dnes je 23.11.2024

Input:

ISO normy a informační technologie ve zdravotnictví

1.6.2016, , Zdroj: Verlag Dashöfer

6.5.14
ISO normy a informační technologie ve zdravotnictví

RNDr. Dagmar Brechlerová, Ph.D. České vysoké učení technické v Praze, Fakulta biomedicínského inženýrství, Kladno

Bezpečnost IT má mnoho oblastí, na které je třeba se zaměřit. V případě zdravotnictví se jedná o oblast, kde se spojují dvě roviny – osobní a profesní. Lékař či jiný zaměstnanec ve zdravotnictví nakládá s citlivými daty pacientů, zároveň však má i svůj osobní život, ve kterém často pracuje s nástroji IT. Je tedy nutné dbát na to, aby se obě roviny příliš neprolínaly. Bohužel v souvislosti s  používáním stejného IT zařízení pro pracovní i  soukromé účely (tzv. BYOD – bring your own device – zaměstnanec používá soukromé zařízení pro pracovní účely) k  tomuto prolínání běžně dochází.

Vzhledem k současným rizikům v oblasti bezpečnosti IT je například vhodné využívat různá zařízení pro pracovní a pro soukromé účely, stejně tak i e-mailové účty – kompromitováním osobního zařízení či účtu může dojít k ohrožení pracovních dat. Lékař či jiný pracovník ve zdravotnictví může být pro kybernetického útočníka zajímavý z mnoha ohledů – útočník se může chtít dozvědět detaily o pacientech, ve větších zařízeních se může snažit získat soukromé informace o zabezpečení pracoviště a například zneužít identitu některého zaměstnance, může dojít k pokusům o vylákání či odcizení obchodních informací. Je tedy nutné, aby pracovníci ve zdravotnictví byli informováni o situaci v IT, o bezpečnostních hrozbách a způsobech obrany proti nim. Vzhledem k tomu, že lékař často nakládá s důvěrnými informacemi, je bezpečnost práce s nimi namístě.

Zdravotní data jsou z hlediska zákona č. 101/2000 Sb., O ochraně osobních údajů, citlivými údaji. Podle § 4 písm. b) tohoto zákona je "citlivým údajem osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů".

Existuje mnoho způsobů ohrožení, nicméně  např. tzv. phishingové útoky (viz dále) lze rozdělit do dvou základních skupin: útočník cílí buď náhodně na naivní uživatele (snaha získat hesla k bankovním účtům, mailovým schránkám nebo získat přístup do zařízení skrz zadní vrátka apod.) nebo se naopak jedná o  pečlivě konstruovaný útok na konkrétní osobu či pracoviště, a to jak z osobního, tak i obchodního hlediska.

Častým problémem jsou v těchto případech hlavně uživatelé, jelikož většinou značně podceňují nebezpečí, která mohou v případě podceňování zásad ochrany IT nastat. Typickým příkladem je podceňování obsahu e-mailových zpráv – i pokud je doručená zpráva od známé osoby, neznamená to, že pochází skutečně od ní. Zfalšovat odesílatele zprávy není příliš velký problém. V  e-mailu pak mohou být podvodné odkazy, nakažené přílohy nebo může zpráva velmi vynalézavým způsobem navádět uživatele k různým akcím, kterými ohrozí sám sebe, svoje data či informace jemu svěřené.

Situace v oblasti bezpečnosti IT je celkově velmi špatná a spíše se zhoršuje.

