Integrirana sigurnost u objektima zdravstvenih ustanova

Zdravstvene ustanove objedinjuju siguran pristup informacijama i lokacijama

Nevidljive opasnosti poput krađe identiteta i otmice često su u sjeni užurbane atmosfere kakva postoji u zdravstvenim ustanovama. Pošto briga za sigurnost ovih institucija raste, sve više njih kombinira sisteme za kontrolu fizičkog i logičkog pristupa za potrebe lakšeg nadzora pacijenata, osoblja, posjetitelja i imovine. Konvergiranje različitih sistema za kontrolu pristupa znači da pametne kartice i biometrijski podaci o identitetu postaju neophodni alati za precizno praćenje kretanja ljudi, koji nude visok nivo sigurnosti podataka i preciznosti identifikacije. Kompleksi zdravstvenih ustanova često obuhvataju više objekata i njihove okolice, što otežava upravljanje sigurnošću, koje je sada moguće preko efikasne kontrole fizičkog pristupa i sistema za kontrolu logičkog pristupa.

Piše: A&S International

Osiguravanje javnih prostora je zahtjevan posao. Tu izuzetak ne predstavljaju ni zdravstvene ustanove, u kojima pacijenti, posjetitelji i osoblje ostvaraju otvorenu interakciju na dnevnoj osnovi. „Potrebno je analizirati tri oblasti kako bi se obavila kvalitetna procjena sigurnosti“, kaže Kenneth Mara, direktor kompanije World Wide Security. „Prvo, sigurnost pacijenata i osoblja treba tretirati na način da se ograniči broj osoba koje imaju pristup različitim lokacijama. Drugo, potrebno je kontrolirati pristup medicinskim informacijama i lijekovima. Treće, zdravstvene ustanove treba projektirati tako da se spriječi lutanje pacijenata po objektu. Posljednja stavka je jako važna za psihijatrijske ustanove i pacijente koji boluju od Alzheimerove bolesti ili nekog drugog vida demencije”, pojašnjava on.
U okruženju zdravstvenih ustanova, sistem kartica koje objedinjuju sigurnost fizičkog i logičkog pristupa postao je glavni metod za kontrolu pristupa za potrebe svakodnevnog vođenja aktivnosti i administracije. „U zdravstvu radi osoblje koje može mijenjati svoje uloge u zavisnosti od doba dana ili tražiti pristup određenoj lokaciji. Mnogi nemaju različite instrumente kontrole fizičkog pristupa za različite uloge, ali imaju različite instrumente kontrole logičkog pristupa za iste”, kaže Derek Botti, IT arhitekt u kompaniji Tivoli Industry Solutions — zdravstvo, elektronika, proizvodnja i Smart City projekt korporacije IBM.
„S izazovima se suočimo kada neko od osoblja, prema svojim ovlastima, odabere kontrolu pristupa za jednu ulogu dok obavlja sekundarnu ili tercijarnu ulogu. Tu možete dodati i stalne promjenu povezane s volonterskim, privremenim i edukacijskim osobljem i shvatit ćete da se odjeli za informacijske tehnologije i sigurnost obično suočavaju s problemima kakvi se ne sreću u drugim sektorima ili objektima”, dodaje Botti.

