Ciągłość działania i bezpieczeństwo informacji w ochronie zdrowia

1. Ciągłość działania i bezpieczeństwo informacji w ochronie zdrowia dr hab. inż. Andrzej Białas Instytut Technik Innowacyjnych EMAG Ochrona zdrowia w inteligentnym mieście KONFERENCJA ŚLĄSKIEGO KLASTRA ICT Katowice, 25 listopada 2013

2. Plan prezentacji • problemy z ciągłością działania i ochroną informacji w coraz bardziej zinformatyzowanej służbie zdrowia • metody i narzędzia ich rozwiązywania • przykłady zastosowań • podsumowanie

3. Z cyklu media donoszą: • Awaria systemu eWUŚ w całej Polsce. "Chaos w przychodniach„ 1.08.2013, http://www.rmf24.pl/goraca-linia/wasze-fakty/news-awaria-systemu-ewus-w-calej-polsce-chaos-w-przychodniach,nId,1005254# • Ewakuacja noworodków w szpitalu w Szczecinie. Awaria zasilania 3.03.2013, http://www.tvn24.pl/wiadomosci-z-kraju,3/ewakuacja-noworodkow-w-szpitalu-w-szczecinie-awaria-zasilania,309678.html • Chełm: Awaria respiratora w szpitalu. Zmarł pacjent 4.09.2013, http://chelm.naszemiasto.pl/artykul/1986842,chelm-awaria-respiratora-w-szpitalu-zmarl-pacjent,id,t.html • Pechowa awaria sprzętu. Chorzy z zawałem są wiezieni poza Częstochowę - Nowa lampa już jedzie z Niemiec.8.10.2013, http://czestochowa.gazeta.pl/czestochowa/1,48725,14745325,Pechowa_awaria_sprzetu__Chorzy_z_zawalem_sa_wiezieni.html

4. Inne przykłady z życia • „Ujawniono dane osobowe” – w efekcie: • wizyta kontrolerów GIODO • kary z zakazem prowadzenia zbiorów włącznie • roszczenia sądowe pokrzywdzonych • „Ujawniono informacje dot. zamówień publicznych” – w efekcie: • pozwy sądowe • nadzwyczajna kontrola • sankcje i skargi • „Wyciekają wrażliwe informacje zarządcze lub finansowe” – w efekcie: • zarząd ma kłopoty prawne i wizerunkowe • „Lista płac (tak zwane paski), wydruki, nośniki danych w koszu na śmieci” • problemy kadrowo-płacowe w firmie • „Informacje o infrastrukturze, jej wrażliwych punktach i zabezpieczeniach zostają ujawnione” • podatność na ataki rośnie

5. Środek zaradczy – należy zarządzać bezpieczeństwem informacji i ciągłością działania • systematyczne kontrolowanie czynników zakłócających funkcjonowanie instytucji i naruszających jej zasoby informacji • ograniczanie ich negatywnych skutków – zgodnie ze światowymi standardami • optymalne alokowanie nakładów na ochronę funkcjonowania instytucji i aktywów instytucji • zachowywanie zgodności instytucji w aspekcie prawnym i technicznym – bowiem niezgodność kosztuje! • stosowanie najnowszych metod zarządzania opartych na analizie ryzyka

6. Dodatkowe argumenty „za” • W obliczu problemu dostarcza zarządowi argumentów, że: • „z należytą starannością zabezpieczał aktywa instytucji" • „podjął wszystkie niezbędne działania zgodnie z zasadami sztuki i prawa” • „działał z należytą starannością, bazując na najlepszych standardach i wzorcowych praktykach z tej dziedziny” • Wdrożenie tego typu systemów, zwłaszcza poparte certyfikatem: • budzi zaufanie wśród klientów i partnerów biznesowych • poprawia wizerunek i pozwala uzyskiwać przewagę konkurencyjną • Zapewnia zgodność wymaganiami Krajowych Ram Interoperacyjności – dotyczy tylko „podmiotów realizujących zadania publiczne” (Rozp. RM z dn. 12 kwietnia 2012 w sprawie Krajowych Ram Operacyjności, Dz.U. poz. 527, 2012)

7. Jest metoda i są narzędzia • OSCAD – Otwarty Szkieletowy System Zarządzania Ciągłością Działania (wynik projektu celowego współfinansowanego przez NCBiR i Instytut EMAG) • Zadania podstawowe: • zapewnienie ciągłości działania instytucji według BS 25999 (BCMS – Business Continuity Management Systems); aktualnie ISO 22301 • zapewnienie bezpieczeństwa informacji w instytucji według ISO/IEC 27001 (ISMS – Information Security Management Systems) • OSCAD to rozwiązania organizacyjno-proceduralne, wspomagane oprogramowaniem, bazujące na cyklu Deminga PDCA (Planuj-Wykonaj-Sprawdzaj-Działaj) • OSCAD to wiedza, wzorce i metoda użycia tych wzorców do zbudowania systemu dla instytucji

