Ilustrační FOTO - Pixabay

Medicínská data je nutné správně zabezpečit

Medicínská data jsou velmi cenná a stát by měl při elektronizaci zdravotnictví zajistit jejich zabezpečení. Nemělo by se stát například to, že by si zdravotnickou dokumentaci pacienta mohlo stáhnout jakékoliv zdravotnické zařízení.

V reakci na projednávaný zákon o elektronizaci zdravotnictví to řekli odborníci na IT. Podle zákona o elektronizaci zdravotnictví, který na začátku července schválila Sněmovna a nyní míří k projednání v Senátu, nevznikne žádné centrální úložiště. Zdravotní dokumentace pacientů bude uložena jako dosud u lékařů, budou ji ale moci mezi sebou v zabezpečené podobě sdílet. Vznik Integrovaného datového rozhraní jako centrální infrastruktury zajistí mimo jiné propojení poskytovatelů zdravotních služeb mezi sebou. Jádrem systému budou tři kmenové registry spravované Ústavem zdravotnických informací a statistiky (ÚZIS). Půjde o registr poskytovatelů zdravotních služeb, zdravotnických pracovníků a pacientů. Budou propojeny v neveřejný celek, do kterého budou moci vstupovat jen oprávněné osoby při zachování ochrany osobních údajů. Každý přístup bude zaznamenán.

Podle odborníka na IT bezpečnost ve zdravotnictví ze společnosti CNS Petra Samka by měl stát určit datové rozhraní, přes které bude možné s těmito registry komunikovat. »Zdravotnické informace o pacientovi jsou majetkem pacienta, nemělo by se proto stát, že jakékoliv zdravotnické zařízení stáhne kompletní zdravotnickou dokumentaci pacienta bez jeho souhlasu,« napsal ČTK Samek.

V některých aplikacích, které se už ve zdravotnictví používají a umožňují propojení pacienta s lékaři, také laboratoří a klinik nebo zaměstnavatelů či zdravotních pojišťoven, si pacient podle Samka sám určuje, kdo ze zapojených lékařů má k jeho datům přístup.

Otázka, zda pacienti mají mít možnost rozhodovat o tom, komu svá data zpřístupní, je podle Pavla Řezníčka, odborníka z bezpečnostní firmy Check Point, spíše věcí veřejné debaty. Zřizovatel registrů by podle něj měl nadefinovat, kdo bude mít k jakým datům přístup. »Tohle někdo musí vymyslet, a pak se v aplikaci udělá matice přístupů a role uživatelů, kteří tam přistupují. Technologicky to lze, jde jen o to, jestli bude správně vymyšlená matice,« řekl Řezníček.

Přístup jen pro oprávněné osoby

Důležité je podle Řezníčka také dostatečně ověřit, zda je systém bezpečný a neumožňuje přístup někomu, kdo k tomu nemá oprávnění. Medicínská data jsou totiž podle odborníků velmi cenná a mohou na ně cílit kybernetické útoky. Útočníci, kteří data ukradnou, se pak mohou snažit prodat je na černém trhu. »Medicínská data jsou extrémně cenná, protože můžete cílit reklamu na uživatele, kteří mají zdravotní problém. Ti jsou extrémně náchylní k tomu, aby ho řešili jakoukoliv cestou včetně koupě zázračných léků na cokoliv,« poznamenal Řezníček.

Podle Samka není v současnosti kybernetickému zabezpečení zdravotnických zařízení věnována dostatečná pozornost a dostatek finančních prostředků na provedení auditů. »Je třeba v tomto směru investovat a prostě žít v souladu s realitou roku 2021. Jenže to stojí peníze a úsilí a ne vždy je tomu management nemocnic nakloněný, i když to pořád vyjde výrazně levněji než řešit následky hackerského útoku. Každý si ale říká, že jemu se to nestane,« dodal Samek.

Podle poslední výroční zprávy Národní centrály proti organizovanému zločinu loni vzrostl meziročně počet kybernetických útoků téměř o 25 procent. Pachatelé útoků na počítačové systémy zaměřili pozornost na zdravotnictví a několikrát napadli nemocniční zařízení. Podle výzkumného týmu společnosti Check Point výrazně rostou takzvané ransomwarové útoky, kdy pachatelé zašifrují data, požadují výkupné a zároveň hrozí zveřejněním odcizených dat. Nejvíce těchto útoků cílí na zdravotnictví, průměrně se jedná o 109 útoků na jednu organizaci za týden.

(ng)