Соғлиқни сақлаш тизимида ахборот хавфсизлигини таъминлаш масалалари

Автор:
Шохрух Рахмат
-
Тиббий муассасаларда катта ҳажмдаги махфий маълумотлар қайта ишланади, улар таркибида ходимлар ва беморларнинг шахсий маълумотлари ҳамда шифокорлик сирини ташкил қилувчи маълумотлар мавжуд, бу, ўз навбатида, тиббий ахборот тизимларининг юқори даражада ҳимояланган бўлишини тақозо этади. 

Ҳозирги вақтда Ўзбекистонда тиббий муассасаларни ахборотлаштириш жараёни жадал суръатларда кечмоқда, тиббий фаолиятни комплекс автоматлаштириш, турли тиббий ахборот тизимларини ягона ахборот маконига бирлаштириш, шифокорга электрон тарзда навбатга ёзилиш ва беморнинг ягона электрон тиббий картаси каби технологияларнинг жорий қилиниши шулар жумласида.

Тиббий ахборот тизимларининг яратилишида асосий муаммолардан бўлиб, уларнинг ахборот хавфсизлигини таъминлаш ҳисобланади. Бунда катта эътибор тиббий ахборот тизимлари таркибидаги беморларнинг соғлиғи ва даволаш-диагностика жараёни ҳамда ушбу тизимларнинг моҳиятини ташкил қилувчи – тизим модулларининг кодлари, маълумотларни сақлаш ва қайта ишлаш, умумтизим маълумотномалари ва бошқа маълумотларга қаратилади. Ахборот хавфсизлиги маълумотларни, улардан ноқонуний равишда фойдаланишдан ҳамда маълумотларни йўқотиш ва ўзгартиришдан ҳимоялаш орқали таъминланади.

Тиббий маълумотларнинг асосий хусусияти уларнинг махфийлигидир. Фуқароларнинг шифокорга мурожаат қилиш факти тўғрисида ва мурожаат вақтида улар томонидан шифокорга тақдим қилинадиган барча маълумотларнинг махфийлигига, яъни буларнинг барчаси шифокорлик сири эканлиги ҳақида Ўзбекистон Республикасининг “Фуқаролар соғлиғини сақлаш тўғрисида”ги Қонунининг 45-моддасида белгиланган. Тиббий ахборот тизимларининг фаолияти жараёнида уларга киритиладиган, қайта ишланадиган ва сақланадиган бир қатор маълумотлар шахсий маълумотлар ёки шифокор сири ҳисобланади.

Бундан ташқари, тиббий ахборот тизимининг маълумотлар базаси таркибида кўпинча инсон ҳаёти билан боғлиқ бўлган алоҳида муҳим аҳамиятга эга маълумотлар мавжуд бўлади, шунинг учун тиббий ахборот тизимини яратишда асосий омил маълумотлар базасининг яхлитлигини таъминлаш ҳамда тизимнинг ўзи ва хавфсизлиги ҳолатини кузатиш имконияти бўлиши  зарур.

Ахборот хавфсизлигининг белгиланган даражаси учта вектор: маълумотларнинг махфийлиги, яхлитлиги ва очиқлиги билан белгиланади. Ҳар бирининг ўсиши баробарида қолганларининг даражаси пасайиб боради. Шу тариқа, тиббий ахборот тизими фойдаланувчисининг маълумотлардан фойдалана олишини осонлаштириш учун қайсидир даражада махфийлик ва яхлитликдан воз кечишга тўғри келади. Ва аксинча, махфийлик ва яхлитликка риоя қилиш шарти фойдаланувчининг маълумотлар билан ишлашининг мураккаблашишига олиб келади.

ТИББИЙ МАЪЛУМОТЛАРНИНГ ХУСУСИЯТЛАРИ

Тиббий ахборот тизими ахборот хавфсизлигининг оптимал даражасини белгилаш учун тиббий маълумотнинг хусусиятини тадқиқ қилиб чиқиш зарур, унинг таркибини ўрганиш ва ишловчиларни аниқлаш лозим.

