Zdravotní data pacientů patří mezi nejcitlivější osobní informace a musejí být chráněna před incidenty nebo úniky. Pokud je však většina dat rozprostřena mezi více aplikací a zařízení, jejich zabezpečení před hrozbami může být docela náročné.
Existuje však několik osvědčených postupů, které mohou společnosti ze zdravotnického sektoru ihned využít k posílení bezpečnosti dat (i důvěry pacientů) – v tomto článku se o nich dozvíte více.
Zdravotnictví těžilo z technologií mnoha způsoby. Díky digitalizovaným zdravotním záznamům uloženým v cloudu nemusí lékaři trávit tolik času vytvářením, aktualizací a správou papírové dokumentace. Nositelná zařízení a digitální zdravotnické aplikace pomáhají lékařům monitorovat pacienty s dlouhodobými onemocněními. Existují dokonce aplikace s podporou AI, které dokážou nahrát rozhovor mezi pacientem a lékařem a převést ho na ucelené poznámky, čímž lékařům šetří mnoho času.
Všechny tyto aplikace ale také každý den generují obrovské množství dat – a to je pro zdravotnický sektor zároveň požehnání i prokletí. Požehnání proto, že data z aplikací mohou zdravotníkům poskytnout o pacientovi mnohem víc informací, než kolik by zjistili z rozhovoru. Mohou tak lépe rozhodovat o léčbě a poskytnout celkově lepší péči.
Množství dat generovaných každým dnem ale stále více ztěžuje sledování toho, kde jsou citlivé zdravotní informace uloženy a kdo k nim může přistupovat. Přidejte k tomu hektické pracovní dny, dobře známou nechuť zdravotnického personálu k papírování a (bohužel až příliš často) chybějící školení o kybernetické bezpečnosti, a pochopíte, proč zdravotnictví patří mezi odvětví s nejvyšším počtem datových incidentů. Útoky na zdravotnictví jsou bohužel stále častější. Je to dáno jak hodnotou zdravotních záznamů pro zločince, tak i tím, že mnoho zdravotnických zařízení stále používá zastaralé vybavení – díky čemuž je získání záznamů pro zločince mnohem snazší.
Ještě znepokojivější je, že náklady na zdravotnické úniky dat rychle rostou. Podle zprávy IBM Security se průměrné náklady takového incidentu ve zdravotnickém sektoru zvýšily o 42 % od roku 2020 – a stále rostou.
Pro zločince má jeden takový zdravotní záznam dokonce 50krát vyšší hodnotu než číslo platební karty, protože si z informací dostupných ve zdravotních záznamech mohou postavit kompletní falešnou identitu. Tu pak používají k nákupu zdravotnických pomůcek na zdravotní pojištění oběti, k úvěrům pod jménem pacienta, ke zneužívání jeho zdravotního plánu nebo k podávání pojistných nároků. Navíc jelikož zdravotní záznamy (na rozdíl třeba od platebních karet) nelze po zjištění kompromitace zrušit, zablokovat nebo změnit, mají zdravotnické společnosti mnohem těžší situaci při kontejnmentu incidentu a minimalizaci škod.
Další věcí, která činí zdravotnické datové incidenty tak nákladnými, je doba potřebná k jejich vyřešení. Ve zprávě z roku 2022 IBM Security uvedlo, že průměrný životní cyklus úniku zdravotních dat činí 329 dní.
Vzhledem k tomu, jak málo času mají zdravotníci během dne k dispozici a jak snadno je možné soubory (včetně citlivých zdravotnických) zkopírovat nebo sdílet bez povšimnutí, může klinice nebo nemocnici trvat dlouho, než datový incident odhalí.
Bohužel když na něj přijdou, často je už příliš pozdě. Data jejich pacientů (od rodných čísel a čísel platebních karet po zdravotní anamnézu) již unikla na darknet a společnost nyní musí řešit poškození pověsti, finanční ztráty a také právní následky.
