22 listopada 2024

Jak nie szacować ryzyka utraty poufności danych medycznych?

Podana dla przykładu przez GIODO metoda szacowania poziomu ryzyka, oparta na iloczynie prawdopodobieństwa wystąpienia zdarzenia oraz wagi jego skutku, nie powinna być stosowana w ochronie danych medycznych.

Foto: pixabay.com

Dlaczego nie powinniśmy mnożyć zera przez nieskończoność?

Ważne opracowanie GIODO „Jak rozumieć podejście oparte na ryzyku wg RODO” wyjaśnia w rozdziale 6, jak wybrać metodę szacowania ryzyka. Stwierdza między innymi, że „uwzględnienie zarówno prawdopodobieństwa wystąpienia zdarzenia powodującego naruszenie bezpieczeństwa, jak i jego wagi, w wielu metodach dokonuje się przez wyrażenie poziomu ryzyka jako iloczynu prawdopodobieństwa wystąpienia zdarzenia oraz jego skutku”. Aby zrozumieć poziom niepewności, jaki ta metoda niesie w stosunku do danych medycznych, musimy cofnąć do szkoły średniej i przypomnieć lekcję matematyki o granicach ciągów liczbowych.

Więcej o RODO piszemy tutaj.

Pytanie brzmi – jaki jest poziom ryzyka zdarzenia niemalże nieprawdopodobnego o katastrofalnych skutkach? Innymi słowy – ile wynosi iloczyn dwóch liczb, z których jedna jest nieskończenie bliska zeru, a druga nieskończenie duża? Jak widać z poniższych trzech przykładów, wyniku takiego mnożenia nie sposób przewidzieć. Poziom ryzyka, jakie niesie zdarzenie niemalże nieprawdopodobne, o prawdopodobieństwie wystąpienia bliskim zeru i katastrofalnych (nieskończonych) skutkach, może przyjąć dowolną wartość z przedziału od zera do nieskończoności.

Praktyczny sprawdzian

Choć cytowana przez GIODO metoda szacowania ryzyka została zaczerpnięta z przyjętej w 2015 r. „Metodyki zarządzania ryzykiem cyberprzestrzeni w systemach zarządzania bezpieczeństwem informacji podmiotów rządowych”, warto przeanalizować, jakie może nieść skutki w praktyce ochrony danych medycznych. Weźmy zagrożenie polegające na możliwości wystąpienia zorganizowanych działań grup przestępczych, których celem jest kradzież danych medycznych określonej populacji lub osób.

Załóżmy, że przestępcy planują ukraść dane medyczne po to, by handlować nimi na nielegalnych platformach internetowych z użyciem kryptowaluty lub szantażować osoby publiczne ujawnieniem ich intymnych informacji medycznych. Przyjmijmy także, że celem przestępczego działania nie jest utrata integralności danych, ani ograniczenie ich dostępności. Natura tych przestępstw ma inny kontekst – w pierwszym przypadku dotyczy wyłudzania świadczeń zdrowotnych poprzez kradzież tożsamości medycznej, a w drugim szantażu na bazie ataków typu ransomware.


Źródło: Metodyka zarządzania ryzykiem cyberprzestrzeni w systemach zarządzania bezpieczeństwem informacji podmiotów rządowych

Zgodnie z załącznikiem do cytowanej metodyki utrata poufności mogąca prowadzić do naruszenia interesów osób trzecich, w tym wypadku pacjentów, oraz roszczeń odszkodowawczych z ich strony, to skutek o charakterze katastroficznym, któremu przyporządkowujemy wartość Sp = 4. Jednocześnie  Sd = Si = 0 ponieważ w analizowanym kontekście ograniczenie dostępności i integralności danych medycznych nie jest celem atakującego – atakujący nie będzie chciał po sobie pozostawić żadnych śladów. Aby zagrożenie takie zostało odnotowane na radarze ograniczania ryzyka, to jest szacowany poziom ryzyka Rp > 9,6, przypisana mu wartość materializacji ryzyka powinna wynieść 3. Jest to poziom dla zdarzenia wysoce prawdopodobnego, czyli takiego, które może wystąpić kilka razy w roku.

Więcej o RODO piszemy tutaj.

Patrząc na statystykę światową tego rodzaju ataków, obecnie raczej odpowiada on drugiemu, niż trzeciemu poziomowi ryzyka – takie zagrożenie zmaterializowało się w podobnych podmiotach w kraju lub na świecie w pojedynczych przypadkach. Z drugiej strony, biorąc pod uwagę rozwój takich ataków w przyszłości, w ramach ostrożnościowego działania powinniśmy mu przypisać poziom trzeci. Jednak nawet w tym wypadku wynik analizy ryzyka da nam wartość zaledwie 12, czyli 25% maksymalnego poziomu. Jeśli nie można tego poziomu dalej skutecznie obniżyć, ryzyka takie podlegają akceptacji według zasad ustalonych w podmiocie. Czy ktoś da pacjentom gwarancję, że podmioty lecznice nie będą akceptować powyższych poziomów ryzyka w ramach swoich standardowych wewnętrznie ustalanych zasad?

