Bezpieczeństwo danych w chmurze

Bezpieczeństwo i poufność danych osobowych i medycznych to spokój i pewność nie tylko pacjentów, ale również wszystkich pracowników placówki medycznej. Zagwarantowanie odpowiedniego poziomu zabezpieczeń daje z jednej strony poczucie bezpieczeństwa, a z drugiej strony stanowi solidny fundament prowadzonej działalności związanej z przetwarzaniem danych wrażliwych, jakimi są dane medyczne. Jednym z rozwiązań, które gwarantuje odpowiedni poziom bezpieczeństwa jest chmura obliczeniowa, w oparciu o którą zaprojektowany został system Mediporta. Wybór takiego rozwiązania niesie wiele korzyści związanych ochroną i dostępem do danych oraz procesem wdrożenia oprogramowania w placówce medycznej i gabinecie.

Podstawowe zalety chmury obliczeniowej

Jedną z głównych zalet rozwiązań chmurowych jest bezpieczeństwo danych. Dzięki przeniesieniu danych osobowych i medycznych do chmury obliczeniowej (profesjonalnej, odpowiednio zabezpieczonej serwerowni i pod opiekę pełnoetatowych administratorów), placówka medyczna zyskuje poziom bezpieczeństwa nieosiągalny dla małych i średnich podmiotów, a trudny do uzyskania i wymagający ogromnych inwestycji w przypadku instytucji o rozbudowanej strukturze organizacyjnej. Równie ważną zaletą chmury obliczeniowej jest dostępność danych. Dzięki rozwiązaniom chmurowym użytkownicy mogą w bezpieczny sposób korzystać z danych na dowolnym komputerze oraz w każdym miejscu na świecie, co przekłada się na elastyczności działań placówki.

W zdecydowanej większości firm infrastruktura informatyczna – przede wszystkim ta przechowująca dane wrażliwe lub poufne – jest narażona na wiele niebezpieczeństw. Kluczowe w tym wypadku staje się bowiem pytanie o środki zabezpieczeń fizycznych, sposoby replikowania i backupowania zasobów, a także zapewnienie odpowiedniej dostępności. Chmura obliczeniowa znosi te ograniczenia. Infrastruktura firmy przenosi się „spod biurka” do profesjonalnego centrum danych, z ochroną fizyczną, systemem monitoringu, zabezpieczeniem przeciwpożarowym czy redundantnymi łączami elektrycznymi i internetowymi. – Dariusz Nawojczyk, CMO, Oktawave

Komora serwerowa (ATM / Oktawave)

Innym, równie istotnym atutem tego typu rozwiązania jest znaczne obniżenie kosztów i czasu wdrożenia oprogramowania w placówce. Dzięki chmurze obliczeniowej, placówka nie jest zmuszona do rozbudowy swojej struktury informatyczno-sieciowej co pozwala zaoszczędzić zarówno czas jak i środki finansowe przeznaczane na obsługę IT. Dzięki temu placówka może w pełni skupić się na prowadzonych przez siebie działaniach związanych z obsługą pacjentów i jakością świadczonych usług, a kwestie bezpieczeństwa infrastruktury informatycznej zlecić profesjonalistom w tej dziedzinie.

W zakresie bezpieczeństwa i cloud computingu kluczowa jest edukacja rynku. Klienci często boją się, że stracą stały dostęp do zasobów, gdy ulokują je w chmurze w zewnętrznym centrum danych. W rzeczywistości firmie specjalizującej się w innej dziedzinie niż przetwarzanie danych bardzo trudno jest spełnić rygorystyczne standardy ochrony IT we własnej siedzibie. Najlepszym tego dowodem są rozbudowane wymagania certyfikacyjne (ANSI bada ponad 2600 elementów). – Bartosz Misiaszek, Product Manager, Beyond.pl / e24cloud

Komora serwerowa (Beyond.pl / e24cloud)

