Ciągłość działania i bezpieczeństwo informacji w ochronie zdrowia dr hab. inż. Andrzej Białas Instytut Technik Innowacyjnych EMAG Ochrona zdrowia w inteligentnym mieście KONFERENCJA ŚLĄSKIEGO KLASTRA ICT Katowice, 25 listopada 2013
Plan prezentacji problemy z ciągłością działania i ochroną informacji w coraz bardziej zinformatyzowanej służbie zdrowia metody i narzędzia ich rozwiązywania przykłady zastosowań podsumowanie
Z cyklu media donoszą: Awaria systemu eWUŚ w całej Polsce. "Chaos w przychodniach„ 1.08.2013, http://www.rmf24.pl/goraca-linia/wasze-fakty/news-awaria-systemu-ewus-w-calej-polsce-chaos-w-przychodniach,nId,1005254# Ewakuacja noworodków w szpitalu w Szczecinie. Awaria zasilania 3.03.2013, http://www.tvn24.pl/wiadomosci-z-kraju,3/ewakuacja-noworodkow-w-szpitalu-w-szczecinie-awaria-zasilania,309678.html Chełm: Awaria respiratora w szpitalu. Zmarł pacjent 4.09.2013, http://chelm.naszemiasto.pl/artykul/1986842,chelm-awaria-respiratora-w-szpitalu-zmarl-pacjent,id,t.html Pechowa awaria sprzętu. Chorzy z zawałem są wiezieni poza Częstochowę - Nowa lampa już jedzie z Niemiec. 8.10.2013, http://czestochowa.gazeta.pl/czestochowa/1,48725,14745325,Pechowa_awaria_sprzetu__Chorzy_z_zawalem_sa_wiezieni.html
Inne przykłady z życia „Ujawniono dane osobowe” – w efekcie: wizyta kontrolerów GIODO kary z zakazem prowadzenia zbiorów włącznie roszczenia sądowe pokrzywdzonych „Ujawniono informacje dot. zamówień publicznych” – w efekcie: pozwy sądowe nadzwyczajna kontrola sankcje i skargi „Wyciekają wrażliwe informacje zarządcze lub finansowe” – w efekcie: zarząd ma kłopoty prawne i wizerunkowe „Lista płac (tak zwane paski), wydruki, nośniki danych w koszu na śmieci” problemy kadrowo-płacowe w firmie „Informacje o infrastrukturze, jej wrażliwych punktach i zabezpieczeniach zostają ujawnione” podatność na ataki rośnie
Środek zaradczy – należy zarządzać bezpieczeństwem informacji i ciągłością działania systematyczne kontrolowanie czynników zakłócających funkcjonowanie instytucji i naruszających jej zasoby informacji ograniczanie ich negatywnych skutków – zgodnie ze światowymi standardami optymalne alokowanie nakładów na ochronę funkcjonowania instytucji i aktywów instytucji zachowywanie zgodności instytucji w aspekcie prawnym i technicznym – bowiem niezgodność kosztuje! stosowanie najnowszych metod zarządzania opartych na analizie ryzyka
Dodatkowe argumenty „za” W obliczu problemu dostarcza zarządowi argumentów, że: „z należytą starannością zabezpieczał aktywa instytucji" „podjął wszystkie niezbędne działania zgodnie z zasadami sztuki i prawa” „działał z należytą starannością, bazując na najlepszych standardach i wzorcowych praktykach z tej dziedziny” Wdrożenie tego typu systemów, zwłaszcza poparte certyfikatem: budzi zaufanie wśród klientów i partnerów biznesowych poprawia wizerunek i pozwala uzyskiwać przewagę konkurencyjną Zapewnia zgodność wymaganiami Krajowych Ram Interoperacyjności – dotyczy tylko „podmiotów realizujących zadania publiczne” (Rozp. RM z dn. 12 kwietnia 2012 w sprawie Krajowych Ram Operacyjności, Dz.U. poz. 527, 2012)
Jest metoda i są narzędzia OSCAD – Otwarty Szkieletowy System Zarządzania Ciągłością Działania (wynik projektu celowego współfinansowanego przez NCBiR i Instytut EMAG) Zadania podstawowe: zapewnienie ciągłości działania instytucji według BS 25999 (BCMS – Business Continuity Management Systems); aktualnie ISO 22301 zapewnienie bezpieczeństwa informacji w instytucji według ISO/IEC 27001 (ISMS – Information Security Management Systems) OSCAD to rozwiązania organizacyjno-proceduralne, wspomagane oprogramowaniem, bazujące na cyklu Deminga PDCA (Planuj-Wykonaj-Sprawdzaj-Działaj) OSCAD to wiedza, wzorce i metoda użycia tych wzorców do zbudowania systemu dla instytucji
