Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

AZ EGÉSZSÉGÜGYI INFORMATIKA ÉS ADATVÉDELEM AKTUÁLIS KÉRDÉSEI ELŐADÓ: NAGY ISTVÁN Előadó: Nagy István Gottsegen György Országos Kardiológiai Intézet Informatikai.

KiadtaKatalin Vinczené Megváltozta több, mint 7 éve

Hasonló előadás

Az előadások a következő témára: "AZ EGÉSZSÉGÜGYI INFORMATIKA ÉS ADATVÉDELEM AKTUÁLIS KÉRDÉSEI ELŐADÓ: NAGY ISTVÁN Előadó: Nagy István Gottsegen György Országos Kardiológiai Intézet Informatikai."— Előadás másolata:

1 AZ EGÉSZSÉGÜGYI INFORMATIKA ÉS ADATVÉDELEM AKTUÁLIS KÉRDÉSEI ELŐADÓ: NAGY ISTVÁN Előadó: Nagy István Gottsegen György Országos Kardiológiai Intézet Informatikai osztályvezető Időpont: 2015.március 31. Pápa

2 Mentés, adatvisszatöltés az adat-túszdráma kapcsán Az EESZT és a törvényi háttere 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról Kritikus infrastruktúra e az informatika? Alapfogalmak Törvények Kérdések, válaszok

3 Adat Sértetlenség Személyazonosító adat Bizalmasság Különleges adat Adatbiztonság Biztonsági osztályba sorolás Adatfeldolgozás Biztonsági esemény Informatikai rendszer Kockázat 2013. évi L. törvény 41/2015. (VII. 15.) BM rendelet Betegellátó Fizikai védelem Biztonsági esemény Sérülékenység 2012. évi CLXVI. törvény 246/2015. (IX. 8.) Korm. rendelet

4 Vírus támadás… ! Mentés, mentés, mentés… De hogyan?

5

6 2016.03.29 Origó

7 Terjed az adat-túszdráma A számítástechnika fejlődésével együtt nő az internethasználók száma, és ezzel együtt az őket fenyegető rosszindulatú vírusok is évről-évre szaporodnak. Magyarországon is tömegesen terjednek a legújabb, a felhasználók adatait titkosítással hozzáférhetetlenné tevő zsarolóvírusok, melyek egyik leggyakoribb képviselője a A váltságdíj követelő programok (ransomware) ellen a mai napig nincs tökéletes védelem ! A megelőzésnek viszont ebben az esetben is óriási a szerepe a baj elkerülésében.

8 Terjed az adat-túszdráma 2. A zsaroló vírus működésének első lépéseként felugrik a számítógép képernyőjén egy látszólag ártalmatlannak tűnő ablak, és figyelmeztet, hogy számítógépünk veszélyben van, ezért erősen ajánlott egy vírusellenőrzés futtatása. Mivel az ablakot bezárni nem lehet, és nincs lehetőség arra, hogy ezt a műveletet mellőzzük, gyanútlanul engedelmeskedünk, és ezzel lefuttatjuk a vírust. Ezt követően kapunk egy újabb üzenetet, miszerint adatainkat titkosították, de megfelelő összeg ellenében visszakaphatjuk őket. A váltságdíjak eltérőek, és akár százezres nagyságrendűek is lehetnek. A legelkeserítőbb, hogy a fizetés sem garancia arra, hogy valóban viszontlátjuk hozzáférhetetlenné tett adatainkat.

