokov sa zameriavajú na najslabšie články systému a pracovné stanice lekárov so zastaralým technickým vybavením, bez podpory výrobcov v podobe napr. bezpečnostných záplat v operačných systémoch, sú veľkou dierou v pomyselnom plote chrániacom naše údaje alebo spoľahlivosť a dostupnosť systémov elektronických služieb slovenského zdravotníctva.

Kategória procesov a legislatívy sa rovnako nedá obísť, a to rovno od strechy nášho elektronického zdravotníctva, až po každého lekára, sestru, lekárnika, či ktoréhokoľvek pracovníka zapojeného do projektu eZdravie. Prax naznačuje, že súčasná metodika integrácie do projektu eZdravie už nemusí stačiť a NCZI bude potrebovať silnejšie nástroje na riadenie rizík, s dosahom aj na pripájajúce sa časti do centrálnych systémov eZdravie. „Nejestvuje väčšia a menšia hrozba. Sú len vyššie a nižšie rizika. Jestvuje množstvo rôznych zraniteľností a hrozieb a každá môže s určitou pravdepodobnosťou spôsobiť negatívny dopad..“, povedal pán Ivan Makatura, expert pre informačnú bezpečnosti reprezentujúci organizáciu ISACA, odborného garanta podujatia.

Úplne zásadnou sa však javí otázka, kto kybernetickú bezpečnosť riadi naozaj. Z diskusie vyplynulo, že sa netýka len zdravotníckych systémov a dokonca že presahuje Slovensko. Nejde pritom o žiadnu konšpiratívnu konštrukciu ale o fakt, že aj debata o projekte eZdravia ukazuje na dlhodobú prax vnímať bezpečnosť spojenú s IKT ako súčasť IT oddelení. A to je problém najzásadnejší, ktorý si vyžaduje odvážne a zásadné riešenie – informačnú bezpečnosť zaradiť do kategórie strategických rizík a tomu podriadiť aj organizačnú štruktúru organizácií. V prípade NCZI by to znamenalo rolu s prepojením priamo na vrcholový manažment organizácie, s dozorom externej inštitúcie riadenej zákonom a medzinárodnými štandardami.

Podujatie Okrúhly stôl – DIGITÁLNE ZDRAVOTNÍCTVO BEZPEČNE sa konalo dňa 4. októbra 2018 v Bratislave. Zúčastnili sa ho paneloví hostia v zložení, v abecednom poradí, dámy a páni Jana Bendová, hlavná odborníčka pre všeobecné lekárstvo, SSVPL, Peter Blaškovitš, generálny riaditeľ NCZI, Jozef Fiebig, riaditeľ NRSYS s.r.o., aplikácie eZdravie, Lukáš Hlavička, riaditeľ vládnej jednotky CSIRT, ÚPVII, Petra Jakubjaková, zástupkyňa prednostky Univerzitnej lekárne FF UK v Bratislave, Rastislav Janota, riaditeľ Národnej jednotky SK-CERT, NBÚ SR, Tomáš Jilík, regionálny manažér, Gemalto, Helga Kajanová, medzinárodný konzultant v oblasti eHealth, Kamil Koleják, prednosta Neurochirurgickej kliniky, FN Nitra, Ivan Makatura, ISACA, expert pre kybernetickú bezpečnosť, Marián Šimegh, riaditeľ rozvoja integrácie eZdravie, NCZI  Igor Urban, regionálny manažér Forcepoint.

Programovú záštitu nad podujatím prevzal ÚPVII SR, inštitucionálnymi partnermi boli NCZI, SLeK, SSVPL, odbornú záštitu prevzala ISACA. Podujatie ďalej podporili organizácie tretieho sektora, komerčné organizácie a mediálni partneri.

Organizátormi podujatia boli QuBit Academy, súčasť QuBit Conference, ktorá je úspešnou slovenskou spoločnosťou prinášajúcou vzdelávacie podujatia a medzinárodné konferencie v Prahe, Belehrade a Sofii so zameraním na témy kybernetickej bezpečnosti a Cyber STRING, (Cyber Security Threats Response Initiatives Group), nezisková a mimovládna organizácia podporujúca rozvoj schopností reagovať na kybernetické hrozby.