Možno ste v posledných dňoch zachytili návrh zákona z dielne Ministerstva zdravotníctva na vytvorenie elektronickej zdravotnej karty (ďalej už len EZK), ktorý ministerstvo dalo na pripomienkovanie a zároveň vyhlásilo súťaž na zhotoviteľa systému za 33 miliónov eur.
Verím, že väčšina obyvateľstva v tomto systéme vidí výhody a že sa pozitívne prejavia po spustení a doladení systému, pokiaľ teda bude fungovať ako má a dodávateľ bude schopný promptne riešiť všetky vzniknuté situácie. Určite sú nadšení lekári, i keď niektorí majú až panický strach z používania počítačov a dodnes všetky správy klepú dvoma prstami. Zdravotný personál s prístupom do systému však jeho kvality určite ocení, čo by sa mohlo prejaviť aj na skvalitnení práce.
Toľko k snom, poďme k problémom.
Okamžite po zverejnení tejto informácie sa ozvali negatívne hlasy, ktoré sa obávajú o bezpečnosť a teda zneužiteľnosť systému. Pravdou je, že identifikovať možné bezpečnostné riziká systému sa dajú bez bližšej analýzy pomerne jednoducho. Samotný návrh už teraz obsahuje pasáže, ktoré sú v najjemnejšom slova zmysle problematické a vyvolávajú dojem veľkého brata.
Pri prechádzaní komentárov, ktoré sa vyjadrovali na túto tému (ako napríklad komentár Lukáša Filu) som si všimol jednu celkom zaujímavú a potešujúcu vec. Komentátori, ktorí nepatria priamo do odbornej verejnosti, nezabudli upozorniť na prípad okolo NBÚ, ktorý je dnes už takou malou slovenskou legendou. Keby teda táto kauza nikdy nevznikla, pravdepodobne by sa ani neboli objavovali otázky na tému bezpečnosti EZK, resp. by sa obmedzili len na odbornú komunitu.
Obavy neplynú len z možných bezpečnostných rizík tejto veľmi kritickej aplikácie, ale samozrejme aj z procesu obstarávania a následného vyhotovenia, ktoré môže značne zvýšiť už tak vysoké riziko bezpečnostných problémov systému.
Návrh pre EZK, resp. EZKO (elektronická zdravotná knižka občana), si môžete prečítať tu (doc), alebo v dokumente zobrazenom nižšie.
Podľa návrhu majú byť informácie šifrované a prístupné len na povolenie samotného majiteľa, čo je väčšinou pacient (v určitých prípadoch ho totižto zastupujú iné osoby). Šifrovanie je samozrejme veľmi podstatné, no bohužiaľ som sa v praxi stretol s viac než dosť prípadmi, kedy aj napriek využívaniu veľmi silného kryptovacieho algoritmu sa využívali slabé kľúče, resp. sa dal získať prístup k privátnemu kľúču, atď. Výsledkom je potom absolútne nulová účinnosť šifrovania. Problémom pri šifrovaní je aj správne zvolenie privátneho kľúča a taktiež správca a miesto uloženia kľúčov.
Ďaleko závažnejšia informácia je, že zo systému sa nedá vystúpiť! Podľa návrhu:
Vystúpenie zo systému (Opt-out) spočíva v odoprení súhlasu k prístupu k informáciám EZKO iným osobám. Toto vystúpenie zo systému umožňuje opätovný vstup do systému (Opt-in) bez straty relevantných zdravotných informácií, čo je dôležité najmä závažných zdravotných stavoch, keď tieto informácie sú veľmi relevantné pre poskytnutie ZS a hodnotový systém pacienta sa mení tak, že poskytnutie lepšej zdravotnej starostlivosti je vyššou hodnotou ako riziko súvisiace so sprístupnením jeho zdravotnej dokumentácie PZS.
Tento odsek jasne hovorí o tom, že zo systému sa vystúpiť nedá a v prípade rizikového prípadu sa bude dať získať prístup do dokumentácie aj bez povolenia jej majiteľa. Ľudovo povedané, niekto rozhodne o tom, že niekto iný dostane prístup do dokumentácie pacienta bez jeho vedomia. Na akom základe sa tak udeje, ako to bude kontrolované, aké sú prípadne postihy však už známe nie je. Podľa doterajších skúseností to bude v procese rozhodovania hrať veľkú úlohu hod mincou.
