H ασφάλεια στον κυβερνοχώρο, στις υπηρεσίες και τα δεδομένα υγείας

H ασφάλεια στον κυβερνοχώρο, στις υπηρεσίες και τα δεδομένα υγείας

Ποιες είναι μεγάλες προκλήσεις κυβερνασφάλειας και πως αντιμετωπίζονται - Άρθρο του Κωνσταντίνου Λυκοστράτη, Διοικητή του Νοσοκομείου Νάουσας

166059837_l
Πολλοί πιστεύουν ότι η ασφάλεια αφορά απλώς παραβιάσεις δεδομένων. Όμως ένας σημαντικός οργανισμός Υγείας όπως ένα Νοσοκομείο, πρέπει να είναι ασφαλής όχι μόνον από εξωγενείς παράγοντες ή καταστάσεις μετάβασης και εξέλιξης συστημάτων, αλλά ασφαλής και από τους ίδιους τους χρήστες, τις εξαρτήσεις από τις χειροκίνητες συνήθειες, ασφαλής ταυτόχρονα και από προμηθευτές αλλά και το προσωπικό που δουλεύει καθημερινά. Ολο το άρθρο-ανάλυση του Κωνσταντίνου Λυκοστράτη έχει ως εξής:

«Το άρθρο αυτό δεν αποσκοπεί στην ενημέρωση επί της νομοθεσίας σχετικά με το Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) και αναγκαιότητας υπευθύνων Προστασίας Δεδομένων (DPO) στον Ιδιωτικό και Δημόσιο Τομέα, καθώς αυτή η γνώση υπάρχει διαθέσιμη πολύ εύκολα σε πολλαπλά σημεία του διαδικτύου. Το άρθρο αυτό αποσκοπεί στο να εμβαθύνει στη έγκαιρη και έγκυρη αντιμετώπιση θεμάτων ασφαλείας που αφορούν όλο το φάσμα πληροφορικής στον δημόσιο τομέα της Υγείας αλλά και στην παροχή υπηρεσιών του ιδιωτικού.

Ασφάλεια βάσει αρχικού σχεδίου

Στη νέα εποχή ψηφιακής υγείας όπως έχουμε ήδη αρχίσει να την λαμβάνουμε σοβαρά στην 3η δεκαετία του 21ου αιώνα, υπάρχει στην πραγματικότητα μόνον μία ιδανική στρατηγική ασφάλειας, και αυτή είναι η δημιουργία λογισμικού, λαμβάνοντας υπόψη την ασφάλεια από την αρχή και όχι σαν ένα μπάλωμα όταν υπάρξει ανάγκη.

Ασφάλεια από το σχεδιασμό σημαίνει διεξοδική εξέταση θεμάτων ασφάλειας από τα θεμέλια μια ιδέας, πριν καν τεθεί σε υλοποίηση. Μόνον έτσι μειώνονται σημαντικά πιθανοί κίνδυνοι που μπορεί να προκύψουν μελλοντικά. Η ασφάλεια πρέπει να είναι ριζωμένη σε όλα, όχι μόνο στην αρχιτεκτονική κάποιου λογισμικού αλλά σε κάθε πτυχή της υπηρεσίας που παρέχεται μέσα από ένα νοσηλευτικό ίδρυμα. Αυτό συμπεριλαμβάνει ασφάλεια στις λειτουργίες των βασικών υπηρεσιών, ασφάλεια στην συνεχόμενη κατάρτιση, ασφάλεια στην υποστήριξη χρηστών και πολλά άλλα. Υπό πολλές έννοιες, δεν διαφέρει από τη σημασία ασφαλείας σε ένα οικοδομικό κτίσμα, που πρέπει να αντιμετωπιστεί ορθά από τα θεμέλιά του και σε όλο το φάσμα κατασκευής με προσοχή και επιμέλεια για να αντέχει μελλοντικούς κραδασμούς και σεισμούς.

