SUVI

Razvoj in uporaba sodobnih informacijskih rešitev prinašata številne prednosti za posameznike, organizacije in celotno družbo – od večje učinkovitosti in dostopnosti storitev do izboljšane kakovosti odločanja. Kljub temu pa digitalizacija prinaša tudi vrsto tveganj, ki lahko ogrozijo zaupnost, celovitost in razpoložljivost informacij. Ta tveganja je v veliki meri mogoče obvladovati z ustreznimi varnostnimi ukrepi, premišljenimi postopki in odgovornim ravnanjem vseh uporabnikov.

V vsakdanjem življenju smo pogosto priča poročilom o hekerskih napadih, okužbah z zlonamerno programsko opremo ter zlorabah osebnih in občutljivih podatkov. Tako kot v fizičnem svetu tudi v digitalnem okolju ni mogoče popolnoma odpraviti vseh nevarnosti, mogoče pa je bistveno zmanjšati verjetnost njihove uresničitve. Poleg tega lahko z ustrezno pripravljenostjo, načrti odzivanja in preventivnimi ukrepi pomembno omejimo posledice morebitnih incidentov.

Zagotavljanje informacijske varnosti je zato skupna odgovornost vseh deležnikov. V kontekstu slovenskega zdravstva to vključuje Nacionalni inštitut za javno zdravje (NIJZ) kot upravljavca rešitev eZdravja, podjetja, ki razvijajo in vzdržujejo informacijske sisteme, izvajalce zdravstvenih storitev ter končne uporabnike. Vsak od teh akterjev ima pomembno vlogo pri zagotavljanju varnega in zanesljivega delovanja informacijskega okolja.

NIJZ je k obvladovanju varnostnih izzivov pristopil sistematično z vzpostavitvijo sistema upravljanja varovanja informacij (SUVI). Gre za strukturiran in celovit pristop, ki temelji na prepoznavanju, ocenjevanju in obvladovanju tveganj. Proces vzpostavitve SUVI vključuje več ključnih korakov: analizo obstoječega stanja, identifikacijo in oceno tveganj, določitev ustreznih varnostnih ukrepov ter njihovo učinkovito implementacijo. Pomembno je poudariti, da SUVI ni enkraten projekt, temveč stalen, cikličen proces, ki zahteva redno spremljanje, preverjanje učinkovitosti ter sprotno posodabljanje glede na nove grožnje in tehnološki razvoj.

Vzpostavitev SUVI organizacijam prinaša številne koristi. Med drugim izboljšuje zavedanje o pomenu informacijske varnosti, omogoča boljše upravljanje tveganj, spodbuja sistematično načrtovanje varnostnih ukrepov ter vzpostavlja jasne postopke za zaznavanje, prijavo in obravnavo varnostnih incidentov. Poleg tega prispeva k večjemu zaupanju uporabnikov, partnerjev in širše javnosti, saj organizacija izkazuje odgovoren odnos do varovanja podatkov.

Pomemben vidik uvajanja SUVI predstavlja tudi zakonodajni okvir. Predpisi, kot so Zakon o informacijski varnosti (ZInfV-1), Zakon o kritični infrastrukturi (ZKI-1) ter Splošna uredba o varstvu podatkov (GDPR), od organizacij zahtevajo vzpostavitev ustreznih varnostnih mehanizmov in sistemov upravljanja. Neizpolnjevanje teh zahtev lahko vodi do pravnih posledic, vključno z denarnimi kaznimi, hkrati pa povečuje izpostavljenost organizacij varnostnim incidentom.

Zaradi vseh navedenih razlogov – koristi za organizacijo, skladnosti z zakonodajo ter prispevka k splošni ravni informacijske varnosti v slovenskem zdravstvenem prostoru – NIJZ priporoča podjetjem, ki razvijajo in vzdržujejo informacijske rešitve v zdravstvu, ter srednje velikim in večjim izvajalcem zdravstvenih storitev, da vzpostavijo lasten sistem upravljanja varovanja informacij (SUVI), če tega še niso storili.

V podporo tem prizadevanjem je NIJZ pripravil tudi prosto dostopno gradivo, ki služi kot praktičen pripomoček pri načrtovanju, vzpostavitvi in nadaljnjem razvoju SUVI, ter organizacijam pomaga pri učinkovitem in sistematičnem upravljanju informacijske varnosti.

Varno ravnanje s podatki predstavlja temelj učinkovitega upravljanja informacijskih sistemov, zlasti v zdravstvu, kjer se obdelujejo občutljivi osebni in zdravstveni podatki. Poleg dobrih praks in strokovnih smernic morajo organizacije upoštevati tudi zahteve zakonodaje, zlasti ZInfV-1, ki za izvajalce bistvenih in pomembnih storitev uvaja dodatne obveznosti na področju upravljanja tveganj, zaščite sistemov ter obvladovanja incidentov.

