Zdravstveni sektor kao najčešća meta hakerskih napada

Komentari: 0
Fotografija od: pixabay.com

Tendencija u zdravstvenom sektoru razvijenih zemalja ukazuje da je ova oblast posebno podložna hakerskim napadima. Razlozi za to su, još uvek, nedovoljna ulaganja u cyber bezbednost u tom polju, ali i velika motivisanost hakera da organizuju napad – kako zbog slabijih mera zaštite, tako i velike zarade koju, preko crnog tržišta, obično donosi prosečan zdravstveni karton.

Međutim, fokus ovog poglavlja neće biti toliko na situaciji u svetu, koliko na stanje u Republici Srbiji koja po pitanju informatizacije u zdravstvu prilično zaostaje za modernim društvima, dok je briga o visokotehnološkoj sigurnosti u toj oblasti praktično zanemariva.

Osim toga, naša zemlja se u ovoj, kao i u većini drugih društvenih delatnosti, suočava sa ozbiljnom pojavom, a to je korupcija. Primera radi, prema skorijim istraživanjima, stopa korupcije u zdravstvu Srbije doseže oko 36%, što je zabrinjavajući indikator stanja u toj oblasti, ali i celokupnom društvu.

Konačno, kroz ovaj pregled nameravamo da prodiskutujemo i neke ideje kako bi informatizacija zdravstvenog sektora u Srbiji mogla da postane efikasnija, ali i kako bi čitav sektor mogao da dobije na ažurnosti kada su u pitanju novi trendovi visokotehnološke bezbednosti.

U razvijenom svetu, problem sigurnosti zdravstvenih informacionih sistema postaje jedno od gorućih pitanja moderne cyber bezbednosti. Pojam podatka u zdravstvu ima široko značenje i može da obuhvati zdravstveni karton pacijenta, podatke o zdravstvenoj ustanovi, detalje o zdravstvenim radnicima, informacije od značaja za javno zdravlje, podatke iz zdravstvenog osiguranja i slično. [12, 19]

Praksa pokazuje da je hakerska zajednica posebno motivisana da dođe do podataka iz zdravstvenog sektora. Razloga za to ima više, ali ćemo mi izdvojiti dva osnovna. Kao prvo, čak ni u razvijenim društvima informacioni sistemi u zdravstvenom sektoru nisu adekvatno zaštićeni, odnosno ta delatnost još uvek ne ulaže dovoljno sredstava u visokotehnološku bezbednost.

Drugo, hakovanje zdravstvene informacione infrastrukture donosi dobru zaradu. Primera radi, nečiji zdravstveni karton na crnom tržištu može da se proda i do 20 puta skuplje od, recimo, broja bankovne kartice. [4, 5]

U Republici Srbiji je situacija, međutim, u priličnoj meri drugačija. Tu je proces informatizacije u zdravstvu još uvek u toku [19] i čini se da se isti ne sprovodi dovoljno efikasno, te zbog toga još nije realizovan i ako se sa njim počelo još 2003. godine. Neke od razloga ovakve situacije ćemo pokušati da proanaliziramo u daljem toku ovog poglavlja.

Takođe, napominjemo da uobičajeno opravdanje da je glavni razlog za neefikasnost reformi u zdravstu finansijske prirode može da se dovede pod znak pitanja. Smatramo da bi značaj ljudskog faktora u zdravstvenom sistemu trebao temeljnije da se istraži.

Konačno, kroz ovaj pregled planiramo da damo i neke detalje o kvalitetu zdravstvene usluge u našoj zemlji, kao i prisutnosti zabrinjavajućeg nivoa korupcije u ovoj oblasti društva. Iskustvo pokazuje da je situacija u zdravstvenom sektoru Srbije kritična, što najbolje ilustruje odnos društva prema bolesnima i nemoćnima.

Cilj ovog poglavlja nije da kritikuje postojeću situaciju u toj oblasti, već da pruži dobro-istražen uvid i ukaže na neke smernice koje bi mogle da doprinesu poboljšanju opšte situacije u zdravstu naše države. Ipak, glavni akcenat će biti na značaju informacionih tehnologija u ovom polju, kao i njihovoj sigurnosti.

ZDRAVSTVO U REPUBLICI SRBIJI

Zdravstvene ustanove u Srbiji obavljaju zdravstvenu delatnost na primarnom, sekundarnom i tercijarnom nivou. [12] Primera radi, u našoj zemlji ima skoro 160 domova zdravlja, oko 80 opštih i specijalnih bolnica, 6 klinika, 4 kliničko-bolnička centra i isto toliko kliničnih centara. Prema nekim izvorima [7], kvalitet zdravstvene zaštite u Republici Srbiji je pri samom dnu evropske lestvice.

Treba napomenuti da, prema statistici iz 2012. godine, Republika Srbija nije dostavila većinu podataka Svetskoj zdravstvenoj organizaciji za neke ključne pokazatelje zdravstvenog stanja svog stanovništva. To ukazuju da se kod nas ili ne vodi evidencija o tim indikatorima, ili ne postoje centri za statističku obradu takvih podataka.