Για παράδειγμα, όταν μιλούμε για λογισμικό (μηχανογράφηση), χρειάζεται συχνά, μέσα από διαδικασίες που καθίστανται αναγκαίες, να διασυνδεθούν συστήματα από διαφορετικούς παρόχους και να ενοποιηθούν κάτω από μια ομπρέλα δεδομένων. Μία τέτοια διασύνδεση φέρνει νέες λειτουργίες για τους χρήστες, και ανάγκες για εκ νέου επικοινωνίες πληροφοριών και συμβατότητες διαφορετικών βάσεων δεδομένων. Συχνά αυτό απαιτεί από χρήστες να μάθουν να χειρίζονται νέες διεπαφές λογισμικού με ηλεκτρονικές καινούργιες ροές εργασίας, που προκύπτουν εκ νέου. Οι χρήστες αυτοί όμως, όπως γιατροί και νοσηλευτές, μπορεί συχνά να μην είναι απόλυτα εξοικειωμένοι με τις νέες τεχνολογίες, και για αυτό το λόγο πρέπει να υπάρχει σχέδιο από την αρχή για την ομαλή αφομοίωση νέων εφαρμογών. Πρέπει να υπάρχει επιχειρησιακό σχέδιο κατανομής πόρων και κλιμακωμένης, βήμα-προς-βήμα, ενσωμάτωσης νέων ηλεκτρονικών διαδικασιών, με τμηματικές εκπαιδεύσεις, έτσι ώστε οι υπηρεσίες να μεταβαίνουν σε νέες τεχνολογίες απρόσκοπτα και αθόρυβα.
IMG-20230214-WA0001
Κλείσιμο

Υπάρχουν όμως και δυσκολότερες καταστάσεις από μια εισαγωγή νέων εφαρμογών. Τι γίνεται όταν για παράδειγμα ένας πάροχος σταματήσει τις υπηρεσίες του και την παροχή συγκεκριμένου λογισμικού, ή όταν αυτό πλέον δεν είναι συμβατό με νέες τεχνολογίες και πρωτόκολλα που χρησιμοποιεί ένα ίδρυμα; Τι γίνεται όταν κριθεί αναγκαίο να γίνει πλήρης μετάβαση δεδομένων και λειτουργίας από ένα σύστημα σε ένα άλλο; Αυτομάτως αυτή η διαδικασία θέτει θέματα ρίσκου και κινδύνων για τα ευαίσθητα δεδομένα, για την επάρκεια των χρηστών, για την εύρυθμη λειτουργία των υπηρεσιών. Όπως ένας σεισμός, μία πυρκαγιά ή άλλη ανωτέρα βία μπορεί να δημιουργήσει διαταραχές σε κτιριακές υποδομές και απαιτεί σχέδια αντιμετώπισης, κάτι ανάλογο πρέπει να υπάρχει σε περιπτώσεις που υπάρχουν διαταραχές σε ηλεκτρονικές και ψηφιακές υποδομές. Εκεί λοιπόν, μιλούμε για ασφάλεια βάσει αρχικού σχεδίου. Η ασφάλεια από το σχεδιασμό και η ετοιμότητα μέσα από προκαθορισμένα πρωτόκολλα αντιμετώπισης πρέπει να είναι στη σκέψη μας καθ’ όλη τη διάρκεια ωρίμανσης μεγάλων ιδρυμάτων στα πλαίσια του ψηφιακού μετασχηματισμού. Πρέπει να υπάρχουν παράλληλα ψηφιακά περιβάλλοντα και κέντρα δεδομένων (τοπικά ή cloud) που να διασφαλίζουν την ακεραιτότητα ευαίσθητων πληροφοριών σε κάθε μετάβαση αλλά και διαδικασίες για πλήρη μετεγκατάσταση υποδομής, που να έχουν δοκιμαστεί εκ των προτέρων.

Με την εξέλιξη του κλάδου πληροφορικής, είναι θεμιτό το λογισμικό να είναι σχεδιασμένο για να είναι φορητό και να μην βασίζεται σε συγκεκριμένες τεχνολογίες και κατασκευαστές εξοπλισμού (hardware). Ακόμη όμως και όταν αυτό δεν συμβαίνει, πρέπει κατ’ ελάχιστον το λογισμικό να αφήνει ανοιχτές πόρτες διασύνδεσης με άλλες βάσεις δεδομένων έτσι ώστε λειτουργικά να μην είναι μη-αναστρέψιμα κλειδωμένο όταν χρειαστεί άμεσα να συνεργαστεί με άλλα λογισμικά. Εξάλλου αυτή η λογική ακολουθεί και τη φιλοσοφία ενός νοσηλευτικού ιδρύματος, όπου συχνά πολλαπλές ιατρικές ειδικότητες χρειάζεται άμεσα να συνεργαστούν ταυτόχρονα για την παροχή υπηρεσίας υγείας, που χρειάζεται να λάβει ένας ασθενής.