S týmto systémom kategoricky nesúhlasím a to hlavne z dôvodu, že
EZKO nenahrádza primárnu zdravotnú dokumentáciu vedenú príslušnými PZS v zmysle platnej legislatívy, ale je sekundárnou zdravotnou dokumentáciou …
Teda, v prípade skutočne rizikového prípadu je možné získať dokumentáciu priamo u lekára, ktorý ju aktuálne spravuje a je teda aj zodpovedný za jej bezpečnosť.
Podľa návrhu sú všetky EZK centralizované u “Národného operátora eHealth”, čo dáva tušiť, že vždy budú existovať osoby, ktoré budú mať 100% prístup ku všetkým informáciám. Pri výške platov v štátnej správe si nie je problém domyslieť, koľko by stálo odkúpenie takejto databázy pre poisťovňu, alebo kohokoľvek iného.
Samotné poisťovne určite tento návrh vítajú s nadšením. Ak by sa poisťovňa totižto dostala k lekárskym záznamom všetkých občanov, poľahky by na základe dataminingu dokázala určiť skupinu najmenej rizikových občanov, ktorých by s nadšením prijala pričom najrizikovejšiu skupinu by mohla veľmi jednoducho vylúčiť a prenechať inej poisťovni, ktoré takéto informácie nemá.
Nakoľko je táto teória pritiahnutá za vlasy nechám na vás. Skúsenosti so súkromným sektorom však hovoria, že ten vždy uprednostňuje zisk (nie že by to predstavitelia nášho štátu robili nebodaj nejak inak) pred blahom kohokoľvek.
Keď si pozriete návrh obsahu EZKO (xls), uvidíte tam plno veľmi zaujímavých informácií, ktoré budú uchovávané o každom pacientovi.
Overenie majiteľa dokumentácie bude podľa návrhu prebiehať na základe “minimálne dvoch autentizačných mechanizmov (napr. vlastníctvo – token a vedomosť – PIN, a / alebo biometrika)”, pričom “záznamy do EZKO nevyžadujú zaručený elektronický podpis”.
Napriek výzve Ministerstva financií SR “Národný projekt: Elektronická identifikačná karta” (elektronický občiansky preukaz), bude musieť každý majiteľ EZKO poznať PIN kód, nosiť so sebou kalkulačku pre výpočet pasívneho, či dokonca aktívneho tokenu, alebo odovzdať dobrovoľne všetky otlačky prstov, či iné biometrické identifikačné údaje. Ja viem, že už dnes sa odovzdávajú biometrické údaje pre nové doklady, no i tam som zásadne proti.
Netreba zabúdať aj na samotných zdravotných pracovníkov. Podľa návrhu, dáva majiteľ EZK prístup lekárovi, alebo inej osobe k jednotlivým častiam. Lekár tak získa prístup a určité práva k dokumentácii pacienta. Otázka je, na ako dlho získava tento prístup, ako bude prístup monitorovaní, ako bude môcť pacient zakázať prípadne prístup k svojej dokumentácii, atď. Otázok sa naskytá viac než dosť.
Stačí si predstaviť ktoréhokoľvek počítačového analfabeta, ako striktne obmedzuje prístup lekárovi do celej zdravotnej dokumentácie, alebo ako lekár bude prosiť pacienta o prístup do jednotlivých častí samostatne. Výsledkom bude, že systém ostane časom otvorený a prístupný pre celý zdravotný personál, lebo je to tak ľahšie pre všetkých.
