Představme si případ, že budeme potřebovat urgentní pomoc lékaře. Horko těžko se dopravíme do nemocnice a tam zjistíme – chaos.
Na parkovišti je chaos, protože nefunguje parkovací systém. Na recepci je chaos, protože nefunguje systém pro registraci pacientů. Na urgentním příjmu se lékař nemůže dostat k našim lékařským záznamům. A problémy jsou také s přenosem radiologických snímků ze zařízení k lékaři, což snižuje možnosti lékaře efektivně zhodnotit náš stav a určit nejvhodnější další kroky k řešení našeho stavu.
Všichni ale spoléháme, že ta moje nemocnice to nějak zvládne a postará se o mě. No nemusí tomu tak být.
Už před lety se říkalo, že banky pracují s IT technologiemi v tak velkém rozsahu, že se o nich dá v podstatě mluvit jako o technologických firmách. Dnes k tomuto stavu směřujeme i v nemocnicích.
Samotný nemocniční informační systém, který je srdcem nemocničních procesů doplňuje řadu dalších systémů a komponentů. Jsou tam RIS, PACS databáze, docházkové systémy na plánování změn, ekonomické a účetní systémy či vykazování zdravotním pojišťovnám.
K tomu se přidávají inteligentní zdravotnická zařízení schopná uskutečňovat síťovou komunikaci jako RTG, magnetické rezonance, infuzní pumpy, monitorovací stanice pacienta a podobně. A nad tím vším jsou služby elektronického zdravotnictví jako eRecept, ePN a elektronická zdravotní knížka.
Dostáváme se do stavu, kdy provozuschopnost informačních systémů může mít reálné dopady na pacienty a zdraví lidí. Potřebujeme si klást otázky typu: Dokáže se nemocnice adekvátně postarat o pacienty, pokud na dva dny vypadne nemocniční informační systém? Co by udělala nemocnice pro jeho zprovoznění?
Klíčové je, aby vedení nemocnice vnímalo tyto souvislosti a řešilo kybernetickou bezpečnost, která je nezbytná pro zajištění fungování zdravotních služeb v dnešní době.
Úkolem kybernetické bezpečnosti je totiž umožnit společnostem plnit svůj hlavní cíl, jako je například tvorba zisku u komerčních společností, či zajištění plynulého poskytování zdravotní péče při zdravotnických zařízeních ve veřejném i soukromém vlastnictví.
Tak jak mají nemocnice definované a pravidelně testované reakční plány pro krizové situace nárazového nárůstu pacientů například při hromadných autonehodách, výbuších a podobně, tak by měly být připraveny i na ransomwarový útok, selhání techniky, konfigurační chybu zaměstnance a další významné kybernetické hrozby.
Nemocnice a jiná zdravotnická zařízení potřebují mít plán na zmírnění dopadů, když taková situace nastane, a hlavně umět rychle reagovat, pokud například vypadne síťová konektivita nebo celý nemocniční informační systém.
Každý musí vědět, co má dělat, a to i ve velmi stresové situaci, kdy se nám hromadí pacienti, nastane chaos a řešení je zapotřebí co nejdříve.
Pro nemocnice je proto kritické věnovat se budování a udržování plánů kontinuity činností (Business Continuity Planning – BCP) a plánů obnovy (Disaster Recovery Plan – DRP).
Každé zdravotnické zařízení by mělo umět identifikovat a zhodnotit hrozby a scénáře, které by potenciálně mohly vést k ohrožení schopnosti stanovit diagnózu na základě dostupných a pravdivých informací, schopnosti ošetřovat a zachraňovat ohrožené lidské životy a podobně.
Děláte plány kontinuity činností a plány obnovy?
Podívejte se na tyto oblasti
1. Analýza funkčního dosahu (Business Impact Analysis – BIA) je alfou a omegou řízení kontinuity činností. Snažte se identifikovat kritičnost procesů nebo systémů, časové rámce obnovy činností.
2. Pokud provádíte analýzu IT prostředí identifikujte aktiva, hledejte vztahy a závislosti mezi aktivy a procesy, snažte se najít možné body selhání (Single Point Of Failure – SPOF). Je důležité vědět na jakých IT prvcích závisí vaše kritické procesy a systémy. Umíte například říci, co všechno ve vašem IT prostředí musí být dostupné, aby měl lékař v nemocničním informačním systému dostupné potřebné informace pro výkon své práce?
3. Identifikujte hrozby a definujte scénáře, které mohou mít negativní vliv na běžné fungování organizace. Nemusíte se zaměřovat pouze na oblast IT technologií, ale můžete zvážit i oblasti hrozeb jako nedostupnost personálu, pracoviště a médií.
4. Definujte reakční plány pro minimalizaci potenciálních negativních dopadů. Tyto by měly obsahovat podrobnosti s popisem kroků obnovy a odpovědností, spolupráce různých týmů a dodavatelů, komunikační strategie a tak dále.
5. Testujte a zlepšujte své plány například simulačními testy s praktickým nácvikem podle předdefinovaných scénářů, podobně jako to děláte při nácviku evakuace budovy. Prověří se tím adresnost a funkčnost postupů, týmové interakce. Výhodou takového testování je, že nedojde k reálnému výpadku systému. Velmi důležité je však po uskutečnění testu zhodnotit, co bylo dobré a co špatné, a následně plány upravit.
Zdravotnictví na Slovensku je jedním z hospodářských odvětví s nejnižší mírou souladu s požadavky zákona o kybernetické bezpečnosti. Ve výsledku zde táhnou za kratší konec zejména poskytovatelé zdravotní péče ve veřejném vlastnictví.
Je až zarážející, s ohledem na možné dopady, že mnozí poskytovatelé ani nemají vypracované a připravené plány kontinuity činností. Dosud se zřejmě ani systematicky nezabývaly otázkami, jaké procesy a činnosti jsou pro chod nemocnice kritické, jaké údaje a IT komponenty pro jejich provoz potřebují, kolik a jaká data si mohou dovolit ztratit a jak rychle musí dané služby obnovit, aby nedošlo k ohrožení toho nejcennějšího, tedy zdraví pacientů.
We are in the process of finalizing. If you want to be redirected to our old version of web site, please click here.