Kyberkriminalita

Kyberkriminalita je v dnešní době odvětví, které je srovnatelné například s drogovým podsvětím – jedná se zde o obrovské částky peněz a obchoduje se s množstvím důvěrných informací. Odcizená hesla od e-mailových schránek, bankovních účtů a různých profilů na webových stránkách jsou k prodeji po desítkách tisíc záznamů, je možné si pronajmout nástroje pro napadení stránek, uživatelů a zařízení či rovnou najmout tým hackerů. Hackeři kradou i výpočetní kapacitu zařízení, kterou poté zneužívají – jednoduše sestrojí "superpočítač" z výpočetní kapacity přístrojů napadených uživatelů a ten pak používají jako výkonný nástroj ke kybernetickým útokům. Jako komunikační nástroj se používá například TOR – speciální aplikace, která neposílá informace přímo, ale šifrované je rozdělí na několik částí a ty pak putují mezi různými dalšími členy této sítě tak, aby se zamezilo odhalení odesílatele. Coby platidlo se používá elektronická měna bitcoin, která je prakticky anonymní, nicméně populární jsou například i přednabité anonymní karty (u nás například Blesk peněženka).

Mezi drobnější delikty pak patří fingované prodeje, vylákání přihlašovacích údajů a jejich zneužití, snaha o  prolomení účtů a celá řada dalších činností, které internet značně usnadňuje. Problémem je ale často také uživatelská nevzdělanost a lenost, kdy uživatelé například vědomě ignorují některá fakta a doufají, že se jim nic nestane.

Útočníci jsou často na takové úrovni, že policie a další příslušné orgány jsou vůči nim téměř bezbranné. Je tedy nutné, aby se uživatelé o svoji bezpečnost starali pokud možno sami, a to prostřednictvím sebevzdělávání a dodržováním bezpečnostních zásad.

Firma Symantec v  dubnu 2016 ve své pravidelné každoroční analýze bezpečnostní situace (https://www.symantec.com/security-center/threat-report) uvádí následujících 5 největších nebezpečí v  IT.

Zero attack day (využití ještě neopravené chyby)

  • Zero day exploit (tj. zneužití či útok nultého dne) je v informatice označení útoku nebo hrozby, která se v počítači snaží využít zranitelnosti používaného softwaru, která není ještě obecně známá, resp. pro ni neexistuje obrana (např. formou aktualizace počítačového systému či konkrétního softwaru).

  • Nultý den zde označuje skutečnost, že uživatel je ohrožen až do vydání opravy (aktualizace), do této doby se nachází stále ve výchozím postavení (tj. v nultém dni). Ohrožení zero day exploitem tak může trvat několik dní, týdnů, ale i roků, a délka této doby je většinou plně v rukou autorů vadného softwaru.

  • Chyba zabezpečení Zero-Day byla objevena v průměru každý týden v roce 2015.

  • Pokročilé útočné skupiny mohou i nadále těžit z dříve neobjevené chyby např. v  prohlížečích.

  • V roce 2015 se počet zero-day zranitelností více než zdvojnásobil na 54, nárůst 125 procent oproti předchozímu roku.

  • Chyba zabezpečení se může objevit v téměř každém typu softwaru, ale nejatraktivnější pro útočníky je software, který je široce používán.

  • Většinou se zranitelná místa objevují v softwaru, jako jsou Internet Explorer a Adobe Flash, které se často používají.

  • Čtyři z pěti nejvíce využívaných zero-day zranitelnosti v 2015 se týkaly softwaru Adobe Flash.

  • Tisíce počítačů infikováno, pokud oprava není k dispozici nebo není rychle provedena.

Krádeže osobních dat

  • V roce 2015 bylo hlášeno rekordních devět mega-porušení (mega-porušení je definováno jako porušení více než 10 milionů záznamů).

  • Celkový počet hlášených exponovaných identit vzrostl o 23 procent na 429 milionů.

  • Mnoho organizací incident nehlásí. Skutečnost, že organizace stále častěji utajují kritické informace týkající porušení, je znepokojující trend. Transparentnost je pro bezpečnost rozhodující.

  • Konzervativní odhad těchto nehlášených porušení je podle Symantec více než půl miliardy.

  • Z počtu více než půl miliardy osobních záznamů se tento útok často týkal právě zdravotních dat.

Chyby na webových stránkách

  • Závažné chyby zabezpečení se vyskytují ve třech čtvrtinách populárních webových stránek.

  • Každý den dochází k 1 milionu útoků z webu proti uživateli.

  • Již neexistují žádné bezpečné weby!

