Wyzwania i ryzyka
W ostatnich latach wiele szpitali i innych placówek ochrony zdrowia przeprowadziło wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji, zgodnego z normą ISO/IEC 27001. Jednym z najbardziej mobilizujących argumentów za podjęciem decyzji o wdrożeniu tego systemu i przeprowadzeniu procesu certyfikacji w tych Zarządzenie nr 3/2014/DSOZ Prezesa Narodowego Funduszu Zdrowia z dnia 23 stycznia 2014 r. w sprawie określenia kryteriów oceny ofert w postępowaniu w sprawie zawarcia umowy o udzielanie świadczeń opieki zdrowotnej. Zarządzenie wprowadza nowe kryteria oceny placówek medycznych pod kątem posiadanych certyfikatów ISO. Dodatkowe punkty przy zawieraniu kontraktów z NFZ są przyznawane za: posiadanie certyfikatu ISO/IEC 27001.
Ze względu na specyfikę organizacji projekt wdrożenia ISO/IEC 27001 w szpitalu wiąże się z wieloma wyzwaniami, wśród których największe to:
- obieg dokumentacji medycznej w formie papierowej i jej archiwizacja,
- liczba pracowników i różne formy zatrudnienia (umowy o pracę, kontrakty, stażyści, studenci oraz wolontariusze),
- dostępność do budynku 24 godz. na dobę oraz monitoring CCTV,
- firmy serwisujące aparaturę medyczną i inni dostawcy mający dostęp do dokumentacji medycznej (umowy serwisowe oraz umowy powierzenia danych osobowych),
- dynamiczny rozwój w obszarze IT, w tym EDM (Elektroniczna Dokumentacja Medyczna). Do systemów klasy EDM zalicza się takie systemy informatyczne, w których dane są gromadzone w formie elektronicznej bazy danych. W oparciu o te dane drukowana jest dokumentacja w formie papierowej. Taka forma była stosowana przed ogłoszeniem rozporządzenia NFZ i jest stosowana obecnie we wszystkich szpitalach posiadających systemy klasy HIS,
- ryzyka w zakresie incydentów bezpieczeństwa informacji (phishing, malware, ataki socjotechniczne i inne).
Kontekst wewnętrzny i zewnętrzny
Określenie kontekstu wewnętrznego i zewnętrznego jest jednym z pierwszych etapów projektu. Należy go zrealizować wspólnie z zespołem projektowym. Określenie kontekstu organizacji powinno stanowić pierwszy krok do opracowania modelu zarządzania ryzykiem. Do zewnętrznego otoczenia firmy można zaliczyć m.in. czynniki: kulturowe, społeczne, polityczne, prawne, finansowe, technologiczne, ekonomiczne, środowiskowe. Organizacja powinna monitorować trendy zachodzące w otoczeniu, a także brać pod uwagę relacje z zewnętrznymi interesariuszami. Czynnikiem zewnętrznym będą m.in. dostawcy odpowiedzialni za serwisowanie aparatury medycznej.
Każdy nowoczesny sprzęt medyczny posiada wbudowany komputer lub laptop, za pomocą którego jest obsługiwany. W takim wypadku ważnym krokiem jest analiza umowy z dostawcą pod kątem powierzenia danych osobowych oraz upoważnień do ich przetwarzania. Z uwagi na to, że administrator danych (szpital), mimo ich powierzenia, wciąż pozostaje ich administratorem i ma obowiązek czuwać nad bezpieczeństwem ich przetwarzania, warto jest zastrzec w umowie prawo do wewnętrznej kontroli firm serwisujących, którym dane zostały powierzone. Poza obszarem prawnym należy również zadbać o zabezpieczenia IT, tzn.:
- Jak przebiega logowanie do komputera?
- Czy komputer jest podłączony do Internetu?
- Czy komputer jest podłączony do sieci lokalnej?
- Kto serwisuje komputer?
- Czy jest podpisana umowa o powierzeniu danych osobowych?
- Jaki system operacyjny jest zainstalowany na komputerze?
- Czy na komputerze jest zainstalowany antywirus?
- Czy są wykonywane kopie zapasowe?
- Czy jest możliwy zdalny dostęp?
- Czy komputer jest na gwarancji?
Innem przykładem kontekstu zewnętrznego są podmioty ściśle współpracujące ze szpitalem, np. apteka, pogotowie ratunkowe, fundacje, laboratorium, firma ochroniarska odpowiadająca za monitoring, poradnie. Tutaj należy dokładnie zweryfikować, jaki jest dostęp do usług IT, m.in. danych medycznych, domen, Internetu, poczty czy sprzętu IT szpitala).