Тарқалиши чекланган тиббий маълумотларга қуйидагилар киради:

  1. Тиббий маълумотлар беморнинг туғилганидан шахсий сири ҳисобланиб, тўлиқ унинг ихтиёрида бўлади. У ушбу маълумотларни эркин бошқариши ва чекловларсиз учинчи шахсларга тақдим қилиши мумкин.
  2. Тиббий ёрдамни ўз вақтида кўрсатиш бемор иш вақтининг қисқариши, беморларнинг кўрсатилаётган тиббий ёрдамдан қониқиши, ётоқларнинг айланиши ва қимматбаҳо тиббий ускуналарни ишлатишнинг фойдалилигини яхшилашга қаратилган тиббий ҳужжатлар билан ишлаш бўйича вақти қатъий белгиланган регламент мавжуд.
    Келтириб ўтилган кўрсаткичлар (хусусан, тиббий ёрдамнинг ўз вақтида кўрсатилиши) махфийлик режимининг кучайиши сабабли профессионаллар учун маълумотлар очиқлигининг тўсиб қўйилиши беморнинг соғлигига, баъзан эса ҳаётига ҳам хавф туғдириши, катта молиявий харажатларга, беморлар ва уларнинг қариндошлари томонидан тиббий муассаса устидан ортиқча юридик шикоятлар қилишларига олиб келиши мумкин.
  1. Тиббий маълумот учта қисмга бўлиниши мумкин: шахсий маълумотлар (беморни идентификациялаш имконини берувчи), унинг соғлиғи ҳақидаги маълумотлар, даволаш тавсиялари ва дори-дармонларга буюртмалар, ўтказилган даволаш жараёни ҳақида маълумот, статистик маълумотлар.

Махфий маълумотларни маълумотларнинг барчаси ёки кўп қисмининг бирлашган ҳолати ташкил қилади. Бунда ушбу тиббий маълумотларнинг алоҳида қисмлари сир сақланмайди. Яъни, ташҳис ҳақидаги, касалланиш ва даволаниш жараёнлари ҳақидаги маълумотлар алоҳида тарзда очиқ матбуотда (тиббий мақолаларда) чоп этилиши мумкин, ҳатто шахсий маълумотларнинг баъзи қисмлари билан биргаликда бўлса ҳам (жинси, ёши, қайси гуруҳга тегишлилиги), фақат беморнинг фамилияси, исми, шарифи бундан мустасно. Ташҳислар, мурожаатлар сони, меҳнатга лаёқатсизлиги тўғрисидаги маълумотлар билан қайси гуруҳга тегишлилиги (турар жойи, жинси, ёшга оид гуруҳи ва б.) ҳақидаги тиббий маълумотлар ҳам махфий ҳисобланмайдиган статистик маълумотларни ташкил қилади.

  1. Одатда, тиббий маълумотларнинг алоҳида қисмлари тиббий муассасанинг турли ходимлари: рўйхатга олувчи, шифокор, ташҳисчи, ҳамшира, статист, лаборант ва ҳ.к. томонидан қайта ишланади. Бунинг устига, ушбу маълумотнинг баъзи қисмлари у ёки бу одамга боғлиқ бўлмаган маълумотни акс эттирган ҳолда алоҳида тарзда қайта ишланади. Масалан, таҳлил учун материал, кейинчалик эса таҳлил натижаси ҳам лаборант томонидан тиббий карточканинг (штрих-кодига, акрорланмас калитига ва б.) рақамига бириктириб қўйилади ва бунда тиббий карточка эгасини идентификациялаш амалга оширилмайди.

Бундай ёндашув тиббий муассасанинг алоҳида хизматлари томонидан айрим беморлар (VIP-беморлар)га нисбатан қўлланилади – анонимлик ёки махфийлик муҳим бўлган ҳолатларда.

Тиббий ахборот тизимларида ушбу ғоянинг ривожланиши катта самарадорликни бериши мумкин, чунки ахборот тизими ўзининг ҳар бир фойдаланувчисига тиббий карточканинг тегишли қисмларига мурожаат қилиши учун ваколат бериш имконини беради, бу ерда фойдаланувчининг фақат ўзига тегишли бўлган даражадаги маълумотлар бўлади.