Tu je zoznam bodov, ktoré považujem za problematické z pohľadu bezpečnosti celého systému:
- Informácie sú centralizované na jednom mieste a teda bude existovať minimálne jedna osoba s plným prístupom k týmto informáciám
- Nie je určený spôsob monitorovania prístupu k dátam rovnako ani kontrolný orgán, ktorý by dokázal odhaliť neautorizovaný prístup k informáciám
- Z EZKO sa nedá vystúpiť, karta je len zablokovaná pre prístup “z vonku”
- Existuje osoba, ktorá môže nariadiť prístup k EZK bez vedomia jej majiteľa
- Na autentifikáciu osoby je vyžadovaná dvojstupňová autentifikácia na základe PINu, Tokenov, resp. biometrických údajov. Tento spôsob autentifikácie nijakým spôsobom nezabraňuje MITM (Man-in-the-Middle) útokom
- Na autentifikáciu osoby nie je využívaný ZEP (zaručený elektronický podpis)
- K dátam bude mať pravdepodobne prístup aj dodávateľ (je veľmi nepravdepodobné, že vznikne umelo vygenerovaná vzorka testovacích dát, nad ktorými by dodávateľ vytvoril samotnú aplikáciu)
- Nie je určená zodpovednosť dodávateľa za prípade zlyhanie systému a to vrátane bezpečnosti
- Nie sú určené potrebné audity aplikácie, záťažové testy, atď., ktoré by aplikáciu dokázali relatívne presne otestovať a predísť tak prípadným problémom
- Nie je určený spôsob zálohovania dát (v UK sa pravidelne objavujú prenosové médiá plné citlivých dát, u nás sa tiež už parkrát našli)
- Nie je jasné, ako presne budú limitovaní zdravotní pracovníci, ktorí budú mať prístup k EZK
Zoznam problematických miest určite nie je konečný. Ten by sa dalo vytvoriť až po skutočne hlbokej analýze a mesiacoch diskusie s odborníkmi, ktorých sa systém priamo, či nepriamo dotýka.
Záver
Je potrebné si uvedomiť, že EZK je jedna z najkritickejších aplikácií, aké možno vytvoriť. Ani stav finančného konta nie je dôležitejší ako informácie o zdravotnom stave pacienta. Ak by sa napríklad súdený vrah dozvedel o smrteľnej alergii sudcu na oriešky, aké by to malo následky? Prípady, kedy policajti nemali problém predať informácie mafii sme na Slovensku už mali a určite je ich plno, o ktorých nevieme. Zdravie pacienta sa síce vyvíja, ale jeho história sa nemení. Preto sa môže v nepravých rukách stať smrteľnou zbraňou, či výborným marketingovým nástrojom. Je nesmierne dôležité celý systém navrhnúť čo najprecíznejšie za pomoci odbornej ale i laickej verejnosti. A to je presne to, čoho sa tu vôbec nedočkáme. Preto považujem tento nápad za absolútne tragický a na dôsledky asi dlho čakať nebudeme.
Ešte zaujímavé bude sledovať, kto sa prihlási do výberového konania. Ja už mám troch svojich favoritov a čo vy?
Ja verím, že výberové konanie bude nastavené spravodlivo. Predsa len musíme priznať, že výberové konania, ktoré štát robí dnes sú zbytočne komplikované. Keby bolo vo výberovom konaní jasne napísané, že názov dodávateľskej firmy musí začínať na “T” a končiť na “empest”, tak by sa predišlo zbytočným prieťahom v samotnom výbere a mohlo by sa dať viac peňazí zodpovedným pracovníkom danej firmy.
#1 Danoboss: pekne si to napisal
Ale teraz už vážne, ak som všetko správne pochopil, tak v kritických prípadoch vedia získať prístup aj bezo mňa. Takže modelová situácia – stala sa nehoda, som v bezvedomí, zobrali ma na pohotovosť a potrebujú moje údaje z elektronickej karty. Akým spôsobom by mohli byť riešené “vyššie práva prístupu” (v zmysle, možnosť dostať sa k mojim údajom aj bez tajného pinu)?
1) Teoreticky by si každý pacient mohol zvoliť komu vyššie práva prístupu poskytne, napríklad svojmu osobnému lekárovi, s ktorým by sa pohotovosť mohla spojiť a ten by im údaje povedal. Toto riešenie by malo výhodu v tom, že údaje ku ktorým sa dá dostať aj bez pinu by boli silne decentralizované a navyše by sme si sami mohli de facto vybrať komu tieto údaje poskytneme, ak svojmu osobnému lekárovi natoľko neveríme, tak môžeme si nájsť iného.
2) Že by sa v každej nemocnici nachádzal “zodpovedný” pracovník, ktorý by sa pomocou nejakého vyššieho kľúča vedel dostať ku ktorejkoľvek karte. Toto riešenie je obzvlášť nebezpečné, pretože ľudí s plným právom k všetkým údajom by boli desiatky až stovky a riziko, že to niekto zneužije je obrovské, oveľa vyššie ako keď to má iba pár ľudí.
