Niedawno w sieci ukazał się raport Najwyższej Izby Kontroli, dotyczący wdrażania przepisów o ochronie danych osobowych w placówkach medycznych. Wyniki przeprowadzonej kontroli ukazują nieprzychylny obraz zabezpieczania danych pacjentów w polskiej służbie zdrowia. Jak podaje NIK „w 75% szpitali nie wdrożono odpowiednich środków zabezpieczających dane osobowe i medyczne pacjentów przechowywane w postaci elektronicznej.”
Nie wszystkie problemy, które przedstawiają wyniki kontroli można rozwiązać procedurami i dobrą praktyką. W wielu przypadkach koniecznością wydaje się wdrożenie odpowiednich rozwiązań informatycznych, które wspomogą administratorów w prawidłowym funkcjonowaniu środowiska informatycznego i zautomatyzują procesy związane z bezpieczeństwem danych osobowych.
Po przeanalizowaniu kilku problemów z wyników kontroli przedstawiamy, jak można je rozwiązać przy pomocy systemu NACVIEW.
Pierwszy analizowany problem dotyczy nieodbierania byłym pracownikom uprawnień w systemach informatycznych. „W 63% skontrolowanych szpitali osobom odchodzącym z pracy nie odbierano uprawnień do systemów informatycznych”.
Aby pracownik mógł zalogować się do systemu informatycznego, powinien najpierw uzyskać dostęp do segmentu sieci, w której dany system pracuje. W takim przypadku rozwiązaniem może być integracja NACVIEW z bazą danych przechowującą informacje o pracownikach placówki (np. Active Directory). Umożliwi to odbieranie pracownikom dostępów do sieci w sposób automatyczny - na podstawie informacji o uprawnieniach użytkownika z zintegrowanej bazy.
Drugi analizowany problem to brak ochrony antywirusowej systemów operacyjnych i wykorzystywanie systemów operacyjnych nieposiadających wsparcia producenta. Jak się okazało, w 25% szpitali część komputerów nie ma zainstalowanego programu antywirusowego, a w ponad 30% programy antywirusowe nie mają aktualnej bazy sygnatur wirusów, przez co ich skuteczność jest ograniczona. W połowie placówek znajdują się komputery z systemem operacyjnym, dla których producent zakończył wsparcie techniczne.
Problem ten może rozwiązać agent systemu NACVIEW, czyli specjalne oprogramowanie instalowane na urządzeniach końcowych pracowników, które monitoruje te urządzenia i izoluje od sieci niezaktualizowane lub nieposiadające odpowiedniego oprogramowania antywirusowego. Co ważne, system NAC działa inaczej od typowego oprogramowania do zarządzania punktami końcowymi, ponieważ sterowanie działa na poziomie sieci, którą urządzenie końcowe osiągnęło. Dzięki kontroli sieci administratorzy mogą wprowadzić surowe reguły dostępu, których użytkownicy nie mogą ominąć.
Kolejnym analizowanym problemem jest niewłaściwy proces autoryzacji użytkowników w systemie operacyjnym.
W połowie skontrolowanych szpitali zauważono zaniechania, które w sposób szczególny wpływają na obniżenie bezpieczeństwa danych przechowywanych w formie elektronicznej. Pracownicy nie otrzymują zindywidualizowanych danych do autoryzacji. W konsekwencji, z tych samych loginów i haseł korzysta wiele pracowników. Takie podejście stanowi naruszenie obowiązujących norm, a także uniemożliwia odbieranie uprawnień byłym pracownikom. Nie można bowiem zablokować określonego konta, gdyż loguje się na niego kilka lub kilkanaście osób. W tej sytuacji nie można też ustalić, który z pracowników wykonał w systemie określone operacje. Jest to istotne np. w przypadku „wycieków” wrażliwych informacji poza szpital.
W ocenie NIK, szczególnie naganne są też sytuacje, w których uzyskanie dostępu do systemu operacyjnego komputera nie wymaga podania żadnych danych autoryzacyjnych (loginu i hasła). Takie przypadki miały miejsce w 25% szpitali. Przykładowo, na jednym z kontrolowanych komputerów przechowywano dokumenty z danymi osobowymi pacjentów, w tym także z historią ich leczenia. Brak konieczności logowania się do komputera sprawiał, że każda przypadkowa osoba mogła uzyskać dostęp do tych danych.
W tym przypadku idealnym rozwiązaniem wydaje się wprowadzenie systemu NAC zapewniającego standard 802.1X, którego kluczowymi cechami są: stosowanie indywidualnych danych dostępowych do sieci dla każdego użytkownika/urządzenia; zastosowanie indywidualnych dynamicznych kluczy szyfrujących dla każdej sesji; łatwe odłączenie danego użytkownika od sieci. Wymienione właściwości w połączeniu np. z Active Directory pozwolą na skuteczne wprowadzenie polityki indywidualnych haseł, jak i umożliwią na szybką identyfikację pracownika odpowiedzialnego za incydent związany z ochroną danych.
Oczywiście są to tylko przykładowe sposoby rozwiązania problemów, z których każdy na pewno wymaga indywidualnego podejścia i głębszej analizy.
Poruszone powyżej nieprawidłowości dotyczą głównie funkcjonowania użytkowników wewnątrz sieci szpitala, a system NACVIEW to także (jeżeli nie przede wszystkim) kontrola dostępu do samej sieci wewnętrznej i możliwość zabezpieczenia się przed dostępem do sieci nieupoważnionych osób i zagrożeniami zewnętrznymi.