Komunikace mezi zdravotnickými IS a Internet
Nebezpečí zvané Internet
aneb
zásady
informační hygieny ve zdravotnictví
(dokument připravený k DS 2.01.01)
Účelem textu je pohlédnout na
problematiku informační bezpečnosti ve vztahu k využívání sítě Internet
zdravotnickými zařízeními pokud možno realisticky a racionálně. Je zřejmé, že
zdravotnické informační systémy (ZIS) masivně operují s citlivými osobními
údaji, které podle platné legislativy podléhají zvláštnímu režimu zpracování
s důrazem na zachování důvěrnosti a integrity dat v zájmu vlastníka
údajů, pacienta. Dále je zřejmé, že zdravotnický personál je především
zodpovědný za výkon zdravotní péče na svěřeném úseku činnosti a příslušný
informační systém by jej neměl v rutinní práci obtěžovat, způsobovat
dodatečný stres popř. vyčerpávat pozornost a čas. Jaký vliv může mít využívání
služeb sítě Internet ve zdravotnickém informačním systému na jeho informační
bezpečnost? To je jistě legitimní otázka, kterou si každý zodpovědný manažer
zdravotnického zařízení či jiný příslušný vedoucí pracovník nutně musí položit.
Je “nebezpečný Internet” fáma nebo realita?
Na tuto prostou otázku není
jednoduché odpovědět. Vraťme se nejprve do historie, do dávnověku informačních
technologií (IT), kdy na přelomu 60. a 70. let byl v USA položen základ
architektury dnešní sítě Internet. Základní smysl tehdejšího projektu ARPANET
spočíval v akademickém výzkumu možností použití počítačových sítí.
Architekti tohoto vskutku průkopnického projektu nemohli předpovídat, jaká
budoucnost jejich síť očekává, ani jaké technologické možnosti přinese poslední
dekáda 20. století a první roky století 21. Nemohli tedy ani tušit bezpečnostní
hrozby, které v současné době existují při používání sítě Internet a aspekt
bezpečnosti pro ně nebyl klíčový. Obraťme tuto úvahu a řekněme to takto:
Počítačová síť Internet se zhruba od poloviny 90. let začíná používat pro
zábavu, komerční účely či budování informační infrastruktury společnosti,
k čemuž nebyla původně vůbec určená. Na druhou stranu nezbývá, než se
obdivovat důmyslu a použitelnosti síťové architektury, která nakonec
v soutěži s jinými mladšími modely “informační dálnice” v 90.
letech zvítězila.
Další důležitý aspekt, který je
třeba vzít v úvahu, je nadnárodní rozšíření této sítě a též anonymita
jejího používání. Důsledkem je jednak neexistence závazné legislativy
vztahující se na využívání této sítě, dále neexistence nezávislých kontrolních
mechanismů, které by vynucovaly dodržování stanovených pravidel. Samozřejmě Internet
představuje příležitost pro bezcharakterní jedince, kteří, jak nás historie
neustále poučuje, využijí každé možnosti skrýt svoji identitu při zneužívání
technických vymožeností k ukájení svého egoismu.
Realita však není tak, zoufalá,
jak by se mohlo zdát. Jak bylo již naznačeno, bezpečnostní slabiny se vyskytují
v samých základech síťové architektury, kterými jsou protokoly skupiny
TCP/IP. Pro čtenáře neobeznámeného s tímto termínem jenom vysvětlení, že
protokoly skupiny TCP/IP jsou v zásadě postupy, jakými si komunikující
počítače a jejich operační systémy vyměňují prostřednictvím sítě Internet
elektronické informace (data), jak tato data formátují a jak vzájemnou
komunikaci řídí. Jde o logicky poměrně složitý aparát, který v posledních
10ti letech prochází inovačními změnami směřujícími ke zvýšení výkonnosti,
rozšíření funkčnosti a zejména k přepracování bezpečnostních vlastností
těchto protokolů. Výsledkem je na přelomu tisíciletí se rozmáhající
nasazování bezpečnějších protokolů pro síťovou komunikaci (IP v6), vytváření
tzv. virtuálních (šifrovaných) privátních sítí, budování lépe zabezpečených a
lépe ovladatelných operačních systémů komunikujících počítačů apod.