3) Jedno centralizované miesto s ktorým by sa teoreticky v prípade potreby dalo spojiť a údaje by vydalo. Výhodou by bolo že takéto miesto sa dá lepšie kontrolovať ohľadne vydávania údajov, nevýhoda by bola centralizácia, oveľa vyššia škoda v prípade úniku údajov, samozrejme na takéto miesto by šlo aj viac hackerských útokov, takže v prípade že by sa zrovna nejaký podaril a odstavil servery tejto inštitúcie, tak by sa ohrozili ľudské životy.
Problémom je, že ani možnosti ktoré navrhujem ja, nie sú zďaleka dokonalé, ale riešia aspoň niečo. Súčasné nastavený systém s problémami ktoré spomenul Rasťo je úplne nemysliteľný.
Potreba núdzového prístupu sa preceňuje. Liečebné postupy na záchranu života sú postavené tak, aby zachránili pacienta bez ohľadu na jeho anamnézu. Navyše, pacienti s rizikom životohrozujúcich stavov sú už dnes dostatočne offlinovo onálepkovaný (diabetici, hemofilici…) sami a dobrovoľne vo vlastnom záujme. Takže nie je dôvod byť v tomto bode benevolentný a vzdať sa jediného správneho riešenia a to je súdny príkaz. Aj v justícii sa slúžia pohotovosti.
Vidím do systému práce s dátami pacienta zvnútra a viem, že akýkoľvek novoinštalovaný systém eHealth je krok k vyššej bezpečnosti. Len nesmie byť centralizovaný a všeobjímajúci a hlavne do neho nesmú mať prístup zdravotnícky pracovníci. ;-)
Čo ma na týchto projektoch štátnych dátových skladov poburuje je absolútna ignorácia výhod EU z veľkosti. Každá krajina sa drbe na svojom piesočku, opakuje rovnaké chyby namiesto výmeny skúseností a vyšľachtenia jedného-dvoch kvalitných systémov. Nech si ho každá krajina spravuje, inštaluje sama a oddelene, ale nech sa na jeho vývoji podieľame spoločne.
#4 Piki: Nevrav mi, že ľudia čo sú alergickí na určité druhy liekov zo sebou nosia napríklad náramok “Nie penicilín”?
#5 Danoboss:
Ono aj ked mas pri sebe karticku kde je napisana tvoja krvna skupina urobia rychlo test. Tomu ziaden zdravotnik nebude verit. Predstav si ze by ti niekto podvrhol naramok s krvnou skupinou, zdravotnik sa podla toho zariadi, umries ale zodpovednost je na zdravotnikovy.
Myslis ze obstoji pred sudom argument “mal to napisane na naramku”?
#5 Danoboss: Nie, fakt neverím, že v prípadoch kde rozhodujú sekundy sa robia pre istotu testy, konkrétne tvoj prípad asi nebol príliš dobrý, pretože v prípade, že potrebuješ nutne rýchlo transfúziu a nevedia krvnú skupinu, tak ti dajú 0- ako univerzál.
pokial si spravne pamatam, tak v USA uz zaviedli v sociologii pojem tzv. geneticka diskriminacia (alebo nieco podobne), ze v pripade ak by niekto diskriminoval na zaklade zdravotneho stavu (alebo dedicnych chorob a pod.), tak by sa musel zodpovedat. ale neviem teraz, ci uz je to aj niekde dalej posunute.
#8 dusoft: Ale v tomto prípade ide o to, že tej poisťovni nedokážeš, že napríklad tými záznamami disponovala. A odmietnuť ťa poistiť môžu na základe niečoho iného a tváriť sa, že o tvojich dedičných, finančne náročných chorobách nevedia.
