V rámci tradičního Letního soirée s biografem, které se uskutečnilo 13. září 2021, byli účastníci podrobeni anketě, v níž odpovídali na otázky týkající se zpracování zdravotních dat a bezpečnostních mechanismů na svých zařízeních. Toto téma refl ektuje současnou pandemickou situaci, a nelze tedy příliš pochybovat o tom, že odpovědi jsou osobními zkušenostmi respondentů pravděpodobně více či méně ovlivněny.
průzkum kyberbezpečnost zdravotnictví ČR
Účastníci, kterých bylo celkem 60 a v prakticky zcela vyrovnaném, dnes tak žádoucím poměru mužů (31) a žen (29), odpovídali na otázky ze dvou oblastí:
1. zdravotnické IT agendy,
2. zajištění bezpečnosti používaných zařízení.
Toto spojení není náhodné, protože častým argumentem brojícím proti digitalizaci zdravotní péče, případně jejímu poskytování na dálku je údajná možnost zneužití citlivých osobních údajů. Svým profesním postavením byli respondenti v širokém rozmezí od středního a nižšího managementu přes bezpečnostní specialisty až po vyšší a TOP management. Z hlediska působnosti v určitém odvětví bylo nejméně účastníků z akademické sféry (2) a ze zdravotnictví (4). Převažoval podměrně obvyklý mix veřejné správy a soukromých subjektů, a to v oblasti IT, poradenských služeb a finančního sektoru.
Zdravotní služby a digitalizace
Graficky znázorněné otázky a odpovědi jsou následující (viz Graf 1).
Zdravotní ID obsahuje informace, které mohou být důležité v případě nouze a mohou nám skutečně někdy zachránit život. Může jít např. o alergie a nemoci, kterými trpíme, krevní skupinu, medikaci, kontakty v případě nouze apod. Existují i další aplikace zdravotních pojišťoven, které poskytují podrobnější informace, jako jsou údaje o očkování a jeho expiraci, plánované preventivní návštěvy apod., případně i vyhledání zdravotnických zařízení a SOS funkce, kde se po stisknutí SOS tlačítka uživatel může rozhodnout, zda zaslat automaticky generovanou SMS zprávu s GPS souřadnicemi nebo volat na tísňovou linku. Pouze 1/5 respondentů používá takovou aplikaci, což je šokující, když si uvědomíme, že to je úplné minimum, co můžeme udělat pro pomoc v nebezpečí života svého, případně svých blízkých (viz Graf 2-4).
Výsledky u odpovědí na tyto tři otázky jsou prakticky identické. Lze konstatovat, že drtivá většina účastníků by si přála, aby online zdravotní karty existovaly a aby s nimi lékaři pracovali. Na rozdíl od pesimistických výsledků u první otázky je tento výsledek velmi pozitivní a dokladuje, jak by bylo potřebné vytvořit legislativní i technické předpoklady pro online zdravotní karty a jak by s nimi měli lékaři pracovat. Projekt IZIP, který je opředen mnoha omyly a zkresleními, „dojel“ na to, že lékaři masově odmítali používat počítače. Podle našeho názoru k průlomu došlo až v poslední době, a to díky dvěma faktorům. Prvním je zavedení možnosti předepisovat léky elektronicky, což se ukázalo jako funkční projekt výrazně zvyšující komfort pacientů. Druhým je covidová situace, kdy si stále více lidí zvyklo užívat počítače.
Elektronizace zdravotnictví
První krok, který umožnil alespoň vedení zdravotnické dokumentace v elektronické podobě, což bylo vnímáno dílem jako převratný pokrok, dílem jako útok na zdravotní systém, se odehrál prostřednictvím zákona č. 372/2011 Sb., o zdravotních službách, před deseti lety, tj. koncem roku 2011.
