Prečo telemedicína predstavuje kyberbezpečnostné riziko

Je to už niečo vyše roka, čo francúzske služby sociálneho zabezpečenia začali uhrádzať zdravotné konzultácie na diaľku (na Slovensku je projekt telemedicíny vo fáze príprav, pozn. Prekl.). A hoci táto prax ponúka početné výhody, je potrebné vopred zvážiť niektoré riziká v oblasti kybernetickej bezpečnosti.

Telemedicína znamená, že už nemusíte cestovať: vaša schôdzka s praktickým lekárom prebieha prostredníctvom displeja len medzi vami. Vďaka telekomunikáciám rastie diaľkové poskytovanie lekárskych služieb (stretnutia, poradenstvo, monitorovanie, asistencia). A taký pokrok poskytuje ľahší prístup k starostlivosti všetkým a všade.

Digitálne technológie narušili našu spoločnosť; a tak logicky musíme prehodnotiť, ako fungujú naše spôsoby poskytovania starostlivosti,“ hovorí Lydie Canipel, generálna tajomníčka Société Française de Télémédecine. „Toto je potrebné dosiahnuť vzájomnou dohodou medzi lekárom a pacientom, ale telemedicína je skvelý spôsob, ako bojovať proti geografickým prekážkam v lekárskej praxi.

Tento spôsob konzultácie je zvlášť vhodný pre sledovanie chronických ochorení. „Sú to ťažké, drahé ochorenia, ktoré vyžadujú starostlivé sledovanie. Mať dve vzdialené konzultácie medzi každoročnými stretnutiami s kardiológom pacientovi uľahčí život. Digitálne technológie nám umožnili vrátiť sa k monitorovaniu založenému na blízkosti,“ dodáva.

Rýchlejšia, spravodlivejšia a efektívnejšia … telemedicína má mnoho výhod. Ako je bezpečná?

Kybernetické útoky a ich rôzne motívy

S telemedicínou sú spojené riziká vychádzajúce z technológií, na ktorých je postavená. Počítačový lekársky prístroj, ako je inteligentná morfínová pumpa, môže mať technickú poruchu; ale čo je dôležitejšie, zahŕňa zvýšené kybernetické riziko. A pokiaľ ide o operácie na diaľku, takéto riziká sa stávajú životne dôležitými otázkami, ktoré treba priamo zohľadniť.

Existuje mnoho možných motivácií: ďalší predaj osobných údajov (vrátane zdravotných), odstránenie konkurenčnej výhody, väčšia vyjednávacia sila a dokonca aj vojenské sabotáže. „Sú možné všetky scenáre, vrátane únosu telemedicínského nástroja na sledovanie jednotlivca alebo ohrozenie jeho života,“ dodáva Robert Wakim, manažér ponúk v spoločnosti Stormshield.

Týchto šesť kategórií rizík sa dokonale vzťahuje na telemedicínu: integrita dát, dôvernosť, dostupnosť, autentizácia, sledovateľnosť transakcií a priraďovanie aktov. „Nedávno sa ukázalo, že je možné, aby hacker upravil výsledky testu, čo viedlo k nesprávnej diagnóze. Hackeri však môžu tiež zablokovať prístup k záznamom pacientov alebo paralyzovať zdravotnícke vybavenie – v tomto prípade, aby získali výkupné.“ Ak sa vrátime znovu k vzdialeným operáciám, hackeri by sa mohli pokúsiť prerušiť spojenie s lekárskym počítačom, alebo ho dokonca vypnúť alebo nad ním prevziať kontrolu …

Jedným z príkladov, ktoré vyžadujú povedomie o týchto otázkach je telerádiológia. Robert Wakim podrobne opisuje niekoľko možných scenárov útoku: „V reálnom čase by útočníci mohli zmeniť dáta odosielané zo zdravotníckeho zariadenia do lekárskeho počítača; mohli by tiež zmeniť spôsob interpretácie príkazov priamo na úrovni nástroje a zmeniť uhol pohľadu; a nakoniec by mohli prevziať kontrolu nad lekárskym počítačom a zmeniť výsledok zobrazený na obrazovke.“ Vo všetkých týchto prípadoch by boli výsledky testu chybné. A diagnóza by bola nespoľahlivá.