  • Více než 75 procent všech legitimních webových stránek má neopravené zranitelnosti. Patnáct procent legitimních webových stránek mají zranitelnosti považované za “kritickou “, což znamená, že útočníci mohou jednoduchým způsobem získat přístup na stránky a manipulovat je pro vlastní účely.

  • Je čas, aby správci webových stránek začali řešit rizika agresivněji.

Spear phishing

  • Posledním obratem v oblasti phishingu je takzvaný cílený phishing.

  • Spear-phishing cílený na zaměstnance se v roce 2015 zvýšil o 55 %.

  • V posledních pěti letech byl zaznamenán trvalý nárůst útoků zaměřených na podniky s méně než 250 zaměstnanci, 43  % všech útoků v roce 2015 se týkalo malých podniků.

  • To je jasným varováním, že vůči cíleným útokům jsou potenciálně zranitelné všechny podniky.

  • Na základě např. informací ze sociálních sítí o nákupu fotoaparátu informací může provozovatel spear-phishingu vystupovat jako váš přítel, poslat vám e-mail a požádat vás o heslo k vaší stránce s  fotografiemi. Pokud heslo v odpovědi uvedete, bude toto heslo a jeho variace použito k pokusu o  přístup k vašemu účtu na stránkách zmíněného online prodejce.

Ransomware (vyděračský podvodný software, který zamkne nebo zcela zašifruje zařízení či data a požaduje výkupné – zaslání obnosu na anonymní účet pro odemknutí dat či zařízení)

  • V loňském roce šifrovací virus Ransomware (šifrování souborů) vytlačoval méně škodlivé typy Ransomware (uzamčení obrazovky).

  • Šifrovací Ransomware vzrostl v roce 2015 o 35 %. Jedná se o extrémně ziskový typu útoku.

  • Ransomware bude i nadále expandovat na každé zařízení (počítač) připojené k síti, které může být drženo jako "rukojmí" kvůli zisku.

  • V roce 2015 Ransomware našel nové cíle a zaměřoval se na širokou škálu objektů, od PC až po chytré telefony, Mac a Linux systémy.

  • V roce 2015. Symantec dokonce prokázal proof- nebo of-koncept útoky proti chytrým hodinkám a  televizorům.

Falešná technická podpora

  • Symantec blokoval 100 milionů padělané technické podpory.

  • Útočníci mají trik s pop-up okny, která upozorňují na závažnou chybu nebo problém, tedy vedou oběť na číslo 800...., kde se "technická podpora zástupce" pokouší prodávat oběti bezcenné služby. V roce 2015 Symantec zablokoval 100 milionů těchto typů útoků.

Kromě těchto zmíněných nejčastějších útoků existuje celá řada jiných a Symantec vyjadřuje v  průzkumu také obavy z budoucích útoků na tzv. Internet věcí (viz dále).

Jak se uvádí v  průzkumu, jedním z největších problémů dneška je phishing, respektive metoda zvaná spear-phishing. Běžné phishingové útoky cílí na obecnější skupiny uživatelů a pravděpodobně skoro každý už někdy podobný mail e-dostal – jedná se například o falešný e-mail od finanční instituce (banka, poskytovatel debetních karet atd.), který uživatele vyzývá například k ověření jeho údajů – uživatel klikne na falešný formulář, přihlásí se a odevzdá tím útočníkovi svoje ověřovací údaje.

Spear-phishing je daleko propracovanější – jedná se o phishingový útok na konkrétního uživatele, který může být propracován do nejmenších detailů. Útočník obvykle musí znát zázemí oběti, její kontakty a  samotnému útoku předchází důkladná příprava a prostudování oběti. Útočník je tak schopen například předstírat před vytipovaným uživatelem některou jeho konkrétní známou osobu, takže ostražitost uživatele je tím značně snížena. Výsledkem může být vymámení údajů či dat, nahrání podvodné aplikace do zařízení, díky níž má pak útočník přístup k datům na datových úložištích, nebo může útočník sledovat aktivitu oběti spravující utajované nebo potenciálně zneužitelné informace nebo může útočník provádět řadu dalších nebezpečných akcí. Problémem navíc může být fakt, že se nemusí jednat jen o útok na jednu osobu, nýbrž o koordinovanou akci, při níž se spojí útoky na několik osob či zařízení.

