Okrogla miza: Varovanje podatkov v zdravstvu

07.03.2016 - avtor: detektiv Žiga Primc

Gostje okrogle mize, ki sta jo organizirala AS-CAL d.o.o. v sodelovanju s partnerji in GZS, so razvili dinamično debato na področju varovanja informacij v zdravstvu. Slišali smo različna mnenja govorcev, ki so se v marsičem dopolnjevala, v določenih točkah pa tudi kresala. Pri razpravi so sodelovali:

    Gostje okrogle mize: varovanje podatkov v zdravstvu
  • Marko Anžič, Deloitte
  • dr. Igor Bernik, Fakulteta za varnostne vede, Univerza v Mariboru
  • Urban Brulc, svetovalec pri Informacijskem pooblaščencu RS
  • Igor Josipović, Onkološki Inštitut
  • dr. Nataša Pirc Musar, Odvetniška pisarna Pirc Musar
  • mag. Simon Vrhunec, pooblaščenec za informacijsko varnost, UKCLJ
  • mag. Katarina Kralj, vodja projekta e-Zdravje na Ministrstvu za zdravje

Moderator prireditve je bil Filip Božič iz podjetja Zupo.SI d.o.o., ki skupaj z detektivsko agencijo Evidentium na trgu ponuja na uporabnike osredotočeno rešitev za varovanje informacij v organizacijah - Safe Mode. Rešitev kot taka daje največji poudarek na ozaveščanju uporabnikov, kar po besedah govorcev na okrogli mizi predstavlja zelo pomemben del pri zagotavljanju varnosti informacijskih sistemov.

Marko Anžič iz revizijske hiše Deloitte je dejal, da po njegovem mnenju človeški faktor, oziroma ozaveščenost zaposlenih, predstavlja večino odgovornosti pri varovanju informacij v organizacijah. Z njegovo trditvijo se je strinjal Simon Vrhunec iz UKC Ljubljana, ki je dejal, da tudi njihova organizacija pripravlja izobraževanja za zaposlene na tem področju. Izpostavil je pomen morale oziroma njeno spreminjanje skozi čas. Dejal je, da si pred dvema desetletjema posamezniki načeloma niso dovolili nepooblaščeno dostopati do zaupnih datotek pacientov, saj je bil njihov moralni čut na višji ravni, kot pa je danes. Razvoj tehnologije in spremenjene ali bolje rečeno spuščene meje zasebnosti, danes tako dejanje ne inkriminirajo več v enaki meri kot nekoč.

Dr. Igor Bernik (levo) in moderator Filip Božič (desno)Dr. Igor Bernik je opozoril na potrebo po celostnem pristopu k problematiki in razlikovanju med tipi incidentov. Kot je dejal, ni smiselno enake količine časa in sredstev namenjati vsem incidentom, ampak je potrebno večjo pozornost posvetiti bolj problematičnim, to je tistim, ki povzročijo več škode. Dr. Nataša Pirc Musar, iz odvetniške pisarne Pirc Musar je ob tem argumentirala, da pravo obravnava vse kršitelje, torej je potrebno ukrepati proti vsem povzročiteljem incidentov. Ker pa lahko telo Informacijskega pooblaščenca nadzor izvaja preveč poredko (na 2 ali 3 leta), predlaga uvedbo notranjega nadzora, za katerega je odgovorno podjetje samo. S tem bi lahko konstantno vzdrževali ustrezen nivo varnosti.

Slišali smo zanimiv argument prisotnega poslušalca iz publike. Dejal je, da se mu zdi varnost zdravstvenih sistemov na precej višji ravni kot pa pred leti in to prav na račun digitalizacije podatkov in informatizacije procesov. Tako se mu ne zdi smiselno tolikšne pozornosti namenjati varnosti omenjenih sistemov, saj so ti varni že sami po sebi. Dr. Musarjeva je ponudila enostaven odgovor, zakaj je to nujno. Včasih je bilo ob kraji osebnih podatkov oškodovanih nekaj oseb, danes pa zaradi razvoja tehnologije in množice informacij, do katerih lahko dostopamo iz domačega naslonjača, škodo doživi nekaj tisoč ali več posameznikov, saj lahko ob naprednem vdoru v bazo storilec vidi vse datoteke in podatke, ki jih sistem premore. Iz tega in tudi drugih razlogov je delo na področju varovanja informacij nujno, saj lahko le tako ohranjamo oziroma povečujemo zaupanje strank.

Simon Vrhunec, Igor Josipović in dr. Pirc MusarV sklopu okrogle mize je g. Božič demonstriral delovanje virusa TeslaCrypt, eno od različic izsiljevalskega virusa, ki je bila novica leta 2015 v svetu informacijske varnosti in kot kaže zaenkrat, je aktualna tudi v letu 2016. Zanimiva demonstracija je potekala v zavarovanem okolju na zadnji različici operacijskega sistema Windows 10. Igor Josipović iz Onkološkega inštituta je dejal, da so se v njihovi organizaciji v zadnjem letu že srečali s tovrstno zlonamerno programsko kodo, ki je tudi povzročila škodo. Prisotni so kot najboljšo zaščito pred okužbo s škodljivo programsko kodo navedli izobraževanje človeškega faktorja in kvalitetno varnostno kopijo podatkov, ki se izvaja na dnevni ravni. Onkološki inštitut žal ni izjema pri tovrstnih okužbah v slovenskem prostoru. Novodobne informacijske grožnje ne izbirajo tarč, saj se širijo po spletu in ciljajo na vse uporabnike. Tako smo lahko v zadnjem mesecu med drugim zasledili okužbe z izsiljevalskim virusom v bolnišnici v ZDA, natančneje v Los Angelesu in tudi v članici Evropske unije Nemčiji in sicer v mestih Neuss in Arnsberg. Problematično pri okužbah bolnišnic je predvsem to, da virus lahko onemogoči delovanje različnih medicinskih naprav (npr. naprave za rentgen v nemškem primeru), kar pa je lahko življenjskega pomena.

Organizatorji so zatrdili, da si bodo tudi v bodoče prizadevali zbrati strokovnjake in slovensko javnost na tovrstnih zanimivih srečanjih s področja varovanja informacij. Okrogla miza na temo varovanja informacij v zdravstvu ni razočarala, saj so se govorci izkazali v svojih vlogah in v dinamični debati odprli številne tematike, ki bi lahko same po sebi bile teme za dogodek.

Varnostna priporočila in novice