Úniky zdravotnických dat jsou tak nákladné také kvůli množství zákonů a regulací, které musí toto odvětví v dnešní době dodržovat – a sankce za jejich porušení jsou rovněž poměrně značné.
Dosud největší pokutu za porušení HIPAA , 16 milionů USD, zaplatila společnost Anthem Inc. v roce 2018 poté, co kybernetický útok z roku 2014 způsobil únik 78,8 milionu zdravotnických záznamů. Anthem navíc musela zaplatit 115 milionů USD na vypořádání žalob podaných jménem obětí incidentu a 48 milionů USD jako pokuty.
Druhý největší únik s nejvyšší pokutou byl uvalen na zdravotní pojišťovnu Premera Blue Cross v roce 2020 . Společnost dostala pokutu za zanedbání několika požadavků HIPAA a způsobení datového incidentu, při kterém hackeři získali chráněné zdravotní informace 10 466 692 osob. Společnost poté souhlasila se zaplacením finanční pokuty 6 850 000 USD k vyřešení případu a přijala plán nápravných opatření k řešení všech oblastí nesouladu.
Kromě toho Premera Blue Cross urovnala vícestátní žalobu za 10 milionů USD a hromadnou žalobu podanou jménem obětí za 74 milionů USD.
Zdravotní, genetická a biometrická data jsou také považována za zvláštní kategorie dat podle obecného nařízení o ochraně osobních údajů (GDPR). Proto se od zdravotnických společností očekává, že budou při shromažďování, zpracování a ukládání zdravotních informací dodržovat přísnější pokyny – jinak mohou být pokuty rovněž poměrně vysoké.
23. února 2021 byla po masivním úniku dat ve společnosti DEDALUS BIOLOGIE zveřejněna na internetu zdravotní data téměř 500 000 osob. Mezi vystavená data patřila jména, čísla sociálního pojištění, jméno ošetřujícího lékaře pacienta, data vyšetření a důvěrné zdravotní informace týkající se HIV, rakoviny, genetických onemocnění, těhotenství a léčby. Společnost poté dostala francouzským úřadem pro ochranu osobních údajů (CNIL) pokutu 1,5 milionu EUR za porušení požadavků článků 28, 29 a 32 GDPR a způsobení tohoto úniku. Vyšetřování však stále probíhá, takže konečná částka, kterou bude muset společnost za porušení zaplatit, by mohla být mnohem vyšší.
Stále častěji se také stává, že lidé po úniku svých dat podávají žaloby. Například právní firma Baker Hostetler analyzovala více než 1 200 incidentů zabezpečení dat z roku 2021, s jejichž řešením pomáhala klientům, a zjistila, že 23 % těchto incidentů zahrnovalo úniky ve zdravotnictví.
Jak chránit záznamy pacientů před ztrátou nebo únikem?
Posílení bezpečnosti dat ve zdravotnickém zařízení bude pravděpodobně chvíli trvat a vyžadovat určité úsilí, ale dlouhodobě vám pomůže, protože usnadní vyhýbání se datovým incidentům nebo porušení předpisů. Tímto způsobem můžete pacientům i obchodním partnerům zaručit, že jejich data jsou u vás v bezpečí, a také zabránit velmi nákladným finančním dopadům úniků zdravotnických dat.
Kde ale začít?
GDPR i HIPAA vyžadují, aby zdravotničtí poskytovatelé prováděli každoroční posouzení bezpečnostních rizik k identifikaci potenciálních bezpečnostních zranitelností a hrozeb pro data ve svých sítích. Ačkoli obvykle zaberou nějaký čas, jsou pro zdravotnické společnosti neuvěřitelně důležité, protože jim mohou poskytnout dostatek informací o tom, kde mohou být data pacienta ohrožena a jak byste měli zranitelnosti řešit.
Tímto způsobem budete schopni opravit zranitelnosti nebo problémy ve své síti, které by mohly vést k únikům nebo ztrátám v budoucnu, čímž ušetříte čas (a peníze).