Bezpieczeństwo danych w chmurze

W praktyce przeniesienie danych do chmury obliczeniowej oznacza brak niepowołanego dostępu i utraty danych np. w przypadku awarii lub kradzieży sprzętu w placówce. Komputery w placówce pełnią jedynie rolę urządzeń terminalowych, za pomocą których użytkownicy logują się na indywidualne konta systemowe i przy wykorzystaniu interfejsu webowego mogą odczytywać oraz zapisywać dane przechowywane na zewnętrznych serwerach. Tym samym nie ma zagrożenia, że w przypadku usterki komputera lub dysku twardego w placówce, przechowywane na nim dane zostaną bezpowrotnie utracone. Sam proces dostępu do danych odbywa się poprzez sieć Internet, za pomocą szyfrowanego kanału komunikacyjnego, który zapewnia bezpieczeństwo na analogicznym poziomie jak w przypadku np. dostępu do bankowości on-line. Należy również podkreślić, że przechowywane w chmurze dane mają charakter rozproszony, co sprawia, że nawet w przypadku fizycznej utraty danych (np. kradzieży dysków twardych z serwerowni – data center), odtworzenie takich danych przez osoby niepowołane nie będzie możliwe. Warto dodać, że wszystkie dane przechowywane na serwerach chmurowych są także szyfrowane.

Chmura obliczeniowa eliminuje zagrożenia:

• utrzymuje działanie systemu pomimo braku zasilania,
• zabezpiecza przed nieuniknionymi awariami sprzętu,
• uniemożliwia kradzież komputera z danymi,
• zabezpiecza dane przed wypadkami losowymi (np. pożarem, powodzią).

Chmura obliczeniowa wprowadza korzyści:

• oszczędność czasu (automatyczne aktualizacje i kopie zapasowe),
• oszczędność pieniędzy (bez konieczności kupna serwerów i budowy serwerowni),
• najwyższy poziom zabezpieczeń (nowoczesne środki ochrony danych i dane gromadzone w odpowiednio zabezpieczonym profesjonalnym data center).

Na poniższym schemacie na przykładzie systemu Mediporta, przedstawiono wykorzystanie chmury obliczeniowej w placówce medycznej.

Przykładowy schemat wykorzystania chmury obliczeniowej

Do najważniejszych rozwiązań, zapewniających bezpieczeństwo oraz ochronę przetwarzanych danych osobowych i medycznych w systemie Mediporta należą m.in.:

• kopie danych przechowywane w 2 oddzielnych lokalizacjach z następującą granulacją kopii historycznych:
  • raz na 15 minut do 30 dni wstecz,
  • raz na dzień od 31 do 60 dni wstecz,
  • raz na tydzień od 61 do 90 dni wstecz,
  • raz na miesiąc od 91 do 180 dni wstecz,
• dostęp zdalny do serwerów zabezpieczony przez zapory sieciowe, pozwalające na dostęp jedynie uprawnionym użytkownikom,
• macierze dyskowe, eliminujące przerwy w pracy w przypadku awarii dysków twardych,
• stałe aktualizacje systemów operacyjnych oraz oprogramowania wykonywane przez przeszkolonych w tym zakresie administratorów,
• wielopoziomowa kontrola fizycznego dostępu do serwerów, w tym ciągły monitoring kamer przemysłowych,
• niezależne przyłącza energetyczne, zasilacze awaryjne oraz agregaty prądotwórcze podtrzymujące pracę serwerów w całym okresie braku dostaw energii elektrycznej,
• niezależne łącza telekomunikacyjne, zapewniające stałą łączność z siecią Internet,
• systemy przeciwpożarowe oraz przeciwpowodziowe.

System Mediporta i dostawcy usług chmury obliczeniowej

Oprócz oczywistych korzyści dla placówek medycznych i gabinetów, zaprojektowanie systemu w oparciu o rozwiązania chmurowe to także ogromne wyzwanie dla twórcy oprogramowania Mediporta, głównie w zakresie wyboru odpowiedniego dostawcy usługi chmury obliczeniowej. Mając na uwadze zapewnienie odpowiedniego poziomu świadczonych usług, ważne jest, aby dostawca usługi spełniał odpowiednie wymagania w zakresie bezpieczeństwa oraz gwarantował odpowiednią infrastrukturę techniczno-informatyczną oraz sieciową. To w praktyce przekłada się na stabilność i dostępność systemu oraz bezpieczeństwo i ochronę przechowywanych w nim danych. Świadomy i odpowiedzialny wybór partnerów biznesowych w tym obszarze, podyktowany jest przede wszystkim zapewnieniem ciągłości procesów biznesowych realizowanych przez klientów Spółki Mediporta. Aktualnie Mediporta korzysta z usług dwóch certyfikowanych dostawców infrastruktury technicznej wspierającej działanie systemu, tzn. chmury obliczeniowej i centrów danych (data center):