Kontekst wewnętrzny organizacji stanowią m.in. struktura organizacyjna, podział zadań, strategia i cele, potencjał organizacji (techniczny, ludzie, zasoby, wiedza itp.), system informacyjny, relacje z wewnętrznymi interesariuszami, kultura organizacyjna, stosowane normy i standardy, kontrakty biznesowe. Jednym z elementów kontekstu wewnętrznego są plany szkoleń z obszaru bezpieczeństwa informacji. Jest to bardzo istotny element w budowaniu świadomości wśród pracowników. Szkolenia powinny by przeznaczone dla konkretnych obszarów lub stanowisk ze struktury organizacyjnej. Powinny kłaść duży nacisk na praktykę, pokazując współczesne ryzyka i zagrożenia w obszarze bezpieczeństwa informacji. Jednym z elementów szkolenia z zakresu bezpieczeństwem może być moduł dotyczący zabezpieczeń haseł pracowników. Podczas szkolenia/warsztatów można zadać pracownikom następujące pytania:
- Ile różnych kont posiadasz?
- Jaki jest stosunek liczby unikalnych haseł do liczby użytkowanych kont?
- Czy stosujesz hasło „uniwersalne”?
- Z kim podzieliłeś się swoim hasłem (rodzice, dziewczyna, znajomi)?
- Ile czasu potrzeba na złamanie twojego hasła?
- Czy w ogóle zmieniasz swoje hasła?
- Jak bardzo różnią się twoje hasła służbowe od prywatnych?
- Czy twoje hasło wygląda tak? Duża litera-wyraz-wyraz-cyfry-znak specjalny?
- Co robisz z hasłami, żeby ich nie zapomnieć?
- Co powstrzymuje cię przed posiadaniem unikalnych i bezpiecznych haseł?
Zewnętrzne portale – dane osobowe, medyczne
Procedura nadawania i zmiany uprawnień jest dużym wyzwaniem dla takiej organizacji, jaką jest szpital. Duża liczba systemów, które są dostępne przez przeglądarkę internetową i nie są zintegrowane z domeną, to obszar do doskonalenia. Jednym z takich systemów jest System Zarządzania Obiegiem Informacji (SZOI) https://nfzuzd.nfz.gov.pl/ap-mzwi/. Dział IT wspólnie z działem HR powinny opracować dokumentację, która będzie uwzględniać następujące aspekty:
- zasady nadawania i zmiany uprawnień – kto wnioskuje, zatwierdza, zmienia,
- gdzie przechowywana jest dokumentacja (kto jest odpowiedzialny, jaki jest stan obecny),
- sposób dokumentowania nadania i zmiany uprawnień – formularze,
- zgodność danych w systemie z dokumentacją (identyfikowalność osób w systemie),
- jeżeli są nadane uprawnienia – walidacja, czy rzeczywiście możliwe jest wykonywanie działań w granicach nadanych uprawnień,
- walidacja prawidłowości działania uprawnień.
Dokumentacja medyczna, badania kliniczne
Kolejnym bardzo ważnym elementem jest dokumentacja medyczna w wersji papierowej i elektronicznej. W badaniach klinicznych najważniejsze jest bezpieczeństwo pacjenta i zabezpieczenie jego praw, dlatego wszelkie badania muszą być prowadzone zgodnie z wytycznymi Good Clinical Practice (GCP), czyli Dobrej Praktyki Klinicznej (DPK). Szczegółowe zasady Dobrej Praktyki Klinicznej to m.in. należyte zachowanie poufność danych, w tym danych osobowych uczestników, oraz zagwarantowanie, że uzyskane dane muszą zostać właściwie zapisane i przechowywane, aby umożliwić sprawozdanie, wnioski, weryfikację danych. W tym przypadku należy zweryfikować następujące obszary:
- dostęp do portali klinicznych – kontrola dostępu (login i hasło),
- miejsce przechowywania dokumentacji papierowej, w tym m.in. zgody pacjentów na uczestnictwo w badaniach (zabezpieczenie pomieszczeń oraz szafek, w których przechowywane są dokumenty),
- nośniki, na których mogą znajdować się raporty, rejestry lub inne dokumenty elektroniczne zawierające dane osobowe oraz medyczne, np. laptopy czy zasoby sieciowe (szyfrowanie i polityka kontroli dostępu).
