S narastajúcou digitalizáciou zdravotníctva sa otvárajú aj nové výzvy v oblasti kybernetickej bezpečnosti. Cieľom hackerov bývajú verejné inštitúcie, jednotlivci, malé i veľké korporácie, výnimkou nie sú ani zdravotnícke zariadenia.
Útoky na ne môžu mať vážne následky, vrátane narušenia poskytovania zdravotnej starostlivosti a ohrozenia citlivých údajov. Hoci najmodernejšie RTG, USG a CT zariadenia sú chránené viacvrstvovou bezpečnostnou architektúrou, prostredie a užívatelia sú z pohľadu dodržiavania bezpečnosti kľúčoví. Ako sú dáta pacientov chránené? Sú moderné medicínske zariadenia, ktoré využívajú umelú inteligenciu (AI) zraniteľnejšie voči možným útokom? Čo môžu pre bezpečnosť dát spraviť zdravotnícke zariadenia i samotní pacienti?
O kybernetickej bezpečnosti v zdravotníctve, jej základných princípoch a budúcnosti ochrany dát pacientov v nemocniciach sme sa rozprávali s Jánom Ščambom, vedúcim Technologickej časti oddelenia kybernetickej bezpečnosti v spoločnosti Siemens Healthineers.
Všetci rozumieme, prečo harkeru útočia na firmy, snažia sa prelomiť ochranu bánk. Ale čím sú pre hackerov zaujímavé dáta o pacientoch?
Sú veľmi atraktívne, nakoľko obsahujú detailné informácie o zdravotnom stave. Informácie sa dajú veľmi ľahko zneužiť napríklad pri vydieraní alebo slúži súbor pacientských dát ako menu pri obchodovaní na čiernom trhu. Pacientske dáta obsahujú aj osobné údaje ako adresu, rodné a telefónne číslo. V niektorých prípadoch dokonca aj číslo kreditnej karty.
Ako sú citlivé dáta pacientov chránené pri používaní moderných RTG, USD a CT zariadení?
V tomto prípade neexistuje jednoduchá odpoveď, pretože ochrana v dnešnej dobe nepozostáva len z jedného spôsobu, metódy, ale je to komplexný súbor metód a postupov. Môžeme si to predstaviť ako obal cibule, súbor sa tiež skladá z viacerých vrstiev a chvíľku trvá, kým sa cez ne prebojujete až k podstate. Takýmto spôsobom sa dnes postupuje i pri ochrane medicínskych prístrojov. Úlohou je vytvoriť toľko prekážok, aby energia na prelomenie nestála za to. Bezpečnosť začína už pri dizajne, architektúre zariadenia, kde sa overuje či je architektúra dostatočne robustná voči útokom. Počas vývoja vždy prebieha viacvrstvové testovanie kybernetickej bezpečnosti a prípadné nálezy sa opravujú. Potom nasleduje samotné nasadenie u zákazníka. To je väčšinou najväčšia výzva.
“Výrobca môže navrhnúť, ako by prevádzka z pohľadu bezpečnosti mohla vyzerať, ale je to na dobrej vôli prevádzkovateľa či odporúčania od výrobcu bude nasledovať. Bezpečnosť je zdieľaná zodpovednosť: výrobcu, prevádzkovateľa, ale i pacienta,”
Okrem dnešných štandardov kybernetickej bezpečnosti, ako sú MFA (Multi-Factor Authentication), segmentácia siete, rôzne typy záloh geograficky oddelených cez firewall a monitorovanie siete až po fyzické zabezpecenie, považujem za najdôležitejšie vzdelávanie zamestnancov (bez rozdielu) v oblasti kybernetickej bezpečnosti. Tým nehovorím, že chcem, aby sa z lekárov stali profesionáli v oblasti kybernetickej bezpečnosti, ale základné povedomie je nevyhnutnou súčasťou dnešného života.
Vo všeobecnosti platí, že užívateľ zariadenia je z pohľadu bezpečnosti najdôležitejší prvok. Ak je užívateľ obozretný a všímavý a má základné povedomie o kybernetickej bezpečnosti, stáva sa kľúčovým prvkom ochrany. Ak nie, je najproblematickejším článkom celej ochrany.
Aké sú najväčšie kybernetické hrozby, ktorým čelia nemocnice pri zbere a uchovávaní dát zo zobrazovacích zariadení? Sú dostatočne chránené?
Najvážnejšia hrozba je paradoxne užívateľská skúsenosť.