9 Megelőzési tanácsok 1. Mentsünk offline, amit csak tudunk DVD-re, külső meghajtóra. Legyen feltelepítve a számítástechnikai eszközön (számítógép, telefon, tablet) legalább egy biztonsági szoftver. Ennek vírusleíró adatbázisát rendszeresen frissítsük, hiszen a vírusok folyamatosan változnak, így csak naprakész védelmi rendszernek van esélye a hatékony védekezésre. Győződjünk meg róla, hogy a biztonsági szoftverünk többrétegű védelemmel rendelkezik: hálózati (behatolás megelőző funkció), illetve fájl védelemmel (szokásos vírusvédelmi funkciók, viselkedéselemző/viselkedésfigyelő, illetve karantén és/vagy törlő funkció). A saját gépünkön is alkalmazzunk az anti-malware szoftvereken kívül tűzfalat. Ha ugyanis a ransomware programnak sikerül kicseleznie az anti-malware programot, akkor a tűzfalunk még figyelmeztethet és megakadályozhatja a kártékony szoftvert abban, hogy az úgynevezett Command and Control (C&C) szerveréhez kapcsolódva utasításokat fogadjon el a fájlok zsaroló célú kódolása érdekében. Állítsuk be a számítógépen a „Visszaállítási pont létrehozása” funkciót. Ez ugyan nem ad teljeskörű védelmet a vírus ellen, de a KÜRT adatmentő mérnökeinek tapasztalata szerint javítja az esélyeinket: segítségével és speciális megoldásokkal helyre lehet állítani egyes fájltípusokat a kártevő által végzett titkosítás után. Fedjük fel a rejtett fájlkiterjesztéseket, mert a titkosító vírus gyakran érkezik e-mailben küldött ".PDF.EXE" kiterjesztésű fájlban. A Windows alapbeállítása szerint az ismert fájlkiterjesztéseket elrejti. Ha engedélyezzük ezek megjelenítését, akkor szabad szemmel is egyszerűbben felismerhetőek lesznek a gyanús fájlok. A kártékony programok sokszor az operációs rendszer, a böngésző, illetve a különböző böngésző bővítmények sérülékenységeit játsszák ki, ezért ezeket is rendszeresen frissítenünk kell. Tiltsuk le az RDP-t (távoli asztal kapcsolatok). A cryptolocker (fájlkódoló) szoftverek gyakran RDP kapcsolatokon keresztül is fertőznek. Ha nincs szükségünk erre a funkcióra, akkor tiltsuk le.

10 Megelőzési tanácsok 2. A hálózati rendszerek védelme érdekében a legfontosabb teendők: vírusvédelem, tűzfal, szalagos mentés és a felhasználók oktatása. Szalagos mentési rendszer esetén a lementett adatokat a szalagos technológiából fakadóan a károkozó nem képes titkosítani. Jó mentési rendszer használatával nem több éves adatok vesznek el, hanem maximum az aznapi munkák. Természetesen, ehhez szigorú szabályozást kell kialakítani, amit be is kell tartani. Mindenki csak és kizárólag központi tárterületre dolgozhat (ezeket a tárterületeket menteni szükséges). Amennyiben kliensgépen tárolnak a felhasználók adatokat, azok elveszhetnek, ezért a kliensgépekről még egészséges állapotukban image mentést kell készíteni, (egy esetleges támadás esetén ez megkönnyíti és meggyorsítja a visszaállást). Amint észlelhető valamelyik gépen a fertőzés, azt azonnal el kell távolítani az informatikai hálózatból, a további fertőzések megelőzése érdekében. Megfelelő mentési eljárást kell használni (pl.: hétfőtőlpéntekig inkrementális mentés, hétvégén teljes heti mentés, négyhetente havi mentés, minden havi mentés kivétele és fizikailag is biztonságos helyen való tárolása). A jó mentési rendszer önmagában elégséges egy támadás esetén minimalizálni az elvesztett adatmennyiséget.

11 Legyünk tisztába a tényekkel Amennyiben megtörténik a fertőzés Legyünk tisztába az alábbiakkal Mennyi idő alatt tudjunk újra a rendszert felparaméterezni A mentések alapján mikori állapotot tudunk produkálni Milyen eszközök és szoftver licenszek kellenek az újratelepítéshez Humánerőforrás kérdése

12 Kockázati tényezők

13 A fizikai térben megvalósuló fenyegetések elleni védelem, amelynek fontosabb részei a természeti csapás elleni védelem, a mechanikai védelem, az elektronikai jelzőrendszer, az élő- erős védelem, a beléptető rendszer, a megfigyelő rendszer, a tápáramellátás, a sugárzott és vezetett zavarvédelem, klimatizálás és a tűzvédelem….

