Komunikace mezi zdravotnickými IS a Internet

 

Nebezpečí zvané Internet

aneb

zásady informační hygieny ve zdravotnictví

(dokument připravený k DS 2.01.01)

 

Účelem textu je pohlédnout na problematiku informační bezpečnosti ve vztahu k využívání sítě Internet zdravotnickými zařízeními pokud možno realisticky a racionálně. Je zřejmé, že zdravotnické informační systémy (ZIS) masivně operují s citlivými osobními údaji, které podle platné legislativy podléhají zvláštnímu režimu zpracování s důrazem na zachování důvěrnosti a integrity dat v zájmu vlastníka údajů, pacienta. Dále je zřejmé, že zdravotnický personál je především zodpovědný za výkon zdravotní péče na svěřeném úseku činnosti a příslušný informační systém by jej neměl v rutinní práci obtěžovat, způsobovat dodatečný stres popř. vyčerpávat pozornost a čas. Jaký vliv může mít využívání služeb sítě Internet ve zdravotnickém informačním systému na jeho informační bezpečnost? To je jistě legitimní otázka, kterou si každý zodpovědný manažer zdravotnického zařízení či jiný příslušný vedoucí pracovník nutně musí položit.

 

 

Je “nebezpečný Internet” fáma nebo realita?

 

Na tuto prostou otázku není jednoduché odpovědět. Vraťme se nejprve do historie, do dávnověku informačních technologií (IT), kdy na přelomu 60. a 70. let byl v USA položen základ architektury dnešní sítě Internet. Základní smysl tehdejšího projektu ARPANET spočíval v akademickém výzkumu možností použití počítačových sítí. Architekti tohoto vskutku průkopnického projektu nemohli předpovídat, jaká budoucnost jejich síť očekává, ani jaké technologické možnosti přinese poslední dekáda 20. století a první roky století 21. Nemohli tedy ani tušit bezpečnostní hrozby, které v současné době existují při používání sítě Internet a aspekt bezpečnosti pro ně nebyl klíčový. Obraťme tuto úvahu a řekněme to takto: Počítačová síť Internet se zhruba od poloviny 90. let začíná používat pro zábavu, komerční účely či budování informační infrastruktury společnosti, k čemuž nebyla původně vůbec určená. Na druhou stranu nezbývá, než se obdivovat důmyslu a použitelnosti síťové architektury, která nakonec v soutěži s jinými mladšími modely “informační dálnice” v 90. letech zvítězila.

 

Další důležitý aspekt, který je třeba vzít v úvahu, je nadnárodní rozšíření této sítě a též anonymita jejího používání. Důsledkem je jednak neexistence závazné legislativy vztahující se na využívání této sítě, dále neexistence nezávislých kontrolních mechanismů, které by vynucovaly dodržování stanovených pravidel. Samozřejmě Internet představuje příležitost pro bezcharakterní jedince, kteří, jak nás historie neustále poučuje, využijí každé možnosti skrýt svoji identitu při zneužívání technických vymožeností k ukájení svého egoismu.

 

Realita však není tak, zoufalá, jak by se mohlo zdát. Jak bylo již naznačeno, bezpečnostní slabiny se vyskytují v samých základech síťové architektury, kterými jsou protokoly skupiny TCP/IP. Pro čtenáře neobeznámeného s tímto termínem jenom vysvětlení, že protokoly skupiny TCP/IP jsou v zásadě postupy, jakými si komunikující počítače a jejich operační systémy vyměňují prostřednictvím sítě Internet elektronické informace (data), jak tato data formátují a jak vzájemnou komunikaci řídí. Jde o logicky poměrně složitý aparát, který v posledních 10ti letech prochází inovačními změnami směřujícími ke zvýšení výkonnosti, rozšíření funkčnosti a zejména k přepracování bezpečnostních vlastností těchto protokolů. Výsledkem je na přelomu tisíciletí se rozmáhající nasazování bezpečnějších protokolů pro síťovou komunikaci (IP v6), vytváření tzv. virtuálních (šifrovaných) privátních sítí, budování lépe zabezpečených a lépe ovladatelných operačních systémů komunikujících počítačů apod.