Mne stále chýba informácia o POČTE ľudí oprávnených pristupovať k tým údajom. Pretože to nebudú len “poskytovatelia zdravotnej starostlivosti”, ale aj úradníci ministerstva, Úradu pre dohľad nad zdravotnou starostlivosťou, a tak. Ono sa dá argumentovať, že tí majú prístup aj teraz (kvôli riešeniu sťažností a podobne), ale kým doteraz len prípad od prípadu, v prípade centralizovanej databázy je to predsa len iné… Ako bude zabezpečený prístup z tejto strany, a čo je ešte dôležitejšie, ako bude kontrolovaný? Veď skôr na týchto úradoch ako v ordináciách budú politickí nominanti…
Včera bežal na britskej ITV dokument, ako jednoducho sa dajú kúpiť zdravotne záznamy Britov v Indii. A to preto, že poisťovne tam majú call centrá a napr. do Indie posielajú rukou písané recepty, aby ich prepisovali do databáz!
tender: asseco (microsoft)
odmysliac od vecnej spravnosti tejto diskusie sa obavam, ze v pozadi takto sfusovaneho dielka/cely projekt ezk/ je len elementarna tuzba zainteresovanych spolocnosti otocit pocas tejto vlady/vratane podielu na lupe vopred predurcenym politickym nominatom a stranam/ este nejake statne peniazky. mozno #1 Danoboss nebude daleko od pravdy…
#7 Danoboss: Moja skúsenosť je taká, že testy sa robia. Pri akútnej operácii, mali záznam o krvnej skupine, ale z iného zdrav. zariadenia, kým dorazil anestezilóg, dali spraviť kontrólne testy.
Súhlasím s prvými dvoma vetami, ktoré napísal Piki #4 Piki:.
Mám väčší strach, že sa niekto, kto nie je viazaný lekárskym tajomstvom dostane k mojej zdravotnej dokumenácii, ako z toho, že prídem o život kvôli neexistencii eHealth.
Desí ma predstava, že tak, ako sa z času na čas dostanú na verejnosť mená a heslá k poštovým účtom, tak sa dostanú von záznamy o zdravotnom stave, začnú nám chodiť spamy na lieky, ktoré užívame a sektári, rôzni šarlatáni a podvodníci nebudú klopať od dverí k dverám, ale budú mať presné zoznamy nevyliečiteľne chorých, starších a psychicky labilných ľudí a pôjdu na istotu… klop-klop, vy máte rakovinu? A nemáte záujem o zázračný liek za akciovú cenu 999,99? Alebo o spasenie vašej duše?
Chyta ma bezmoc, ked vidim ako sa taketo zmeny k horsiemu postupne ale neoblomne pretavuju do praxe. Napriklad:
Britský Velký bratr vyzývá: Staň se lovcem lidí:
http://www.tyden.cz/rubriky/zahranici/evropa/britsky-velky-bratr-vyzyva-stan-se-lovcem-lidi_143970.html
Police set to step up hacking of home PCs:
http://www.timesonline.co.uk/tol/news/politics/article5439604.ece
Dostanem vobec moznost vybrat si ci takemu systemu verim, alebo to bude proste rozkaz masam ovcanov (EZK je povinna a basta)? Tipujem, ze asi tak ako si Iri mohli vybrat, ci suhlasia s Lisabonskym podvodom…
Ako sa tomu da zabranit?
AK-47 a hybaj do ulic?
To už je právě na autorovi projektu, aby jej navrhnul tak, aby všechny výhrady a sporné body v článku byly vyřešeny optimálním způsobem. Já na to téma píšu zamyšlení… autorizace versus lidský faktor. Takže rád zkusím vymyslet nějaký systém a pokud ho uznám za dostatečný, tak budu hledat firmu, která by se semnou do toho výběrového řízení přihlásila. Teda ty podmínky jsem ještě nestudoval, ale kouknu na to…
Asi len tolko ako som pisal na sme, a bh. Ak slovaci spravia nieco take :)budeme z prepacenim v …. neprejde ani par hodin-dni :) a uz budeme citat o tom ako sa to niekde sharuje, nehovoriac o jedincoch, ktorí budu mat pristup hned (treba spomenut aj rodinkarstvo v zmysle : Jozko som tvoj kamos zisti mi nieco o zdravotnom stave toho a toho…)
Neviem preco, ale ked pocujem o EZK, tak sa mi stale vybavuje pred ocami americky akcny film na temu konspiracie [zeby Conspiracy Theory z roku 1997?, uz neviem presne], kde nezelanemu politikovy zmenili zdravotny zaznam a vpisali mu tam, ze ma AIDS. ten sa potom z toho radsej odbachol … realita? alebo len fantazie hollywoodu?