Existuje několik způsobů prevence – pokud se uživateli zdá e-mail podezřelý, je vhodné okamžitě telefonicky či jinak ověřit identitu odesílatele. Kontaktovat konkrétní osobu, případně informovat své spolupracovníky, nadřízené či osobu zodpovědnou za správu IT o potenciální hrozbě. Rozhodně nestahovat, nezobrazovat a  nespouštět žádné neznámé přílohy, přičemž nejnebezpečnější jsou instalovatelné aplikace (.exe apod.), nebo si alespoň předtím ověřit, že se nejedná o podvrh.

Samozřejmostí je i antivirový software, ideálně s ochranou v reálném čase, která zachytí možný pokus o  napadení zařízení.

Uživatel by měl používat také různé zařízení a účty, alespoň pracovní a osobní e-mail by měly být odděleny, lepší ovšem je, pokud se v jednom zařízení nevyskytují pracovní údaje společně s  osobními údaji. Může dojít k překliknutí nebo smazání dat nedopatřením, omylem může dojít k odeslání pracovních dat zaměněných za osobní a k mnoha jiným nehodám.

Stejně tak by pracovní prostor neměl být obložen osobními věcmi – poznámkami, papírky s hesly, důvěrnými materiály. Útočník mnohdy pouze využije příležitosti například tak, že někde vidí poznamenané heslo. Je tedy vhodné uvědomit si i tohle riziko.

Nebezpečí hrozí také ze strany externích paměťových médií – flash disků, paměťových karet, optických disků (CD/DVD apod.) a dalších. Typický příklad – útočník může nechat na dobře promyšlených místech položený flash disk s nakaženým obsahem, který někdo vezme, a v domnění, že disk někdo ztratil, se bude snažit zjistit obsah. Při zasunutí se z  něj do počítače rozšíří malware, který může stahovat další zákeřné aplikace, odposlouchávat obsah a provádět jiné operace. Tento typ útoku je celkem obvyklý a velmi efektivní, protože nálezce často neodolá podívat se na obsah. Obecně by se do počítače a dalších zařízení s  lékařskými daty (nebo přístrojů používaných v medicíně) neměla externí zařízení vůbec připojovat, jelikož je to zbytečné riziko.

Internet věcí

V dnešní době masivního rozšíření internetu bohužel dochází i k útokům, které by uživatel stěží očekával. Pod pojmem "internet věcí" si lze představit veškeré přístroje, které používají internet k přenosu dat, k jejich ovládání na dálku a k dalším funkcím. Problém pak je, že podobné přístroje je možné někdy i napadnout. Tak došlo v posledních letech k napadení systémů ovládajících například některé funkce letadel, automobilů či právě zdravotnických přístrojů. K potenciálnímu napadení může dojít u celé řady zařízení: přístrojů pro magnetickou resonanci (MRI), insulinových pump, rentgenů a dalších. U těchto přístrojů je totiž ten problém, že často využívají běžné WI-FI připojení pro přenos dat, například pro přímé ukládání zjištěných údajů do databází zdravotních organizací. Tím samozřejmě vzniká značné riziko – pokud se nejedná o uzavřený okruh (intranet), hrozí, že se do něj potenciální útočník bude schopen dostat. Navíc, na rozdíl od počítačů a  dalších běžných zařízení, se pro tyto přístroje obvykle nevyvíjejí nějaké nadstandardní zabezpečovací prvky, stejně tak u nich neprobíhají ani obvyklé aktualizace zajišťující opravení možných bezpečnostních nedostatků. Vzhledem k tomu, že napadení přístrojů ve zdravotnictví může pacientovi způsobit teoreticky zdravotní újmu nebo i smrt, je tento fakt alarmující. Jedná se samozřejmě o nejextrémnější možnost, nicméně i skutečnost, že by hacker mohl například "jen" sbírat data z  přístrojů, není o moc více uklidňující.

