Szczególnie wrażliwe dane pacjentów
- 14.09.2010
Dzisiejsze placówki służby zdrowia nie mogą się obejść bez komputerów, w systemach IT przetwarza się informacje medyczne. Stosunkowo niewiele mówi się o zabezpieczeniu tych danych, a są one niekiedy bardzo wrażliwe.
Sieci są i będą chronione
Pierwszym etapem zabezpieczenia systemów teleinformatycznych jest wydzielenie osobnych podsieci i wyposażenie ich w zapory sieciowe. Ten etap większość szpitali ma za sobą, zapora sieciowa jest standardowym wyposażeniem prawie każdej sieci. Krzysztof Glubiak, specjalista administrator bezpieczeństwa informacji w Wojewódzkim Szpitalu Specjalistycznym we Wrocławiu, mówi: "Chronimy sieć lokalną za pomocą firewalla, na zewnątrz wystawiony jest jedynie serwer, który obsługuje naszą stronę internetową, połączenie idzie inną drogą". Należy jednak pamiętać, że atak z zewnątrz nie jest największym zagrożeniem. Znacznie poważniejsze skutki miałaby kradzież informacji z bazy danych.
Dane w aplikacji
W każdym nowoczesnym szpitalu dane związane z procesem leczenia pacjentów przechowuje się w dedykowanej aplikacji. W najprostszej realizacji jest to aplikacja rejestrująca dane pacjentów oraz zapisująca historię wszystkich czynności lekarskich, ale informacje te są przechowywane w postaci zapisów tekstowych. Jest to mało wygodna implementacja, gdyż nie umożliwia pozyskania szczegółowych informacji z wpisów, nie jest również tworzona baza faktów. Informacje w systemie "tekstowym" również są wrażliwe, ale baza aplikacji jest o wiele trudniejsza do przeszukiwania. Proces pozyskania danych liczbowych, które łatwiej analizować, wymaga wielu pracochłonnych przekształceń zapisów, z kolei automatyzacja takich działań jest problematyczna. Zatem pozyskana w ten sposób baza wynikowa niekoniecznie byłaby dostatecznej jakości.
Fakty podane na tacy
Zupełnie inaczej wygląda ryzyko przy aplikacji, która przechowuje dane w postaci zapisu faktów. Zamiast tekstowego opisu stanu pacjenta znajdują się tam zapisy obejmujące parametry, takie jak: temperatura ciała, informacje o podawanych lekach wraz z dawkami, detale zabiegów - każdy w osobnym rekordzie bazy danych. Baza faktów umożliwia przeprowadzenie wielu zaawansowanych analiz przy użyciu standardowych narzędzi data mining i stanowi cenne źródło informacji. Niestety, informacje te są bardzo wrażliwe, łatwe do wykorzystania i niezwykle cenne dla obcych podmiotów. Danymi z takich baz mogą być zainteresowane koncerny farmaceutyczne, firmy ubezpieczeniowe, analitycy rynku zdrowotnego, firmy doradcze, a nawet specjaliści z dziedziny finansów. Ponieważ organizacje, które są potencjalnie zainteresowane kradzieżą danych z baz szpitali, są stosunkowo majętne, można spodziewać się, że będą podejmowane próby nielegalnego przejęcia informacji.
Intruz w bazie
Nowoczesne aplikacje wykorzystują do swojej pracy standardowy motor bazodanowy, do którego można połączyć się bezpośrednio. W większości aplikacji za uwierzytelnienie odpowiada odpowiedni zestaw kodu w samym programie, zatem połączenie z pominięciem aplikacji, wykorzystujące skradzione hasło dostępu do bazy danych (niekiedy zapisane na stałe w samej aplikacji), umożliwia uruchomienie praktycznie dowolnego zapytania SQL. W ten sposób można wykonać skomplikowane zapytania, analizujące praktycznie w dowolny sposób składowane dane.