Οι περισσότεροι οργανισμοί υγείας λαμβάνουν αρκετά μέτρα ώστε να διασφαλίζουν την ακεραιότητα, την διαθεσιμότητα, την εμπιστευτικότητα και εν τέλει την ασφάλεια των πληροφοριών τους. Τα πιο συνηθισμένα είναι τα εξής:

•    Disaster recovery site,
•    Online back ups τα οποία φυλάσσονται και σε απομακρυσμένο site,
•    Καταγεγραμμένα κι εγκεκριμένα επίπεδα πρόσβασης και συστήματα εξουσιοδοτήσεων τόσο στο internet όσο και στο εσωτερικό δίκτυο και τις εφαρμογές,
•    Υποχρεωτική αλλαγή κωδικών πρόσβασης σε προκαθορισμένα διαστήματα με επιβολή περιορισμών (πολυπλοκότητα, μήκος, επαναχρησιμοποίηση), κλείδωμα χρηστών μετά από κάποιες ανεπιτυχείς προσπάθειες σύνδεσης,
•    Συστήματα Ασφάλειας (firewalls, Antivirus κλπ),
•    Εξασφάλιση για όλο τον κεντρικό μηχανογραφικό και δικτυακό εξοπλισμό ότι δεν υπάρχει single point of failure,
•    Συστήματα ψύξης, πυρόσβεσης κι ελεγχόμενης πρόσβασης στα data centers,
•    Συμβόλαια υποστήριξης για εξοπλισμό, δίκτυα κι εφαρμογές.

Τι άλλο χρειάζεται; Κανείς δεν μπορεί να πει με ακρίβεια, δεδομένου ότι δεν έχει οριστεί ένα επίσημο πλαίσιο για το θέμα της απαιτούμενης ασφάλειας των υποδομών και των εφαρμογών στο χώρο της υγείας.

Έτσι, μέχρι πρότινος, μία προσέγγιση για την αξιολόγηση του επιπέδου ασφάλειας ήταν να χρησιμοποιηθεί ως βάση το ISO27002, καθώς και οι σχετικές οδηγίες της ΑΠΔΠΧ.

Πρώτη και απαραίτητη ενέργεια είναι η ανάλυση επικινδυνότητας στο σύνολο των πληροφοριακών συστημάτων του εκάστοτε οργανισμού, η οποία περιλαμβάνει τα παρακάτω βήματα:
•    Προσδιορισμός Πληροφοριακών Αγαθών,
•    Ορισμός Ιδιοκτητών Πληροφοριακών Αγαθών,
•    Προσδιορισμός και Αποτίμηση Κινδύνων Πληροφοριακών Συστημάτων,

Προσδιορισμός πληροφοριακών αγαθών
Πώς μπορεί να γίνει αξιολόγηση του επιπέδου ασφάλειας που διαθέτει ένας οργανισμός αν δεν έχει επισήμως καταγεγραμμένα τα πληροφοριακά αγαθά του, τα οποία θέλει να προστατέψει; Πόσο μάλλον σε ένα νοσοκομείο που δεν διαχειρίζεται απλώς προσωπικά δεδομένα, αλλά ευαίσθητα προσωπικά δεδομένα. Τα συστήματα υποδομών κι εφαρμογών είναι πάντα γνωστά και επισήμως καταγεγραμμένα. Τι γίνεται όμως με το φυσικό αρχείο, το οποίο σε ένα νοσοκομείο είναι συνήθως μεγάλο, άλλοτε λόγω νοοτροπίας κι άλλοτε λόγω νομικών απαιτήσεων; Η καταγραφή του είναι μια σημαντική διαδικασία, αφενός για την προστασία του, αφετέρου για να αντικατασταθεί, όπου δεν υπάρχει νομική απαίτηση, με ηλεκτρονικά αρχεία. Η καταγραφή λοιπόν του φυσικού αρχείου, με σκοπό την προστασία του, δίνει παρεμπιπτόντως και την ευκαιρία για ανασχεδιασμό διαδικασιών.

