Nowe wymogi dla placówek medycznych w zakresie ochrony danych pacjentów przed cyberatakami

Redakcja
Jak zapewnić bezpieczeństwo przetwarzania i przechowywania dokumentacji medycznej w postaci elektronicznej w perspektywie RODO, by nie narazić się na gigantyczne kary finansowe i odpowiedzialność karną? Takie pytanie zadają sobie wszyscy – od dyrektorów szpitali po kierowników małych przychodni i właścicieli prywatnych gabinetów lekarskich. Rządowe Centrum Systemów Informacyjnych Ochrony Zdrowia wydało właśnie swoje rekomendacje w tej kwestii wskazując na szyfrowanie w chmurze jako jedno z najlepszych rozwiązań.

Unijne rozporządzenie o ochronie danych osobowych (RODO) zacznie obowiązywać od 25 maja 2018 roku. W Ministerstwie Cyfryzacji trwają prace związane z dostosowaniem polskiego prawodawstwa do wymogów, jakie określono w RODO. Regulacja wprowadza bardzo restrykcyjne przepisy dotyczące ochrony danych osobowych w systemach informatycznych. Według 32. artykułu unijnego rozporządzenia najprostszą i najbezpieczniejszą metodą ochrony danych jest szyfrowanie. Podmiotom, które nie wprowadzą nowych praktyk bezpieczeństwa w administrowaniu danymi na platformach komputerowych, grożą surowe kary – nawet do 20 milionów euro!

RODO nie wisi w próżni. Nie jest to kolejny wymysł europejskich biurokratów z gatunku rozporządzenia o krzywiźnie banana. Dokument będący zbiorem wytycznych w zakresie bezpiecznego przechowywania i przetwarzania danych powstał jako odpowiedź na nasilające się z roku na rok zjawisko cyberprzestępczości. Hakerzy na masową skalę włamują się do systemów informatycznych banków oraz urzędów, skąd wykradają bezcenne informacje o klientach tych instytucji. Potem sprzedają je na czarnym rynku za gigantyczne pieniądze.

Jak podkreśla Centrum Systemów Informacyjnych Ochrony Zdrowia, coraz częściej ataki skierowane są również na systemy szpitalne czy nawet same urządzenia medyczne, które są słabo zabezpieczone. „To właśnie w tych systemach przetwarzane są w większości przypadków wrażliwe dane dotyczące zdrowia pacjentów. Ostatnie doniesienia prasowe wskazują, że blokada systemu informatycznego czy też wyciek danych o pacjentach mogą skutecznie zdezorganizować prace jednostki medycznej w takim stopniu, że nie będzie ona w stanie leczyć pacjentów dopóki nie zapłaci wysokiego okupu cyberprzestępcom” – czytamy w dokumencie.

Wyciek danych i związana z tym utrata reputacji wśród pacjentów to dopiero początek kłopotów szpitala. Po 25 maja 2018 roku za niedopełnienie obowiązku należytej ochrony danych podmiotom medycznym będą grozić potężne kary finansowe, a kierownikom – surowa odpowiedzialność karna.

Centrum Systemów Informacyjnych Ochrony Zdrowia opracowało zestaw rekomendacji dla placówek medycznych w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania dokumentacji medycznej w postaci elektronicznej. Autorzy wprost wskazują na szyfrowanie w chmurze jako jeden z najlepszych sposobów na pełną ochronę danych zarówno na etapie gromadzenia, jak i przetwarzania oraz transmisji między komputerami.

Podmiotom, które zdecydują się wprowadzić zabezpieczenia kryptograficzne, podpowiedziano, czym kierować się przy wyborze najbardziej odpowiedniego systemu do szyfrowania. „Zaleca się wybieranie algorytmów szyfrowania, długości kluczy i praktyki stosowania zgodnie z najlepszymi praktykami. Właściwe zarządzanie kluczami wymaga bezpiecznych procesów generowania, przechowywania, archiwizacji, odzyskiwania, dystrybucji, wycofywania i niszczenia kluczy kryptograficznych” – podkreślono w dokumencie. Zwrócono uwagę na, że technologia kryptograficzna powinna umożliwiać podział kluczy prywatnych użytkownika i zawierać takie mechanizmy, które uniemożliwiają uzyskanie dostępu do danych przez osoby nieuprawnione nawet w przypadku, gdy zostaną przejęte dane uwierzytelniające.