• Oktawave Sp. z o.o., ul. Domaniewska 44a, 02-672 Warszawa, https://www.oktawave.com/pl. Firma Oktawave otrzymała certyfikat CSA STAR, świadczący o bezpieczeństwie danych w chmurze obliczeniowej, jak również Certyfikat Systemu Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001:2013.
• Beyond.pl Sp. z o.o., ul. Dziadoszańska 9, 61-248 Poznań, https://www.beyond.pl/uslugi/chmura-e24cloud/ – dostawca usługi chmury obliczeniowej e24cloud. Firma Beyond.pl otrzymała certyfikat Rated 4 wg ANSI/TIA-942 (we wszystkich czterech obszarach: architektury, mechaniki, zasilania, telekomunikacji) oraz przeszła audyt ISO 27001:2013 dotyczący zarządzania bezpieczeństwem informacji w firmie.

Nasza chmura publiczna e24cloud znajduje się w dwóch oddzielnych lokalizacjach w Poznaniu, co z jednej strony zwiększa bezpieczeństwo, a z drugiej daje więcej możliwości budowania środowisk IT. W obu centrach danych wdrożyliśmy system zarządzania bezpieczeństwem informacji zgodny z ISO 27001. – Bartosz Misiaszek, Product Manager Beyond.pl / e24cloud

Budynek Data Center 2 (Beyond.pl / e24cloud)

Równie ważnym aspektem, na który należy zwrócić uwagę jest to, że w przypadku obu data center (Oktawave oraz Beyond.pl) dane przechowywane są na serwerach zlokalizowanych w Polsce. Obecne przepisy dopuszczają przechowywanie danych medycznych także w innych krajach zlokalizowanych w Europejskim Obszarze Gospodarczym.

Podsumowanie

Przeniesienie danych do chmury obliczeniowej niesie wiele korzyści dla placówki głównie w obszarze dostępności, bezpieczeństwa i ochrony danych, jak również w zakresie oszczędności czasu i pieniędzy przeznaczanych na budowę i utrzymanie infrastruktury technicznej w placówce. Bardziej świadomi przedsiębiorcy rozumieją, że chmura obliczeniowa podnosi bezpieczeństwo dzięki przekazaniu zadań związanych z obsługą IT w ręce profesjonalistów. Konieczność zapewnienia wysokiego poziomu zabezpieczeń jest sprawą bezdyskusyjną i nie daje zbyt dużego pola na kompromisy. Dlatego zapewnienie wysokich standardów bezpieczeństwa danych w chmurze jest kwestią priorytetową i wymusza odpowiedzialny i świadomy wybór partnerów biznesowych w tym obszarze. System Mediporta, którego architektura oparta jest o rozwiązana chmurowe oraz współpraca z profesjonalnymi i certyfikowanymi dostawcami usług chmury obliczeniowej spełniają te założenia i gwarantują odpowiednie zabezpieczenia i ochronę danych przechowywanych w chmurze.

Żadnym wątpliwościom nie podlega fakt, że placówka medyczna decydując się na rozwiązanie chmurowe, zyskuje poziom bezpieczeństwa niedostępny w przypadku danych przechowywanych na lokalnych serwerach. Warto jednak wspomnieć, że bez względu na wybrane rozwiązanie (chmurowe lub lokalne), w kwestii bezpieczeństwa największym zagrożeniem są błędy ludzkie i to właśnie na kwestię odpowiedniej edukacji pracowników w zakresie bezpieczeństwa danych, placówka powinna kłaść największy nacisk. Bezpieczeństwo danych jest wymieniane jako jeden z najważniejszy obszarów związanych z działalnością firm, zarówno przez przeciwników chmury, jak i jej zwolenników. Wybór rozwiązań chmurowych z jednej strony zdejmuje z placówki medycznej wiele zadań związanych z zabezpieczeniem danych, ale z drugiej strony nakłada na personel placówki obowiązek wypracowania odpowiednich procedur i reguł pracy oraz stałe egzekwowanie narzuconych zasad bezpieczeństwa (np. nieudostępnianie haseł osobom trzecim). Dzięki odpowiedniemu przeszkoleniu oraz ciągłemu podnoszeniu swoich kompetencji w zakresie bezpieczeństwa i ochrony danych, wielu ryzykom można jednak skutecznie zapobiegać.