Rozvoj bezpečnosti IT pokračuje v
posledním desetiletí neustále se zrychlujícím tempem, protože je evidentní, že
ze všech nedostatků “informační dálnice” je nezabezpečenost tím nejsilnějším
retardérem jejího využití. Tvůrci aplikací využívajících Internet implementují
bezpečnostní mechanismy přímo do svých programů, takže tyto se stávají z hlediska
bezpečnosti nezávislé na síťové architektuře. Příkladem může být bezpečná
elektronická pošta dle standardu S/MIME nebo webový server s protokolem
HTTPS. Samozřejmě, že i u bezpečnostních mechanismů těchto aplikací se postupem
doby opět podaří odhalit zranitelná místa. Ovšem jejich zneužitelnost pro útok
na informační bezpečnost je kvalitativně horší, protože aplikační protokoly již
jsou implementovány s cílem zaručovat určitou míru zabezpečení.
Jak bylo naznačeno výše, jádro
zranitelnosti informačních systémů využívajících Internet není omezeno jen na
síťovou architekturu, ale má svůj zásadní podíl ve způsobu práce s ní,
tedy v lidském faktoru. Krátce řečeno: I kdyby bezpečnostní rysy síťové
architektury a síťových aplikací byly dokonalé, nebude Internet bezpečným
informačním prostředím, pokud tyto bezpečnostní možnosti lidé správně
nevyužijí. Zatímco
v dnešní době jsou technologické prostředky zabezpečení v mnohých
případech naprosto dostačující, lidé je většinou neumí nebo nechtějí použít.
Tento fakt rozebírá následující
odstavec.
“An apple
a day keeps a doctor away.”
Říká jedno
přísloví staré učebnice angličtiny pro žáky ZDŠ. Jinými slovy je třeba pečovat
o svůj imunitní aparát, aby nebyl postižen celý organismus nebo jeho část.
S trochou nadsázky si můžeme dovolit přirovnat bezpečnostní systém
zdravotnického informačního systému k imunitnímu aparátu člověka. Tak,
jako je třeba rozpoznat příčiny, příznaky a důsledky chorob a naučit se
minimalizovat riziko jejich vzniku zejména správným životním stylem,
každodenními návyky a též aktivnímu se vyhýbání zdraví škodlivých situací, je
stejně třeba rozpoznat hrozící nebezpečí sítě Internet, pochopit jeho podstatu,
projevy a možné důsledky a minimalizovat je. Tak, jako je prevence proti
civilizačním chorobám celosvětovou zdravotnickou kampaní, která pohlcuje nemalé
prostředky, tak je budování bezpečnostního povědomí subjektů pracujících
s informačními systémy (správců, uživatelů, výrobců aplikací a operačních
systémů apod.) stejně nutnou kampaní, která pohlcuje prostředky zejména
jednotlivých provozovatelů informačních systémů. Tak, jako nelze říci, že
nechceme žít mezi lidmi, protože se můžeme nakazit a onemocnět, nebo protože
jsou mezi nimi zločinci, tak nelze říci, že Internet nebudeme používat, protože
bychom mohli utrpět újmu na datech.
Jednoduše
řečeno: Musíme se učit používat zásady informační hygieny. Záměrně je
zde použit nedokonavý slovesný vid, protože se nejedná o dosažení přesného
stavu ale o živý proces. Tak, jako se vyvíjí lékařská věda, metody diagnostiky,
léčby, prevence a dokonce i sami původci chorob, tak se analogicky
(pravděpodobně o něco bouřlivěji) vyvíjí informační technologie, nové hrozby
včetně virové infiltrace a nová bezpečnostní protiopatření. Nyní narážíme na
klíčový bod, v němž toto srovnávání selhává. Za ochranu svého zdraví je
plně zodpovědný každý svéprávný jedinec, informační bezpečnost nemůže nikdy
být záležitostí pouze jednotlivého uživatele. Ten je dílčím kolečkem
v soukolí, kterému říkáme bezpečnostní politika.