Na druhý jsme museli če- P r ů z k u m 2 0 21 kat až do září 2021, kdy byl vydán zákon č. 325/2021 Sb., o elektronizaci zdravotnictví. Co dělaly nebo nedělaly během těch dlouhých let vlády a ministerstvo zdravotnictví, těžko říci. Nový zákon obsahuje zejména základní infrastrukturu elektronizace zdravotnictví, právně definované role a odpovědnosti subjektů v systému elektronického zdravotnictví a definice souvisejících pojmů, standardů komunikace, pravidel sdílení či předávání zdravotnické dokumentace. Jádrem systému jsou tři kmenové zdravotnické registry – Kmenový registr poskytovatelů zdravotních služeb, Kmenový registr zdravotnických pracovníků a Kmenový registr pacientů. Ty budou propojeny v jeden bezpečný komunikující neveřejný celek s jasně nastaveným oprávněním jej využívat zákonem nastaveným okruhem oprávněných osob ve stanoveném rozsahu. Je koncipován decentralizovaně, neboť nepředpokládá vznik žádných centrálních úložišť zdravotnické dokumentace.
Má se jednat o státem garantovaný systém pro předávání kopií zdravotnické dokumentace a výpisů z ní, a to v elektronické podobě prostřednictvím šifrovaného komunikačního kanálu. Ten budou oprávněni využívat pouze poskytovatelé zdravotních služeb a zdravotní pojišťovny k plnění svých povinností podle právních předpisů, zejména zákona o zdravotních službách či zákona o veřejném zdravotním pojištění. Otázkou je, zda optimistické zadání vyplývající ze zákona (viz Box 1) bude naplněno. Vzhledem k tomu, jakým strašlivým způsobem u nás – až na výjimky – probíhají všechny státní veřejné zakázky na IT systémy a služby, lze se obávat, že si počkáme dalších deset let.
Zabezpečení používaných zařízení ICT
Jak je zmíněno výše, stále opakovaným argumentem „bojovníků proti digitalizaci“ čehokoli, tedy i zdravotnictví, je otázka bezpečnosti dat. Podle názoru autora jsou skutečnými argumenty, které ale nikdo nepřizná, ztráta monopolu nad určitou agendou či daty a nebezpečí kontrol, které zjistí při automatickém zpracování nesprávnosti, či dokonce nepravosti. Podívejme se proto, jak jsou zařízení, s nimiž naši respondenti pracují, zabezpečena. Z 11 otázek týkajících se bezpečnosti vybíráme ty nejzajímavější (viz Graf 5).
Více než ¾ respondentů používají pro přihlášení druhý ověřovací faktor. Jen škoda, že nevíme, který to je, neboť se zásadně liší faktory statické od dynamických a biometrické od znalostních (viz Graf 6).
Stále více se objevují útoky prostřednictvím malwaru na mobilní zařízení, což je přirozené, neboť tato zařízení obsahují stále více citlivých údajů. Zde se obec uživatelů dělí zhruba na dvě poloviny, a je tedy v tomto směru co dohánět. Jednou ze základních otázek ochrany dat na mobilním zařízení je zálohování. Výsledky jsou typickou sklenicí způli plnou či způli prázdnou, protože mnoho respondentů zálohuje, ale především e-maily, zatímco soubory či hesla moc ne.
Nutno říci, že některé výsledky nás poněkud překvapily. A to zejména odpovědi týkající se sdílení přístupových údajů (viz Graf 7-8). Podle názoru autora se ovšem zdaleka nejedná jen o počítače. Poměrně dost lidí se dělí o svoje přístupové údaje do mobilu – což je nejen zdroj mnohdy velmi citlivých osobních údajů, ale i různých platebních nástrojů – a přitom na něm nemají ani firewall a antivir (zejména majitelé mobilů s otevřeným operačním systémem), ani nepoužívají dvoufaktorové ověření identity.
Snad ještě zajímavější je to, že sdílení přihlašovacích údajů k počítači se vyskytuje napříč celým spektrem respondentů, a to nikoli ojediněle i u TOP managementu. Možná proto, že případná rizika zneužití přístupu se mohou týkat práce, peněz a třeba i osobního života. Tomu by nasvědčovaly také odpovědi v Grafu 8. Ale až za dva až tři roky půjde o zdraví, protože zákon zajišťuje přístup pacientů ke všem údajům o nich vedeným v Integrovaném datovém rozhraní. Lze se domnívat, že míra ochrany přístupu jiných, byť blízkých osob (z jakéhokoli titulu) k citlivým zdravotním údajům přiměje uživatele přehodnotit rozdávání přístupových údajů.
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Daniela Seigová
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