ZInfV-1 tako izvajalcem bistvenih in pomembnih storitev, kamor sodi velik del javnih zdravstvenih zavodov in drugih (večjih) izvajalcev zdravstvene dejavnosti, nalaga naslednje zahteve:

• Organizacija mora vzpostaviti celovit sistem upravljanja informacijske varnosti (SUVI), ki vključuje jasno opredeljene odgovornosti, vloge in pristojnosti (tudi imenovanje odgovorne osebe za informacijsko varnost). Vodstvo mora aktivno podpirati sistem in zagotavljati potrebne vire, kar predstavlja eno ključnih zahtev ZInfV-1.
• Vzpostaviti je treba sistematično upravljanje tveganj, ki vključuje redno identifikacijo, analizo in ocenjevanje tveganj ter izbiro ustreznih ukrepov za njihovo obvladovanje. Proces mora biti dokumentiran, ponovljiv in redno posodabljan glede na spremembe v okolju, tehnologiji in grožnjah.
• Organizacija naj sprejme in redno posodablja notranje akte in politike (npr. pravilnik o varstvu osebnih podatkov, pravilnik o ravnanju z informacijskimi sredstvi, varnostno politiko), ki določajo pravila ravnanja, postopke in kontrolne mehanizme. Ti dokumenti predstavljajo temelj skladnosti z ZInfV-1.
• Vzpostaviti je treba sistem upravljanja varnostnih incidentov, ki vključuje zaznavanje, prijavo, obravnavo, analizo in poročanje incidentov. Za izvajalce bistvenih in pomembnih storitev je ključna tudi obveznost pravočasnega obveščanja pristojnih organov ter vodenje evidence incidentov.
• Zagotoviti je treba neprekinjeno poslovanje in okrevanje po nesrečah (BCP/DRP), vključno z izdelavo načrtov, rednim testiranjem ter jasno določenimi postopki za ponovno vzpostavitev delovanja ob večjih motnjah ali incidentih.
• Posebno pozornost je treba nameniti upravljanju varnosti dobavne verige, kar vključuje preverjanje varnostnih praks zunanjih izvajalcev, pogodbeno urejanje varnostnih zahtev ter nadzor nad dostopi tretjih oseb do informacijskih sistemov.
• Dostopi do informacijskih sistemov, aplikacij in podatkov morajo biti ustrezno upravljani in nadzorovani. To vključuje uporabo močnih gesel, večfaktorske avtentikacije, upravljanje identitet ter dodeljevanje pravic po načelu najmanjših privilegijev in potrebe po dostopu.
• Dostop do zdravstvenih in drugih občutljivih podatkov mora biti strogo omejen, sledljiv in nadzorovan. Obvezno je beleženje dostopov in aktivnosti (revizijske sledi), njihovo redno pregledovanje ter sposobnost zaznavanja nepravilnosti in zlorab.
• Organizacija mora zagotavljati ustrezno raven tehnične zaščite sistemov, vključno z rednim posodabljanjem, uporabo protivirusnih rešitev, požarnih zidov, sistemov za zaznavanje in preprečevanje vdorov (IDS/IPS) ter segmentacijo omrežij.
• Vzpostaviti je treba stalno spremljanje in zaznavanje varnostnih dogodkov, kar vključuje uporabo orodij za nadzor (npr. SIEM), analizo dnevniških zapisov ter proaktivno odkrivanje anomalij.
• Zagotoviti je treba redno izvajanje varnostnih kopij podatkov, njihovo zaščito (npr. ločena hramba, šifriranje) ter periodično testiranje obnovitve, da se preveri učinkovitost postopkov v praksi.
• Pomemben element je tudi ozaveščanje in usposabljanje zaposlenih, saj človeški dejavnik pogosto predstavlja enega največjih varnostnih tveganj. Usposabljanja naj bodo redna in prilagojena vlogam zaposlenih.
• Organizacija mora skrbeti za ustrezno dokumentiranje vseh varnostnih ukrepov, postopkov in odločitev, kar omogoča sledljivost, nadzor in dokazovanje skladnosti z zakonodajo.
• Priporočljivo je izvajanje rednih varnostnih pregledov, testiranj in revizij (npr. penetracijski testi, notranje in zunanje presoje), s čimer se preverja dejanska učinkovitost uvedenih ukrepov.
• Kjer je primerno, naj organizacija uvede tudi kriptografske ukrepe (šifriranje podatkov v mirovanju in prenosu), zlasti pri obdelavi občutljivih zdravstvenih podatkov.