14 A védelem érdekében hozott szervezési, szabályozási, ellenőrzési intézkedések, továbbá a védelemre vonatkozó oktatás;.

15 Az elektronikus információs rendszerben információtechnológiai eszközökkel és eljárásokkal (programokkal, protokollokkal) kialakított védelem.

16 Tapasztalatlanság Adatlopás – bennfentes, külső Szándékos rongálás, károkozás Rendszergazda Mérnök

17 EESZT

18 Mit jelent az EESZT rövidítés? 1 - Egyéni Egészségszervezési Terv 2 - Elektronikus Egészségügyi Szolgáltatási Tér 3 - Egységes Egészségügyi Szervezési Tanács

19 Az EESZT felülről A tér: ágazatirányítás intézményei B tér: az EESZT központi szolgáltatásai C tér: az ellátórendszer intézményei P tér: nem eü. kapcsolódások (pl. állampolgárok, más ágazatok) Irányítás tere - A tér Kooperatív tér - B tér Ellátás tere - C tér Publikus tér - P tér

20 Az EESZT-hez informatikai rendszere útján csatlakozásra köteles 35/B. § (1) Az EESZT-hez informatikai rendszere útján csatlakozásra köteles a) az egészségügyi szolgáltatás nyújtására az egészségügyi államigazgatási szerv által kiadott működési engedély alapján jogosult egészségügyi szolgáltató, aki finanszírozási jelentés benyújtására vagy elektronikus adatszolgáltatásra kötelezett, b) a gyógyszertár, c) az állami mentőszolgálat, d) a miniszter által rendeletben meghatározott államigazgatási szerv és egyéb szervezet. … (3) Az EESZT szolgáltatásai a ….csatlakozott adatkezelő … informatikai rendszerén keresztül is igénybe vehetők. A közvetlen hozzáférési felület igénybevétele érdekében regisztrációra köteles valamennyi olyan természetes személy, aki a csatlakozott adatkezelők vagy saját nevében az EESZT szolgáltatásait igénybe veszi. * 1997. évi XLVII. Törvény az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről

21 Mi az EESZT? Ágazati szinten egységesített SOA, komponens alapú környezet Masszív központi infrastruktúra Kormányzati szintű hardware és felhő Ellátó intézmények közötti informatikai hálózat (NTG: sávszélesség, megbízhatóság, biztonság) Központosított IAM (ágazati SSO- single sign on – egyszeri bejelentkezés) Egységesített kódtörzs-publikáció Egységesített üzenettovábbító közeg Szabványokon alapuló, strukturált EHR-t kezelő eszközök Szakmai szolgáltatások egységes elérési felülettel, HIS integráció megteremtésével (eRecept, eBeutalás, …) Megújuló adatkezelési jogszabályi környezet

22 Az EESZT teljes felépítése és kapcsolatrendszere

23 Az EESZT szakmai szolgáltatásai Eseménykatalógus (on-line mikrojelentések) Dokumentum-elosztás és tárolás (EHR Registry és Repository) eProfil (sürgősségi egészségügyi adatok) eRecept eBeutaló és erőforrás-foglalás Digitális képtovábbítás és távkonzílium Egészségügyi objektummegosztás (object sharing) Központi Regisztermotor Keresztreferencia-tár (pszeudonimizáció) Digitális önrendelkezés (Ügyfélkapun át elérhető Állampolgári Egészségügyi Portál)

24 Milyen módon használható? EESZT gépi szolgáltatások Portál Szakmai Állam- polgári HIS orvosállampolgár eRecept létrehozása eBeutaló lekérdezése Regiszter űrlapkitöltő Vényírás EESZT Kórház Egészségügyi adatnapló

25 Mai HIS események és EESZT szolgáltatások Betegfelvétel Elbocsátás Áthelyezés Betegfelvétel Elbocsátás Áthelyezés Eseménykatalógus Záró, amb. lap lezárás Leletvalidálás Záró, amb. lap lezárás Leletvalidálás EHR Repository Jelentéskészítés Jelentéstovábbító Regisztermotor Digitális képtovábbítás Vényírás Beutalókészítés eRecept eBeutalás eProfil HISEESZT Űrlapkitöltés