 

Rozvoj bezpečnosti IT pokračuje v posledním desetiletí neustále se zrychlujícím tempem, protože je evidentní, že ze všech nedostatků “informační dálnice” je nezabezpečenost tím nejsilnějším retardérem jejího využití. Tvůrci aplikací využívajících Internet implementují bezpečnostní mechanismy přímo do svých programů, takže tyto se stávají z hlediska bezpečnosti nezávislé na síťové architektuře. Příkladem může být bezpečná elektronická pošta dle standardu S/MIME nebo webový server s protokolem HTTPS. Samozřejmě, že i u bezpečnostních mechanismů těchto aplikací se postupem doby opět podaří odhalit zranitelná místa. Ovšem jejich zneužitelnost pro útok na informační bezpečnost je kvalitativně horší, protože aplikační protokoly již jsou implementovány s cílem zaručovat určitou míru zabezpečení.

 

Jak bylo naznačeno výše, jádro zranitelnosti informačních systémů využívajících Internet není omezeno jen na síťovou architekturu, ale má svůj zásadní podíl ve způsobu práce s ní, tedy v lidském faktoru. Krátce řečeno: I kdyby bezpečnostní rysy síťové architektury a síťových aplikací byly dokonalé, nebude Internet bezpečným informačním prostředím, pokud tyto bezpečnostní možnosti lidé správně nevyužijí. Zatímco v dnešní době jsou technologické prostředky zabezpečení v mnohých případech naprosto dostačující, lidé je většinou neumí nebo nechtějí použít.

Tento fakt rozebírá následující odstavec.

 

 

“An apple a day keeps a doctor away.”

 

Říká jedno přísloví staré učebnice angličtiny pro žáky ZDŠ. Jinými slovy je třeba pečovat o svůj imunitní aparát, aby nebyl postižen celý organismus nebo jeho část. S trochou nadsázky si můžeme dovolit přirovnat bezpečnostní systém zdravotnického informačního systému k imunitnímu aparátu člověka. Tak, jako je třeba rozpoznat příčiny, příznaky a důsledky chorob a naučit se minimalizovat riziko jejich vzniku zejména správným životním stylem, každodenními návyky a též aktivnímu se vyhýbání zdraví škodlivých situací, je stejně třeba rozpoznat hrozící nebezpečí sítě Internet, pochopit jeho podstatu, projevy a možné důsledky a minimalizovat je. Tak, jako je prevence proti civilizačním chorobám celosvětovou zdravotnickou kampaní, která pohlcuje nemalé prostředky, tak je budování bezpečnostního povědomí subjektů pracujících s informačními systémy (správců, uživatelů, výrobců aplikací a operačních systémů apod.) stejně nutnou kampaní, která pohlcuje prostředky zejména jednotlivých provozovatelů informačních systémů. Tak, jako nelze říci, že nechceme žít mezi lidmi, protože se můžeme nakazit a onemocnět, nebo protože jsou mezi nimi zločinci, tak nelze říci, že Internet nebudeme používat, protože bychom mohli utrpět újmu na datech.

 

Jednoduše řečeno: Musíme se učit používat zásady informační hygieny. Záměrně je zde použit nedokonavý slovesný vid, protože se nejedná o dosažení přesného stavu ale o živý proces. Tak, jako se vyvíjí lékařská věda, metody diagnostiky, léčby, prevence a dokonce i sami původci chorob, tak se analogicky (pravděpodobně o něco bouřlivěji) vyvíjí informační technologie, nové hrozby včetně virové infiltrace a nová bezpečnostní protiopatření. Nyní narážíme na klíčový bod, v němž toto srovnávání selhává. Za ochranu svého zdraví je plně zodpovědný každý svéprávný jedinec, informační bezpečnost nemůže nikdy být záležitostí pouze jednotlivého uživatele. Ten je dílčím kolečkem v soukolí, kterému říkáme bezpečnostní politika.

