Információbiztonság fejlesztése önértékeléssel Fábián Zoltán, Dr. Horváth Zsolt (SZTE Szent-Györgyi Albert Klinikai Központ -INFOBIZ Kft.) A. Kiindulás: Kezdetek és keretek Az egészségügyi ellátás során különös jelentősséggel bír az egészségügyi adatok kezelése. Ez valamennyi szervezetre attól függetlenül, hogy kicsi-e vagy nagy, hogy fekvő- vagy járóbeteg ellátó, esetleg mindkettő hatalmas odafigyelést és korrekt szabályozást igényel. Sajátos kettősség és ellentmondás kíséri végig az adatok kezelését. Látszólag ellenérdekelt a beteg és az ellátó: a betegek azt szeretnék, hogy minél titkosabban kezeljük az ellátással kapcsolatos adataikat, az orvosok pedig azt, hogy az ellátás során minél könnyebben és gyorsabban, minél több információval rendelkezzenek a betegeik állapotával kapcsolatban. A Szegedi Tudományegyetem Szent-Györgyi Albert Klinikai Központ adatvédelmi rendszerével megpróbáljuk mindkét fél igényeit kielégíteni. Célunk az, hogy olyan adatvédelmi rendszert alakítsunk ki, amely a törvényi kötelezettségeken túl praktikusan működtethető, és a munkatársainknak is a lehető legkevesebb kényelmetlenséget okozza. Valószínűleg kevés olyan egészségügyi intézmény van ma Magyarországon, amelynek az utóbbi években ne okozott volna problémát az adatvédelmi követelmények teljesítése. Az adatvédelmi feladatok megoldása kinek a feladata egy egészségügyi intézményben, ki irányítsa? Jogász? Hiszen az adatvédelem törvényi szabályozás teljesítése, az előforduló hibák sokszor csak jogi úton rendezhetők. Minőségügyi munkatárs? Hiszen az adatvédelem elsősorban dokumentációs feladat, amelynek felügyeletéért a minőségügy a felelős. Informatikus? Hiszen az egészségügyi adatok az informatikai rendszerben vannak tárolva, amelynek felügyelete az informatikusok feladata. 1
Orvos? Hiszen egészségügyi adatokról van szó, amelyek az egészségügyi ellátás során keletkeznek. Bármelyik lehetőség jó megoldás lehet, azonban mindegyik csak egy esetben: csak a többiekkel együttműködve! A Szegedi Tudományegyetem Szent-Györgyi Albert Klinikai Központ adatvédelmi szervezetének felépítése hasonló a minőségügyi szervezethez: a központi irányítás munkáját minden szervezeti egységben adatvédelmi felelősök segítik. Közösen igyekszünk évek óta lépésenként fejleszteni adatvédelmi rendszerünket. A különböző szakterületek képviselői együttműködésében történő aktivitásokat a PDCA ciklus egy-egy szakaszában más-más terület képviselője irányítja, ennek megfelelően a minőségügy elsősorban az ellenőrzési fázisban tudta kamatoztatni auditálási tapasztalatát. A belső auditok során külön adatvédelmi blokkot alakítottunk ki, hogy minél pontosabb képet kapjunk a Klinikai Központ adatvédelmi gyakorlatáról. Az auditok tapasztalatai alapján úgy ítéltük meg, érdemes lenne minél szélesebb körben felmérni, hogy van-e eltérés a szabályozás és a gyakorlat között, és ha igen, milyen mértékű az. Ehhez igyekeztünk megfelelő módszert és partnert találni. B. Az elvégzett feladatok Az INFOBIZ Kft-vel kialakult együttműködés keretében egy több lépésből álló programot alakítottunk ki, amelynek végső célja a teljes információbiztonsági irányítási rendszer bevezetése. A rendszerépítés és kapcsolódó fejlesztések volumene miatt az egyes lépéseket önálló projektenként hajtjuk végre. Mindegyik önálló lépés végén kézzel foghatóak az abban a lépésben elért eredmények, amelyek során mindig a biztonság egy magasabb szintje érhető el. 2
