Načítavam, moment...
Momentálne nie ste prihlásený

EZKO ako učebnicový príklad riešenia bezpečnosti (Späť na článok)

Pridajte priamu reakciu k článku


Hodnoť:   mínus indicator plus

 

Ako sa zabezpeci pristup pacienta alebo pristup pacientovych rodicov u neplnoletych alebo ludi splnomocnenych pacientom k udajom v databaze ich sa tykajucich? V sucasnosti ma kazdy pravo prestudovat si svoju zdravotnu dokumentaciu a robit si z nej vypisky a pri neplnoletych detoch maju toto pravo aj rodicia dietata. A vypisy pre sudne konania, vysetrovania priestupkov a/alebo trestnych cinov (napr. tyranie blizkej osoby ...).
 
Hodnoť:   mínus indicator plus

 

Na to by mali odpovedať asi iní ... ale tie otázky sa netýkajú EZKO - EZKO nenahrádza normálnu zdravotnú dokumentáciu, má to byť čosi navyše k existujúcej.
 
Hodnoť:   mínus indicator plus

doplnok

z toho ako je navrhnuty obsah registra zakladnych zdravotnych udajov bohuzial musim konstatovat ze ide o kopiu udajov v klasickej zdravotnej dokumentacii navyse nebezpecne centralizovanu. v kazdej skupine jedincov je statisticky iste percento, ktore pri vhodnej stimulacii zabezpeci prislusne informacie. vzhladom na to co v EZKO bude, dost desiva predstava
 
Hodnoť:   mínus indicator plus

Je skutočne zarážajúce, ako

trestuhodne sa pri príprave EZKO zanedbávajú periférne IT zariadenia a najmä IT gramotnosť ich majiteľov (tým mám na mysli aj vedomosti budúcich periférnych užívateľov EZKO o IT bezpečnosti svojich PC, z ktorých sa údaje do EZKO budú vkladať) Prax je žalostná-ak by sa teraz spustila EZKO-situácia by sa podobala tomu, ako keby ste dali do ruky škôlkárovi vysokoškolskú učebnicu a chceli od neho, aby rozumel jej obsahu.
 
Hodnoť:   mínus indicator plus

 

Nuž, lekári asi najlepšie vedia, aký je stav v tomto smere ... uvedomia si, že súčasná "filozofia" riešenia bezpečnosti EZKO nahráva skôr útokom, ktoré pôjdu cez ich počítače?
 
Hodnoť:   mínus indicator plus

 

Navyse ked samotni lekari mozu byt utocnikmi.
 
Hodnoť:   mínus indicator plus

 

Nuž, pri takom množstve sa to vylúčiť asi nedá. Ale aj keby boli všetci trvale v tomto smere bez problémov, o ich počítače sa asi starajú (= majú k nim potrebný prístup) iní ľudia. Naviac, ide o počítače pripojené na Internet, čo dáva ďalšie možnosti ako získať nad niektorým z nich potrebnú kontrolu. A ďalšie možnosti, ktoré dáva sociálne inžinierstvo, ani nespomínam...
 
Hodnoť:   mínus indicator plus

...ako inak to spravit....?

nuz, mate sice pravdu,pan Vyskoc, ze naozaj ochrana pracovnych stanic nie je moc riesena - ale akym sposobom by ste ju chceli zabezpecit? Podla mna sa to neda - aj keby bol pristup mozny len z ktomuto ucelu urcenych PC, ktore by boli dodane PZS s neviemakym zabezpecenim, vzdy sa da do nich naburat. Podla mna ked si pozriem sucasne zabezpecnie osobnych dat v ambulanciach - kartoteky, ktore su akurat tak za dverami so zamkom, kde sa vie dostat a vypacit ich priemerny vlamac - nie su na tom o moc lepsie. A kebyze si potrebujem zistit nieco konkretne o konkretnom cloveku - zistit, u ktoreho lekara ma kartu, myslim vobec nie je obtiazne...
 