Το επόμενο βήμα είναι να οριστούν οι ιδιοκτήτες των πληροφοριακών αγαθών, αυτοί δηλαδή που καθορίζουν πώς, σε ποιόν και υπό ποιές προϋποθέσεις μπορεί να διατεθεί το αγαθό αυτό. Επίσης αποφασίζουν ποιά είναι η πιο επωφελής ισορροπία μεταξύ ασφάλειας και κόστους.

Με την επακριβή καταγραφή των υπό προστασία πληροφοριακών συστημάτων και των αντίστοιχων ιδιοκτητών τους, μπορεί πλέον να υλοποιηθεί η ενέργεια που αφορά στον προσδιορισμό και στην αποτίμηση των κινδύνων για τα συστήματα αυτά.

Η μεθοδολογία σχετικά με τον προσδιορισμό και την αποτίμηση των κινδύνων των πληροφοριακών συστημάτων (τόσο των υποδομών, όσο και των εφαρμογών) περιλαμβάνει τα εξής βήματα:
•    Εκτίμηση της Επιχειρησιακής Επίπτωσης για κάθε πληροφοριακό σύστημα,
•    Αξιολόγηση απειλών κι ευπαθειών ανά σύστημα,
•    Προσδιορισμός διαβάθμισης κινδύνου για κάθε σύστημα.


Επιχειρησιακή Επίπτωση
Εκτίμηση της Επιχειρησιακής Επίπτωσης για κάθε πληροφοριακό σύστημα: εξετάζονται διάφορες επιπτώσεις, οι οποίες κατηγοριοποιούνται ως εξής:
•    Οικονομικές,
•    Λειτουργικές,
•    Σχετικές με πελάτες, 
•    Σχετικές με το προσωπικό. 

Το κάθε σύστημα, για όλες τις παραπάνω κατηγορίες επιπτώσεων εξετάζεται ξεχωριστά ως προς την επιχειρησιακή επίπτωση που θα είχε ενδεχόμενη απώλεια της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των πληροφοριών του

Αξιολόγηση απειλών κι ευπαθειών ανά σύστημα: μπορεί να εξεταστεί πλήθος απειλών/ευπαθειών οι οποίες σε γενικές γραμμές κατηγοριοποιούνται ως εξής: 
•    εξωτερική απειλή,
•    εσωτερική εσφαλμένη χρήση ή κατάχρηση,
•    κλοπή,
•    δυσλειτουργία συστήματος,
•    διακοπή υπηρεσίας,
•    απρόβλεπτες συνέπειες αλλαγών, 
•    ανθρώπινο λάθος. 

Για κάθε μία από τις εξεταζόμενες απειλές/ευπάθειες, το κάθε σύστημα βαθμολογείται διαφορετικά, με βάση την αρχιτεκτονική του, τη χρήση του και τα τεχνικά του χαρακτηριστικά.

Προσδιορισμός συνολικής διαβάθμισης 
πληροφοριακού κινδύνου ανά σύστημα

Τα αποτελέσματα των 2 προηγούμενων βημάτων, με τη χρήση κατάλληλων εργαλείων, μπορούν να δώσουν μια πολλή αναλυτική αποτύπωση του επιπέδου ασφαλείας για τα πληροφοριακά συστήματα ενός οργανισμού

Ένα προφανές συμπέρασμα από την παραπάνω διαδικασία είναι ότι η πιθανότητα εμφάνισης ενός κινδύνου, δεν είναι ο ίδιος για όλα τα πληροφοριακά συστήματα, ή αν είναι η ίδια, δεν έχει την ίδια βαρύτητα. Άρα λοιπόν δεν αρκούν μόνο οριζόντια μέτρα ασφάλειας, είναι απαραίτητη και η καθετοποιημένη εξειδίκευση των μέτρων.

Ένα άλλο συμπέρασμα είναι η σημαντικότητα της τυποποίησης των διαδικασιών. Έτσι, είναι απαραίτητη η δημιουργία ενός Συστήματος Ασφάλειας Πληροφοριακών Συστημάτων και Πληροφοριών. Αυτό θα περιλαμβάνει τόσο την πολιτική ασφαλείας του οργανισμού, όσο κι ένα σύνολο προτύπων και διαδικασιών, οι οποίες θα καλύπτουν όλο το φάσμα διαχείρισης, λειτουργίας και ασφάλειας των πληροφοριακών συστημάτων. 