  1. Тиббий маълумот билан ишлаш вақтида хавфнинг учта тури пайдо бўлиши мумкин: маълумотлардан фойдалана олиш ҳуқуқини ноқонуний равишда қўлга киритиш (махфийликни бузиш), маълумотни йўқотиш ҳамда маълумотларни ўзгартириш.

Беморнинг соғлиғига оид маълумотларнинг ошкор этилиши натижасида унга зарар етказилиши мумкин, чунки ушбу маълумотлардан ёвуз ниятларда фойдаланишлари мумкин, бундан ташқари, унинг шахсий ҳаётининг сир сақланишига бўлган ҳуқуқлари бузилади.

Тиббий маълумотлар йўқолиши натижасида уларни тиклаш учун кўп вақт сарфланиши мумкин, ҳолбуки шу вақт ичида ушбу маълумотлар (дори-дармонларга нисбатан реакция, аллергия, ўтказилган касалликлар, соғлиқ кўрсаткичлари, белгиланган даволаш курси ва бошқалар тўғрисидаги маълумотлар) бир одам ҳаётини қутқаришда зарур бўлиб қолиши мумкин.

Хатолик оқибатида, бунинг устига қасддан маълумотларга ўзгартириш киритиш – тиббий маълумотлар учун энг катта хавф ҳисобланади, чунки тиббий характердаги хатоликнинг мавжудлиги (нотўғри даволашни белгилаш, текширувларнинг нотўғри натижалари) инсон соғлиги ва ҳаётига бевосита хавф солади.

  1. Тиббиёт ходимлари, беморлар ва уларнинг ишончли вакиллари/қариндошларининг ўзаро муносабатлари юридик жиҳатдан ишлаб чиқилмаган. Қонунчилик томонидан бугунги кунда касаллик оғир бўлганда, бундай хабарлар бемор соғлигининг ҳолатига зарар етказиши мумкин бўлган ҳолатларда беморнинг соғлиги ҳақидаги маълумотларни беморнинг ўзига ёки унинг ишончли вакилларига (ҳатто унинг розилигисиз) маълум қилиш каби принципиал масала белгиланмаган.

Ушбу муносабатлар келгусида ҳуқуқий нуқтаи назардан расман тартибга солиниши шубҳали кўринади, чунки ушбу вазиятни ҳар сафар шифокор ихтиёрига қолдирмай узил-кесил қонун йўли билан ҳал қилиш учун жуда нозик ва индивидуал характерга эга деб ҳисобланади.

Юқорида келтирилган барча хусусиятлар тиббий ахборот тизими учун хавфсизлик сиёсатини белгилайди.

ТИББИЙ АХБОРОТ ТИЗИМЛАРИДА АХБОРОТ ХАВФСИЗЛИГИНИНГ БУЗИЛИШ ҲОЛАТЛАРИ

Тиббий ахборот тизими фаолиятида ахборот хавфсизлиги ташкилий чоралар, дастурий ва техник воситалардан ўзаро боғлиқ ҳолатда комплекс фойдаланиш ҳисобига таъминланади.

Ахборот хавфсизлигини бузиш эҳтимолининг асосий йўналишларини қуйида келтириб ўтамиз:

  • маълумотларнинг чиқиб кетиши (махфийликнинг бузилиши: тўлиқ – қонунбузар томонидан маълумотлар базасига кириш ҳуқуқининг қўлга киритилиши ёки қисман – қонунбузарнинг фойдалана олиш рухсат берилмаган маълумотлардан фойдалана олиши);
  • маълумотларни йўқотиш (маълумот ташувчи қурилмаларни бузиш, бевосита кириш ҳуқуқидан фойдаланган ҳолда ёки Тизимдан фойдаланган ҳолда маълумотларни ўчириш);
  • маълумотларни ноқонуний ўзгартириш (Тизимдан фойдаланган ҳолда ёки бевосита маълумотлар базасига кириш орқали);
  • фаолият юритишда рад жавобини бериш (Тизимга зарар етказилганлиги сабабли);
  • тизимнинг нотўғри фаолият юритиши (Тизим модулларини ноқонуний тарзда ўзгартирилиши натижасида).
ХОРИЖДАГИ АЯНЧЛИ ТАЖРИБА