Hodnoť:   mínus indicator plus

 

To je na dlhú diskusiu. Iste, aj keby sa na ten účel vyhradili nejako zabezpečené PC, nedalo by sa hovoriť o dokonalej bezpečnosti - ale zrejme by to bolo lepšie, ako terajší stav. V každom prípade je zvláštne, že sa táto časť v dostupných materiáloch úplne opomína - prečo to tak je, sa dá len hádať (zabudli na to? uvedomili si to, ale prioritou je odsunúť zodpovednosť na niekoho iného? ...). Ono to môže byť aj dôsledkom toho, že najprv niekto vymyslel celkový koncept riešenia EZKO, a bezpečnosť sa tam začala dolepovať až dodatočne - tak sa síce bezpečné systémy robiť nemajú, ale keď aj strategické dokumenty SR stavajú informačnú bezpečnosť do podriadeného postavenia v procese návrhu a implementácie IS, tak prečo by tvorcovia e-Health mali byť bezpečnostne uvedomelejší?

Neberte to tak, že sa vyhýbam odpovedi - ale
a) to naozaj nie je problém, ktorý by sa dal vyriešiť šmahom ruky
b) osobne zastávam názor, že celý koncept EZKO je z hľadiska bezpečnosti nedomyslený, čo značne obmedzuje možnosti solídneho riešenia
c) som presvedčený, že systém, ktorého bezpečnosť sa týka v podstate každého občana tejto krajiny, by sa mal riešiť serióznejšie - otvorene, s odbornou diskusiou (oponentúrou), načrtnutím alternatív a ich výhod a nevýhod. Článok na blogu - ak autor chce, aby si ho ľudia prečítali a pochopili - nutne nemôže byť tak podrobný, aby vyčerpal všetky pre a proti ... naviac, blog píšem vo svojom voľnom čase, nie je to moja pracovná náplň. Prečo nežiadate návrhy, alebo aspoň vysvetlenie takého opomenutia od tých, ktorí EZKO pripravujú?
 
Hodnoť:   mínus indicator plus

 

niektoré z nadhodených problémov sa nedajú riešiť... asi bude potrebné akceptovať, že časť informácii o človeku bude de-fakto zverejnená.... Situáciu by mohlo zmierniť logovanie (spomenuté v článku) a následne štatistické vyhodnocovanie, kto sa zaujímal o koho....

A čo sa týka bezpečnosti informačných systémov, treba byť skôr skeptický... o bezpečnosti väčšinou rozhodujú ľudia ktorí o nej vedia málo, a spravidla mimo ich "zorného poľa" je veľmi veľa bezpečnostných dier a aspektov...
 
Hodnoť:   mínus indicator plus

 

"niektoré z nadhodených problémov sa nedajú riešiť" - no, absolútne bezpečný systém sa samozrejme nedá urobiť (zvlášť ak má byť aj použiteľný). Na dlhšiu diskusiu však je, či zvolené riešenie systému EZKO je jediné možné, či neexistuje iný prístup, ktorý by umožnil dosiahnuť základné ciele bez toho, aby vytváral ťažko riešiteľné bezpečnostné problémy (resp. aby ich vytváral menej). Obávam sa, že v prípade EZKO sa jednoducho vzalo prvé riešenie, ktoré z hľadiska funkčnosti "vyzeralo prijateľne" a na bezpečnosť sa myslelo až potom ... tak sa to dosť často robí, že bezpečnosť sa vníma ako čosi, čo sa dodatočne prilepí k systému. Ak sa už pri návrhu (výbere z alternatív riešenia) nezohľadňujú bezpečnostné riziká ktoré prinášajú jednotlivé alternatívy, tak sa zvyšuje pravdepodobnosť toho, že "niektoré z bezpečnostných problémov sa nedajú riešiť".

"asi bude potrebné akceptovať, že časť informácii o človeku bude de-fakto zverejnená" - hmmm, tak potom je možné si položiť otázku, či ten systém (EZKO) stojí za to, či jeho výhody prevážia takýto negatívny dôsledok. Pretože zdravotníci doteraz fungovali aj bez neho ... iste, prinesie to istý komfort, je to však taký prínos ktorý preváži sprístupnenie zdravotných informácií občanov krajiny?

"o bezpečnosti väčšinou rozhodujú ľudia ktorí o nej vedia málo" - súhlas. Len je smutné, ak to má platiť aj v prípade systémov, ktoré sa týkajú celej populácie krajiny ... aspoň v takých prípadoch by sa bezpečnosť mohla brať vážnejšie.
 
Hodnoť:   mínus indicator plus

 

ad: "asi bude potrebné akceptovať, že časť informácii o človeku bude de-fakto zverejnená"
- pekný článok na túto tému: http://www.networkworld.com/ne...
(a to sú štatistiky bez EZKO)

ad: "je možné si položiť otázku, či ten systém (EZKO) stojí za to, či jeho výhody prevážia takýto negatívny dôsledok"
- zábavná diskusia na túto tému bola na konferencii SASIBu, kde dodávatelia pre EZKO tvrdili že je to podrobne spracované v analýzach ktoré má MF SR ...
 
