Amennyiben megszegik a hippokratészi esküt, nem tartják be az etikai szabályokat, az egészségügyben dolgozó orvosok, ápolók és gyógyszerészek könnyen elveszíthetik az engedélyüket. Az egészségügyi informatikai rendszerek fejlesztőire viszont nem vonatkozik hasonló magatartási kódex, pedig az ő tevékenységük is komoly hatással lehet a páciensek életére. Az egészségügyi intézmények egyre több adatot gyűjtenek az általuk kezelt betegekről, így jogosan merül fel a kérdés, nem kellene-e az egészségügyi informatikát fejlesztő szakemberek számára ugyanolyan etikai szabályokat bevezetni, mint amelyek alapján az egészségügyi dolgozók végzik a munkájukat?
Hippokratészi eskü a fejlesztőknek?
Nemrégiben kapott közel 150 millió dolláros támogatást az amerikai Mayo Klinika egy úgynevezett biobank létrehozására. A projekt célja legalább egymillió önkéntes páciens betegadatainak összegyűjtése annak érdekében, hogy komoly előrehaladást érjenek el a precíziós gyógyászat területén. Hasonló biobankból egyre több létesül.
A CSO magazinnak nyilatkozó Andrew Boyd, a chicagói Illinois Egyetem oktatója úgy véli, hogy a szoftverfejlesztőknek és az orvosoknak közösen kell garantálniuk, hogy az informatikai rendszerek használata során a páciensek egészségügyi adatainak védelme legyen az elsődleges szempont. Mivel az automatikusan futó algoritmusok sok millió ember életére vannak hatással, ki kell zárni a rendszerekből azokat a folyamatokat, amelyek bár legálisak, de nem válnak a betegek hasznára. Ezért Boyd szerint a szoftverfejlesztőknek ugyanolyan szigorú etikai szabályok betartása mellett kell tevékenykedniük, mint amilyenek az egészségügyi dolgozókra vonatkoznak. Ez kiemelten fontos, mivel az egészségügyi adatok tárolása rendkívüli biztonsági kockázatokkal jár együtt.
Ugyanerre a következtetésre jutott az Independent Security Evaluators tanulmánya is. A szervezet partnere, Ted Hurrington elmondása szerint kutatásuk megállapította, hogy az egészségügyben folytatott üzleti tevékenység nincs összhangban a hippokratészi eskü tartalmával. Az általa meglátogatott valamennyi kórházban nyilvánvaló volt, hogy a betegek ellátását végzők e szerint járnak el, gondoskodva arról, hogy a páciensek ne távozzanak rosszabb állapotban, mint amilyenben megérkezésükkor voltak. Informatikai szempontból viszont sokszor megtörténik, hogy a páciens kárt szenved. Különösen fenyegetettek a biobankok, amelyek emberi mintákat tárolnak orvosi kutatásokhoz.
Számottevően javítana a jelenlegi helyzeten - véli a szakember -, ha az egészségügyi alkalmazásokon dolgozó szoftverfejlesztőktől megkövetelnék egy, a hippokratészihoz hasonló eskü betartását. Ez átrendezné a prioritásaikat: a lista elejére helyezné az emberek egészségének megőrzését és a betegadatok kiemelt védelmét. Csak ezt követően jöhetnének az üzleti érdekeket megtestesítő szempontok, például a projekt határidőre elkészítése és a költségekkel kapcsolatos megfontolások. Természetesen a fejlesztőknek ezekre is nagy hangsúlyt kell fektetniük, de munkájuk során mindig szem előtt kell tartaniuk, hogy amit készítenek, hatással lesz az emberek egészségi állapotára.
Betegek, adatok veszélyben
Michael Borohovski, a Tinfoil Security biztonsági cég alapítója szerint, ha például egy hasnyálmirigyrák-teszt magas hamis negatív arányt ad, az azt jelenti, hogy a páciensek egy része annak tudatában távozik a vizsgálatról, hogy nem alakult ki náluk a betegség, holott ennek éppen az ellenkezője igaz, s azonnal meg kellene kezdeni a kezelést a túlélés esélyének növelése érdekében. A minél előbbi piacra kerülés miatt sietve elvégzett fejlesztések eredményeképpen kialakuló hibás működés komoly károkat okozhat a pácienseknek. Márpedig az egészségügyi alkalmazások készítésekor a nyereségesség éppen olyan fontos szempont, mint az embereken való segítés.