Budowa systemu OSCAD
Funkcjonalność systemu OSCAD
Procesy i przepływy informacji - przykład chronimy procesy Procesy i przepływy informacji - przykład Portal informacyjny (eMedica) Serwis oprogramowania /sprzętu Szpitalna strona www PROCESY PODSTAWOWE – MEDYCZNE PROCESY POMOCNICZE Laboratorium analityczne Blok operacyjny Kalkulacja kosztów leczenia Gospodarka magazynowa Ruch chorych – Oddział szpitalny Statystyka medyczna Sąd, prokuratura Koszty Ruch chorych – Izba przyjęć Rozliczanie umów z NFZ Finanse, księgowość Elektroniczna bankowość Zlecenia Zakażenia Apteka Kadry Płace ZUS, US Grafik dyżurów
OSCAD oparty jest na analizie ryzyka – analiza zorientowana na procesy procesy biznesowe – jakie są, jakie są ich współzależności, jaka jest ich krytyczność co im zagraża – zagrożenia środowiskowe, przypadkowe i celowe działania człowieka (np.: utrata zasobów lub usług zewnętrznych, brak rezerw, utrata personelu, awarie, wypadki, ataki terrorystyczne, siły wyższe, błąd ludzki) słabości systemu ochrony (podatności) wykorzystywane przez zagrożenia (np. brak polityki bezpieczeństwa, słaba ochrona fizyczna, nielojalny pracownik) prognozowane incydenty (przypadki ryzyka – ich prawdopodobieństwo i straty) proponowane zabezpieczenia – zarządzanie ryzykiem
Kategorie podstawowych zasobów informacji wrażliwych chronimy zasoby informacji dane osobowe i medyczne pacjentów, którym udzielono świadczeń zdrowotnych dane osobowe pracowników i osób związanych umowami cywilnymi z zakładem rejestr prowadzonych spraw sądowych księgi rachunkowe sprawozdawczość z wykonania umów z NFZ informacje o zabezpieczeniach wyniki badań o charakterze naukowym inne
OSCAD oparty jest na analizie ryzyka – analiza zorientowana na zasoby informacji zasoby informacji i infrastruktura IT – jakie grupy, jakiej postaci, gdzie są one wytwarzane, przetwarzane, przesyłane i przechowywane co im zagraża – zagrożenia środowiskowe, przypadkowe i celowe działania człowieka (np.: wyciek lub fałszowanie informacji, manipulacja inteligentnymi urządzeniami medycznymi, ataki z wewnątrz i zewnątrz) słabości systemu ochrony (podatności) wykorzystywane przez zagrożenia (np.: słabe wyszkolenie, brak zasad, słaba kontrola dostępu, brak ochrony kryptograficznej) prognozowane incydenty (przypadki ryzyka – ich prawdopodobieństwo i straty) proponowane zabezpieczenia – zarządzanie ryzykiem
Słownictwo
Procesy
Zasoby
Zarządzanie ryzykiem
Zarządzanie incydentem – korygowanie
Mierniki efektywności – doskonalenie
Wyzwanie: korzyści materialne i niematerialne, które osiągnęli przodujący w dziedzinie Obniżenie kosztów incydentów (24%) Poprawa wydajności zasobów (21%) Poprawa jakości informacji w instytucji (18%) Kompatybilność systemów (16%) Bogatsza baza informacji i wiedzy (14%) Zmniejszenie kosztów zarządzania dokumentacją (7%) Ochrona i zwiększenie wartości marki (31%) Zwiększenie kontroli wewnętrznej (21%) Wzrost wartości dla akcjonariuszy (16%) Poprawa konkurencyjności (15%) Spadek obciążenia infrastruktury IT (12%) Większe korzyści z konsultacji (5%) typowe korzyści materialne i niematerialne jakie osiągnęły organizacje wdrażając podobny system - Entropy Software™ (według badań BSI)
Nowe wyzwania elektroniczna recepta, skierowanie, zlecenie, elektroniczne rejestry dot. ratowników, medycznych, podnoszenia kwalifikacji, itp. rozwój telemedycyny, rejestry i karty elektroniczne identyfikujące uprawnionych do świadczeń, specjalistów medycznych
Dziękuję za uwagę www.oscad.eu a.bialas@emag.pl