Na parkovisku je chaos, keďže nefunguje parkovací systém. Na recepcii je chaos, pretože nefunguje systém na registráciu pacientov. Na urgentnom príjme sa lekár nemôže dostať k našim lekárskym záznamom. A problémy sú tiež s prenosom rádiologických snímok zo zariadenia k lekárovi, čo znižuje možnosti lekára efektívne zhodnotiť náš stav a určiť najvhodnejšie ďalšie kroky na riešenie nášho stavu.

Všetci sa ale spoliehame, že tá moja nemocnica to nejak zvládne a postará sa o mňa. No nemusí to tak byť.

Vráťme film na začiatok

Už pred rokmi sa hovorilo, že banky pracujú s IT technológiami v takom veľkom rozsahu, že sa o nich dá v podstate hovoriť ako o technologických firmách. Dnes k tomuto stavu smerujeme aj v nemocniciach.

Samotný nemocničný informačný systém, ktorý je srdcom nemocničných procesov dopĺňa rad ďalších systémov a komponentov. Sú tam RIS, PACS databázy, dochádzkové systémy na plánovanie zmien, ekonomické a účtovné systémy, či vykazovanie zdravotným poisťovniam.

K tomu sa pridávajú inteligentné zdravotnícke zariadenia schopné uskutočňovať sieťovú komunikáciu ako RTG, magnetické rezonancie, infúzne pumpy, monitorovacie stanice pacienta a podobne. A nad tým všetkým sú služby elektronického zdravotníctva ako erecept, ePN a elektronická zdravotná knižka.

Iba dve základné otázky

Dostávame sa do stavu, keď prevádzkyschopnosť  informačných systémov môže mať reálne dosahy na pacientov a zdravie ľudí. Potrebujeme si klásť otázky typu: Dokáže sa nemocnica adekvátne postarať o pacientov, ak na dva dni vypadne nemocničný informačný systém? Čo by spravila nemocnica na jeho sprevádzkovanie?

Kľúčové je, aby vedenie nemocnice vnímalo tieto súvislosti a riešilo kybernetickú bezpečnosť, ktorá je nevyhnutná pre zabezpečenie fungovania zdravotných služieb v dnešnej dobe.

Úlohou kybernetickej bezpečnosti je totiž umožniť spoločnostiam plniť svoj hlavný cieľ, ako je napríklad tvorba zisku pri komerčných spoločnostiach, či zabezpečenie plynulého poskytovania zdravotnej starostlivosti pri zdravotníckych zariadeniach vo verejnom aj súkromnom vlastníctve.

Digitalizácia krízových situácií

Tak ako majú nemocnice definované a pravidelne testované reakčné plány pre krízové situácie nárazového nárastu pacientov napríklad pri hromadných autonehodách, výbuchoch a podobne, tak by mali byť pripravené aj na ransomvérový útok, zlyhanie techniky, konfiguračnú chybu zamestnanca a ďalšie významné kybernetické hrozby.

Nemocnice a iné zdravotnícke zariadenia potrebujú mať plán na zmiernenie dosahov, keď takáto situácia nastane a hlavne vedieť rýchlo reagovať ak napríklad vypadne sieťová konektivita alebo celý nemocničný informačný systém.

Každý musí vedieť čo má robiť a to aj vo veľmi stresovej situácii, keď sa nám hromadia pacienti, nastane chaos a riešenie je potrebné čo najskôr.

Recept pri kyberkríze

Pre nemocnice je preto kritické venovať sa budovaniu a udržiavaniu plánov kontinuity činností (Business Continuity Planning - BCP) a plánov obnovy (Disaster Recovery Plan – DRP).

Každé zdravotnícke zariadenie by malo vedieť identifikovať a zhodnotiť hrozby a scenáre, ktoré by potenciálne mohli viesť k ohrozeniu schopnosti stanoviť diagnózu na základe dostupných a pravdivých informácií, schopnosti ošetrovať a zachraňovať ohrozené ľudské životy a podobne.

Robíte plány kontinuity činností a plány obnovy?

Pozrite sa na tieto oblasti

1. Analýza funkčného dosahu (Business Impact Analysis - BIA) je alfou a omegou riadenia kontinuity činností. Snažte sa identifikovať kritickosti procesov alebo systémov, časové rámce obnovy činností.
2. Ak robíte analýzu IT prostredia identifikujte aktíva, hľadajte vzťahy a závislosti medzi aktívami a procesmi, snažte sa nájsť možné body zlyhania (Single Point Of Failure – SPOF). Je dôležité vedieť od akých IT prvkov závisia vaše kritické procesy a systémy. Viete napríklad povedať, čo všetko vo vašom IT prostredí musí byť dostupné aby mal lekár v nemocničnom informačnom systéme dostupné potrebné informácie na výkon svojej práce?
3. Identifikujte hrozby a definujte scenáre, ktoré môžu mať negatívny vplyv na bežné fungovanie organizácie. Nemusíte sa zameriavať len na oblasť IT technológií, ale môžete zvážiť aj oblasti hrozieb ako nedostupnosť personálu, pracoviska a médií.
4. Zadefinujte reakčné plány pre minimalizáciu potenciálnych negatívnych dosahov. Tieto by mali obsahovať podrobnosti s opisom krokov obnovy a zodpovedností, spolupráce rôznych tímov a dodávateľov, komunikačnej stratégie a tak ďalej
5. Testujte a zlepšujte svoje plány napríklad simulačnými testami s praktickým nácvikom podľa preddefinovaných scenárov, podobne ako to robíte pri nácviku evakuácie budovy. Preverí sa tým adresnosť a funkčnosť postupov, tímovej interakcie. Výhodou takéhoto testovania je, že nedôjde k reálnemu výpadku systému. Veľmi dôležité je však po uskutočnení testu zhodnotiť, čo bolo dobré a čo zlé, a následne plány upraviť.

Už ste to počuli stokrát

Zdravotníctvo na Slovensku je jedným z hospodárskych odvetví s najnižšou mierou súladu s požiadavkami zákona o kybernetickej bezpečnosti. Vo výsledku tu ťahajú za kratší koniec najmä poskytovatelia zdravotnej starostlivosti vo verejnom vlastníctve.

Je až zarážajúce, s ohľadom na možné dosahy, že mnohí poskytovatelia ani nemajú vypracované a pripravené plány kontinuity činností. Doposiaľ sa zrejme ani systematicky nezaoberali otázkami, aké procesy a činnosti sú pre chod nemocnice kritické, aké údaje a IT komponenty na ich prevádzku potrebujú, koľko a akých dát si môžu dovoliť stratiť a ako rýchlo musia dané služby obnoviť, aby nedošlo k ohrozeniu toho najcennejšieho, teda zdravia pacientov.

Nečakajme a pripravme sa

Nenechajme si znefunkčniť zdravotný systém ďalšou „neočakávanou“ hrozbou ako COVID-19 - tou kybernetickou. Plán kontinuity činností a plán obnovy sú oporou nielen v ťažkých časoch.

Ak spoločnosť nedisponuje potrebnými znalosťami v tejto oblasti, cestou môže byť využitie služieb skúsených externých konzultantov. Na zafinancovanie takýchto služieb je zase možné využiť výzvy na čerpanie eurofondov vyhlasované Ministerstvom investícií, regionálneho rozvoja a informatizácie SR. Treba mať podporu vedenia, bez tej to nepôjde, a začať.  

Ján Benka, cybersecurity konzultant, Soitron