Ako teda môžeme zabezpečiť, aby telemedicína mohla ponúknuť svoje výhody a zároveň chrániť pacientov, zdravotnícky personál a ich údaje?

Rôzne riešenia ochrany pred útokmi

V súvislosti s kybernetickými hrozbami musia zdravotnícki pracovníci zvážiť štyri zložky systému: komunikáciu, nástroj, počítač a ľudskú bytosť. „Komunikácia“  sa tu vzťahuje na vymenené dáta, ktoré umožňujú manipuláciu s nástrojom pomocou elektronických riadiacich systémov.

Pokiaľ ide o systémy, Stormshield má kompletnú ponuku riešení, ktoré poskytujú optimálnu pomoc zdravotníckym pracovníkom, ako vysvetľuje Robert Wakim. „Riešenie ako Stormshield Endpoint Security chráni koncové pracovné stanice pred nákazou. Pokiaľ ide o Stormshield Network Security (SNS) a jeho VPN systém, možno dôvernosť pri výmene dát zvýšiť vytvorením šifrovaného (tj. súkromného) virtuálneho tunela. SNS je tiež schopný vykonávať overenie protokolu; tzn. zabezpečenie, že prenos dát zodpovedá štandardom výmeny. Akonáhle sa dáta dostanú na servery alebo koncové pracovné stanice, existujú riešenia, ako je Stormshield Data Security, užitočné pre ich ochranu v súlade s požiadavkami GDPR.

Ale prvá a posledná obranná línia je samozrejme lekár, pretože si najlepšie dokáže uvedomiť, že niečo nie je v poriadku, a pri najmenšej pochybnosti môže upozorniť na poplach. „Je nevyhnutné vzdelávať zdravotníckych a telemedicínskych odborníkov o nových rizikách a príznakoch kybernetického útoku,“ zdôrazňuje Wakim.

Pretože kybernetická bezpečnosť je tiež o návykoch a praxi: „Zdravotný systém musí byť plne informovaný o riešeniach telemedicíny. Predovšetkým musí zabezpečiť plné porozumenie tomu, ako sú údaje prenášané, spracovávané a ukladané a či sa vykonávajú pravidelné aktualizácie,“ nalieha Wakim.

Je to tiež správa, ktorú Lydie Canipel propaguje pri školení zdravotníkov: „Nikto nie je nikdy pred hrozbou kybernetického útoku v bezpečí. Je nevyhnutné dodržiavať technické rámce ASIPM Santé a štandardy ochrany údajov CNIL týkajúce sa bezpečného zasielania správ, označenia CE a hosťovania zdravotných dát. Tieto predpisy boli navrhnuté s ohľadom na bezpečnosť pacienta.“ Táto správa zaznela na zasadnutí zameranom na otázku bezpečnosti zdravotných údajov, na ktorom Bernard Casse-Mouna, koordinátor zdravotného sektora vo francúzskej agentúre Anssi pre kybernetickú bezpečnosť, uviedol: „Rovnako ako hygiena v oblasti zdravotníctva , musí byť aj digitálna hygiena pre zdravotníkov otázkou inštinktu.

Záverom treba spomenúť, že zmena návykov sa týka celého priemyslu, ako ukazuje návrh francúzskej agentúry pre bezpečnosť liekov (ANSM), ktorá má viesť do konca roka k vydaniu odporúčania výrobcom zdravotníckeho vybavenia. V takom prípade bude bezpečnejšia telemedicína zase o krok bližšie.

Autor: Marco Genovese, Stormshield
Preklad a úpravy: Jan Mazal, VPGC
Zdroj: Stormshield – Why telemedicine represents a cybersecurity risk