Reálným příkladem může být případ Sergeje Lozhkina, vývojáře z Kaspersky Lab, známé společnosti zabývající se vývojem bezpečnostního softwaru. Ten v rámci výzkumu zkoušel proniknout do systému zdravotních zařízení. Pomocí webu Shodan.io (https://www.shodan.io/ seznam zařízení využívajících internet věcí) vyhledal zdravotnická zařízení, která nejsou dostatečně zabezpečená. Následně se mu podařilo dostat se do sítě nemocnice a připojit se ke skeneru pro magnetickou resonanci, kde byl schopen sbírat data. (Zdroj: https://blog.kaspersky.com/hacked-hospital/11296/)

Jiným příkladem byl hacker a bezpečnostní expert Barnaby Jack, který byl schopen provádět množství kybernetických útoků, nicméně vždy se snažil o tyto informace se podělit, a prováděl tedy tzv. White-hacking – místo aby útok zneužil, tak se snažil o zlepšení bezpečnostní situace sdílením získaných poznatků. Mezi jeho úspěchy patřil například tzv. Jackpotting – byl schopen napadat bankomaty různými způsoby a  donutit je vydat hotovost. Jiným příkladem jeho dovedností byla první demonstrace útoku na inzulinovou pumpu v  rámci McAfee FOCUS 2011. http://focus.intelsecurity.com/focus2011/

Barnaby zemřel za podivných okolností (předávkování drogami a léky) v roce 2013, týden před konferencí, na níž měl upřesnit způsob, jakým lze kyberneticky napadnout srdeční implantáty.

Mnoho zdravotnických, ale i dalších přístrojů využívajících IT technologie navíc často umožňuje nastavit vlastní zabezpečení, ale pokud to uživatel podcení nebo o tom neví, často tím útočníkovi pomáhá. Typickou vlastností velkého množství přístrojů je, že mají nastaveny tovární přihlašovací údaje – jméno a heslo. Obvykle to bývá například "admin". Pokud se heslo nepřenastaví nebo dojde k jeho vymazání (například resetováním přístroje do továrního nastavení), může dojít k obnovení továrního hesla. Heslo admin je pro jakéhokoliv i začínajícího uživatele prakticky tím prvním, co zkusí, v případě číselných kombinací to bude 12345 a podobně. Působí to samozřejmě zábavně, ovšem jen do chvíle, než pohledem na statistiky zjistíme, že podobná hesla používá polovina uživatelů internetu.

Je tedy jasné, že ochrana IT již nemůže být čistě věcí nějakého náhodného řešení, ale stejně jako jiné oblasti by mělo řešení být profesionální a dodržovat určité normy. Tyto normy, byť třeba nejsou kodifikovány, nám mohou pomoci při řešení bezpečnosti IT. Obecně je nutné stanovit řadu zásad, kterými se musejí zaměstnanci řídit, například jak nakládat s daty, kdy hlásit incident, jak se chovat při práci s určitým softwarem a podobně. Samozřejmě si může instituce stanovit vlastní pravidla, nicméně existují zároveň normy také pro podobné situace. Ty tvoří víceméně základy, na kterých je pak možné vystavět celou bezpečnostní politiku dané instituce. Pokud tedy chce například zdravotnické zařízení prokázat, že s daty svých pacientů nakládá podle určitých stanov, je vhodné snažit se podobné normy splnit. Navíc je zde možnost, že dříve nebo později budou konkrétní normy přijaty jako zákonné minimum a společnost je bude muset tak jako tak přijmout. Pro oblast IT bezpečnosti existuje souhrnná řada ISO norem

Řada norem ISO/IEC 27000

ISO (International Organization for Standardization) rezervovala sérii ISO 27000 pro normy z oblasti bezpečnosti informací, podobně, jako tomu je u norem pro

Nahrávám...
Nahrávám...