“Môžte vytvoriť systém, ktorý bude slušne chránený, ale nebude fungovať v nemocničnom prostredí, ktoré musí a je prirodzene viac otvorené. Na prvom mieste je chrániť život a nie dáta. Dáta musia byť okamžite dostupné, čo predstavuje najväčšiu hrozbu - prostredie, v akom nemocnice poskytujú starostlivosť pacientom.”Môže byť zdravotnícke zariadenie napadnuté používaním prístrojov, ako sú RTG alebo CT?
Áno i nie, záleží, či je zariadenie pripojené na internet. Určite sa dá zariadenie hacknúť priamo na mieste, ale ak sa už útočník dostal priamo k zariadeniu, tak ma prevádzkovateľ násobne väčší problém, ako to, že bude zariadenie zneužité. Otázkou zostáva, ako sú dobre chránené zariadenia, ktoré sú priamo pripojené na internet alebo nemocničný informačný systém. Tu sa dostávame, k problematickej téme. Výrobcovia dodávajú zariadenia, ktoré spĺňajú náročné bezpečnostné štandardy, bez ich splnenia by neprešli schvalovacím procesom regulačných úradov. Čo sa však následne deje u prevádzkovateľov je niekedy naozaj sporné. Do toho celého vstúpila EÚ so smernicou NIS2, ktorá rieši kybernetickú bezpečnosť nielen nemocníc s tým, že sľubuje lepšiu ochranu dát.
Našťastie nám technológia a pokrok ponúka robustné avšak nie úplne najlacnejšie riešenie. Reč je o Federated Learning (metóda, kde sa dáta spracovávajú centrálne, ale zostávajú v mieste vzniku, čím sa minimalizuje riziko ich zneužitia), ktorá práve adresuje všetky obavy. Ako sa ukazuje, tento prístup vyzerá naozaj sľubne a stáva sa prioritným riešením.
Myslím si, že áno. Trendy, normy a technológie, ktoré sa používali donedávna sa nedajú porovnať s tým, čo ponúkajú moderné riešenia. Zároveň tie však prinášajú ďaleko komplexnejšie riešenia a komplexnosť sama o sebe zvyšuje mieru rizika.
“Moderné zariadenia a riešenia zvyšujú bezpečnosť, ak je spojená s dodržiavaním všetkých odporúčaní výrobcu.”Je použitie umelej inteligencie (AI) v najmodernejších medicínskych zariadeniach pri spracovaní obrazových dát z pohľadu ochrany súkromia pacienta bezpečné?
Je úžasné ako AI prispieva k zlepšeniu ľudskej spoločnosti a v prípade diagnostiky a prevencie ochorení ide o neuveriteľný pokrok. AI je schopné nájsť diagnózu, ktorú ľudské oko nie je schopné rozpoznať a pri objeme dát, ktoré sa musia spracovať nie je realistické, aby ich lekár bol schopný efektívne spracovať. Čo sa týka bezpečnosti - v AI nevidím žiadnu väčšiu hrozbu, akú prináša akákoľvek iná technológia.
Pacient síce nemá svoje dáta úplne pod kontrolou v momente, keď ich s dôverou zverí lekárovi. Ako pacient si však môže vyžiadať napríklad výsledky respektíve certifikát z auditu kybernetickej bezpečnosti. Či už sme v pozícii pacienta alebo nie, ostražitosť a prevencia voči možnému zneužitiu osobných dát by mala byť prirodzenou súčasťou, rovnako ako starostlivosť o vlastné zdravie. 
Cukrovkou na Slovensku trpí viac než 350-tisíc ľudí. Najviac z nich, vyše 90 %, má podľa údajov Národného centra zdravotníckych informácií cukrovku typu 2.
Svet sa čoraz viac snaží prejsť na obnoviteľné a zelené zdroje energie. V hľadáčiku sú najmä vodné a veterné elektrárne či solárne panely. Skutočnú revolúciu však môže priniesť ambiciózny projekt Quaise.
Miro Tásler je slovenský hudobník, skladateľ a producent, známy predovšetkým ako zakladajúci člen skupiny IMT Smile, jednej z najpopulárnejších kapiel na Slovensku. Kapela bola založená v roku 1992 a Miro sa momentálne venuje hre na klávesy a aranžovaniu hudobnej produkcie.
Stáva sa vám, že ste niekedy v práci ospalí, unavení alebo vám to skrátka nemyslí? Je možné, že za to môže prostredie vo vašej kancelárii.
