cze 15, 2016

Problem bezpieczeństwa danych w czasach mZdrowia i elektronicznej dokumentacji medycznej

640iStock_65999641_SMALL.jpg

Nieomal każdego dnia słyszymy, że hakerom udało się wykraść dane użytkowników jakiegoś serwisu czy banku. W dobie powszechnego korzystania z Internetu to już właściwie nie dziwi. Ale czy są bardziej “wrażliwe” dane niż te, które dotyczą zdrowia? 

Temat bezpieczeństwa danych medycznych jest wyjątkowo aktualny w czasach szybkiego rozwoju mZdrowia i telemedycyny, a także powszechnego używania komputerów w placówkach służby zdrowia (w Stanach Zjednoczonych w 2015 roku zostało skradzionych około 113 milionów elektronicznych dokumentacji medycznych).

Przypomnijmy także, że wielkimi krokami nadciąga wprowadzenie w naszym kraju obowiązku prowadzenia dokumentacji medycznej wyłącznie w formie elektronicznej (elektroniczna dokumentacja medyczna, EDM). Na razie wszystko wskazuje na to, że będzie to termin 1 stycznia 2018 r. (przesuwany od co najmniej… 2014 roku).

 

Motywy, którymi kierują się złodzieje dokumentacji medycznej, są zwykle inne niż w przypadku kradzieży np. numerów kart kredytowych.


Dane medyczne mogą zostać… zakładnikami. Niedawno haker skopiował wszystkie pliki z informacjami dotyczącymi zdrowia pacjentów leczących się w szpitalu w Kentucky, wykasował oryginały i za zwrot danych zażądał pieniędzy. Administracja szpitala uznała, że nie ma wyjścia i zapłaciła okup.

Na czarnym rynku dokumentacje medyczne warte są 10 razy więcej niż numery kart kredytowych (ocenia się, że cena jednej dokumentacji z amerykańskiego programu ubezpieczeń społecznych to około 500 dolarów). Nic dziwnego, są one prawdziwą kopalnią przydatnych danych (często dotyczących nie tylko danego pacjenta, ale także jego rodziny). W 2011 roku chińscy hakerzy ukradli 2 000 zdjęć RTG ze szpitala Beth Israel Deaconess, które potem prawdopodobnie zostały sprzedane osobom ubiegającym się o wizy. Co więcej, w przypadku kradzieży kart kredytowych można szybko je zastrzec, co jest dużo trudniejsze w przypadku danych medycznych.

 

A jak prezentuje się sytuacja, jeśli chodzi o bezpieczeństwo danych zbieranych od użytkowników aplikacji mobilnych i urządzeń mZdrowia?


Autorzy ciekawego raportu (Blenner SR, Köllmer M2 Rouse AJ et al. Privacy Policies of Android Diabetes Apps and Sharing of Health Information. JAMA. 2016 Mar 8;315(10):1051-2. doi: 10.1001/jama.2015.19426) opublikowanego w marcu w Journal of the American Medical Association (JAMA) przyjrzeli się 211 dostępnym w sklepie Google Play aplikacjom dla osób chorujących na cukrzycę. Okazało się, że twórcy aż 81% aplikacji nie zawarli w nich żadnych informacji na temat polityki prywatności. Sytuacja nie wyglądała lepiej, jeśli chodzi o pozostałe produkty: w przypadku prawie połowy użytkownicy zgadzali się na przekazywanie informacji umieszczanych w aplikacji osobom trzecimi, a w przypadku aż 39% zgadzali się na używanie takich danych do celów marketingowych.

Trzeba też pamiętać, że obecnie bardzo wiele nowych urządzeń medycznych ma wbudowaną opcję bezprzewodowego łączenia się z siecią. W jednym z wywiadów były wiceprezydent USA Dick Cheney przyznał, że lekarze odłączyli taką funkcję w jego rozruszniku, ponieważ bali się, że może zostać użyta przez hakerów-terrorystów. Łatwo też można wyobrazić sobie, jak bardzo niebezpieczne może być włamanie się przez hakerów np. do aplikacji, która wylicza dawkę insuliny na podstawie podanej przez użytkownika glikemii.

Powagę tej sytuacji zauważyła Amerykańska Agencja ds. Żywności i Leków (Food and Drug Administration, FDA), która w styczniu tego roku wydała pierwsze wytyczne dla producentów urządzeń medycznych mające ustrzec ich przed cyberatakami.

 

Oczywiście kwestia ochrony danych leży przede wszystkim w rękach osób zajmujących się tym zawodowo. Czy jednak i my możemy zrobić coś, żeby ochronić dane naszych pacjentów?


Według porad ekspertów najważniejsze (zupełnie tak jak w przypadku zdrowia) jest zapobieganie.

  • Warto więc zwrócić uwagę, czy w aplikacji, którą polecamy naszym pacjentom, są umieszczone informacje na temat polityki prywatności.

  • Ważne jest też używanie najbardziej aktualnych wersji oprogramowania, zwłaszcza typu Flash i Java, ponieważ starsze wersje tych programów są łatwe do zhakowania.

  • Inną ważną sprawą jest uaktualnianie przeglądarek. Eksperci alarmują, że w amerykańskich szpitalach najczęściej używaną przeglądarką jest Internet Explorer, a aż 22% jej użytkowników korzysta z wersji 8, 9 i 10, dla których firma Microsoft nie oferuje już mających zapewnić bezpieczeństwo danych łatek.

  • Kolejną ważną rzeczą jest używanie nowej wersji systemu operacyjnego (np. system Windows 7 ma ponad 500 stwierdzonych “dziur”, przez które hakerzy mogą dostać się do komputera).

  • Oczywiście ważne są też zasady, które obowiązują od wielu, wielu lat, takie jak używanie trudnych do odgadnięcia haseł (nie, nie jest to bynajmniej ciągle popularne 123456) czy stosowanie podwójnego uwierzytelnienia. Nigdy nie otwierajmy też załączników z podejrzanych maili.


Pamiętajmy o tych środkach ostrożności, zwłaszcza jeśli przynosimy własny laptop czy tablet do pracy i podłączamy się do szpitalnej sieci.  

 

Autor:

koltowski

Łukasz Kołtowski - asystent I Katedry i Kliniki Kardiologii WUM, członek zarządu Komisji Informatyki i Telemedycyny Polskiego Towarzystwa Kardiologicznego. Prowadzi bloga Efektywny Lekarz:
www.koltowski.com