26 Kiket érint közvetlenül? Gazdasági vezetők HIS szállítói szerződések revíziója Egységesség helyi átvezetése Informatikusok Kapcsolódás biztosítása, technikai összehangolás HIS konfigurációk módosítása, tartalmi összehangolás Munkaügyesek Jogviszonyban álló orvosok jelentése az ágazati IAM felé Jelentéskészítők Kibővülő jelentési folyamat HIS-en át vagy közvetlenül weben Orvosok, szakdolgozók Új funkciók és feladatok Kétfaktoros felhasználóazonosítás (személyes token)

27 Szolgáltatáskiesés 3§ (4) Ha a csatlakozott adatkezelő az adott műveletet az adatkapcsolatnak az egészségügyi szolgáltató felelősségi körén kívüli okból eredő üzemzavara miatt nem tudja végrehajtani, akkor mentesül a művelet elmulasztásához külön jogszabályban meghatározott jogkövetkezmények alól, feltéve, hogy az üzemzavart igazolni tudja, és a hiba tényét annak észlelését követően azonnal, de legkésőbb a következő munkanapon írásban vagy elektronikusan jelzi a működtető felé. A csatlakozott adatkezelő felelősségi körén kívüli okból eredő üzemzavarnak minősül az adatkapcsolat létesítéséhez igénybe vett, nem a csatlakozott adatkezelő ellenőrzése alatt álló távközlési vagy tápellátási rendszer üzemzavara. Ha a jelzés alapján az EESZT működtetője megállapítja, hogy az üzemzavar a csatlakozott adatkezelő felelősségi körébe esik, akkor a csatlakozott adatkezelő nem mentesül a művelet elmaradásának jogkövetkezményei alól.

28 Központi eseménykatalógus számára szolgáltatandó adatok 1. Esemény leírásaHatáridő Eütv 91. és 92. § szerinti fekvőbeteg-szakellátás megkezdése1 óra Eütv 91. és 92. § szerinti fekvőbeteg-szakellátás befejezése1 óra Eütv 91. és 92. § szerinti fekvőbeteg-szakellátás során megvalósuló, saját intézményen belül történő áthelyezés1 óra Eütv 89. és 90. § szerinti járóbeteg-szakellátás megkezdése1 óra Eütv 89. és 90. § szerinti járóbeteg-szakellátás befejezése1 óra

29 Központi eseménykatalógus számára szolgáltatandó adatok 2. Esemény leírásaHatáridő Az egészségügyi alapellátásról szóló 2015. évi CXXIII. törvény szerinti háziorvosi, házi gyermekorvosi ellátás és a fogorvosi alapellátás megkezdése 1 óra Az egészségügyi alapellátásról szóló 2015. évi CXXIII. törvény szerinti háziorvosi, házi gyermekorvosi ellátás és a fogorvosi alapellátás befejezése 1 óra CT és MR vizsgálat megkezdése1 óra CT és MR vizsgálat befejezése1 óra Az egészségügyi alapellátásról szóló 2015. évi CXXIII. törvény szerinti háziorvosi, házi gyermekorvosi ellátás és a fogorvosi alapellátás megkezdése 1 óra

30 Egészsészségügyi profil számára szolgáltatandó adatok 1. Típus Típus (1.szint)Altípus (2. szint) FigyelmeztetésekAllergia Nem-allergiás figyelmeztetések KórtörténetVédőoltások Megoldott, lezárt vagy inaktív problémák Korábbi műtétek és beavatkozások Jelenlegi problémákAktuális problémák/diagnózisok Beültetett eszközök és implantátumok Terápiás javaslatok Autonómia, fogyatékosság

31 Egészsészségügyi profil számára szolgáltatandó adatok 2. TípusAdatszolgáltatás Típus (1.szint)Altípus (2. szint)Adatelem (3. szint) ÉletmódÉletmódi tényezők Megfigyelés típusa Megfigyelés értéke Időtartam TerhességMegállapított terhesség Szülés várható időpontja Terhesség kimenetele Diagnosztikai eredmények VércsoportVércsoport Meghatározás időpontja

