Magas rendelkezésre állású rendszerek és azok adatbiztonsága az egészségügyi informatikában
A GlobeNet Zrt. fokozottan odafigyel arra, hogy az ügyfeleinél a lehető legjobban biztosítsa a rendszerek által használt adatok bizalmasságát, sértetlenségét és a rendelkezésre állását – állítja Kőpataki Csaba, a cég üzemeltetési igazgatója
A GlobeNet Zrt. üzemeltetési igazgatója szerint rendszeresen monitorozzák az üzemeltetett adatbázis-környezetek infrastruktúráját, és megteszik a szükséges intézkedéseket a folyamatos fejlesztés érdekében. Az adatbázis visszaállíthatóságát és az adatvesztések elkerülését a következő feltételek teljesülése mellett tudják biztosítani ügyfeleinknél:
- Adatbázis mentés készítése Oracle RMAN technológiával
- A mentési állomány másolása másodlagos tárhelyre
- Standby adatbázis kialakítása
- Adatbiztonság növelése érdekében RAID kialakítása
A felsorolásban szereplő elemek közül talán a legfontosabb az Oracle RMAN mentési eljárása, amit minden olyan intézményben beállítunk, ahol a MedWorkS rendszer min. Oracle 11g adatbázis-kezelőn fut.
Az újabb Oracle adatbázis-verzió futtatása nem csak az új technológia és szolgáltatás paletta miatt fontos, hanem a gyártói támogatás miatt is. Az Oracle 9 és 10-es verziója már a gyártó által sem támogatott így az esetleges Oracle hiba esetén csak harmadik féltől kaphatunk támogatást, ami sokkal körülményesebb és nem garantált a hibaelhárítás.
Az egészségügyi intézményekben központi kérdés az adatbázis mérete, rendelkezésre állása és gyorsasága. A mindenkori gyártói támogatással bíró Oracle verzió az optimalizált memória és processzor jobb kihasználásával valamint a fejlettebb tömörítési eljárásaival megkönnyíti az optimális működés elérését. Ezek mellett egyre fontosabb szerepet tölt be az adatok biztonsága és bizalmassága. Itt jelentős előrelépést jelent az Oracle Database Vault megoldás, amellyel szabadon paraméterezhetjük, hogy ki, mikor és eddig férhet hozzá az egyes adatainkhoz, és mindezt milyen alkalmazásokkal teszi.
Az adatbiztonsággal és kritikus infrastruktúrával kapcsolatban Legré Tamás az ASC Vezetői és Informatikai Tanácsadó Kft. ügyvezető igazgatója a következőket fűzi hozzá:
A „Kritikus infrastruktúra” témakörével már évtizedek óta foglalkoznak a szakemberek szerte a világban. A hazai szakmai és lakossági környezetben „kézzelfoghatóan” 2010. október 4. után, a kolontári „vörösiszap katasztrófa” kapcsán jelentkezett.
Nem árt tudni, hogy az Országgyűlés 2012-ben fogadta el a kritikus infrastruktúrák védelméről szóló törvényt (2012. évi CLXVI. Törvény a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről), melyben az EU irányelvekkel összhangban, a kötelező védelmi intézkedéseken kívül meghatározta azokat az iparági/szolgáltatói kategóriákat, melyekre nézve kötelező jelleggel előírta az intézkedések végrehajtását.
A törvény két fő kategóriát meghatározva, az egészségügyi szervezetek számára 2013. július elsejével tette kötelezővé a rendelkezésük alá tartozó kritikus infrastruktúraelemek védelmének, folyamat működésének megszervezését, és biztosítását.
Az egészségügyi szervezeteket tekintve az
- aktív fekvőbeteg-ellátás,
- mentésirányítás,
- egészségügyi tartalékok és vérkészletek,
- magas biztonsági szintű biológiai laboratóriumok,
- egészségbiztosítás informatikai rendszere
tartoznak a törvény hatálya alá.
A kritikus infrastruktúra, mint összetett fogalom egy komplex intézkedési rendszer megtervezését, bevezetését és folyamatos működtetését jelenti, a törvény pedig ezekhez az intézkedésekhez jelöl ki feladatokat, felelősségeket és határidőket is.
A törvény rendelkezése alapján, a hatálya alá tartozó, létfontosságú rendszerelemet/kritikus infrastruktúrát birtokló, illetve üzemeltető szervezeteknek meg kell szervezniük és biztosítaniuk kell a rendelkezésük alá tartozó kritikus infrastruktúra védelmét és működésének folyamatosságát.