Яқин вақтгача энг катта шов-шувларга сабаб бўлган воқеа бу АҚШнинг Калифорния штатидаги клиникага таъмагир-дастурнинг ҳужуми ҳисобланади. Тиббий муассаса маъмурияти ишлаш қобилиятини тиклаш учун қонунбузарларга катта миқдордаги товон пулини тўлаб беришга мажбур бўлди. Ёвуз ниятли шахсларнинг бундай муваффақияти мазкур ҳодисанинг овоза бўлишига сабаб бўлди.

Тиббий муассасаларга уюштирилган ҳужумлардан яна бири Исроилда ҳам кузатилган. Ушбу давлатдаги клиникаларга WORM_RETADUP.A номли қуртнинг ҳужуми амалга оширилган. Мазкур зараркунанда дастур чуқур ўрганилганда, унинг кодидан жосус-дастурнинг барча белгилари аниқланган. Унинг вазифасига тизим ҳақидаги маълумотларни тўплаш ва ташқи сайтларга узатиш, клавиатурадаги клавишаларнинг босилиши ҳақидаги маълумотларни ўғирлаш ва компьютерни ўчириш ҳамда ўчириб ёқиш каби бошқа операцияларни бажариш ҳам киради.

Тиббий муассасалардан маълумотларни ўғирлаш ҳодисаларидан энг йириги куни кеча Сингапурда содир бўлди. Амалга оширилган хакерлик ҳужуми натижасида бир ярим миллион кишининг шахсий маълумотлари ўғирланган, уларнинг ичида давлатнинг Бош вазирига тегишли маълумотлар ҳам бўлган. Хакерлар бир нечта касалхоналарнинг маълумотлар базасини бузиб кирган ва 2015 йилнинг март ойидан жорий йилнинг июль ойигача шифокорларга мурожаат қилган беморларнинг маълумотларини қўлга киритганлар. Мамлакат раҳбарлари ушбу ҳодиса шахсий маълумотлар базаларини энг йирик бузиш бўлганлигини таъкидлаган.

Ёвуз ниятли шахсларнинг тиббий муассасаларга бўлган қизиқиши биринчи навбатда, бир томондан, ушбу ташкилотлар раҳбарларининг ишлаш қобилиятини тиклаш учун исталган пулни тўлашга тайёрлиги, иккинчи томондан ўғирланган шахсий маълумотлар кибержиноятчилар оламида жуда юқори нархда баҳоланиши билан изоҳланади.

ҲИМОЯНИНГ УМУМИЙ СХЕМАСИ

Ахборот хавфсизлигини таъминлаш соҳасидаги дунёнинг етакчи мутахассислари изланишларининг натижалари асосида қуйидаги ҳимоя схемаси таклиф этилган:

  • тиббий ахборот тизими фаолият юритадиган муҳит унсурлари (тиббий муассасага ходимларни киритиш режими, маълумотлар базаларини бошқариш тизимининг серверлари учун махсус хоналар ажратилиши, ноқонуний фойдаланишдан ҳимоялаш техник воситалари, тиббий ахборот тизимининг дастурий таъминотларига хизмат кўрсатиш регламенти, тиббий ахборот тизимининг файлларига кириш ҳуқуқларини чеклаш бўйича операцион тизим имкониятлари, маълумотлар базаларини бошқариш тизимининг маълумотлардан фойдалана олишга санкция бериш, яъни рухсат бериш имконияти ва ҳ.к.);
  • тиббий ахборот тизимининг ахборот хавфсизлигига оид қуйи тизими. Умумтизим механизмлари (тиббий маълумотларнинг тегишли қисмларига, тиббий ахборот тизими объектлари ва функционалига санкцияланган фойдалана олишни ҳамда маълумот ҳаётий даврининг назоратини ва тиббий ахборот тизимининг модуллар кодининг яхлитлилигини ташкил қилиш);
  • тиббий ахборот тизимининг ахборот хавфсизлигига оид қуйи тизими. Тиббий ахборот тизимидан фойдаланувчиларнинг ҳаракатларини назорат ва ретроспектив таҳлил қилишни таъминловчи ахборот хавфсизлиги маъмурининг махсус ажратилган иш жойи.