Fizičko-logička integracija
Kreiranje pouzdanog i fluidnog sistema za kontrolu fizičko-logičkog pristupa, koji će doprinositi finansijskoj i kliničkoj učinkovitosti, predstavlja potrebu s kojom se suočavaju brojne zdravstvene ustanove. „Kako zdravstvene ustanove razvijaju svoju tehnološku infrastrukturu i uvode više sistema, one same po sebi kreiraju ambijent u kojem postoje odvojeni sistemi za kontrolu pristupa, s više identifikacijskih podataka kojim se upravlja preko dupliciranih procesa s ograničenom interoperabilnošću. Posljedica toga je skup proces upravljanja identitetom i ustanova koja je izložena opasnostima od ugrožavanja sigurnosti, što u konačnici rezultira skupim kaznama i globama. Što je još važnije, frustracija zbog sistema za pristup na kraju će imati negativan učinak na korisnika, a osim toga i na kvalitet njege pacijenata”, objašnjava Dave Cullen, direktor za poslovni razvoj za potrebe zdravstva u kompaniji Lumidigm.
Pristup medicinskim informacijama pacijenata moguće je ograničiti na medicinsko osoblje koje posjeduje ovlaštenja i akreditacije u vidu pametnih kartica, s dvostrukim autentifikacijskim faktorom, kako bi se spriječilo neželjeno curenje podataka.
Proces pristupa lokacijama i informacijama trebao bi postati jednostavniji zahvaljujući integraciji sistema za kontrolu logičkog i fizičkog pristupa u jedan sistem. „Odjeli za IT i sigurnost se nadaju da će integrirati n-faktor rješenja za provjeru identiteta s kliničkim sistemima i radnim stanicama koje mogu koristiti iste akreditacije za potrebe ostvarenja fizičkog pristupa objektima i one koje ima bolničko osoblje. U tom smislu, odjeli za IT i sigurnost se suočavaju s poželjnom integracijom u pogledu osiguravanja pristupa, poput pristupa lokacijama i logičkim sistemima u sklopu jedinstvenog procesa”, kaže Botti.
Regulativa i zahtjevi koji su prisutni u ovom sektoru nameću potrebu za konvergencijom kontrole fizičkog i IT pristupa. „Zakon o tehnologiji zaštite informacija u zdravstvu za ekonomske i kliničke potrebe i Zakon o prenosivosti i odgovornosti zdravstvenog osiguranja iz 1996. godine zahtijevaju od zdravstvenih institucija da uvedu više nivoe zaštite sigurnosti pacijenata i važnih informacija. Iako se mrežni tok informacija kontrolira kako bi se omogućilo višestruko sigurno korištenje, sve više sigurnosnih sistema se centralizira i svodi na jedno mjesto, te se usklađuje sa IT odjelima”, napominje Lisa Pryse, šef odjela za zdravstvo u kompaniji Old Dominion Security.

Izazovi
„Kada sisteme kontrole fizičkog i logičkog pristupa instaliraju različiti integratori tada je najveći problem kompatibilnost između dva sistema, jer instalateri mogu biti nedovoljno obučeni za rad s oba sistema“, tvrdi Eric Assouline, menadžer za izvoz u kompaniji CDVI Group. „Dodatni problem predstavlja činjenica da sistemi funkcioniraju odvojeno, te da kao takvi ne mogu odvojeno prepoznavati informacije o identitetu, niti pametne kartice imaju biometrijski predložak koji bi olakšao smanjenje mrežnog prometa i garantirao veći nivo privatnosti za uposlenike“, dodaje Cullen.
Interoperabilnost sistema osigurava protok krucijalnih informacija iz različitih sistema i vodi ih do odgovarajuće osobe u odgovarajuće vrijeme. Komunikacijski sistemi omogućavaju vidljivost informacija na primarnom i sekundarnom nivou, čime se izbjegava pojava skupih uskih grla u sistemu. „Najčešći problem je nepostojanje otvorenih standarda u slučaju IT rješenja za zdravstveni sektor. Ako odabrani proizvođač odabere zatvoreni sistem, s vlasničkom ili slabom podrškom za API, integracija između sistema kontrole fizičkog i logičkog pristupa postaje otežana i skupa aktivnost. To proizvodi probleme s povezivanjem podataka unutar različitih sistema, zato što ova rješenja ne nude slobodnu razmjenu podataka. Postignuta integracija bi bila tek ograničeno korisna u nekim slučajevima i nudila bi otežanu analizu i poređenje, što bi rezultiralo dodatnim dugotrajnim i skupim aktivnostima na integraciji”, pojašnjava Botti.

