Expert: Jak hacknout nemocnici a vaše zdravotní údaje? Stačí bílý plášť

Na rizika elektronizace zdravotnictví a zneužití citlivých dat pacientů upozornil český expert na přenos a zabezpečení dat Petr Samek. Podle něj je centrální úložiště chyba a nelegální přístup do něj relativně snadný. Stačí využít anonymity velkých nemocnic a lidských pochybení.

Petr Samek je majitelem mělnické společnosti CNS, která se zabývá ochranou počítačových dat, především těch zdravotnických. S projektem S4D (Safety for Data) se prosazuje i ve Spojených státech, kde má firma v Pittsburghu pobočku. Cílem je bezpečný přenos informací, například těch o pacientovi, mezi nemocnicemi či lékaři.

Samek poskytl rozhovor deníku Právo a přidal se v něm ke kritice elektronizace zdravotnictví, respektive některých jejích součástí. Upozornil i na možná rizika pro pacienty. Nejde podle něj přitom jen o krádež dat, ale jako příklad použil i širokou dostupnost zdravotnických dat pro pojišťovny, které by od lékařských záznamů pacientů mohly odvíjet třeba výši ceny pojistky. Nebo její odmítnutí.


Kdo bude nahlížet do našeho soukromí? A proč?

Petr Samek ocenil některé přínosy elektronického receptu, například že si může objednat pravidelné léky po telefonu a dostat recept přímo na mobil. Chápe i výhody toho, že někde bude veden jeho lékový záznam, ze kterého lékař může posoudit nežádoucí interakci mezi léky.

Jenže to podle něj skýtá i významná rizika. „Někdo o mně bude vědět, jaké prášky beru. Pozná, že mám vysoký tlak, vysoký cholesterol a tak dále. Pak ale přijdu do pojišťovny uzavřít si životní pojištění kvůli hypotéce a pojišťovna by asi tyto informace neměla mít. Jde o to, kdo bude mít k informacím přístup a jak to bude kontrolováno. Má k nim mít přístup lékař? V pořádku. Ale ten lékař může být najatý pojišťovnou, aby posoudil můj zdravotní stav. Bude-li mít přístup k informacím on, má je pojišťovna. Má mít pojišťovna právo odepřít mi nárok na pojistné jen proto, že ví, že mám vysoký tlak a cholesterol, tudíž je větší pravděpodobnost, že za deset let zemřu?“ ptá se v rozhovoru Petr Samek.


Pacienti by měli mít nad daty kontrolu

Tento rozměr centrální evidence informací o lécích, zdravotním stavu, diagnózách může podle Samka znamenat omezení občanských práv. Odvozuje z toho, že by tato data měl vlastnit sám pacient a rozhodovat o tom, kdo je bude mít k dispozici.

„Hranice mezi využitelností a zneužitelností dat je tenká a vlastníkem těchto dat bych měl být já. Mám i představu o technickém řešení. Zdravotnická data bych měl mít možnost sdílet jen s tím, u koho to já sám uznám za vhodné. A jestliže říkám sdílet, měl bych mít možnost je vlastnit, a ne že jsou někde na centrálním úložišti, absolutně mimo mou kontrolu. Když už, tak je chci mít u sebe,“ tvrdí Samek.


Pomohly by mobily a elektronické občanky?

Podle Samka by k uložení či sdílení dat bylo možné využít třeba mobilní telefony či elektronické občanské průkazy. „Ideální by bylo, kdyby měl každý svůj lékový záznam u sebe. Technická realizace dnes není problém díky mobilům či elektronickým občanským průkazům.“

„Určitě budu klidnější, když ta data budu mít ve své moci. Sdílení distribuovaných dat je dnes též technicky možné, ale k tomu vývoj evidentně nesměřuje, naopak směřuje k nějaké centrální evidenci,“ uvedl Samek.


Nejjednodušší útok je zevnitř. Stačí bílý plášť a fonendoskop

Pokud by data o pacientech byla shromážděna na centrálním úložišti, je podle Samka přístup k nim relativně snadný. Není k tomu ani třeba sofistikovaných metod, ani žádné speciální technické vybavení.

„Nejjednodušší útok je vždy zevnitř. Vezměte si bílý plášť, fonendoskop a přijďte do libovolné velké nemocnice, kde se doktoři osobně neznají. Garantuju vám, že do půl hodiny seženete počítač s ochotnou sestřičkou, která se k němu přihlásí, abyste se mohl podívat do systému, protože nutně potřebujete data o tom a tom pacientovi. Pokud nebude heslo přímo napsané na monitoru, jak to bývá dobrým zvykem,“ upozornil Samek na slabá místa ochrany.

Jakmile by se takový člověk dostal do vnitřní sítě nemocnice, mohl by tam umístit program, který bude sbírat data a umožní mu další volný přístup do systému. „Nemocnice bezpečnost podceňovaly. Zaplatit si veškeré programy a zařízení, které omezují možnost napadení, není levné. Dnes to ale už snad neplatí, zvlášť u velkých nemocnic, které vědí, co musí v rámci zákona o kybernetické bezpečnosti dělat,“ dodal Samek, který přesto v centrálním úložišti dat o pacientech vidí riziko.


David Garkisch

Foto: Pixnio.com, CC0


Zrušit vztah ke komentáři

Mohlo by vás také zajímat

Bludné balvany: Za homeopatii, hovory s vagínou i zaříkávání rakoviny

Kam zmizelo 300 milionů za eRecept? Zapomeňte. Policie věc odložila