Az együttműködés lépései a következők: 1. lépés: Önértékelő kérdőíves felmérés, és a kapcsolódó intézkedési javaslatok a statisztikailag feltárt problémák pótlására 2. lépés: Szakértői informatikai és információbiztonsági kezdeti állapotfelmérés, és a kapcsolódó intézkedési javaslatok a feltárt gyenge pontok, problémák javítására 3. lépés: Adatvagyon, információs vagyon és fenyegetettségeinek, kockázatainak felmérése, és a kapcsolódó intézkedési javaslatok az el nem fogadható kockázatok kezelésére 4. lépés: Folyamatos kockázatkezelésen alapuló biztonsági intézkedések beemelése az irányítási rendszerbe (integrált irányítási rendszer ezzel tartalmazza az információbiztonsági irányítási rendszert is) Jelen fázisban ezek közül az első lépést valósítottuk meg. Most bemutatjuk ennek a fázisnak a célját, módszerét, végrehajtásának körülményeit, illetve hasznát. Az ebben a fázisban elérendő célok voltak: a vezetésnek bemutatni az információbiztonság jelentőségét; gyors és költség-hatékony módon az adatvédelem / információbiztonság állapotát nagyságrendileg jellemezni; (Ez nem helyettesíti a későbbi részletes, helyszíni szakértői felmérések szükségességét.) a főbb problémákra rámutatni. A végrehajtott feladatok következők voltak: 1. Képzés: Információbiztonsági tájékoztató, ismeretfrissítő és tudatosságnövelő alapképzés tartása A képzés általános célja az adatvédelmi felelősök és a középvezetők számára ismeretfrissítés, az adatbiztonsági tudatosság erősítése, valamint a figyelem felhívása az információbiztonság és informatikai üzemeltetés hatásának a 3
Szent-Györgyi Albert Klinikai Központ működési- és adatbiztonságára gyakorolt jelentőségére. A képzés résztvevői ennek megfelelően a Szent-Györgyi Albert Klinikai Központ adatvédelmi felelősei, középvezetői, valamint az informatikai és a minőségirányítási terület munkatársai. A képzés során bemutatott témák rövid jellemzése: A. Csapdás esetek, előre nem számított negatív események és ezek tapasztalatai a betegek adatvédelmével kapcsolatban Az előadás célja: Valós eseményekkel, példákkal rávilágítani: - az adatvédelmi tevékenység sérülékenységére - a vezetők és munkatársak adatvédelemmel kapcsolatos felelősségére, - tudatosítani azt, hogy az adatvédelem az egészségügyi szolgáltatók ellátási tevékenységében, törvény által integrált feladat és nem egy valaki más által elvégzendő külön álló, mellékes dolog. Az ismertetésre kerülő Csapdás esetek, előre nem számított negatív események az előadó saját gyakorlatából (több intézményből), illetve irodalmi információkból származnak. B. Az információbiztonság megjelenése az egészségügyi szolgáltató szervezetek működésében Az előadás célja a figyelem ráirányítása arra, hogy mennyire függ az egészségügyi szolgáltató szervezetek, intézmények zavartalan és törvényes működése, eredménye, sikere, léte az információik biztonságától, az informatikai rendszer működésétől. C. A Kórházi Információtechnológiai (IT) adatvédelem főbb gyakorlati szempontjai Az előadás célja rendszerezetten bemutatni az egészségügyi szolgáltató szervezeteknél az információbiztonság területeit, és áttekintést adni a védekezés módjainak megszervezéséről. A prezentáció kiterjed gyakorlati példák bemutatására a következő területeken: 4
- a védendő adatok és információk kategóriái és lehetséges előfordulási helyei, - az adatokat fenyegető lehetséges veszélyek területei, - szempontok a védekezés rendszerszemléletű megközelítéséhez, - gyorsan bevezethető gyakorlati tanácsok az informatikai védekezés egyes területeire. D. A kórházi IT üzemeltetés Az előadás célja a figyelem ráirányítása arra, hogy mennyire függ az egészségügyi szolgáltató szervezetek, intézmények zavartalan, folyamatos és megbízható működése az informatikai szolgáltatók és szolgáltatások színvonalától és megbízhatóságától. Az előadás bemutatja azokat a módszereket, amivel az informatikai szolgáltatások szintje, megbízhatósága mérhetővé, skálázhatóvá válik, és ez által az egészségügyi és informatikai folyamatok együttműködése az igényeknek megfelelően szabályozható lehet. 2. Önértékelések: Az önértékelés elvégzése két, az INFOBIZ Kft. által összeállított önértékelési kérdőív használatát jelentette. Ez a két kérdőív a következő: 1. Általános információbiztonságú témájú, széles felhasználói körnek szóló kérdőív. Ennek az önértékelési kérdőívnek a célja: A teljes szervezetet átfogóan, felhasználói körben az adatvédelem gyakorlatának és tudatosságának szempontjából (előzetesen) felmérni. Ez az önértékelési kérdőív 3 témakörből és 25-30 kérdésből álló, egyszerű feleletválasztós elektronikusan kitöltendő kérdőív, amelynek témakörei a következők: - papíralapú dokumentációk biztonságos / bizalmas kezelésének gyakorlata az egyes betegellátó és adminisztratív szervezeti egységek mindennapi gyakorlatában; 5