 

 

Změna zažitého myšlení jménem “bezpečnostní politika”

 

Nyní na chvilku opustíme Internet i s jeho hrozbami na jedné straně a nedoceněnými možnostmi na straně druhé. Totiž oblast bezpečnosti informačních systémů (IS) daleko přesahuje oblast využívání Internetu. Útočníci na informační systém zdaleka nečíhají pouze na Internetu, ale mnohem častěji právě uvnitř (při tom ne všechny útoky musí být úmyslné a ne všechny útoky jsou zaviněné lidmi). Zdravotnická zařízení, která jsou povinná vést zdravotnickou dokumentaci, automaticky provozují informační systém (ať už v papírové či elektronické nebo jiné podobě), který nakládá s citlivými osobními údaji. Jako takový musí tento systém vykazovat určité bezpečnostní rysy, které sice nejsou zákonem konkrétně specifikované, nicméně jsou dle zákona přezkoumatelné z hlediska zejména zajištění důvěrnosti a integrity uchovávaných informací a též z hlediska jejich autorství. Proto je v zájmu provozovatele zdravotnického informačního systému (ZIS) jakož i pacienta, aby existoval systém zabezpečení, který lze budovat více či méně komplexně a profesionálně. Klíčovým pojmem je zde bezpečnostní politika (BP).

Bezpečnostní politika je souhrn dokumentů přijatý vedením zdravotnického zařízení jako soustava závazných vnitroorganizačních norem, jde o ony již dříve zmíněné zásady informační hygieny.

Stanovení BP je obecně iterativní proces, kvalita bezpečnostní politiky by měla růst s počtem iterací (zpřesňováním) nebo si alespoň uchovat svou úroveň s ohledem na měnící se vstupní vlivy (prostřednictvím zpětné vazby).

 

Periodicky se opakující kroky vývoje BP:

1.    Cíle a strategie řešení bezpečnosti IS.

2.    Analýza rizik.

3.    Globální BP – jde o popis obecných cílů organizace a zabezpečení jejího IS, dokument vypracovaný pro horizont 5 až 10 let abstrahující od konkrétního technologického prostředí, který mimo jiné může specifikovat bezpečnostní cíle související s používáním Internetu.

4.    Bezpečnostní protiopatření ve formě bezpečnostních standardů (systémová BP), které mimo jiné definují uživatelské bezpečnostní směrnice. Samozřejmě sem spadá standard definující způsob zabezpečení internetové přípojky, který upravuje činnost zejména příslušného správce místní sítě a též uživatelů služeb Internetu.

5.    Zavedení a kontrola uplatňování protiopatření uživateli, správci dalšími subjekty informačního systému, jehož součástí je i bezpečnostní školení.

6.    Vyhodnocování účinnosti protiopatření a vyslovení závěrů (a návrat k bodu 1., 2., 3. nebo 4.).

Je potřeba ihned poznamenat, že budování bezpečnostní politiky se řídí určitými principy.

 

Jedním z nich je princip úměrnosti, který používá dvě pravidla:

1.       pravidlo:

Cena bezpečnostních opatření musí být menší než předpokládaná ztráta v případě, že by došlo k bezpečnostnímu incidentu.

2.       pravidlo:

Bezpečnostní opatření by mělo cenu případného útoku zvýšit nad předpokládaný zisk útočníka v případě úspěšného překonání tohoto opatření.

