Možno si kladiete otázku, ako môže byť v rámci kybernertickej bezpečnosti, pod ktorou si predstavujeme najmä technológie, rizikom človek. Podľa risk manažérky Pauly Babicovej zo zdravotnej poisťovne Dôvera je odpoveď jednoznačná, môže. Vyplýva to zo štatistík, skúseností a je to aj hlavné pravidlo pri riadení rizík.

Paula Babicová tvrdí, že môžete mať nakúpené akékoľvek technológie, aplikácie, softvéry, ak chybu či už vedome alebo z nedbanlivosti urobí človek. Práve človek je ten, ktorý „naletí“ na phishingový mail, práve človek je ten, kto pristupuje k údajom ku ktorým by nemal mať prístup, práve človek je ten, kto poruší povinnosť mlčanlivosti. V popredí záujmu každej jednej organizácie, nielen v zdravotníckom sektore, by preto mal byť práve človek – štatutár, zamestnanec, dodávateľ.Môžete si za „človeka“ dosadiť podľa ľubovôle.

Vzdelávanie je základ

Ľudí pracujúcich v sektore zdravotníctva je potrebné v prvom rade vzdelávať v oblasti ochrany osobných údajov aj bezpečnosti. Nemalo by sa pritom jednať len o „povinnú jazdu“ hromadného školenia raz za rok niekde v nemocničnej jedálni. Zamestnanci by mali byť vzdelávaní kontinuálne. Mali by sa k nim dostávať všetky informácie súvisiace s IT bezpečnosťou potrebné pre ich prácu, a to najmä pokiaľ ide o dôležitosť ich bezpečného správania, ale aj o dôsledky nedodržiavania bezpečnostných politík. 

V neposlednom rade by to mala byť aj aspoň základná zručnosť pre prácu s počítačom a základnými bezpečnostnými prvkami (napr. využívanie 2 faktora či znalosť opatrenia prílohy v mailovej správe heslom).   

Najčastejšie pochybenia

Z medializovaných správ je zrejmé, že povedomie o citlivosti dát, s ktorými sa v zdravotníctve nakladá a dôraz kladený na bezpečnosť, je na Slovensku nízky. Aj laik už len z bežnej návštevy u lekára vidí, že nie vždy je to v súlade s kostolným poriadkom. Mennými zoznamami v čakárňach počnúc, informovaním o výsledkoch verejne na chodbách, cez vzájomné využívanie prístupových údajov do systémov (lekári na oddeleniach či sestra pripojená na kartu lekára), cez nezamknuté kartotéky alebo zdravotné záznamy iných pacientov na stoloch lekárov až po odosielanie údajov o zdraví e-mailom bez šifrovania.

Možno to bude znieť úsmevne, no aj do zdravotnej poisťovne ešte nedávno chodievali zúčtovania zdravotnej starostlivosti na disketách.  V zákone je pritom jednoznačne napísané, že finančné zúčtovanie je poskytovateľ zdravotnej starostlivosti povinný zasielať zdravotnej poisťovni len prostredníctvom elektronickej podateľne a riadiť sa pritom štandardmi zdravotníckej informatiky. Stále sa nájde pár poskytovateľov (napríklad bez internetového pripojenia, aj keď je to v predpísanom minimálnom vybavení ambulancie!), ktorí zúčtovanie posielajú na nezabezpečenom USB kľúči poštou. 

Zamestnanci možno aj sú formálne preškolení, ale zrejme nerozumejú reálnym dopadom, ktoré môže mať ich správanie. Že napríklad hacker zmení údaje v zdravotnej dokumentácii pacienta a pacient na to doplatí životom alebo menej dramatický príklad, že verejným oznámením výsledkov pacienta na chodbe bude poškodené právo pacienta na ochranu súkromia a dôstojnosti.

Zo všetkých nástrojov je práve vzdelávanie tou najmenej nákladnou a pritom najviac účinnou formou, ako predchádzať bezpečnostným incidentom. Samozrejme, ruka v ruke s tým ide aj vzdelávanie verejnosti – pacientov. Nielen o ich právach, ale aj o tom, akoby svojim správaním (tlakom) nemali lekárov nútiť bezpečnostné štandardy porušovať.