Pan John Kuhn musel ukázat vedení nemocnice své břicho, aby se konečně zbavil povinnosti zaplatit 20 tisíc dolarů za operaci, kterou nepodstoupil. „Musel jsem potupně jít na účetní oddělení před finančního ředitele, vyhrnout si košili a ukázat jim, že nemám na břiše žádnou jizvu,“ řekl Kuhn. Právě on se stal obětí ukradených lékařských záznamů. Zjistil to, až když jednal s finančním ředitelem. V šoku si tak uvědomil, že někdo naboural jeho data a nechal se operovat na jeho účet.
Kuhn, který pro IBM pracuje jako bezpečností analytik, se tak mohl na vlastní oči přesvědčit, jak cenné mohou být zdravotnické záznamy pro hackery. Ti je mohou prodávat potenciálním pacientům, kteří mohou těžit z falešných identit. Účet zaplatí někdo jiný. Analýzu bezpečnosti lékařských záznamů v nemocnicích přináší Financial Times.
Při pohybu dat se nemyslí na bezpečnost
Rostoucí zdravotnický průmysl přitom podporuje volný pohyb lékařských dat. Může se jednat jak o informace, které vložili samotní pacienti, nebo o aplikace pro lékaře, které fungují prostřednictvím přenosných zařízení. Tam dochází ke sdílení nových forem dat – například genetických záznamů.
Aby k takovému skladování citlivých dat mohlo docházet, tak pacienti musí být přesvědčeni, že přínosy budou vyšší než možná bezpečnostní rizika. Bohužel se zdravotnický průmysl neukázal jako zcela důvěryhodný při evidování a skladování těchto digitálních lékařských záznamů.
Caleb Barlow, viceprezident IBM Security, připomněl loňský únik dat od amerických poskytovatelů zdravotního pojištění. Například ze zdravotnického střediska Anthem v Indianapolisu uniklo 80 milionů záznamů.
Černý internetový trh podle Barlowa nyní „přetéká“ údaji pacientů na nelegálních obchodních serverech: „Je to organizovaný zločin obrovských rozměrů,“ dodává s tím, že „černá sféra internetu“ je zaplněna záznamy, které obsahují vše od anamnézy, až po čísla sociálního a zdravotního zabezpečení pacientů.
Startupová společnost UpGard zaměřená na kybernetickou bezpečnost dává společnostem ratingový výsledek podle toho, jak mají aplikovávány některé základní systémy bezpečnostní ochrany. Devět předních nemocnic podle časopisu Healthcare Global získalo méně než 600 bodů. Tato hranice je přitom označena jako přijatelná úroveň bezpečnosti. Další nemocnice v USA, Velké Británii či Kanadě dostaly hodnocení „nepřijatelné“.
Průměrné skóre u nemocnic bylo jen 489 bodů, což bylo výrazně méně než u bankovního odvětví, které mělo 628 bodů. „To není dobrý výsledek,“ tvrdí Mike Baukes, spoluzakladatel UpGuardu.
UpGuard se může externě podívat, zdali je webová stránka zdravotnického střediska či emailová komunikace šifrována, což může napovědět, jak se zdravotnické středisko stará o lékařské záznamy pacientů.
Hackeři vydírají
Čím více se sdílí dat, tím více připojení do systému realizují lékaři či pacienti na svých zařízeních. Tím je také znatelněji celý systém ohrožen útokem, který by mohl vést k odcizení citlivých dat.
Dvě americké nemocnice například oznámily, že byly zasaženy takzvanými ransomware útoky. Při nich útočník blokuje přístup k datům a žádá zaplacení výkupného. Po jeho zaplacení by mělo dojít (ale nemusí) k odblokování počítačů.
Například v únoru zdravotnické středisko Hollywood Presbyterian zaplatilo 17 000 dolarů hackerovi v bitcoinech, aby došlo k obnovení přístupu k elektronickému lékařskému systému. Nemocnice Kentucky Methodist zase musela vypnout všechny své počítače a aktivovat záložní systém.
Stále větší množství medicínských dat opouští zásuvky nemocničních oddělení, a proto zdravotnický průmysl musí intenzivněji přemýšlet nad tím, jak chránit citlivá data pacientů. Další startupová společnost Veracode otestovala vybrané počítačové a mobilní aplikace a zjistila, že 80 % z nich mělo problém se šifrováním.
Podle Veracode vzniká „šedá zóna“ v oblastech, kde neexistuje dostatek jasných pravidel ohledně toho, kdo je odpovědný za ochranu údajů o pacientech. Podle spoluzakladatele a technického ředitele Veracode Chrise Wysopale by měl management nemocnic požadovat po dodavatelích IT systémů a aplikací odpovídající bezpečnost a důkladné testování.
Nejen bezpečnost, ale i kvalita dat
Bezpečnost ale nestačí. Zdravotnický průmysl musí také přemýšlet o tom, jak od pacientů sbírat relevantní data a aby nedošlo k jejich záměně.
Zdravotnická a IT komunikační společnost Imprivata prodává identifikační software do více než 1500 nemocničních systémů. Software umožnuje lékařům bezpečně se dostat k požadovaným datům.
Technický ředitel společnosti Imprivata David Ting, který má také v ministerstvu zdravotnictví na starost kybernetickou bezpečnost říká, že nemocnice stále více sledují pacienty, kteří jsou doma. Musí proto vědět, koho se údaje týkají: „Dejme tomu, že aplikace posílá to, jaký mám tlak či co jsem jedl. Byl jsem ale měřen opravdu já nebo můj syn?“ uvedl Ting.
Arsen Lazarevič