Δυστυχώς η φιλοσοφία αυτής της ευελιξίας διασύνδεσης ή μετάβασης δεδομένων είναι συχνά ασυνήθιστη στην ανάπτυξη εταιρικού λογισμικού. Πρέπει πάραυτα όμως να αποτελεί προϋπόθεση στην λαμβανόμενη παροχή υπηρεσιών έτσι ώστε να μπορεί ένας οργανισμός μέσα σε λίγες ημέρες (όχι μήνες) να εκτελεί πλήρη μετεγκατάσταση πολλαπλών συστημάτων, με πλήρη διασφάλιση της ακεραιότητας και απορρήτου του τεράστιου όγκου δεδομένων, και ταυτόχρονη διασφάλιση της ακεραιότητας συστημάτων. Το κύριο πάντα μέλημα, από διοικητικής πλευράς, είναι να μην επηρεαστεί η διαθεσιμότητα ηλεκτρονικών υπηρεσιών για τους χρήστες, με κατάλληλη ενημέρωση, τεκμηρίωση και συνολική συνειδητοποίηση των επικείμενων αλλαγών όταν απαιτείται.

Συμπερασματικά λοιπόν, όσον αφορά τη σημασιολογική αντιμετώπιση της κυβερνοασφάλειας στο χώρο υγείας, πολλοί άνθρωποι πιστεύουν ότι η ασφάλεια αφορά απλώς παραβιάσεις δεδομένων. Όλοι έχουμε ακούσει τη φράση «ο υπολογιστής μου κόλλησε ιό!». Είναι όμως κάτι πολύ περισσότερο από αυτό. Ένας οργανισμός κρίσιμης αποστολής όπως ένα Νοσοκομείο, πρέπει να είναι ασφαλής όχι μόνον από εξωγενείς παράγοντες ή καταστάσεις μετάβασης και εξέλιξης συστημάτων, αλλά ασφαλής και από τους ίδιους τους χρήστες, τις εξαρτήσεις από τις χειροκίνητες συνήθειες, ασφαλής ταυτόχρονα και από προμηθευτές αλλά και το προσωπικό που δουλεύει καθημερινά. Όταν πρόκειται για λογισμικό στην υγειονομική περίθαλψη, η διεξοδικότητα και συνολική ασφάλεια είναι επιβεβλημένη.

Προκλήσεις και πώς να τις αντιμετωπίσουμε.

1. Η μεγαλύτερη πρόκληση; Τα παλαιωμένα συστήματα. Στην υγειονομική περίθαλψη, τα παλαιωμένα συστήματα αποτελούν το κύριο εμπόδιο που συχνά μάλιστα φαίνεται ως ανυπέρβλητο. Υπάρχουν πάρα πολλά λογισμικά παλαιού τύπου σε λειτουργία, μερικά μάλιστα αρκετά διαδεδομένα και δημοφιλή, όπως τα EPR που σχεδιάστηκαν πριν από 30 χρόνια.

Αυτά τα λογισμικά καλούνται συχνά να εφαρμόσουν νέους τρόπους εργασίας και νέους τρόπους παροχής υπηρεσιών χωρίς όμως να έχουν την ανάλογη δυνατότητα συμβατότητας. Σχεδιάστηκαν έχοντας κατά νου παλαιότερες αρχές ασφαλείας, βάση των οποίων δεν ήταν απαραίτητη η τρέχουσα βέλτιστη πρακτική ασφάλειας και οριζόντιας συμβατότητας.

Επομένως, η κύρια πρόκληση είναι η μετάβαση από παλαιωμένα συστήματα σε νεότερα συστήματα που χαρακτηρίζονται από πιο ευέλικτες αρχιτεκτονικές επικοινωνίας δεδομένων. Επιπροσθέτως, τα συστήματα πληροφορικής υγείας είναι πολύπλοκες εφαρμογές και απαιτούν μεγάλη επένδυση, κάτι που κάνει ακόμη πιο δύσκολο για ένα ίδρυμα να σταματήσει να βασίζεται σε παλαιωμένα συστήματα. Χρειάζεται αρκετός χρόνος και προσεκτικός σχεδιασμός για ψηφιακή ανανέωση, όμως όσο νωρίτερα ξεκινάει μια τέτοια διαδικασία τόσο λιγότερες δυσκολίες προκύπτουν στη πορεία.