Co sa tyka pristupu k EZKO bez povolenia vlastnika v kritickych situaciach by som videl aj iny pohlad. Predstavte si situaciu, kde dieta bolo tazko zranene a prevezu ho do nemocnice, v nemocnici nemaju ziadnu informaciu o jeho zdravotnom stave (az na tu nehodu) a dieta kvoli tomu zomrie (alergia, alebo kombinacia liekov ktore pravidelne berie s tymi co mu podaju, alebo cokolvek ine). By ma zaujimalo kto z vas by siel za jeho matkou vysvetlit preco zomrelo, aj ked nemuselo. Ono to je vzdy otazka kompromisu. Mozno pre niekoho je predstava ze k jeho knizke sa moze dostat nepovolana osoba bez jeho suhlasu horsia, ako to ze mu to moze teoreticky raz zachranit zivot, ale je tu urcite skupina ludi, u ktorych to tak nemusi byt. Potom je samozrejme otazne ci by to nemalo byt cisto dobrovolne, ale ako take by som to cele urcite nezavrhoval.
Mňa zaujíma nasledovné: podla štatistického úradu má Slovensko 5.416.958 obyvateľov [http://portal.statistics.sk/showdoc.do?docid=5639], každému občanovi sa teraz bude zakladať e-karta?
Ludia nebudú mať na výber, či súhlasim, aby moje údaje boli elektronicky spracované?
Kto bude mať na starosti zakladanie e-kariet (lekári, alebo ich personal, či budú na to osobitne poverené osoby)? Ked si uvedomím aké množstvo údajov by mala e-karta obsahovať, tak si ani neviem predstaviť kolko času bude treba na vytvorenie e-kart. Každopádne aj ked napád je pekný, už dávno je isté ako sa budú naše údaje krásne zneužívať.
dost depresivny clanok, resp take pocity vo mne vyvolal. vsetky pochybnosti o bezpecnosti su velmi realne a neverim si predstavit zeby na slovensku sukromie narusene nebolo. napadlo ma, ze kazdy pristup by sa niekde jednosmerne zapisoval a kazdu uzivatel by ho musel spatne autentifikovat nieco ako u kreditky. v pripade nezrovnalosti, sud a vysoke tresty. idealne nejaky rakusky, lebo tie nase mafianske..
Hm, a je to tu.
Tipujem ze zabezpecenie bude rovnake ako pri ostatnych veciach na slovensku, cize nulove. Nevertheless, jedna vec je ked po nete plavaju informacie od tmobilu&bratov, ktore obsahuju rodne cisla, adresy a spol (co uz je tiez vcelku silna kava), druha vec je ked po nete plavaju informacie o vasom zdravotnom stave. A mam taky zly pocit, ze nik kto aspon trochu vie ako je to s bezpecnostou na slovensku, by sa nestavil ze informacie po nete plavat nebudu.
Návrh mám víceméně hotovej v hlavě, ale nikde jsme neviděl vyhlášenou veřejnou soutěž nebo výběrový žízení.. tedy ne na Ezko,
Tohle je uzatvorené…
http://www.informatizacia.sk/vdok_simple-narodny-projekt–elektronicka-identifikacna-karta/609s6180c
no, vidno ze sme na slovensku, preoc nepouziju principy, ktore vznikli v UK, volaju sa ze: Security in Clinical Information Systems a vytvorila ich BMA – British Medical Association
je to 9 principov, ktore si myslim su velmi dobre vymyslene a trebalo by ist podla nich a ked tak ich pripadne este nejak vylepsit.
Decentralizovana, dobre zabezpecena EZK a hlavne pozadovana s vedomim majitela by bola prinosom pre pacientov aj zdravotnikov.
Nechapem preco chcu mat EZK silou mocou centralizovane. To s poistovnami by som nebral ako dovod, u nas totiz musia ZP poistit kazdeho obcana a nemozu si poistencov vyberat (zatial). To skor velky zamestnavatelia a banky by mohli zneuzivat udaje (nezamestnat chorlaveho, neposkytnut uver a pod.) ale ti o tom nerozhoduju. Jedine co mi chodi po rozume je ci to nechce zas vlada strcit nejakej megafirme do vrecka.
ktosi cosi: Dieta ti zomrie nevhodnou kombinaciou liekov, na ktore bude alergicke? Si predstav, ze tieto zoznami alegrii budu dostupne pre hackerov.