Urad RS za informacijsko varnost (URSIV) je na svoji spletni strani objavil vzorčno dokumentacijo, ki je namenjena organizacijam kot izhodišče in pomoč pri vzpostavitvi skladnosti s prej naštetimi zahtevami ZInfV-1. Predstavlja dobro izhodišče za vzpostavitev in nadgradnjo SUVI.

1 Politika informacijske varnosti, ver. 1.0
2 Metodologija popisa, ver. 1.0
3 Analiza obvladovanja tveganj, ver. 1.0
3a Register tveganj – priloga, ver. 1.0
3b Register izjem – priloga, ver. 1.0
4 Politika neprekinjenega poslovanja, ver. 1.0
4a Načrt neprekinjenega poslovanja, ver. 1.0
4b Analiza vplivov na poslovanje, ver. 1.0
5 Načrt obnovitve in ponovne vzpostavitve, ver. 1.0
6 Načrt odzivanja na incidente, ver. 1.0
7 Načrt varnostnih ukrepov, ver. 1.0
8 Politika s postopki za presojo učinkovitosti, ver. 1.0

Dodatne smernice za zagotavljanje informacijske varnosti

Za dodatno podporo pri zagotavljanju informacijske varnosti so na voljo številni domači in mednarodni dokumenti, ki vsebujejo konkretne napotke, standarde in dobre prakse.

• Smernice ENISA za izvajanje zahtev direktive NIS2
• Okvir NIST (CSF)
• Smernice organizacije ENISA za zagotavljanje kibernetske varnosti v bolnišnicah
• Standardi ISO/IEC serije 27000 (predvsem ISO/IEC 27001 in 27002)
• Priporočila OWASP (npr. OWASP Top 10) za varnost spletnih aplikacij.
• Smernice Evropskega odbora za varstvo podatkov o izdelavi Ocene učinkov na varstvo podatkov (DPIA).
• Priročnik kibernetske varnosti, ki ga je objavil URSIV.

Podjetja, ki razvijajo in vzdržujejo informacijske rešitve v zdravstvu, imajo ključno vlogo pri zagotavljanju varnosti, saj so pogosto neposredno vključena v obdelavo občutljivih zdravstvenih podatkov in del širšega ekosistema izvajalcev bistvenih in pomembnih storitev. Zato je nujno, da poleg splošnih smernic dosledno upoštevajo tudi napredne varnostne pristope ter zakonodajne zahteve (GDPR, ZInfV-1).

Med pomembnejšimi zahtevami in priporočili so:

• Razvoj rešitev naj temelji na načelih »security by design« in »privacy by design«, kar pomeni, da so varnostni in zasebnostni vidiki vključeni že v fazi načrtovanja in ne šele naknadno.
• Izvedba ocene učinka v zvezi z varstvom podatkov (DPIA) je obvezna v primerih obsežne obdelave zdravstvenih podatkov. Čeprav je formalno odgovoren upravljavec, morajo razvijalci aktivno sodelovati pri identifikaciji tveganj, tehničnih rešitev in zaščitnih ukrepov.
• Zagotoviti je treba varen življenjski cikel razvoja programske opreme (Secure SDLC), ki vključuje varnostne preglede kode, testiranja (npr. statična in dinamična analiza), obvladovanje ranljivosti ter nadzor nad spremembami.
• Pri razvoju spletnih in mobilnih aplikacij je priporočljivo upoštevati smernice OWASP (npr. OWASP Top 10), ki predstavljajo standard za odpravljanje najpogostejših ranljivosti.
• Posebno pozornost je treba nameniti upravljanju dostopov in avtentikaciji, vključno z varnim upravljanjem sej, zaščito API-jev ter implementacijo večfaktorske avtentikacije tam, kjer je to smiselno.
• Zagotoviti je treba ustrezno zaščito podatkov (šifriranje podatkov v prenosu in mirovanju, psevdonimizacija, minimizacija podatkov), zlasti kadar gre za zdravstvene podatke.
• Razvijalci morajo upoštevati tudi zahteve glede upravljanja varnosti dobavne verige – to vključuje uporabo preverjenih knjižnic, spremljanje ranljivosti v odvisnostih ter zagotavljanje sledljivosti komponent.
• Pomemben vidik je tudi beleženje in spremljanje dogodkov, ki omogoča zaznavanje incidentov ter forenzično analizo.
• Zagotoviti je treba redno posodabljanje in odpravljanje ranljivosti, vključno z jasno določenimi postopki za obveščanje naročnikov o varnostnih pomanjkljivostih.
• V primeru sodelovanja z izvajalci bistvenih ali pomembnih storitev morajo razvijalci zagotoviti, da njihove rešitve omogočajo izpolnjevanje zahtev ZInfV-1 (npr. revizijske sledi, poročanje incidentov, visoka razpoložljivost).