Bez školení o kybernetické bezpečnosti si vaši zaměstnanci nemusí být vědomi bezpečnostních politik vaší společnosti nebo kybernetických rizik, což je vede k riskantním činnostem – například k zaslání souboru pacienta přes messenger sociální sítě. A přesto téměř třetina zdravotnických zaměstnanců (32 %) uvedla, že nikdy neabsolvovala školení o kybernetické bezpečnosti od svého zaměstnavatele! Nedostatek povědomí o důsledcích úniků může také způsobit, že zaměstnanci přeskočí bezpečnostní postupy jen proto, aby úkol dokončili rychleji. To však může rychle vést k únikům zdravotnických dat – ve skutečnosti lidská chyba způsobila 33 % úniků ve zdravotnictví jen v roce 2020.
Pro snížení počtu incidentů zajistěte, aby vaši zaměstnanci věděli, jak by měli pracovat s citlivými daty a jaké jsou důsledky zanedbání postupů. Předání plánu reakce na incident s pokyny, jak postupovat při zjištění úniku zdravotnických dat, by také bylo velmi užitečné při prevenci a řešení datových hrozeb.
Se stovkami lidí a zařízení v rámci zdravotnické organizace je životně důležité pečlivě dohlížet na to, kdo může otevírat, upravovat a sdílet zdravotní záznamy pacientů, aby se zabránilo krádeži dat. Přístupová oprávnění k nejcitlivějším zdravotním souborům by měla být nastavena tak, aby k nim mohli přistupovat a upravovat je pouze zdravotničtí specialisté, kteří konkrétní záznamy potřebují.
Čím méně lidí má přístup ke zdravotním záznamům, tím menší je pravděpodobnost, že data budou kompromitována – nebo unikla mimo organizaci.
Zdravotníkům se může zdát pohodlné používat osobní zařízení k práci, ale tato zařízení obvykle nejsou tak zabezpečená jako ta, která mají na klinice nebo v nemocnici. Jasné politiky popisující, jak zaměstnanci mohou přistupovat k vaší síti nebo aplikacím při použití osobních zařízení a jak mají řešit incidenty, jsou nezbytné, pokud chcete zaměstnancům umožnit přinášet a používat vlastní zařízení k práci. Je také dobré pečlivě sledovat, která zařízení jsou do sítě přidávána, a omezit či blokovat přístup k citlivým souborům pro ty, které nerozeznáte.
Vedení datových logů je nezbytnou součástí dodržování HIPAA, protože jejich prostřednictvím můžete rychle odhalit jakákoli porušení politik a okamžitě na ně reagovat. Navíc když dojde k incidentu, audit trail také pomůže forenzním specialistům určit místo, kde incident začal, identifikovat příčinu a navrhnout nejlepší způsob, jak zabránit podobným problémům.
Manuální sledování a ukládání audit logu by však bylo časově náročné a komplikované. Naštěstí se zde můžete spolehnout na aplikace jako Safetica, které vám audit logy budou vytvářet a aktualizovat. Když pak řešíte datový incident, stačí pouze zkontrolovat datové logy a budete vědět, kde a jak začal – místo toho, abyste museli prohledávat celou síť.
Kromě sledování, kteří zaměstnanci mají přístup k citlivým souborům, se doporučuje omezit, co se s těmito soubory dá dělat, aby se zabránilo neoprávněnému zpřístupnění. Například omezení nebo blokování webových uploadů citlivých souborů, snímání obrazovky, kopírování na externí disky, přidávání souborů jako příloh e-mailů nebo tisku může výrazně snížit riziko incidentů. Datové endpointy, které jsou monitorovány a zabezpečeny, také výrazně sníží šance datových zlodějů na krádež důvěrných dat, protože budou mít mnohem méně možností data zkopírovat nebo sdílet, aniž by byli přistiženi.