Změna zažitého myšlení jménem “bezpečnostní politika”
Nyní na chvilku opustíme Internet
i s jeho hrozbami na jedné straně a nedoceněnými možnostmi na straně
druhé. Totiž oblast bezpečnosti informačních systémů (IS) daleko přesahuje
oblast využívání Internetu. Útočníci na informační systém zdaleka nečíhají
pouze na Internetu, ale mnohem častěji právě uvnitř (při tom ne všechny útoky
musí být úmyslné a ne všechny útoky jsou zaviněné lidmi). Zdravotnická
zařízení, která jsou povinná vést zdravotnickou dokumentaci, automaticky
provozují informační systém (ať už v papírové či elektronické nebo jiné
podobě), který nakládá s citlivými osobními údaji. Jako takový musí tento
systém vykazovat určité bezpečnostní rysy, které sice nejsou zákonem konkrétně
specifikované, nicméně jsou dle zákona přezkoumatelné z hlediska zejména
zajištění důvěrnosti a integrity uchovávaných informací a též z hlediska
jejich autorství. Proto je v zájmu provozovatele zdravotnického
informačního systému (ZIS) jakož i pacienta, aby existoval systém zabezpečení,
který lze budovat více či méně komplexně a profesionálně. Klíčovým pojmem je
zde bezpečnostní politika (BP).
Bezpečnostní
politika je souhrn dokumentů přijatý vedením zdravotnického zařízení jako
soustava závazných vnitroorganizačních norem, jde o ony již dříve zmíněné
zásady informační hygieny.
Stanovení
BP je obecně iterativní proces, kvalita bezpečnostní politiky by měla růst s
počtem iterací (zpřesňováním) nebo si alespoň uchovat svou úroveň s ohledem na
měnící se vstupní vlivy (prostřednictvím zpětné vazby).
Periodicky
se opakující kroky vývoje BP:
1.
Cíle a
strategie řešení bezpečnosti IS.
2.
Analýza
rizik.
3.
Globální
BP – jde o popis obecných cílů organizace a zabezpečení jejího IS, dokument
vypracovaný pro horizont 5 až 10 let abstrahující od konkrétního
technologického prostředí, který mimo jiné může specifikovat bezpečnostní cíle
související s používáním Internetu.
4.
Bezpečnostní
protiopatření ve formě bezpečnostních standardů (systémová BP), které mimo jiné
definují uživatelské bezpečnostní směrnice. Samozřejmě sem spadá standard
definující způsob zabezpečení internetové přípojky, který upravuje činnost
zejména příslušného správce místní sítě a též uživatelů služeb Internetu.
5.
Zavedení
a kontrola uplatňování protiopatření uživateli, správci dalšími subjekty
informačního systému, jehož součástí je i bezpečnostní školení.
6.
Vyhodnocování
účinnosti protiopatření a vyslovení závěrů (a návrat k bodu 1., 2., 3.
nebo 4.).
Je potřeba
ihned poznamenat, že budování bezpečnostní politiky se řídí určitými principy.
Jedním
z nich je princip úměrnosti, který používá dvě pravidla:
1.
pravidlo:
Cena bezpečnostních opatření musí
být menší než předpokládaná ztráta v případě, že by došlo
k bezpečnostnímu incidentu.
2.
pravidlo:
Bezpečnostní opatření by mělo cenu případného
útoku zvýšit nad předpokládaný zisk útočníka v případě úspěšného překonání
tohoto opatření.
Teoreticky je vše jasné a poměrně
jednouché, praxe bývá složitější zejména proto, že zavádění bezpečnostních
opatření jde většinou proti přirozeným zájmům všech subjektů pracujících
s informačním systémem. Uživatelé zjišťují, že mají určité povinnosti, na
něž nebyli zvyklí, nemají dostupné informace nebo služby, které sice ke své
práci nutně nepotřebují, ale zpříjemnily by jim z jejich hlediska život.