 

Teoreticky je vše jasné a poměrně jednouché, praxe bývá složitější zejména proto, že zavádění bezpečnostních opatření jde většinou proti přirozeným zájmům všech subjektů pracujících s informačním systémem. Uživatelé zjišťují, že mají určité povinnosti, na něž nebyli zvyklí, nemají dostupné informace nebo služby, které sice ke své práci nutně nepotřebují, ale zpříjemnily by jim z jejich hlediska život. Správce je kontrolován bezpečnostním auditorem, jestli dělá to, co má dělat, přibude mu práce spojená s konfigurováním bezpečnostních komponent, přístupových práv a pravidel ke zdrojům IS, vyhodnocováním bezpečnostních záznamů generovaných bezpečnostními komponentami apod. Manažer musí obětovat část pracovní doby zdravotnického personálu na jeho proškolení a též finanční prostředky na údržbu a rozvoj bezpečnosti, které opticky nemají žádnou návratnost. Jednoduše řečeno: Zavedení bezpečnostní politiky do praxe obecně představuje výraznou mentální změnu subjektů IS.

 

 

Kde tedy jsou ony hrozby?

 

Není účelem tohoto článku vzdělávat v čtenáře v oboru ochrany dat, proto se opět vrátíme k praktickým poznámkám o síti Internet. Uvažujme zdravotnické zařízení, které má realizovaný elektronický informační systém a k jeho provozu používá místní počítačovou síť (Local Area Network). Tato LAN je připojena určitými technickými prostředky k síti Internet. Hrozby, kterým je tím zdravotnický informační systém vystaven, se z hlediska forem útoku rozpadají na několik kategorií:

a)    odposlech – jde o útok na důvěrnost, útočník odposlouchává (kopíruje) data přenášená po síti Internet. V případě zdravotnických zařízení by šlo například o výsledky laboratorních vyšetření předávaných pomocí aplikace pro elektronickou poštu nebo pomocí protokolu pro přenos souborů (FTP). Další hrozbu může představovat dálková správa důležitých počítačů umístěných v LAN zdravotnického zařízení prováděná prostřednictvím Internetu, při níž může dojít k odposlechu autentizačních informací (správcovské jméno a heslo). Těmto hrozbám se lze bránit poměrně účinně více metodami, jejichž společným znakem je šifrování internetové komunikace pomocí silného kryptografického algoritmu. Jde tu o výběr vhodné šifrovací technologie a nastavení a dodržování správných pravidel jejího nasazení. Za všechny uveďme alespoň bezpečnou elektronickou poštu dle standardu S/MIME, kterou využívá aplikace MISE dodávaná firmou STAPRO s.r.o. pro automatizované předávání výsledků laboratorních vyšetření prostřednictvím sítě Internet. V tomto standardu se kombinují metody symetrické a asymetrické kryptografie k dosažení velmi silné důvěrnosti, integrity a autenticity přenášených dat. Standard S/MIME mimo jiné ctí i nejrozšířenější poštovní programy pro Internet jako je Netscape Messenger či MS Outlook Express.

b)    změna – útok na integritu, autenticitu a nepopiratelnost zodpovědnosti, útočník způsobí neoprávněnou změnu dat přenášených nebo dostupných po síti Internet. V případě, že máme na mysli pacientská data, mohlo by se jednat například o jejich padělání při přenosu po síti Internet mezi dvěma zdravotnickými zařízeními. Tomuto se lze bránit naprosto stejně jako při odposlechu, navíc pokud by to bylo namístě, lze implementovat kvalitní digitální podpis, kterým je zaručena i nepopiratelnost zodpovědnosti (autorství). To ovšem představuje značně komplikovanější a dražší aparát. Další typ útoku může směřovat ke změně funkčnosti důležitých počítačů (např. serverů) uvnitř místní sítě. Proti tomuto se lze bránit poměrně velmi účinně implementací systému “firewall” stojícího na rozhraní mezi LAN a sítí Internet, jehož základním posláním je přesně vymezit, která data, kterým směrem a mezi kterými počítači či programy smějí nebo nesmějí procházet. Opět je zde žádoucí vypracovat příslušný standard upravující správu systému “firewall” a nutící správce k jisté bezpečnostní disciplíně.