Timski rad
Omogućavanje jednostavne integracije između sistema kontrole logičkog i fizičkog pristupa i ostalih sigurnosnih sistema nije zadatak samo sistemskog integratora. Osobe zadužene za sigurnost i direktori informacijskih sistema koji djeluju na nivou institucija također bi trebali imati temeljno razumijevanje postojećih i potencijalno novih sistema, kako bi mogli shvatiti kako konvergencija funkcionira. „Obično, tokom integracije, pružatelji rješenja pokušavaju ispitati postojeća sigurnosna rješenja i načine na koji se koriste komponente poput akreditacija ili baza identifikacijskih podataka“, kaže Botti.
Ako je to moguće, instalira se sučelje u sklopu implementacije logičkog sistema koje će ponuditi jedinstveno rješenje za osiguravanje pristupa među bazama identifikacijskih podataka za potrebe fizičkog i logičkog pristupa.
Konvergirani sistemi kontrole logičkog i fizičkog pristupa često su u nadležnosti direktora informacijskih sistema, kojima su odgovorni službenici sigurnosti. U zdravstvenim ustanovama ta dužnost je često podijeljena između dva lanca upravljanja u kojima se suprotstavljaju zaštita fizičke i logičke sigurnosti. „Kako bi se ovo spriječilo, i direktor informacijskih sistema i službenici sigurnosti moraju dovoljno razumjeti i sisteme fizičke i sisteme logičke zaštite, kako bi optimizirali ukupni učinak“, kaže Assouline.
„Direktori informacijskih sistema razvijaju dugoročnu stratešku usmjerenost bolnice, a IT ima centralnu ulogu u smanjenju troškova zdravstva i uspostavljanju efikasnih procesa. Za zaštitu ovih investicija zadužen je i direktor informacijskih sistema, a ovaj plan bi trebao sadržavati i strategiju za poboljšanu kontrolu fizičkog i logičkog pristupa. Poboljšanje sistema za upravljanje provjerom identiteta i kontrolom pristupa predstavlja prvi korak za uspostavu efikasne sigurnosne infrastrukture. Poželjno je da direktor informacijskih sistema razumije oba ova svijeta, ali je jednako važno i da službenici sigurnosti također razumiju obje vrste sistema”, napominje Cullen.
„Mnogi direktori informacijskih sistema sada ulaze u partnerstva sa službenicima sigurnosti, kako bi omogućili jedinstveno upravljanje sistemima kontrole logičkog i fizičkog pristupa. Zaduženja u okviru obje pozicije mogu biti uvjetovana i budžetom koji se izdvaja za oba odjela, no, obje strane moraju uspostaviti blisku saradnju, kako bi osigurale efikasno i stabilno odvijanje aktivnosti“, kaže Brian Stemp, voditelj proizvoda za kontrolu pristupa za regiju Evrope, Bliskog istoka i Afrike u kompaniji ADT Security.

Ključni faktori
Ključni faktori koji potiču na konvergenciju sistema kontrole fizičkog i logičkog pristupa u zdravstvenim ustanovama su smanjenje troškova i povećan nivo sigurnosti i pouzdanosti instaliranog sistema. „Nove platforme za kontrolu fizičkog pristupa omogućavaju bržu i lakšu integraciju sa sistemom logičke kontrole, dok se troškovi smanjuju zbog većeg izbora ponuđenih rješenja“, tvrdi Assouline.
Konvergirani sistemi se instaliraju zbog postojanja želje za redukcijom operativnih troškova i smanjenjem broja suvišnih komponenti kada se razmatraju rješenja na nivou kompanija. „U nekim slučajevima, cilj je da se reducira kompleksnost cijelog sistema tako što se smanji broj akreditacija na način da se i fizički i logički pristup mogu kontrolirati jednom akreditacijom. U ostalim slučajevima, glavni faktor je želja da se umanje operativni troškovi, čime se smanjuje zahtjevnost ukupnog rješenja u pogledu resursa i eliminiraju suvišne komponente koje obavljaju iste zadatke na izolirani način. U ostalim slučajevima, radi se o omogućavanju kvalitetnijeg utvrđivanja usklađenosti za regulativnim zahtjevima, tako što će se uspostaviti jedan izvor tačnosti, što pojednostavljuje provjeru, uspostavljanje i uklanjanje identifikacijskih podataka”, pojašnjava Botti.
Zdravstvene ustanove počinju razumijevati da imaju odgovornost da zaštite pacijente, osoblje i imovinu. „Kvalitetno integrirani sigurnosni plan može imati veliki utjecaj na troškove osiguranja za potrebe bolnice. Zaštita fizičke sigurnosti osoblja i pacijenata je oduvijek imala važnu ulogu, ali kako sve veći broj informacija prelazi u elektronski format i postaje interoperabilno, jako je važno da se pristup njima omogući samo licima koja imaju odgovarajuća ovlaštenja. Podaci o pacijentu koji mogu dospjeti u pogrešne ruke sa sobom povlače visoke kazne i globe i mogu negativno utjecati na marketinški status određene ustanove”, napominje Cullen.