Дастурий таъминот даражасида тиббий ахборот тизими маълумотларининг ҳимояси қуйидагича тузилади:

  1. Тизим файлларидан фойдалана олишни чеклаш зарур бўлган минимал даражада компьютернинг операцион тизими орқали таъминланади.
  2. Маълумотлар базасининг маълумотларидан рухсат берилган фойдалана олишни ташкил қилиш маълумотлар базаларини бошқариш тизими (Oracle Server) ёрдамида таъминланади.
  3. Тиббиёт ахборот тизими даражасидаги хавфсизлик масалалари қуйидаги имкониятларни берувчи умумтизим механизмлар воситасида ҳал қилинади:

-Тиббиёт ахборот тизимига киришда фойдаланувчини идентификациялаш ва аутентификациялаш;

  • Метафойдаланувчилар ва ахборот объектларининг механизмларидан фойдаланган ҳолда, муайян миқдорда маълумотлар базаси томонидан фойдалана олиш назоратини такрорлаган тарзда рухсат берилган фойдалана олишни янада пухтароқ ташкил қилиш. Бунда алоҳида объектларга ҳамда объектлар гуруҳларига ёки уларнинг қисмларига кириш ҳуқуқи фойдаланувчилар гуруҳларига ҳамда алоҳида фойдаланувчиларга берилади.
  • Тарихийлик механизми ёрдамида маълумотнинг ҳаётийлик даврини назорат қилиш;
  • Маълумотлар базасига номаълум воситалар орқали Тизимни айланиб ўтган ҳолда кириш имкониятини, фойдаланувчининг пароли билан маълумотлар базасига тўғридан-тўғри киришнинг олдини олиш механизмлари ҳамда Тиббиёт ахборот тизими модуллари кодларининг яхлитлигини назорат қилиш механизми ёрдамида тўсиб қўйиш;
  • Тизимнинг зарарланган модуллари ёки номаълум воситалар ёрдамида маълумотларга зарар келтирадиган харакатлар натижасида фаолият юритишга рухсат беришни рад этиш ҳолатларининг Тизим модуллари кодларининг яхлитлигини назорат қилиш механизми ёрдамида олдини олиш.
  • Тизимда шакллантирилган операторнинг қайд қилиш функцияси ёрдамида у ёки бу тиббий ҳужжатнинг муаллифлигини тасдиқлаш.
  1. Фойдаланувчиларнинг ҳаракатлари ва ваколатлари устидан назорат юритиш функцияси алоҳида блокка чиқарилади – ахборот хавфсизлиги бўйича маъмурнинг иш жойи. Модуль реал вақт режимида фойдаланувчилар ҳаракатларини назорат қилиш, ретроспектив таҳлил қилиш ҳамда ахборот ҳужумларига уринишлар тўғрисида ахборот хавфсизлиги бўйича маъмурни тезкорлик билан хабардор қилиш имконини беради. Ушбу дастурий блок Тизимнинг дастурий таъминотидан максимал даражада мустақил ишлаши зарур. Шунинг учун у ORACLE маълумотлар базасининг тизим жадвалларида тузилади ва ўз функцияларини бажариши учун маълумотлар базасини бошқариш тизими аудитининг ўрнатилган механизмларидан фойдаланади.
ХУЛОСА

Мақоламизда тиббий ахборот тизимларида ахборот хавфсизлигини ташкил қилиш бўйича келтирилган тавсиялар Тизим фойдаланувчиларига уларнинг ҳаракатларига сезиларли даражада чекловлар қўймасдан маълумотларнинг етарли даражадаги ҳимоясини таъминлашга ёрдам беради.

Шоҳрух Раҳмат, Ахборот ва жамоат хавфсизлиги маркази
Норматив-ҳуқуқий базани ривожлантириш департаменти бошлиғи.