Šifrování je jednou z nejúčinnějších metod ochrany citlivých informací. I když někdo neoprávněný získá přístup k citlivým souborům, jako jsou zdravotní záznamy pacientů, informace uvnitř souborů budou pro něj nečitelné, a tak nebude moci soubory nijak použít. Pro dodatečné zabezpečení můžete přidat více vrstev šifrování tak, aby pro vstup do systému bylo nutných více než jeden šifrovací klíč, nebo kombinovat šifrování s vícefaktorovou autentizací.
HIPAA má také přísné předpisy ohledně toho, jak byste měli ničit soubory a zařízení s daty pacientů nebo jinými citlivými informacemi, abyste zajistili, že je nemůže žádná neoprávněná osoba použít. Pokud řádně neničíte data, která již nepotřebujete, mohou být vystavena, a poté vám může být uložena pokuta za nedodržení předpisů.
Některé z největších pokut za porušení HIPAA byly uloženy právě za nedodržení pravidel pro ničení zdravotnických záznamů. Například New England Dermatology and Laser Center musela zaplatit 300 640 USD k vyřešení vyšetřování nesprávného ničení zdravotních záznamů.
Doporučuje se najmout služby pro ničení dat v souladu s HIPAA pro likvidaci citlivých dat a zařízení, na kterých byla data uložena, aby bylo zajištěno, že byla řádně zničena a informace nelze obnovit.
Ať už zhavaroval váš zdravotnický systém, nebo zaměstnanec omylem přepsal záznamy pacientů, ztráta přístupu k citlivým datům vás může donutit strávit více času obnovou souborů než péčí o pacienty. Navíc pokud musíte kvůli datovému incidentu přesouvat termíny pacientů nebo zákroků, riskujete ztrátu jejich důvěry, že jsou jejich data u vás v bezpečí.
Proto finální pravidlo HIPAA vyžaduje, aby elektronicky chráněné zdravotní informace (ePHI) byly pravidelně zálohovány a bezpečně uloženy mimo pracoviště. V ideálním případě byste měli mít tři zálohy dat uložené na různých místech, neboť tím výrazně snižujete šance na ztrátu všech dat.
Doporučuje se také, aby zálohy byly prováděny denně nebo alespoň jednou týdně. Pokud na to nemáte čas sami, bude dobré naplánovat automatické zálohy v určených intervalech – například každý den o půlnoci. Měli byste také zajistit, aby k zálohám měli přístup pouze lidé, kteří je potřebují pro svou práci – a také aby všechny kopie byly šifrovány.
Splnit požadavky na compliance a bezpečnost dat a zároveň poskytovat pacientům nejlepší možnou péči rozhodně není snadný úkol – zejména pokud je většina úkolů spojených se zabezpečením dat prováděna ručně. Safetica může převzít úkoly bezpečnosti dat a compliance , aby vašim zdravotnickým profesionálům dala více času na péči o pacienty.
Poté, co si v platformě nastavíte své vlastní politiky ochrany osobních údajů a požadavky, Safetica bude monitorovat veškerá vaše zdravotnická data uvnitř i (dnes nejdůležitější) mimo pracovní prostředí, 24/7.
Co dalšího pro vás Safetica může udělat:
Nemocnice, kliniky a poskytovatelé zdravotní péče jsou odpovědní za ochranu pacientských dat a kritických zdravotnických informací, neboť následky toho, že by se dostaly do nesprávných rukou, mohou být katastrofální. Průměrné náklady na únik dat také rostou – takže prevence různých druhů úniků a incidentů je důležitější než kdy dřív.
Vzděláváním personálu nemocnic a zdravotnických pracovníků, omezením přístupu k pacientským datům a šifrováním dat lze počet incidentů a škody, které mohou způsobit, viditelně snížit.
Safetica může také usnadnit udržení pacientských dat v bezpečí monitorováním zdravotnických dat a jejich ochranou před hrozbami. Jakmile spojíte osvědčené bezpečnostní postupy se Safetica, můžete si být jisti, že každý kus dat v systému vaší organizace je bezpečný a chráněný.