c)    přerušení – útok na dostupnost znepřístupněním dat je v zásadě možný tím, že vnější útočník se aktivně snaží cílenou komunikační kampaní vyčerpat přenosovou kapacitu internetové přípojky a eventuálně způsobit kolaps operačních systémů počítačů, které jsou přímo ze Internetu přístupné. Toto nebezpečí lze eliminovat vhodnou konfigurací systému “firewall” tak, že důležité počítače budou “schované” za tímto systémem, útočník nebude mít přímý přístup k nim a maximálně dosáhne dočasné znepřístupnění služeb Internetu pro uživatele pracující na vnitřní síti LAN.

d)       infiltrace – implementace a aktivace škodících nebo útok usnadňujících rutin (krátkých programů), které mohou zástupně automaticky provádět útoky odposlechem, změnou nebo přerušením. K infiltraci může v drtivé většině případů dojít jedině ve spolupráci (byť nechtěné) s uživateli vnitřní LAN. Nejčastější infiltrační cestou je elektronická pošta, která jako v zásadě žádoucí internetová služba umožňuje “propašovat” v těle elektronické zprávy, či v její příloze velmi agresivní programový kód. Jde o v médiích poslední roky probírané počítačové viry, červy,  apod. K infiltraci ovšem může dojít i prostřednictvím webových prohlížečů, instalací neprověřených programů získaných z nedůvěryhodných zdrojů apod. Toto je v současné době skutečně jediná vážná hrozba sítě Internet pro běžný zdravotnický informační systém, a to ze tří základních důvodů:

1)       To, zda dojde k aktivaci nežádoucího programového kódu, má do značné míry ve svých rukou běžný uživatel ZIS. Záleží pak na tom, zda se striktně řídí směrnicemi antivirové bezpečnostní politiky.

2)       Kódy, které jsou v dnešní době schopné infiltrovat do LAN, dosahují vysoké virtuozity ve schopnosti se samovolně šířit přes Internet ale i uvnitř LAN, měnit svoji podobu i funkci, nepozorovaně komunikovat s útočníkem ovládanými počítači na Internetu a samozřejmě poškozovat programy i data.

3)       Bezpečnostní protiopatření jsou zákonitě vždy v časovém skluzu proti původcům maligních programových kódů.

Ovšem i proti infiltraci se lze velmi úspěšně bránit jednak správným používáním již zmíněných nebezpečných internetových služeb a jednak nasazením vhodných antivirových a filtrovacích prostředků, jejichž produkci se věnuje celé velké odvětví IT. Opět platí několikrát zopakovaná zásada: Je třeba implementovat bezpečnostní politiku pokrývající oblast antivirové ochrany.

 

 

Slovo na závěr

 

V úvodu jsme položili otázku vlivu používání Internetu na informační bezpečnost ZIS. Čtenář, který očekával jednoduchou a jasnou odpověď byl možná zklamán či znuděn rozvleklostí výkladu. Proto se pokusíme odpověď shrnout do několika bodů:

1)       Využívání služeb Internetu přispěje ke vzniku nových bezpečnostních hrozeb pro daný ZIS.

2)       Proti hrozbám Internetu existují účinná protiopatření, která jsou technologické a organizační (administrativní) povahy.

3)       Udržení potřebné míry zabezpečení ZIS je proces, který si každoročně vyžádá určité finanční prostředky, kvalifikované lidské zdroje a zpočátku též změnu pracovních návyků subjektů pracujících se ZIS.

4)       Zisk z této investice přichází ve formě bezstresového používání informačního systému a ochrany provozovatele před zákonem.

Velmi doporučujeme, aby provozovatel ZIS v otázce ochrany dat spolupracoval s kompetentními specialisty. Zkušenost ukazuje, že se to z dlouhodobého hlediska stává pro něj výhodou.