Korištenje pametnih kartica
Pametne kartice se koriste za različite funkcije: kontrolu pristupa, sisteme za kontrolu isplata i prisustva na radnom mjestu i sl. Beskontaktne kartice pomažu u ograničavanju i kontroli infekcija u okruženju zdravstvenih ustanova. Osjetljive lokacije poput odjela za intenzivnu njegu ili apoteka zahtijevaju dvofaktornu provjeru identiteta, pri čemu se biometrijska verifikacija kombinira s dodijeljenom pametnom karticom.

Biometrija
Biometrijska kontrola u zdravstvenim ustanovama je tradicionalno problematično područje, jer konvencionalni sistemi ne postižu pouzdanu funkcionalnost u zahtjevnom okruženju i situacijama. „Učestalo pranje ruku, česta upotreba hemikalija i sredstava za čišćenje, nošenje rukavica i cijeli spektar demografskih problema predstavljaju izazov i poteškoće za biometrijsku kontrolu i identifikaciju”, ističe Cullen.
Nove biometrijske tehnike omogućavaju skeniranje otisaka prstiju čak i kada su ruke u rukavicama. „Višespektralno skeniranje otisaka prstiju nudi jedinstvenu mogućnost skeniranja, koje dopire i ispod površinskog sloja kože i uspješno se nosi s vanjskim faktorima koji utječu na otiske”, napominje Cullen. „Osim toga, smanjenjem cijena i povećanjem jednostavnosti korištenja i održavanja biometrijskih uređaja, oni postaju sve više prisutni u sistemima kontrole pristupa unutar zdravstvenih ustanova. Neke od najkrupnijih promjena predstavlja poboljšana sigurnost koja je posljedica nepostojanja potrebe za PIN kodovima, koji se mogu dijeliti, kao i za karticama koje se mogu izgubiti ili biti ukradene ili dijeljene”, kaže Mike Grimes, direktor kompanije Integrated Biometrics.
„Beskontaktne pametne kartice minimiziraju operativne troškove kod rada s upravljanjem biometrijskim predlošcima i distribucijom. Umjesto pohrane biometrijskih podataka na serveru i njihove distribucije preko uvezane mreže, sistem beskontaktnih biometrijskih pametnih kartica omogućava da vlasnik kartice koristi biometrijske predloške, što sa sobom nosi veći nivo sigurnosti i provjere identiteta, koji se često naziva i ‘potvrda podataka na kartici’”, kaže Dan DeBlasio, direktor poslovnog razvoja i upravljanja provjerom identiteta i pristupom u HID Globalu (u sklopu kompanije Assa Abloy).

Posjetitelji
Konvergencija sistema kontrole fizičkog i logičkog pristupa uvelike se odnosi na osoblje i pacijente. Međutim, efikasan nadzor posjeta, posebno nakon radnog vremena, omogućuje siguran pristup zdravstvenim ustanovama. Uobičajen način čuvanja zaštićenih lokacija je programiranje tačaka pristupa, preko kojih se pristup ulazu i izlazu omogućava samo ovlaštenom osoblju. „Neke zdravstvene ustanove mogu integrirati u vrata i interfon sisteme preko kojih se kontrolira pristup, tako da posjetitelji mogu komunicirati s osobljem i nakon radnog vremena”, kaže Philip Verner, direktor marketinga i prodaje u kompaniji CEM Systems (u sklopu kompanije Tyco International). Dodavanje videomogućnosti uz dvosmjerni audiosistem može omogućiti obavještavanje neželjenih posjetitelja da su ušli na područje na kojem ne bi trebali biti. „Video i audio komunikacija omogućuje ostvarivanje interakcije s počiniteljem potencijalnog zločina na djelu i podižu je na viši sigurnosni nivo za pripadnike hitnih službi. Ovo može biti važno u periodu nakon okončanja radnog vremena, kada čuvarima treba dodatna pomoć ili kada je potrebno naći zamjenu za usluge zaštite u udaljenim područjima”, kaže Mara.
Stručnjaci za ovu oblast slažu se da oslanjanje na kartice za privremeni pristup i postojeće sisteme kontrole pristupa može biti skupo i nedovoljno za upravljanje pristupom koji ostvaruju posjetitelji nakon radnog vremena.
Čuvari na samoj lokaciji bi i dalje bili potrebni, iako bi njihov broj mogao biti smanjen ili se mogu uputiti na neke druge visokorizične lokacije. „Obaveza posjetitelju da nosi akreditaciju zahtijeva direktno uključivanje sigurnosnog osoblja. Oni ne moraju biti potrebni na lokaciji gdje se odvija proces izdavanja akreditacija, ali je njihovo prisustvo važno na ključnim mjestima ostvarivanja pristupa, kao što su glavni liftovi, predvorja i neke druge slične lokacije”, pojašnjava Mark Thummel, voditelj klijenata za sigurnost i zaštitu od požara u zgradama u kompaniji Johnson Controls.
Krivična djela i krađe koje pogađaju posjetitelje dešavaju se unutar zdravstvenih ustanova zbog njihove otvorenosti, iako su, u odnosu na ostala krivična djela najprisutnije, zapravo, sitne krađe. „Najteža djela čine sami pripadnici osoblja i tu spadaju krađa opreme, pribora i farmaceutskih preparata“, tvrdi Cullen. „Krađe postaju ozbiljan problem unutar ovih institucija, jer su mnogi dijelovi opreme prenosivi, skupi i teško ih je pratiti. Implementacija usluga nadzora lokacija u stvarnom vremenu, koje su integrirane s kontrolom pristupa zgradi, postaje sve izraženiji trend, jer sve veći broj zdravstvenih ustanova, posebno službe hitne pomoći, pokušavaju umanjiti gubitke opreme na ovom planu. Nažalost, ove inicijative se obično odvijaju izvan opsega koji obuhvata kontrolu fizičkog ili logičkog pristupa i njima se često upravlja u sklopu lanaca nabavke, što je dodatna prepreka za primjenu ovih rješenja”, smatra Botti.