Správce je kontrolován bezpečnostním auditorem, jestli dělá to, co má dělat,
přibude mu práce spojená s konfigurováním bezpečnostních komponent,
přístupových práv a pravidel ke zdrojům IS, vyhodnocováním bezpečnostních
záznamů generovaných bezpečnostními komponentami apod. Manažer musí obětovat
část pracovní doby zdravotnického personálu na jeho proškolení a též finanční
prostředky na údržbu a rozvoj bezpečnosti, které opticky nemají žádnou
návratnost. Jednoduše řečeno: Zavedení bezpečnostní politiky do praxe obecně představuje výraznou
mentální změnu subjektů IS.
Kde tedy jsou ony hrozby?
Není účelem tohoto článku
vzdělávat v čtenáře v oboru ochrany dat, proto se opět vrátíme
k praktickým poznámkám o síti Internet. Uvažujme zdravotnické zařízení, které
má realizovaný elektronický informační systém a k jeho provozu používá
místní počítačovou síť (Local Area Network). Tato LAN je připojena určitými
technickými prostředky k síti Internet. Hrozby, kterým je tím zdravotnický
informační systém vystaven, se z hlediska forem útoku rozpadají na několik
kategorií:
a)
odposlech
– jde o útok na důvěrnost, útočník odposlouchává (kopíruje) data
přenášená po síti Internet. V případě zdravotnických zařízení by šlo
například o výsledky laboratorních vyšetření předávaných pomocí aplikace pro
elektronickou poštu nebo pomocí protokolu pro přenos souborů (FTP). Další
hrozbu může představovat dálková správa důležitých počítačů umístěných
v LAN zdravotnického zařízení prováděná prostřednictvím Internetu, při níž
může dojít k odposlechu autentizačních informací (správcovské jméno a
heslo). Těmto hrozbám se lze bránit poměrně účinně více metodami, jejichž
společným znakem je šifrování internetové komunikace pomocí silného
kryptografického algoritmu. Jde tu o výběr vhodné šifrovací technologie a
nastavení a dodržování správných pravidel jejího nasazení. Za všechny uveďme
alespoň bezpečnou elektronickou poštu dle standardu S/MIME, kterou využívá
aplikace MISE dodávaná firmou STAPRO s.r.o. pro automatizované předávání
výsledků laboratorních vyšetření prostřednictvím sítě Internet. V tomto
standardu se kombinují metody symetrické a asymetrické kryptografie
k dosažení velmi silné důvěrnosti, integrity a autenticity přenášených
dat. Standard S/MIME mimo jiné ctí i nejrozšířenější poštovní programy pro
Internet jako je Netscape Messenger či MS Outlook Express.
b)
změna
– útok na integritu, autenticitu a nepopiratelnost
zodpovědnosti, útočník způsobí neoprávněnou změnu dat přenášených nebo
dostupných po síti Internet. V případě, že máme na mysli pacientská data,
mohlo by se jednat například o jejich padělání při přenosu po síti Internet
mezi dvěma zdravotnickými zařízeními. Tomuto se lze bránit naprosto stejně jako
při odposlechu, navíc pokud by to bylo namístě, lze implementovat kvalitní digitální
podpis, kterým je zaručena i nepopiratelnost zodpovědnosti (autorství). To
ovšem představuje značně komplikovanější a dražší aparát. Další typ útoku může
směřovat ke změně funkčnosti důležitých počítačů (např. serverů) uvnitř místní
sítě. Proti tomuto se lze bránit poměrně velmi účinně implementací systému
“firewall” stojícího na rozhraní mezi LAN a sítí Internet, jehož základním
posláním je přesně vymezit, která data, kterým směrem a mezi kterými počítači
či programy smějí nebo nesmějí procházet. Opět je zde žádoucí vypracovat
příslušný standard upravující správu systému “firewall” a nutící správce
k jisté bezpečnostní disciplíně.