2. Το λογισμικό που φιλοξενείται εντός ενός ιδρύματος – σε εσωτερική εγκατάσταση server – και που έχει σχεδιαστεί κυρίως για να λειτουργεί σε ενδοδικτυακά, ολοένα και περισσότερο απαιτείται να συνδέεται με δημόσια δίκτυα ή σύγχρονες κεντρικές εθνικές υπηρεσίες . Αυτό απαιτεί νέες προϋποθέσεις και νέες ανάγκες ασφάλειας και ακεραιότητας δεδομένων. Αυτές οι νέες ανάγκες με τη σειρά τους, απαιτούν μεγαλύτερη επένδυση σε τεχνογνωσία - διαθέσιμη από εξειδικευμένο προσωπικό - στην δύναμη των νοσηλευτικών ιδρυμάτων. Με άλλα λόγια, η ανάγκη επίβλεψης, συντήρησης και λειτουργίας πληροφορικής από τεχνογνώστες μεγαλώνει, και ταυτόχρονα μεγαλώνει και η ανάγκη αξιοποίησης ανθρώπων με τις γνώσεις και δεξιότητες στα νοσηλευτικά ιδρύματα που θα διασφαλίζουν την εξυπηρέτηση αυτών των αναγκών. Αυτό αποτελεί επίσης ένα θέμα που πρέπει οι οργανισμοί υγείας να έχουν προβλέψει έγκαιρα, ειδικά όταν καλούνται να μετακινηθούν αναγκαστικά σε υπηρεσίες και διασυνδέσεις που λειτουργούν μέσω cloud.

3. Μια άλλη πρόκληση ειδικότερα στην τεχνολογία υγείας είναι η ευαισθησία των δεδομένων που χειριζόμαστε και η ανάγκη να διατηρήσουμε την προστασία τους καθημερινά σε τοπικό επίπεδο. Χρειάζεται να υπάρχουν διαδικασίες ελέγχου για αναγνώριση σφαλμάτων στην καταχώρηση πληροφοριών, διορθώσεις σε τυχόν ανθρώπινα λάθη, παραμετροποιήσεις, καθημερινές εξατομικεύσεις, εξαγωγές ή εισαγωγές δεδομένων. Μάλιστα όσο αυξάνονται οι εξαρτήσεις από εξωτερικούς συνεργάτες στα πλαίσια ανάπτυξης νέων τεχνολογιών, αυξάνεται και η ανάγκη εσωτερικού ελέγχου για να μειώνονται οι κίνδυνοι. Χρειάζεται επί ποδός προσωπικό εσωτερικά για να διασφαλιστεί η ασφάλεια σε αυτό το επίπεδο, όμως πολλοί οργανισμοί, ακόμη και προμηθευτές, είναι αναγκασμένοι να προσλαμβάνουν επιτήρηση εξ αποστάσεως.

Δεν είναι εύκολο να αντιμετωπιστεί αυτό. Ένας τρόπος για να αντιμετωπιστεί αυτή η ανάγκη παρουσίας “on-site” επιτηρητών διακυβέρνησης και εσωτερικού ελέγχου πληροφοριακών συστημάτων και υποδομών είναι να μετατοπιστεί το βάρος από τους οργανισμούς στους προμηθευτές, οι οποίοι μπορούν να μοιραστούν ή να αναλάβουν, εκτός από την παροχή λογισμικού και το βάρος της ασφάλειας, όμως σε τοπικό επίπεδο και όχι εξ αποστάσεως. 

Αυτό πρακτικά σημαίνει πως: α) οι οργανισμοί θα πρέπει να συνεχίσουν να αντιμετωπίζουν κάποια βασικά αντικείμενα επιχειρησιακής τους ασφάλειας όπως π.χ. την εκπαίδευση του προσωπικού, τη διακυβέρνηση πληροφοριών , τον έλεγχο ταυτοποίησης χρηστών και τους μηχανισμούς ελέγχου υπηρεσιών και των προμηθευτών, αλλά β) θα πρέπει να μεταφερθεί το βάρος της τεχνικής πολυπλοκότητας της κυβερνοασφάλειας προς την πλευρά του προμηθευτή, που θα καλύπτει και τις ολοένα αυξανόμενες ανάγκες δύναμης προσωπικού πληροφορικής.

Η κατεύθυνση αυτή αυτομάτως οδηγεί τα ιδρύματα στο να γίνουν όλο και πιο αποτελεσματικά στην κατάλληλη επιλογή προμηθευτών και στη διασφάλιση ότι λαμβάνουν ακριβώς ότι χρειάζονται σε κάθε περίπτωση. Επιπροσθέτως, με τη μεταφορά του βάρους από τα ιδρύματα σε παρόχους, μπορούν να δοθούν περισσότερα κίνητρα στους προμηθευτές να προσλάβουν και να αυξήσουν την τεχνογνωσία τους σε τοπικό επίπεδο την οποία και θα παρέχουν εσωτερικά μέσα στα ιδρύματα. Η έννοια δεν είναι διαφορετική από τον τρόπο που ακριβώς αντιμετωπίζονται οι ανάγκες σίτισης, καθαριότητας και ασφάλειας εξωτερικών χώρων.