Napredak uz tehnologiju
Tehnologija sa sobom nosi i efikasnost i rizike. Naprimjer, tablet-računari predstavljaju korisne alatke za brzo učitavanje podataka i medicinsko osoblje ih može koristiti po smjenama. Ipak, sigurnost podataka i privatnost pacijenata izloženi su novim prijetnjama.
Korisnost nasuprot mogućnosti upravljanja predstavlja veliki izazov na nivou institucije. „U zdravstvu, tim izborom se, prema našem iskustvu, upravlja na oba načina. Postoje slučajevi kada na mrežama, na nivou ustanova, nije bilo dozvoljeno korištenje uređaja kojim se nije upravljalo neposredno iz IT odjela, uključujući tu i smartphone uređaje. U drugim slučajevima, politika ustanove je takva da se bilo koji uređaj može priključiti na mrežu, pri čemu zajednica uposlenika mora potpisati dokumente prema kojima prihvataju odgovornost za upravljanje uređajem i razumiju da svaki upad ili izlaganje sistema opasnostima zbog korištenja uređaja ide na odgovornost pojedinca”, kaže Botti.
Nove tehnologije poput ovih će dodatno ojačati prijetnje i opasnosti od curenja podataka. „Kako bi se ovi problemi riješili, odjeli za sigurnost i IT moraju sarađivati s ciljem kreiranja jače enkripcije koja će onemogućiti pristup neovlaštenih lica važnim informacijama”, kaže Stemp. Kako bi se popunila praznina između dva ekstrema, fizičko osiguranje mora pružiti pomoć u neprekidnom praćenju imovine. „Oprema se može označiti tako da se alarm aktivira kada ona napusti prostorije ustanove. Fleksibilnost upravljanja imovinom koje se integrira s kontrolom pristupa u kombinaciji s kvalitetnim znanjem koje posjeduje sistemski integrator omogućit će kvalitetnije postupke zaštite imovine, ličnih stvari i ljudskih resursa unutar neke bolnice”, pojašnjava Assouline.
Tu je od koristi i biometrijska tehnologija. „Pristup mrežama podataka koje sadrže osjetljive informacije može se detaljno nadzirati, kao i fizički pristup kompjuterskim sobama ili prostorijama gdje se čuva papirna dokumentacija, a sve putem biometrijskog skeniranja“, kaže Cullen. „Provjera identiteta preko dva faktora može se dodati kod pristupa prijenosnim kompjuterskim uređajima na kojima se nalaze poslovne ili informacije o pacijentima“, napominje Pryse.
Podatke pohranjene na opremi također treba šifrirati kako bi se spriječio neovlašteni pristup njima u slučaju gubljenja ili krađe tablet ili PDA uređaja. Krajnji korisnici trebaju procijeniti troškove osiguravanja pristupa i adekvatne firewall zaštite u odnosu na brzinu i efikasnost unošenja podataka o pacijentima ili njihovog učitavanja u realnom okruženju.

Arhiva