Kybernetická bezpečnosť v zdravotníctve nie je len o technológiách, ale najmä o ochrane pacientov a plynulosti liečby. Prednáška zhrnula základné princípy, nové regulácie aj praktické priority. Nasledujúci prehľad vysvetľuje podstatu problému a to, na čo sa majú nemocnice a zdravotnícki pracovníci sústrediť.
Od dôvernosti po dostupnosť: čo vlastne chránime
Bezpečnosť informácií stojí na trojici cieľov: dôvernosť (aby sa údaje nedostali nepovolaným), integrita (aby neboli pozmenené) a dostupnosť (aby boli vtedy, keď ich potrebujeme). Pri elektronickom spracovaní hovoríme o kybernetickej bezpečnosti, no význam je ten istý: chrániť dáta, systémy a aplikácie na všetkých úrovniach. Každý systém má zraniteľnosti, preto výrobcovia priebežne vydávajú „záplaty“ a aktualizácie, ktoré diery opravujú. Hrozba je možnosť, že sa niečo stane; riziko je spojenie pravdepodobnosti a dopadu; a keď sa riziko naplní, vzniká incident – často spustený jednoduchými, no účinnými technikami, ako je phishing.
Zákony a normy: kto prikazuje a čo radí
V Európskej únii sú nariadenia priamo účinné, smernice sa musia preložiť do národného práva; preto sa legislatíva rýchlo mení a dopadá aj na zdravotníctvo. Dôležité sú najmä nariadenie o zdravotníckych pomôckach, GDPR, eIDAS, nová smernica NIS2 a pripravované či nové akty o kybernetickej odolnosti a umelej inteligencii. Na Slovensku rámec dotvára zákon o kybernetickej bezpečnosti a súvisiace predpisy, no zdravotnícky sektor stále čaká na detailnejšie sektorové požiadavky. Kým zákony hovoria, čo je povinné, technické normy (napr. ISO/IEC 27000 a zdravotnícke špecifiká) vysvetľujú, ako to prakticky urobiť.
Špecifiká zdravotníctva a čo je dnes najdôležitejšie
V zdravotníctve ide o širokú škálu technológií: diagnostické a zobrazovacie systémy, terapeutické a monitorovacie zariadenia, laboratórne technológie či nemocničné informačné systémy. Porušenie dôvernosti znamená zásah do súkromia pacienta a môže viesť k sankciám aj trestnoprávnym následkom. Nedostupnosť systémov brzdí diagnostiku, prerušuje liečbu a môže priamo ohroziť zdravie. Strata integrity dát zasa vedie k nesprávnym výsledkom, chybným dávkam či k zlej diagnóze – a teda k zbytočnému riziku pre pacienta.
Aktuálny stav sektora ukazuje, že súlad s požiadavkami je skôr slabý, hoci pribudla dokumentácia, manažéri bezpečnosti a lepšia sieťová ochrana. Prioritou má byť riadenie rizík, kontinuity činností (aby bol plán B), aktívny monitoring a zrelé riadenie dodávateľov. Opatrenia treba kombinovať technické, organizačné, personálne aj fyzické – a nastaviť ich ako preventívne, detekčné aj nápravné. Zdravotnícki pracovníci nemusia byť špecialisti na kyberbezpečnosť, no mali by si zvyšovať digitálnu gramotnosť a povedomie o rizikách, lebo cieľom je odolnosť, nie papierový súlad.