- adatvédelmi szabályok és előírások megléte, ismerete és betartásának gyakorlata az egyes betegellátó és adminisztratív szervezeti egységek mindennapi gyakorlatában; - informatikai biztonsági szabályozások megléte, ismerete és betartásának gyakorlata az egyes betegellátó és adminisztratív szervezeti egységek mindennapi gyakorlatában. A kérdőív kitöltését minél szélesebb körben valósítottuk meg: minden betegellátó és adminisztratív egységből több dolgozó is kitöltötte, odafigyelve arra, hogy szervezeti egységenként több orvos, nővér és adminisztratív munkaerő is kitöltse. Az önértékelési kérdőívet minden résztvevő anonim módon, elektronikusan tölti ki. A kiértékelések statisztikai módon történnek egy erre a célra alkalmas informatikai eszközzel. 2. Informatikai / IT biztonsági témájú kérdőív. Ennek az önértékelési kérdőívnek a célja: A Szent-Györgyi Albert Klinikai Központ informatikai rendszere fenyegetettségi és védelmi profilját (előzetesen) felmérni. Ez az önértékelő kérdőív 8 10 oldalas, és az informatikai és informatikai biztonsági rendszer gyakorlati kulcselemeire kérdez rá. Informatikai célú önértékelés kiemelt témái: informatikai infrastruktúra, alkalmazások, üzemeltetés, felhasználói állomány és működési környezet. Mindegyiknél cél a gyakorlati kérdések alapján - az alkalmazott informatikai rendszer kereteinek, működésének jellemzése (fenyegetettségi profil); - az informatika üzemeltetése során meglévő védelmi elemek jellemzése (védelmi profil). Az önértékelési kérdőívet egy példányban a Szent-Györgyi Albert Klinikai Központ informatikai vezetése töltötte ki. 6
3. Kiértékelések, következtetések A kitöltött kérdőíveket összegyűjtöttük, és elektronikusan átküldtük az INFOBIZ Kft. munkatársainak, akik elvégezték a kiértékeléseket. Az általános információbiztonsági kérdőívek esetén statisztikai eszközökkel meghatározták minden kérdésre a jellemző középértéket, és a jellemző szórást is. Ezek alapján valamint a kérdések jellege és felépítése segítségével jól meghatározhatók a mindennapi gyógyítás / betegellátás során az adatvédelem és információbiztonság gyakorlata, tudatosságának foka, a meglévő szabályzatok (pl. adatvédelmi szabályzat) ismertsége és betartása. A feltárt erősségek és gyengeségek jól kimutathatóak mind az egész Klinika vonatkozásában, mind szervezeti egységenként külön-külön is. A gyakorlat ilyen módon történő jellemzésének összevetése a meglévő információbiztonsági ill. adatvédelmi témájú szabályokkal és előírásokkal megállapíthatók azoknak a szabályzatoknak a gyakorlati hasznossága, erőssége és gyengesége is. Az informatikai biztonsági témájú felmérés az informatikai környezet és informatikai működés kereteit és kulcsértékeit figyeli, és ezek alapján a lehetséges fenyegetettségi profilt veti össze a meglévő üzemeltetett védelmi elemek rendszerével. Ezek alapján voltak meghatározhatóak az informatikai védelem lehetséges gyenge pontjai. C. Eredmények, összegző megállapítások Még csak az első lépéseket tettük meg, így eredményekről még csak korlátozottan számolhatunk be, de néhány pozitívumot már most megállapíthatunk. 1. A kérdőív kitöltése során a munkatársak végiggondolták a mindennapos munkájukhoz kapcsolódó adatvédelmi feladataikat. Azt, hogy mely lépésekhez kapcsolódik adatvédelmi követelmény, illetve, hogy ezek mit is jelentenek a napi gyakorlatban. 7
2. A kérdőívvel ki tudtuk terjeszteni az adatvédelemmel aktívan foglalkozók körét. 3. Jelentősen megnőtt az adatvédelmi szabályzat olvasottsága az intranetes felületen (a szabályzatok oldalának statisztikája alapján). 4. Az adatvédelmi feladatokon túl megtettük az első lépéseket az információbiztonság fejlesztésének irányába. Néhány további haszonra és összefüggésre az élő prezentáció során mutatunk rá. 8