Tapasztalataik alapján az egészségügyi intézmények vezetői az alábbi kérdéseket teszik fel önmaguknak, kollégáiknak (és a Globenet Zrt-nek is):
- Az intézményünk a törvény hatálya alá tartozik?
- A teljes intézményt kritikus infrastruktúrának kell tekintenünk, vagy csak bizonyos rendszereket, folyamatokat, és elegendő ezekre alkalmazni a törvény rendelkezéseit?
- A szervezetünkön belül mi minősül kritikus infrastruktúra elemnek?
- Milyen rendelkezéseket, milyen határidővel kell végrehajtanunk, pontosan mi az, aminek meg kell, hogy feleljünk?
Mi a tennivaló?
Első lépésként az azonosítási jelentés alapján kijelölt szervezetnek el kell készítenie az üzemeltetői biztonsági tervét, amelynek egy jelentős hányada az informatikai infrastruktúrára és infokommunikációs hálózatára vonatkozik.
A lehetséges katasztrófa helyzetek megelőzése mellett a felkészülés (tesztelés), és a katasztrófák utáni helyreállítás kiemelt üzemeltetői feladat. A folyamatokra és az informatikai rendszerekre vonatkozó üzletmenet-folytonossági (BCP), illetve katasztrófa-helyreállítási (IT-DRP) tervek megfelelő alapját képezhetik az IT rendszerekre vonatkozó (hálózatbiztonság) üzemeltetői biztonsági tervnek.
A törvényi követelményeknek, az informatikai környezet- és a hálózat-biztonsággal szemben támasztott, jogszabályban, illetve a végrehajtási rendeletként kiadott hatósági határozatban (65/2013. (III. 8.) Korm. Rendelet a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény végrehajtásáról) rögzített elvárásoknak való megfelelést biztosítja:
- az informatikai rendszerekre és a kritikus folyamatokra elkészített kockázatokat feltáró és értékelő kockázatelemzés;
- az informatikai környezeten elvégzett sérülékenységi vizsgálatok (etikus hacking) eredményein alapuló javaslat gyűjtemény, a rendszerek biztonságossá tételére;
- a sérülékenységi vizsgálatok alapján az informatikai rendszerek biztonsági szintjének növelését célzó konfigurációs változtatások végrehajtása;
- biztonságot növelő eszközök beszerzése és implementálása (tűzfal, IDS/IPS eszközök, stb.)
- az informatikai környezetben keletkező naplóállományok rögzítésére és feldolgozására kidolgozott javaslatok, és ajánlott megoldások megvalósítása;
- a feltárt kockázatok alapján készített üzletmenet folytonossági (BCP) és az informatikai környezetre vonatkozó katasztrófa elhárítási, és visszaállítása (IT-DRP) tervek.
A javasolt feladatok végrehajtásával elérhető előnyök:
- a törvényi megfelelőség biztosítása, ezáltal az intézmény mentesül a kiróható bírság, illetve az egyéb lehetséges szankciók terhe alól;
- a kiszolgáló környezet biztonságosabbá, üzemeltetése folytonossá válik, így a betegeket kiszolgáló tevékenységek rendelkezésre állása nő, ami a szolgáltatói színvonal emelkedésével erősíti a bizalmat, és elégedettséget az intézménnyel szemben;
- A felmérések és kockázat elemzések következtében az intézmény szervezeti és informatikai működése áttekinthetővé válik, a folyamat során optimalizálásra kerül, így esetlegesen szervezeti racionalizációra nyílhat mód;
- A biztonságos működésre fordított kiadások és költségek optimálisan kerülnek felhasználásra az üzembiztonság egyidejű növelésével, hozzáadott értékként jelentkezik a sérülékenységek, sebezhető pontok számának csökkenése, a szervezet ellenálló képességének növekedése;
- A vészhelyzeti teendők összefoglalásával és dokumentálásával egy esetleges vészhelyzet bekövetkezésekor a reagálás tervezetten megy végbe, a helyettesítő folyamatok következtében az elviselhető minimálisra csökkentve a szervezet folyamatainak kiesését.
A célok világosak, az elérésükből fakadó előnyök úgyszintén. Már „csak” az egészségügyi intézmények informatikai helyzetének forráshiányosságát kellene megszüntetni ahhoz, hogy ebben a szegmensben is megkezdődhessen a törvényi elvárásokat kielégítő professzionális megoldások megvalósítása.