Mint arra Borohovski rámutat, etikai szempontból alapvető különbség van az orvosok és az egészségügyi alkalmazásokat fejlesztő programozók között. Az előbbiek dolga kifejezetten a betegek segítése, nincsenek üzleti jellegű kötelezettségeik, míg az utóbbiak elsősorban az üzleti vezetés igényeinek igyekeznek megfelelni, amikor a gyógyítást elősegítő projekteken dolgoznak. Sok esetben nem kívánják meg tőlük szigorúan a sebezhetőségek felkutatását és kijavítását sem. Véleménye szerint a hippokratészi eskü bevezetése helyett a fejlesztőknél inkább a biztonsággal kapcsolatos hozzáálláson kellene változtatni. Mivel nem létezik százszázalékosan biztonságos szoftver, a vállatoknak új biztonsági kultúrát kell bevezetniük, amely gyorsan és hatékonyan reagál, ha sérülékenységeket fedeznek fel. A bizalmas adatokkal foglalkozó fejlesztőknek elő kell írni, hogy tegyenek meg minden tőlük telhetőt a sérülékenységek felkutatására.
Grant Elliott, az információbiztonsággal és kockázatkezeléssel foglalkozó Ostendio vezérigazgatója már annak is örülne, ha az egészségügyi szektor megfelelne az általános ipari biztonsági előírásoknak, mert e tekintetben jelentős a lemaradása. Több oka is van annak, miért nem olyan sürgős az egészségügyi intézmények számára, hogy megfeleljenek az alapvető biztonsági követelményeknek. Az egészségügyben nem olyan nyilvánvalóak a biztonsági kockázatok, mint a kiskereskedelemben vagy a bankszektorban. Az emberek tudnak a Targetet ért hackertámadásról, és ezért nem vásárolnak a webáruházban, vagyis egy biztonsági incidens hatásai mindenki számára világosak.
Ez az összefüggés nem ilyen nyilvánvaló az egészségügyben, vélekedik Elliott. Rengeteg dolgot megvalósítanak a hatékony kezelés és a páciensek gyógyítása érdekében, de a biztonsági szabályokra akadályozó tényezőkként tekintenek. Tovább rontja a helyzetet, hogy gyakran semmi sem ösztönzi a fejlesztőket a hibák kijavítására. Márpedig sajnálatos módon sok olyan szoftverfejlesztő van a szakmában, aki nem csinál semmit, amíg erre nem utasítják. Csak a legszükségesebb minimumot teljesítik - osztja meg tapasztalatait a szakember. Így aztán egyáltalán nem valósul meg az, amire feltétlenül szükség lenne. Nevezetesen, hogy a fejlesztés első napjától kezdve maximálisan figyelembe vegyék a biztonsági szempontokat. Miközben az alkalmazásfejlesztő cégek extraprofitot zsebelnek be termékeik gyors piacra vitelével, a páciensek adatai és egészsége továbbra is veszélyben van.
EZÉRT SZERETIK A HACKEREK AZ E-HEALTH APPOKAT
Mind jobban terjednek a mobiltelefonokon futó egészségügyi alkalmazások, amelyek az orvosok és kórházak számára gyors és egyszerű hozzáférést biztosítanak a betegadatokhoz. A kiberbűnözők azért lopkodják egyre gyakrabban a mobilalkalmazásokban tárolt egészségügyi információkat, mert ezeket nehezebb vagy nem is lehetséges megváltoztatni, így hosszú távú bevételi forrást jelentenek. Egy ellopott hitelkártyát le lehet tiltani, de ha valakinek a kórtörténete, lakcíme és egészségbiztosítási száma hosszú ideig változatlan marad, hosszabb ideig vissza lehet élni velük, és ezért drágábban értékesíthetőek a feketepiacon.
Megkönnyíti az egészségügyi adatokra vadászó hackerek dolgát, hogy egy kutatás szerint az ezeket kezelő mobilappok több mint négyötöde nem rendelkezik adatvédelmi szabályozással, és a szabályozottan működő egyötöd között is csak alig pár olyan app akad, amely engedélyt kér, mielőtt harmadik féllel megoszt adatokat. Nincs szabályozva az sem, milyen módon lehet értékesíteni az appok által összegyűjtött adatokat. Ugyancsak megdöbbentő furcsaság, hogy egyes alkalmazásoknál a páciensek közvetlenül hozzáférhetnek a róluk gyűjtött adatokhoz, így azok titkossága és biztonsága további kárt szenved.