Βέβαια, οι διαδικασίες δεν αρκεί να γραφτούν, πρέπει και να τηρούνται. Σε αυτόν τον τομέα πρέπει να γίνει μεγάλη προσπάθεια ενημέρωσης κι ευαισθητοποίησης του προσωπικού, ως προς τη μεγάλη σημασία της ασφάλειας στο χώρο ενός Νοσοκομείου. Είναι απαραίτητο να επισημανθεί η θετική επίδραση της τήρησης των διαδικασιών για τη διασφάλιση του ίδιου και της εργασίας του. Πολλές φορές κάθε τι καινούργιο που εισάγεται στην καθημερινότητά ενός εργαζομένου θεωρείται αρχικά μια νέα επιβάρυνση. Πάντα η κουλτούρα είναι κάτι που αλλάζει αργά και σταδιακά. Η εμπειρία όμως έχει δείξει ότι σταδιακά, όλοι αποδέχονται και εφαρμόζουν τις διαδικασίες σχετικά με την ασφάλεια, καθώς διαπιστώνουν ότι έτσι υπάρχουν σημεία αναφοράς και, το κυριότερο, εξασφαλίζεται παντού η συνέχεια, ανεξαρτήτως προσώπων.

Το να γίνει η έννοια της ασφάλειας μέρος της κουλτούρας του Οργανισμού, ειδικά σε ένα νοσοκομείο, όπου υπάρχει ετερογενές προσωπικό, είναι κάτι που δεν επιβάλλεται αλλά καλλιεργείται, και απαιτεί τόσο την συνεχή κι επίμονη προσπάθεια όσων το έχουν αναλάβει, όσο και τη στήριξη και αφοσίωση της Διοίκησης σε αυτό.

Συμπερασματικά, η ασφάλεια είναι μια συνεχής διαδικασία, καθώς συνεχώς εφαρμόζονται νέες τεχνολογίες, οι οποίες συνήθως επιφέρουν και νέες απειλές. 

Επιπλέον, στην κοινωνία της πληροφορίας, ο κάθε οργανισμός δεν είναι πλέον απομονωμένος, αλλά επικοινωνεί διαδικτυακά με πελάτες, προμηθευτές, συνεργάτες. Ο κάθε οργανισμός προσπαθεί συνεχώς να εφαρμόζει προληπτικά ή διορθωτικά μέτρα ασφάλειας, ποτέ όμως δεν μπορεί να ξέρει με σιγουριά ότι είναι πλήρως προστατευμένος από κάθε νέα απειλή που εμφανίζεται. Επιπλέον, δεν αρκεί πλέον μόνο η προστασία των δεδομένων στο χώρο ενός οργανισμού, περισσότερο σημαντική είναι η ασφάλεια στον τρόπο που τα μεταφέρει και με τον τρόπο με τον οποίο επικοινωνεί.

Ειδικότερα στο χώρο της υγείας, οι οργανισμοί (πάροχοι υπηρεσιών υγείας και ασφαλιστικές εταιρείες) ολοένα και περισσότερο ανταλλάσουν ευαίσθητα προσωπικά δεδομένα μέσω του διαδικτύου. Επίσης, οι γιατροί και οι ασθενείς ολοένα και περισσότερο ζητούν απομακρυσμένη πρόσβαση στα ιατρικά τους αρχεία. Έτσι, είναι πλέον επιτακτική ανάγκη η χάραξη εθνικής στρατηγικής ασφαλείας για τα συστήματα δικτύου και πληροφοριών, η οποία θα καθορίζει, όχι μόνο τους στρατηγικούς στόχους αλλά και τις συγκεκριμένες δράσεις που πρέπει να εφαρμοστούν, πάντα σε συνάρτηση με το ευρύτερο Ευρωπαϊκό και διεθνές περιβάλλον.

Η κ. Ουρανία Θεολογίτη είναι Διευθύντρια Εφαρμογών Πληροφορικής Ομίλου ΙΑΣΩ