Σκέψεις για το μέλλον και συμβουλές

Η πολυπλοκότητα της ασφάλειας, ακεραιότητας και επικοινωνίας ευαίσθητων δεδομένων αυξάνεται ολοένα, επειδή και η ποσότητα αλλά και τα ποιοτικά χαρακτηριστικά των ιατρικών και νοσηλευτικών δεδομένων αυξάνονται ολοένα. Η κουλτούρα ασφαλείας ενός οργανισμού δεν έχει να κάνει μόνο με την επιλογή λογισμικού, αλλά και με τις αποφάσεις του οργανισμού, τον τρόπο συνολικής λειτουργίας τους, τον τρόπο με τον οποίο επικοινωνούν διαδικασίες ανάπτυξης, τα ιστορικά τους αρχεία, την τοποθεσία τους κ.α.

Πρέπει να υπερασπιζόμαστε την ασφάλεια των εφαρμογών λογισμικού σε κάθε επίπεδο, να διαχωρίζουμε τον έλεγχο ταυτοποίησης χρηστών από το επίπεδο εξουσιοδότησής τους στη χρήση εφαρμογών και δεν πρέπει ποτέ να εξουσιοδοτούμε περισσότερα από όσα χρειαζόμαστε να εξουσιοδοτήσουμε σε κάποιο χρήστη ή τεχνικό. Πρέπει να αντιμετωπίζουμε την ασφάλεια με ευαισθησία έτσι ώστε να ελέγχεται κάθε ενέργεια με τον κατάλληλο τρόπο σε κάθε επίπεδο, και στη συνέχεια, να βρίσκουμε τρόπους να περιορίζουμε την πολυπλοκότητα που αυτό συνεπάγεται.

Το σημαντικότερο για την μακροπρόθεσμα υψηλή αξία της ψηφιακής υγείας, είναι να σκεφτούμε ποιες λειτουργίες πρέπει συγκεντρωθούν κεντρικά έναντι στο τι πρέπει να αποκεντρωθεί σε τοπικό επίπεδο. Υπάρχει αξία και στις δύο στρατηγικές, αλλά χρειάζεται κατάλληλος συγκερασμός για να επιλεγεί η καλύτερη διαδρομή προς τα εμπρός, προκειμένου να επιτύχουμε την υψηλότερη απόδοση ελέγχου διακυβέρνησης δεδομένων, χωρίς να αυξήσουμε τρωτά σημεία.

Υπάρχουν πολλές πρωτοποριακές ιδέες που μπορούν να γίνουν πραγματικότητα στο χώρο υγείας. Άλματα που συχνά είναι πιο κοντινά και εφικτά απ΄ότι φανταζόμαστε. Η πρόσφατη υλοποίηση και ενεργοποίηση της ηλεκτρονικής υπηρεσίας MyHealthApp μέσα από το myhealth.gov.gr αποτελεί σίγουρα μία μεγάλη ψηφιακή επιτυχία στη σωστή κατεύθυνση, που πραγματικά με γέμισε αισιοδοξία για το μέλλον και αξίζουν συγχαρητήρια σε όσους επινόησαν, στήριξαν και επιμελήθηκαν την ολοκλήρωση του».

* Ο Κωνσταντίνος Λυκοστράτης, Δρ Συστημάτων Μοριακής Βιολογίας & Ιατρικής Πληροφορικής είναι Διοικητής του Νοσοκομείου Νάουσας



Ειδήσεις σήμερα:

Θεσσαλονίκη: Κάθειρξη 37 ετών στον 53χρονο που κακοποιούσε σεξουαλικά τα ανήλικα ανίψια του - «Ήταν ένα τέρας»

Ξεκίνησε η έξοδος για το τριήμερο - Καθυστερήσεις σε Αττική Οδό και Κηφισό

Κυριάκος Μητσοτάκης: Το παρασκήνιο της επίσκεψής του στη Λάρισα - To Πάρκο Καινοτομίας, τα σουβλάκια και οι... Guns N’ Roses
Ακολουθήστε το protothema.gr στο Google News και μάθετε πρώτοι όλες τις ειδήσεις

Δείτε όλες τις τελευταίες Ειδήσεις από την Ελλάδα και τον Κόσμο, τη στιγμή που συμβαίνουν, στο Protothema.gr

ΡΟΗ ΕΙΔΗΣΕΩΝ

Ειδήσεις Δημοφιλή Σχολιασμένα
ΔΕΙΤΕ ΟΛΕΣ ΤΙΣ ΕΙΔΗΣΕΙΣ

Best of Network

Δείτε Επίσης