Bezpečnosť sa netestuje na vitálnych funkciách, ani keď ide o eRecept ČR.

V stredu 5.9.2018 boli českí používatelia eReceptu vystavení bezprecedentnému vykypeniu obyčajnej ľudskej hlúposti:

Funkčnost ERP byla plně obnovena | Kategorie: Informace

Začátek: 5.9.2018 – 10:30
Konec:5.9.2018 – 10:30

Výpadek nastal v 10:00 souvislosti s realizací bezpečnostních testů ověřujících odolnost systému s ohledem na počet neúspěšných přihlášení (simulace hackerského útoku). Testy probíhají v podmínkách reálného provozu a v utajení za účelem ověření všech bezpečnostních a komunikačních mechanizmů. Zastavení sytému ERP bylo způsobeno zafungováním jednoho z těchto ochranných mechanizmů. Nedostupnost trvala cca 23 minut. Vloženo: 5.9.2018 – 10:26

Zdroj: Stav systému eRecept | Elektronické preskripce

Ak čo i len jedne pacient liečiaci sa na vysoký krvný tlak bol vystavený čo i len desaťminútovému stresu z toho, že si nemôže vyzdvyhnúť svoje lieky, celý uvedený test zlyhal. V kolónke výsledok by malo byť napísané: “pacient umrel”

Kolegovia lekárnici hlásia stovky až tisíce nasraných pacientov ako výsledok testu odolnosti systému ERP.

Opätovne bolo hazardované z povesťou lekárnikov – z pohľadu pacienta to boli oni, kto im nechcel dať ich lieky. Pacient absolútne nechápe, že každá jedna lekáreň je odkázaná na milosť a nemilosť nejakého inžiniera, ktorý nedokázal domyslieť dosah svojho projektu testovania bezpečnosti.  Navyše, informačné systémy v lekárni sa skladajú z takého množstva komponentov, že aspoň priemerne zodpovedný lekárnik nedokáže automaticky vylúčiť chybu na svojej strane a vo svojich informačných systémoch.

Ak dnes v celej EU prechádzame na elektronizáciu preskripcie a vedenia pacientských záznanov v primárne elektronickej podobe, je absolútne nevyhnutné tieto systémy stavať tak, aby jediným momentom ich celoplošnej nedostupnosti na viac ako 1 minútu bol atómový výbuch.

Jednotkové zlyhania nikoho netrápia. Dnes sa tu v článku zamýšľam nad generálnym  celoplošným  zlyhaním. Nie je absolútne možné, aby v takomto informačnom systéme do 1 minúty nenabehli záložné systémy.  Výpadok 23 minút je fatálnym zlyhaním bezpečnosti. Iste, ochrany pred napadnutím systém eReceptu ochránili. Až tak dokonalo, že ho nebolo možné 23 minút používať.

Na rozdiel od lekára, lekárnik bez systému eReceptu nie je schopný poskytovať lekárenskú starostlivosť. Na 23 minút sa úplne zastavil celý jeden segment medicíny. Mohol sa na hodinu, mohol sa na dve hodiny.

Iste, viac ako jednodňový výpadok expedície liekov nehrozí. Lekári by začali vystavovať papierové recepty a lekárne v pohode v offline režime zvládajú výdaj papierových receptov. No opätovný prechod do režimu eReceptov by zas trval týždne. Dôvera, to je to, o čo sa tu hrá.

Neschopnosť štátu zabezpečiť bez výpadkov tak jednoduchú vec, ako je predpisovanie a expedícia liekov pacientom, je fatálnym naštrbením dôvery.

Dnes je všeobecne známe, že kde-aký inžinierik dokáže zhodiť systém preskripcie liekov v ČR na pár hodín. Dokonca s požehnaním vedenia štátu. Pretože presne to nám hovorí veta: “Zastavení sytému ERP bylo způsobeno zafungováním jednoho z těchto ochranných mechanizmů.”

Procesy, procesy a ešte raz zálohy

Roky sa zaoberám procesným manažmentom v oblasti lekárenstva. Konzultoval som pre výrobcov expedičných SW riešení. Všetky, ale naozaj všetky, projekty museli vždy spĺňať jednu jedinú požiadavku – lekáreň musí byť schopná expedovať lieky zo svojho skladu aj ako izolovaný ostrov.

Keď v roku 2002 veľká povodeň v Prahe vytopila centrum a na 3 týždne odstrihla našu centrálu siete Lékárny LLoyds od pobočiek, nikto si v Jablůnkove ani nevšimol, že ich lekáreň by mohla mať nejaké problémy. Mali sme dávno pripravené procesné modely a procesné  manuály aj pre takýto výpadok. A v ich duchu sme poslali aktualizácie  centrálne riadeného sortimentu na disketách poštou.

Ak by bola existencia centrálnej databázy a centrálneho serveru vitálna, bežali by redundantne zrkadlá aspoň na dvoch miestach v republike. Čo okrem iného by umožnilo otestovať bezpečnosť na neprodukčnom okruhu.

Je absolútne nepredstaviteľné, aby test bezpečnosti dopadol tak, že nastane výpadok celosieťevého fungovania na 23 minút. Vynásobte si hodinový obrat celkovým počtom lekární v sieti, vynásobte si priemerný počet pacientov obslúžených za hodinu  počtom lekární v sieti a máte aspoň približnú predstavu o škodách, ktoré zle navrhnutý systém 5.9 v ČR spôsobil. Je absolútne nepredstaviteľné, aby správnym výsledkom bezpečnostnej poistky bolo zastavenie výdaja liekov v celej Českej republike. 

Keď nastane nejaký bezpečnostný problém v Temelíne, tak nastane vypnutie dodávok elektrickej energie v celej ČR?

Inžinieri si rozprávajú taký bonmot: Tranzistor svojim zničením ochránil život poistke, ktorá ho mala chrániť. Od 5.9. si v ČR môžu rozprávať: Pacient svojim úmrtím ochránil  databázu eReceptov, ktorá ho mala chrániť pred chybami pri predpisovaní liekov. 

Preto opakujem: Bezpečnosť sa netestuje na vitálnych funkciách produkčného servra, ani keď ide o eRecept v ČR. Nie to, keď ide o systém eReceptu pre celú ČR.

Share Button

Vložte komentár