c)
přerušení
– útok na dostupnost znepřístupněním dat je v zásadě možný tím, že
vnější útočník se aktivně snaží cílenou komunikační kampaní vyčerpat přenosovou
kapacitu internetové přípojky a eventuálně způsobit kolaps operačních systémů
počítačů, které jsou přímo ze Internetu přístupné. Toto nebezpečí lze
eliminovat vhodnou konfigurací systému “firewall” tak, že důležité počítače
budou “schované” za tímto systémem, útočník nebude mít přímý přístup k nim
a maximálně dosáhne dočasné znepřístupnění služeb Internetu pro uživatele
pracující na vnitřní síti LAN.
d)
infiltrace
– implementace a aktivace škodících nebo útok usnadňujících rutin (krátkých
programů), které mohou zástupně automaticky provádět útoky odposlechem, změnou
nebo přerušením. K infiltraci může v drtivé většině případů dojít jedině
ve spolupráci (byť nechtěné) s uživateli vnitřní LAN. Nejčastější
infiltrační cestou je elektronická pošta, která jako v zásadě žádoucí
internetová služba umožňuje “propašovat” v těle elektronické zprávy, či
v její příloze velmi agresivní programový kód. Jde o v médiích
poslední roky probírané počítačové viry, červy, apod. K infiltraci ovšem může dojít i prostřednictvím webových
prohlížečů, instalací neprověřených programů získaných z nedůvěryhodných
zdrojů apod. Toto je v současné době skutečně jediná vážná hrozba sítě
Internet pro běžný zdravotnický informační systém, a to ze tří základních důvodů:
1)
To,
zda dojde k aktivaci nežádoucího programového kódu, má do značné míry ve
svých rukou běžný uživatel ZIS. Záleží pak na tom, zda se striktně řídí
směrnicemi antivirové bezpečnostní politiky.
2)
Kódy,
které jsou v dnešní době schopné infiltrovat do LAN, dosahují vysoké
virtuozity ve schopnosti se samovolně šířit přes Internet ale i uvnitř LAN,
měnit svoji podobu i funkci, nepozorovaně komunikovat s útočníkem
ovládanými počítači na Internetu a samozřejmě poškozovat programy i data.
3)
Bezpečnostní
protiopatření jsou zákonitě vždy v časovém skluzu proti původcům maligních
programových kódů.
Ovšem i proti infiltraci se lze velmi úspěšně bránit jednak
správným používáním již zmíněných nebezpečných internetových služeb a jednak
nasazením vhodných antivirových a filtrovacích prostředků, jejichž produkci se
věnuje celé velké odvětví IT. Opět platí několikrát zopakovaná zásada: Je
třeba implementovat bezpečnostní politiku pokrývající oblast antivirové
ochrany.
Slovo na závěr
V úvodu
jsme položili otázku vlivu používání Internetu na informační
bezpečnost ZIS. Čtenář, který očekával jednoduchou a jasnou odpověď byl možná
zklamán či znuděn rozvleklostí výkladu. Proto se pokusíme odpověď shrnout do
několika bodů:
1)
Využívání
služeb Internetu přispěje ke vzniku nových bezpečnostních hrozeb pro daný ZIS.
2)
Proti
hrozbám Internetu existují účinná protiopatření, která jsou technologické a
organizační (administrativní) povahy.
3)
Udržení
potřebné míry zabezpečení ZIS je proces, který si každoročně vyžádá určité
finanční prostředky, kvalifikované lidské zdroje a zpočátku též změnu
pracovních návyků subjektů pracujících se ZIS.
4)
Zisk
z této investice přichází ve formě bezstresového používání informačního
systému a ochrany provozovatele před zákonem.
Velmi
doporučujeme, aby provozovatel ZIS v otázce ochrany dat spolupracoval
s kompetentními specialisty. Zkušenost ukazuje, že se to
z dlouhodobého hlediska stává pro něj výhodou.