Przedstawione powyżej to tylko kilka przykładowych wyzwań, z którymi musi się zmierzyć szpital podczas wdrożenia ISO/IEC 27001. Narzędzie w postaci systemu zarządzania bezpieczeństwem informacji pozwala szpitalom osiągnąć wiele korzyści, wśród których możemy wymienić zwiększenie poziomu bezpieczeństwa w obszarze zarządzania:
- formalne procedury będące podstawą do zdefiniowania wymagań wobec pracowników,
- uświadomienie pracownikom, że bezpieczeństwo jest ważne dla kierownictwa,
- czytelne i przejrzyste zasady współpracy i odpowiedzialności za bezpieczeństwo pomiędzy IT a biznesem (odpowiednie rozłożenie akcentów),
- wskazanie konkretnych osób odpowiedzialnych za bezpieczeństwo,
- systematyczne eliminowanie zagrożeń,
- zmiana postrzegania zgłaszania incydentów w zakresie bezpieczeństwa – w kierunku funkcji ciągłego doskonalenia, a nie wytykania błędów (zwiększa się zaangażowanie pracowników i tym samym system bezpieczeństwa niejako „sam się uszczelnia”),
- kształtowanie mentalności pracowników w kierunku projakościowym i zwiększenie ich zaangażowania w sprawy firmy; uświadomienie, że każdy jest odpowiedzialny za bezpieczeństwo,
- monitoring skuteczności wdrożonych rozwiązań.
Wdrożenie systemu zarządzania bezpieczeństwem informacji ISO/IEC 27001 podnosi pozycję jednostki (firmy, szpitala) na rynku w zakresie świadczonych usług. Co dalej? Zgodnie z cyklem Deminga organizacja po certyfikacji systemu wkracza w proces doskonalenia, co powinno się przełożyć na:
- poprawę wizerunku na zewnątrz organizacji,
- większe zaufanie do organizacji, większe poczucie bezpieczeństwa klientów/pacjentów,
- prawidłowość realizacji procesów (zmniejszenie liczby skarg, reklamacji),
- szybsze i skuteczne reagowanie na incydenty/naruszenie procedur,
- uszczelnienie systemu zarządzania informacją,
- samouczenie się organizacji – norma ISO powoduje, że organizacja „napędzana” jest mechanizmami doskonalenia i poprawy, poszukiwania optimum pomiędzy bezpieczeństwem a efektywnością,
- profesjonalną, świadomą i skuteczną organizację bezpieczeństwa w firmie,
- uporządkowane warunki pracy (czyste biurko, czysty pulpit),
- szybszą adaptację nowych pracowników, ochronę informacji w przypadkach rotacji pracowników,
- standaryzowanie zasad pracy w poszczególnych lokalizacjach,
- jasne zakresy uprawnień i odpowiedzialności,
- podniesienie jakości świadczonych usług,
- zaangażowanie wszystkich pracowników w sprawy firmy i poprawę bezpieczeństwa.
System Zarządzania Bezpieczeństwem Informacji z BCC
BCC (aktualnie All for One Poland) zapewnia usługi związane z wdrożeniem i rozwojem Systemów Zarządzania Bezpieczeństwem Informacji, wspierając klientów w budowie Planów Ciągłości Działania (Business Continuity Plans).
Adresatem tej oferty są firmy i organizacje posiadające złożoną infrastrukturę IT, zorientowane na optymalizację zarządzania usługami i zasobami IT. Wśród klientów są także organizacje z dużym zasobem danych wrażliwych przechowywanych w narzędziach IT oraz archiwach tradycyjnych, zobligowane do ich szczególnej ochrony (np. szpitale).
BCC oferuje wsparcie w przygotowaniu i wdrożeniu procesów zarządzania infrastrukturą IT, zgodnych z zaleceniami ITIL (IT Infrastructure Library) a także wymaganiami norm ISO/IEC 27001 oraz ISO/IEC 20000. Dzięki stosowaniu tych standardów organizacje minimalizują ryzyko związane z niesprawnością lub niedostępnością systemów i usług informatycznych, co przekłada się na wzrost bezpieczeństwa prowadzenia biznesu. Tym samym wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji wpisuje się w koncepcję BCM (Business Continuity Management – zarządzanie ciągłością działania).
W ramach tej oferty zapewniamy usługi:
- audyt firmy lub działu firmy pod kątem bezpieczeństwa informacji,
- testy penetracyjne oraz audyty konfiguracji bezpieczeństwa systemów, baz danych, sieci, (web) aplikacji oraz innych elementów infrastruktury IT,
- szkolenia w zakresie SZBI,
- przygotowanie firmy do certyfikacji SZBI według norm ISO 27001,
- wsparcie we wdrożeniu i rozwoju firmowego Systemu Zarządzania Bezpieczeństwem Informacji,
- outsourcing – zewnętrzny administrator ds. bezpieczeństwa informacji.