8. Budowa systemu OSCAD

9. Funkcjonalność systemu OSCAD

10. Procesy i przepływy informacji - przykład chronimy procesy Portal informacyjny (eMedica) Serwis oprogramowania /sprzętu Szpitalna strona www PROCESY PODSTAWOWE – MEDYCZNE PROCESY POMOCNICZE Laboratorium analityczne Blok operacyjny Kalkulacja kosztów leczenia Gospodarka magazynowa Ruch chorych – Oddział szpitalny Statystyka medyczna Sąd, prokuratura Koszty Ruch chorych – Izba przyjęć Rozliczanie umów z NFZ Finanse, księgowość Elektroniczna bankowość Zlecenia Zakażenia Apteka Kadry Płace ZUS, US Grafik dyżurów

11. OSCAD oparty jest na analizie ryzyka – analiza zorientowana na procesy • procesy biznesowe – jakie są, jakie są ich współzależności, jaka jest ich krytyczność • co im zagraża – zagrożenia środowiskowe, przypadkowe i celowe działania człowieka (np.: utrata zasobów lub usług zewnętrznych, brak rezerw, utrata personelu, awarie, wypadki, ataki terrorystyczne, siły wyższe, błąd ludzki) • słabości systemu ochrony (podatności) wykorzystywane przez zagrożenia (np. brak polityki bezpieczeństwa, słaba ochrona fizyczna, nielojalny pracownik) • prognozowane incydenty (przypadki ryzyka – ich prawdopodobieństwo i straty) • proponowane zabezpieczenia – zarządzanie ryzykiem

12. Kategorie podstawowych zasobów informacji wrażliwych chronimy zasoby informacji • dane osobowe i medyczne pacjentów, którym udzielono świadczeń zdrowotnych • dane osobowe pracowników i osób związanych umowami cywilnymi z zakładem • rejestr prowadzonych spraw sądowych • księgi rachunkowe • sprawozdawczość z wykonania umów z NFZ • informacje o zabezpieczeniach • wyniki badań o charakterze naukowym • inne

13. OSCAD oparty jest na analizie ryzyka – analiza zorientowana na zasoby informacji • zasoby informacji i infrastruktura IT – jakie grupy, jakiej postaci, gdzie są one wytwarzane, przetwarzane, przesyłane i przechowywane • co im zagraża – zagrożenia środowiskowe, przypadkowe i celowe działania człowieka (np.: wyciek lub fałszowanie informacji, manipulacja inteligentnymi urządzeniami medycznymi, ataki z wewnątrz i zewnątrz) • słabości systemu ochrony (podatności) wykorzystywane przez zagrożenia (np.: słabe wyszkolenie, brak zasad, słaba kontrola dostępu, brak ochrony kryptograficznej) • prognozowane incydenty (przypadki ryzyka – ich prawdopodobieństwo i straty) • proponowane zabezpieczenia – zarządzanie ryzykiem

14. Słownictwo

15. Procesy

16. Zasoby

17. Zarządzanie ryzykiem

18. Zarządzanie incydentem – korygowanie

19. Mierniki efektywności – doskonalenie

20. Wyzwanie: korzyści materialne i niematerialne, które osiągnęli przodujący w dziedzinie • Obniżenie kosztów incydentów (24%) • Poprawa wydajności zasobów (21%) • Poprawa jakości informacji w instytucji (18%) • Kompatybilność systemów (16%) • Bogatsza baza informacji i wiedzy (14%) • Zmniejszenie kosztów zarządzania dokumentacją (7%) • Ochrona i zwiększenie wartości marki (31%) • Zwiększenie kontroli wewnętrznej (21%) • Wzrost wartości dla akcjonariuszy (16%) • Poprawa konkurencyjności (15%) • Spadek obciążenia infrastruktury IT (12%) • Większe korzyści z konsultacji (5%) typowe korzyści materialne i niematerialne jakie osiągnęły organizacje wdrażając podobny system - Entropy Software™ (według badań BSI)

21. Nowe wyzwania • elektroniczna recepta, skierowanie, zlecenie, • elektroniczne rejestry dot. ratowników, medycznych, podnoszenia kwalifikacji, itp. • rozwój telemedycyny, • rejestry i karty elektroniczne identyfikujące uprawnionych do świadczeń, specjalistów medycznych

22. Dziękuję za uwagę www.oscad.eu a.bialas@emag.pl