Dlaczego dane medyczne wymagają wyjątkowego podejścia?

W przypadku danych medycznych, nawet jeśli zdarzenie miałoby być ocenione jako prawie nieprawdopodobne, skutki ujawnienia danych, inaczej niż ma to miejsce w przypadku danych finansowych, są nie do naprawienia. Numer karty kredytowej możemy zmienić, naszych danych medycznych – nie. Utracone pieniądze możemy odzyskać – skutków utraty poufności informacji medycznej nie da się cofnąć. Z tego powodu mnożenie nawet najmniejszego ryzyka utraty poufności danych medycznych przez jej katastrofalny skutek prowadzi donikąd. Brak wymaganej pewności co do jakości tego rachunku przy nieodwracalnych skutkach takich zdarzeń wymaga innych jakościowo działań.

Po pierwsze, aby chronić nadrzędny interes pacjenta w zakresie bezpieczeństwa informacji medycznej, niektóre jurysdykcje wprowadzają obowiązek szyfrowania danych medycznych. W 2015 r. stan New Jersey (Senate Bill No. 562) wprowadził zakaz przetwarzania osobowych danych medycznych, chyba że informacje te są „zabezpieczone przez szyfrowanie lub za pomocą innej metody lub technologii uniemożliwiającej ich odczytanie, nieczytelne lub w inny sposób niemożliwe do wykorzystania przez osobę nieupoważnioną”. Rzecz jasna ochrona hasłem, która zapobiega nieupoważnionemu dostępowi, nie wystarcza, aby spełnić wymóg szyfrowania.

Po drugie, do analizy zagrożeń z obszaru ochrony zdrowia od z górą ćwierćwiecza stosuje się metodologie wzorowane na sektorach gospodarki, gdzie każdy błąd może być pierwotnym lub wtórnym źródłem katastrofalnych zdarzeń, w których występują ranni i ofiary śmiertelne. Takie metodologie wypracował m.in. sektor lotniczy, górniczy, naftowy. Powiedzmy to wprost – tam nie mnożymy zera przez nieskończoność. Jeśli ktoś uważa, że kradzież danych medycznych to zagadnienie nieporównywalnej wagi, niech przeanalizuje najpierw zeszłoroczną kradzież dokumentacji medycznej z londyńskiej kliniki chirurgii plastycznej LBPS, znanej z leczenia osób publicznych.

Więcej o RODO piszemy tutaj.

Według Fox News, przestępcy uzyskali m.in. dostęp do klinicznej dokumentacji zdjęciowej męskich i żeńskich narządów płciowych operowanych osób, a na części zdjęć uwidocznione były twarze. Jeśli ktoś miałby jeszcze wątpliwość, proszę zadać poszkodowanym pytanie, jakie to ma dla nich znaczenie. A to tylko czubek góry lodowej, którą tworzy brzegowo sensytywna informacja dotycząca leczenia psychiatrycznego, dermatologicznego, chorych zarażanych wirusem HIV, czy profilaktyki antykoncepcyjnej, aby wymienić te najbardziej istotne dziedziny.

Wreszcie po trzecie, fundamentalny wpływ na ocenę ryzyka ma jakość kultury organizacyjnej panującej w danej organizacji medycznej. Jak niewiele dziś o tym rozmawiamy, jak mało poruszamy ten temat przy okazji wdrożenia RODO, jak słabo w skali gospodarki rozumiemy wpływ kultury bezpieczeństwa na poziom zagrożeń związanych z ochroną danych osobowych! Nadal przeważająca większość przypadków nieuprawnionego dostępu do danych medycznych nie wynika z włamania do sieci tylko z niedbałości, nieuwagi, niedołożenia należytej staranności przez użytkowników tych danych. Takiego ryzyka nie można szacować bez analizy kultury bezpieczeństwa panującej w danym podmiocie leczniczym, a wymóg szkoleń z obszaru ochrony danych osobowych należy uznać w tym kontekście za całkowicie niewystarczający.

Regulacja czy samoregulacja?

Analiza zaleceń GIODO w zakresie oceny ryzyka, czy przekazany do Sejmu rządowy projekt ustawy implementującej RODO w polskim systemie prawa niestety pomijają specyfikę danych medycznych. Oczywiście można liczyć na to, że opracowane pod kątem ochrony zdrowia, dziedzinowe kodeksy postępowania mogą tę lukę zniwelować. Jednak w systemie prawa jest miejsce na regulację i samoregulację. Szczególne zasady ochrony danych medycznych powinny być elementem regulacji – nie samoregulacji. W przeciwnym razie nadal będziemy mnożyć zero przez nieskończoność z nadzieją, że wypadniemy po bezpiecznej stronie.

Robert Mołdach
IZiD