„Użytkujący urządzenie przenośne powinien, jeśli to możliwe, zastosować odpowiednie środki kryptograficzne wobec przechowywanych na nim danych osobowych i danych medycznych. W szczególności musi wykorzystywać system informatyczny umożliwiający szyfrowanie lokalne przy jednoczesnym zastosowaniu technologii podziału kluczy szyfrujących (gdzie jedna z cząstek klucza jest przechowywana poza urządzeniem)” – napisano.

Na rynku dostępne jest rozwiązanie, które spełnia tak określone kryteria. To system UseCrypt skonstruowany przez polską firmę CryptoMind S.A. Polega na szyfrowaniu danych typu end-to-end i bazuje na kompleksowym, własnym systemie kryptograficznym. Usecrypt obsługiwany jest poprzez zainstalowaną na platformie klienta (Windows, Android, iOS) aplikację, która pozwala na łączenie się z serwerowym systemem kryptograficznego przekazywania danych. Dane są zawsze przechowywane i przetwarzane na serwerze w postaci zaszyfrowanej. Szyfrowanie wykonywane jest na urządzeniu klienckim (smartfon, tablet, laptop) za pomocą kluczy symetrycznych, które zostały wygenerowane lokalnie. Co najważniejsze: tylko właściciel aplikacji i urządzenia może uzyskać dostęp do zabezpieczonych za pomocą aplikacji UseCrypt danych.

Moduł kryptograficzny jako jedyny w Polsce UseCrypt posiada pozytywną opinię Wojskowej Akademii Technicznej w Warszawie. - UseCrypt został tak zaprojektowany, by w sposób kompleksowy rozwiązać wszystkie kwestie wynikające z RODO. Aplikacja szyfruje bazy danych gromadzone na serwerach, stacje robocze oraz transfer danych. Dzięki zastosowaniu UseCrypt każda instytucja będzie w stu procentach przygotowana na nadejście RODO – podkreśla Krzysztof Surgowt, prezes zarządu CryptoMind S.A.

Techniczne zabezpieczenia danych w RODO

UseCrypt został zastosowany między innymi w szpitalu imienia Franciszka Dłutka w Rypinie oraz Urzędzie Miasta Ciechanów.

- Dzięki UseCrypt Szpital w Rypinie ma gwarancję ochrony danych, a także zabezpieczony przepływ informacji pomiędzy poszczególnymi oddziałami naszej placówki oraz podległymi przychodniami. UseCrypt zapewnia także indywidualne przestrzenie szyfrowane dla każdego pracownika. To ważne, by placówki publiczne dbały nie tylko o jakość świadczonych usług, ale także realizowały zobowiązania wynikające z przepisów o ochronie danych osobowych. Dzięki zastosowaniu UseCrypt dane są chronione podwójnie, a rozwiązanie jest kompleksowe i kompatybilne dzięki czemu cały system działa sprawnie i płynnie, co w przypadku przepływu danych w ośrodku zdrowia jest kluczowe – mówi doktor Michał Jonczynski, dyrektor Szpitala Powiatowego w Rypinie.

Rewolucja w aptekach. Farmaceuta jak lekarz?

Wideo

Dodaj ogłoszenie

Wykryliśmy, że nadal blokujesz reklamy...

To dzięki reklamom możemy dostarczyć dla Ciebie wartościowe informacje. Jeśli cenisz naszą pracę, prosimy, odblokuj reklamy na naszej stronie.

Dziękujemy za Twoje wsparcie!

Jasne, chcę odblokować
Przycisk nie działa ?
1.
W prawym górnym rogu przegladarki znajdź i kliknij ikonkę AdBlock. Z otwartego menu wybierz opcję "Wstrzymaj blokowanie na stronach w tej domenie".
krok 1
2.
Pojawi się okienko AdBlock. Przesuń suwak maksymalnie w prawą stronę, a nastepnie kliknij "Wyklucz".
krok 2
3.
Gotowe! Zielona ikonka informuje, że reklamy na stronie zostały odblokowane.
krok 3