32 Egészségügyi dokumentumok nyilvántartása Dokumentum típusa Eütv 137. § (a) szerinti zárójelentés Eütv 137. § (b) szerinti ambuláns lap Általános laboratóriumi ellátás lelete Mikrobiológiai laboratóriumi ellátás lelete Szövettani és patológiai lelet Egyéb laboratóriumi ellátás lelete CT és MR vizsgálatokról készült lelete Egyéb képalkotó vizsgálat lelete Műtéti leírás

33 Köszönöm a türelmet !!

34 Kérdések

Letölteni ppt "AZ EGÉSZSÉGÜGYI INFORMATIKA ÉS ADATVÉDELEM AKTUÁLIS KÉRDÉSEI ELŐADÓ: NAGY ISTVÁN Előadó: Nagy István Gottsegen György Országos Kardiológiai Intézet Informatikai."

Hasonló előadás

Az elektronikus közigazgatási rendszerek biztonsága

Az elektronikus közigazgatási rendszerek biztonsága
Elektronikus Ügyfélkapu – kapcsolat az ügyfél és a közigazgatás között

Elektronikus Ügyfélkapu – kapcsolat az ügyfél és a közigazgatás között
„Egy hálóban webezünk!” - a reformok informatikai kihívásai

„Egy hálóban webezünk!” - a reformok informatikai kihívásai
AZ INFORMATIKAI BIZTONSÁG

AZ INFORMATIKAI BIZTONSÁG
Nemzetbiztonsági Szakszolgálat Kormányzati Eseménykezelő Központ

Nemzetbiztonsági Szakszolgálat Kormányzati Eseménykezelő Központ
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató

2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
A kritikus infrastruktúra védelem nemzetközi háttere és a magyar nemzeti program kialakítása, az ebből fakadó szakmai feladatok Balatonföldvár, 2008. március.

A kritikus infrastruktúra védelem nemzetközi háttere és a magyar nemzeti program kialakítása, az ebből fakadó szakmai feladatok Balatonföldvár, március.
Lőwné Szarka Judit ellátottjogi képviselő

Lőwné Szarka Judit ellátottjogi képviselő
Hálózati architektúrák

Hálózati architektúrák
Czeglédi László Integrált tartalomszolgáltatás megújult környezetben

Czeglédi László Integrált tartalomszolgáltatás megújult környezetben
Az egészségügy finanszírozásának informatikája

Az egészségügy finanszírozásának informatikája
Országos Mentőszolgálat Betegszállítás TETRA rádió rendszere

Országos Mentőszolgálat Betegszállítás TETRA rádió rendszere
Munkavédelmi előírások rendszere

Munkavédelmi előírások rendszere
Állam munkavédelmi feladatai

Állam munkavédelmi feladatai
Egységes egészségügyi információrendszer

Egységes egészségügyi információrendszer
Számítógéppel segített minőségbiztosítás (SPC és SQC)

Számítógéppel segített minőségbiztosítás (SPC és SQC)
Polgári védelmi feladatok a nem rendszeres hulladékszállítás során

Polgári védelmi feladatok a nem rendszeres hulladékszállítás során
2004. március 29-30.1 eEgészség – Digitális Aláírás Workshop 2004 Március 30-31 Tim Zoltán, CISA Insurance Technology Kft. „Megbízható harmadik fél szolgáltatás,

2004. március eEgészség – Digitális Aláírás Workshop 2004 Március Tim Zoltán, CISA Insurance Technology Kft. „Megbízható harmadik fél szolgáltatás,
Anyagadatbank c. tárgy gyakorlat 2005. 09. 20.. Féléves tematika Adatbázis alapfogalmak, rendszerek Adatmodellek, adatbázis tervezés Adatbázis műveletek.

Anyagadatbank c. tárgy gyakorlat Féléves tematika Adatbázis alapfogalmak, rendszerek Adatmodellek, adatbázis tervezés Adatbázis műveletek.
Veszélyes üzemek kritikus infrastruktúra védelmi aspektusai

Veszélyes üzemek kritikus infrastruktúra védelmi aspektusai

Hasonló előadás

Google Hirdetések