Hodnoť:   mínus indicator plus

Formálne je to OK

Pokiaľ ide o koncové stanice, tak tam bude predsa musieť byť bezpečnosť riešená na "vysokej úrovni" podľa Zákona o ochrane osobných údajov. Keďže v EZKO sú osobitné kat. OÚ, a koncová stanica je prepojená na Internet - musí byť Bezpečnostný projekt.

(Ibaže by tie PC neboli na Internet prepojené, čo by aj bolo veľmi rozumné. Čo však poznám stav v nemocniciach, tak skoro z každého PC už majú prístup na web + mail.)

Niežeby som si robil ilúzie o dokonalosti ochrany podľa ZOOÚ, keďže BP obvykle končí v šuplíku. Ale aspoň je jasné kto/ako môže byť popoťahovaný, keď svoje PC zabezpečí slabo - a to by mala byť pre neho motivácia. Teda keby Úrad riadne fungoval...
 
Hodnoť:   mínus indicator plus

 

"musí byť Bezpečnostný projekt" - hmmm, ak si dobre spomínam, zákon o ochrane osobných údajov túto povinnosť ukladá prevádzkovateľovi systému, nie jeho používateľom. Prevádzkovateľom EZKO vraj bude NCZI, nie tých niekoľko desiatok tisíc "poskytovateľov zdravotnej starostlivosti", ktorí vo vzťahu k EZKO budú používateľmi. Teda to čo sa týka EZKO, netvrdím že PZS na svojom systéme nemajú ďalšie osobné údaje, kvôli ktorým tam tá povinnosť bezp. projektu by mala platiť. Ale keďže vzhľadom k EZKO budú používatelia, bol by to zaujímavý právny problém, či by ich vôbec bolo možné v prípade, že dôjde v súvislosti s EZKO k incidentu, "popoťahovať". Nehovoriac o tom, že ak dôjde k zneužitiu mojich osobných údajov v EZKO cez počítač nič netušiaceho lekára, je to dosť slabá útecha že sa vie, na koho ukázať prstom ako na vinníka...

"Ibaže by tie PC neboli na Internet prepojené, čo by aj bolo veľmi rozumné" - no, keďže PZS majú k EZKO pristupovať cez Internet, tak tie PC na Internet zrejme pripojené budú.

"... a to by mala byť pre neho motivácia" - ak aj prijmeme takúto biednu kompenzáciu, prečo sa v rámci "riešenia bezpečnosti" EZKO nikto neunúval lekárom/PZS zdôrazniť čo sa od nich očakáva?
 
Hodnoť:   mínus indicator plus

naozaj treba vsetko tajit?

Hodnoť:   mínus indicator plus

 

Nie, nie je potrebné všetko tajiť - a ani sa to nedeje. Ja sa napríklad netajím mojimi názormi na riešenie bezpečnosti EZKO, kto si dá trochu námahy, vygoogli si o mne všakovaké informácie. Vy zas svojimi príspevkami netajíte, že články, ktoré tu linkujete, čítate len zbežne, resp. zrejme len prvých pár viet. Keby ste totiž čítali až do konca, neušlo by vám, že autor, na ktorého sa linkom odvolávate, to na záver zhrnul nasledovne "My bottom line: I think we ought to get our data into secure online systems, and we shouldn’t expect it to happen with the push of a button. It’ll take work. So let’s get to work." V slovníku si prosím nájdite význam slova "secure" ... a keď si preložíte aj zvyšok tej vety, zistíte, že autor to nepovažuje za nejakú ľahkú úlohu.
 
Hodnoť:   mínus indicator plus

zabezpecit treba hlavne verzovanie

myslim, ze to na co sa zabuda je zabezpecenie proti ludskej chybe. Skratka doktor aj vlastnik zaznamov by mal mat moznost vidiet lubovolnu verziu(priebeh zmien od zalozenia karty). ja napriklad dlho uspesne pouzivam SVN, chystam sa prejst na GIT. pokial by to nebolo mozne moze nastat najhorsie: data su nenavratne stratene!
 


Prihláste sa

(?)
 


Ďalšie možnosti
Zoznam diskusií

Registrácia
Zabudnuté heslo
Kódex diskutujúceho

Najčítanejšie na SME