U svakom slučaju, srpsko zdravstvo je još daleko iza zdravstva razvijenih evropskih zemalja, ali i mnogih država u regionu – što smatramo zabrinjavajućom situacijom u tom sektoru našeg društva.

Dalje, neka domaća istraživanja [2] ukazuju na vrlo visok stepen korpucije u zdravstvu Republike Srbije, koji se procenjuje da iznosi oko 36%.

Ovaj podatak sugeriše da približno svaki treći zdravstveni radnik u Srbiji prima neki oblik mita ili je sklon drugim korupcionaškim aktivnostima. Takođe, iskustva pokazuju da je medicinsko osoblje u nedovoljnoj meri posvećeno pružanju zdravstvene usluge bolesnim i nemoćnim ljudima. Situacija je posebno kritična u javnom sektoru, dok privatne zdravstvene ustanove, ipak, imaju viši kvalitet zdravstvene usluge.

Osim toga, primetili smo da je zdravstvo u Srbiji postalo neka vrsta delatnosti koji donosi dobru zaradu pojedinim zdravstvenim radnicima, što je omogućeno dovođenjem zakona koji lekarima dozvoljavaju da rade za više organizacija istovremeno.

Ovo za posledicu ima nedovoljnu posvećenost lekara pacijentima i, posledično, smanjen kvalitet zdravstvene usluge, te iz tog razloga sugerišemo da se povede računa o toj zakonskoj regulativi. Same reforme u zdravstvu se čine nedovoljno efikasnim i upućuju na uticaj ljudskog faktora na njihovo sprovođenje.

Tu, pre svega, imamo u vidu slab kvalitet zdravstvene usluge, kao i visok stepen korupcije u toj oblasti.
Konačno, informatizacija u zdravstvu naše zemlje je počela još 2003. godine i situaciona analiza iz 2014. godine upućuje da se ni tu nije postigao zadovoljavajući napredak. [19] Smatramo da je razloge za ovakvu situaciju potrebno dublje istražiti. Osim toga, primećuje se nedovoljno poznavanje informacionih tehnologija u toj oblasti, što posredno može da uputi na smanjenu sposobnost istraživanja i statističkog izveštavanja u tom sektoru.

Prema nekim izvorima [12, 19], glavna potreba našeg zdravstva u pogledu informatičke pismenosti njenih zaposlenih je postojanje kontinuirane edukacije, ali i većeg broja informatičkih stručnjaka u zdravstvenim ustanovama. Smatramo da bi na taj način i sam nivo računarske bezbednosti u toj oblasti bio na višem nivou i posledice od, eventualnih, hakerskih napada umanjene.

KORUPCIJA U ZDRAVSTVU SRBIJE

Korupcija, po definiciji, predstavlja stepen iskvarenosti društva, a u praksi se ogleda u primanju neke vrednosti u zamenu za neku uslugu. Ovaj vid zamene se najčešće ne prijavljuje, te tako i potpada pod nadležnost krivičnog zakona. Statistički podaci sugerišu da svaki treći lekar u Republici Srbiji prima neki oblik mita koji se odnosi na novac, robu ili uslugu. [2]

Ovakav način postupanja sa zdravstveno ugroženim osobama ima za posledicu pravljenja neke vrste privilegije pacijentima koji su spremni da daju određenu vrednost za istu. To ide na štetu drugih pacijenata koji ostaju uskraćeni za adekvatnu negu i odgovarajući kvalitet zdravstvene usluge. Na ovaj način se narušava reputacija institucije za koju korumpirani zdravstveni radnik radi i nanosi realna šteta drugim pacijentima.

Iz prakse je poznato da je kvalitet usluge u zdravstvu Republike Srbije na nezadovoljavajućem nivou. Situacija je nešto bolja u privatnim zdravstvenim ustanovama, dok je stanje u državnom sektoru u priličnoj meri ugroženije. Uticaj značaja ljudskog faktora može da se dovede u vezu sa neefikasnim sprovođenjem reformi u toj oblasti. Zdravstveni sektor u Republici Srbiji se čini kao prilično inertan i nesposoban da odgovori zahtevima novih trendova u medicini.

Ovde pokušavamo da sugerišemo da nedostatak odgovaraujućih finansijskih sredstava ne mora da bude ključni razlog za ovakvo stanje u zdravstvu, već je pre reč o slabijoj organizaciji procesa rada koji bi vodio ka većoj efikasnosti zaposlenih. Kao faktor koji bi mogao da utiče da se ova situacija poboljša navodimo jačanje menadžerskih sposobnosti samih rukovodilaca, ali i stalno usvajanje novih znanja i veština ostalih zaposlenih.

Takođe, smatramo da bi veća prisutnost naših stručnjaka u međunarodnim krugovima mogla da bude od koristi. To je dobar način da se razmene iskustva sa kolegama iz drugih zemalja.

Konačno, zauzimamo po malo kritički stav prema zakonskoj regulativi u zdravstvu koja dozvoljava lekarima da rade za više zdravstvenih ustanova u isto vreme. Smatramo da ovo direktno umanjuje kvalitet zdravstvene usluge i posvećenost zdravstvenih radnika svojim pacijentima. Kao sugestiju bismo naveli da je potrebno da se optimizuje ukupan broj pacijenata sa kojima lekar ima zakonsko pravo da radi, što neposredno može da utiče na sam kvalitet usluge.

Kao pokazetelj koliki je broj pacijenata prikladan za svakog lekara da njegova posvećenost zdravlju ljudi ne bi bila ugrožena treba da se koriste rezultati iz dobro-istraženih medicinskih izvora ili da se sprovede istraživanje u okviru same zdravstvene organizacije. Na ovaj način bi se stvorila i održavala dobra praksa u radu zdravstvenih ustanova Republike Srbije.

INFORMACIONI SISTEMI I NJIHOVA ZAŠTITA

Informatizacija u zdravstvu Republike Srbije je počela 2003. godine i traje još uvek, što ukazuje da se ne odvija odgovarajućom brzinom. [12. 19] U elektronskom obliku se obično čuvaju kartoni pacijenata, podaci o zdravstvenim radnicima ili ustanovi, podaci od značaja za javno zdravlje, podaci o zdravstvenom osiguranju i slično.

U praksi se pokazuje da zdravstveno osoblje nije dovoljno informatički pismeno, što ukazuje na potrebu stalnih edukacija iz te oblasti. [19] Osim toga, uočava se i nedostatak informatičkog osoblja koje bi što kvalitetnije brinulo o informacionim sistemima u zdravstvu.

U pogledu zaštite ovih sistema od eventualnih hakerskih napada, preporučuju se mere prevencije kao što su anti-malware zaštita, odgovarajuća mrežna sigurnost, dobra zaštita servera, ali i sleđenje adekvatnih procedura u radu kada je bezbednost računara i interneta u pitanju. Kod nas ova praksa još uvek ne postoji ili nije dovoljno razvijena, te smatramo da bi angažovanje informatičkog osoblja u tom smislu bilo dobrodošlo.

Čak i u razvijenom svetu, u zdravstvenom sektoru se dešava mnogo hakerskih napada, upravo zbog slabijih mera informacione zaštite. Na primer, zdravstveni kartoni pacijenata su i do 20 puta skuplji od brojeva kreditnih kartica, što hakerima daje dodatni motiv da napadnu ovakav sistem. [5, 6]

Neke od preporuka dobre prakse u svetu upućuju da nema potrebe stavljati preveliki akcenat na zaštitu od mogućih cyber upada, već treba realno sagledati situaciju i ako se napad i desi – prihvatiti da postoji. Drugim rečima, ono o čemu treba povesti računa su mere koje se preduzimaju posle hakerskog napada, a tiču se povratka podataka i oporavka sistema.

POSLEDICE HAKERSKIH NAPADA

Kada je reč o hakerskim napadima u zdravstvu, oni za posledicu mogu da imaju javno objavljivanje vrednih podataka na internetu, prodaju istih na crnom tržištu, iznošenje informacija konkurenciji, kao i cyber špijuniranje u interesu neke druge države. Sve ovo za sobom povlači i neka druga bezbednosna pitanja koja se tiču krađe i zloupotrebe identiteta, kompromitovanja reputacije neke zdravstvene organizacije ili izvlačenja inteligencije o radu u zdravstvu konkurentske organizacije ili države.

Jasno je da su informacioni sistemi u zdravstvu deo kritične infrastrukture jedne zemlje i da njihovim “curenjem“ mogu da se ugroze i neki državni interesi iste. Dobar deo ovih podataka se čuva na nekom od cloud sistema, mada neki podaci mogu da se čuvaju i na samim računarima i serverima.

U svakom slučaju, svaki od ovih hakerskih napada ostavlja trag u cyber prostoru, te je, stoga, potrebno rutinski proveravati tu infrastrukturu u forenzičkom smislu. Iz ovoga se vidi koliko je visokotehnološka bezbednost u zdravstvu bitna i zbog čega treba ulagati u nju.

Konačno, bezbednost cloud sistema, u kojima se čuva i većina vrednih podataka, predstavlja i jedan od velikih globalnih izazova današnjice – upravo zbog uglavnom nerešenog pitanja kontrole pristupa. [9] Tendencija pokazuje da će ovaj problem biti prevaziđen u skorijoj budućnosti, jer se intenzivno radi na pronalaženju rešenja.

Što se upada u same informacione sisteme tiče, tu ostaje otvoren izazov borbe protiva hakera koji mogu da pokušaju seriju napada, te su stoga prediodične kontrole preporučljive

O Autoru

Milica D. Đekić

Milica D. Đekić je završila Mašinski fakultet u Beogradu i posle višegodišnjeg iskustva u privredi se profilisala za nezavisnog istraživača. Autor je na stotine radova na srpskom i engleskom i ima objavljene dve knjige na engleskom iz oblasti tehnike i bezbednosti. Njeni istraživački projekti su prepoznati od Vojske Srbije. Milicu možete da kontaktirate na e-mail: milicadjekic82@gmail.com

0 Komentara o ovom članku
Ostavi komentar

Ostavi komentar

Klijenti