České nemocnice mají vlastní datová externí úložiště. Využívat externí cloudy od zahraničních firem by většinou považovaly za riziko, pokud by k datům měly mít skutečně přístup vlády cizích zemí. Některé nemocnice mají s významnými světovými IT firmami přímý obchodní vztah v jiných oblastech než ukládání dat a některé jejich služeb využívají pouze přes české distributory. To je výsledek naší malé ankety mezi velkými českými zdravotnickými zařízeními, jíž jsme reagovali na zprávy o snaze amerického ministerstva spravedlnosti získat přístup k datům, respektive serverům, firmy Microsoft v evropských zemích. Firma, ale i ochránci soukromí, s tím zásadně nesouhlasili.
Minulý týden v této věci odvolací soud v Manhattanu zvrátil rozhodnutí soudu nižší instance a postavil se na stranu Microsoftu. Nicméně se předpokládá, že se americké ministerstvo odvolá k Nejvyššímu soudu USA a téma se znovu vrátí do hry. Microsoft nabízí uložení dat přes své „veřejné cloudy“, které už nyní využívá jedna miliarda zákazníků a 20 miliónů podniků ve 40 zemích světa.
Data na serveru v Dublinu prý nejsou na irském území
Jak informoval již květnu náš sesterský portál Ekonomický deník, na začátku tohoto příběhu, který může mít dalekosáhlé následky, byl obyčejný příkaz amerického soudce vydaný v prosinci 2013. Na základě zákona z roku 1986 O uchovávání dat (SCA) uložil firmě Microsoft, aby předala e-mailovou komunikaci klienta v drogovém případu. Jenže tato e-mailová schránka se nenacházela v USA, ale v datovém centru v irském Dublinu. Vláda USA je přesvědčena, že cloudy v dublinském centru Microsoftu nejsou irským územím, neboť společnost může předat data z nich do USA „jedním kliknutím“. Nesouhlasil nejen Microsoft, irská vláda a organizace zaměřené na ochranu dat a soukromí, ale panika zavládla také u našeho největšího souseda. Němci se rozhodli, že nebudou uchovávat data u poskytovatelů z USA, dokud nebude rozhodnutí amerického soudu zvráceno. To se nyní sice podařilo, nicméně mluvčí amerického ministerstva obrany Petr Varr bezprostředně po vyhlášení rozsudku prohlásil: „Legální přístup k informacím uloženým u amerických poskytovatelů mimo Spojené státy, který je rychlý tak, že odhalí kriminální činnost nebo hrozby pro národní bezpečnost, je zásadní pro naplnění naší mise chránit obyvatele a dosáhnout spravedlnosti pro oběti zločinů.“ Z těchto slov jasně plyne, že se USA jen tak svého záměru nevzdají. O tématu si můžete v Ekonomickém deníku přečíst také zde. V širším kontextu ochrany dat se jím zabýval i zajímavý rozhovor v našem dalším sesterském webu Česká justice.
A jaký vztah má kauza je zdravotnictví? Právě Německo, které se proti záměru USA velice ostře vymezilo a přijalo zvláštní vládní rozhodnutí, jež by se dalo vyložit jako „německá data zůstanou v Německu“, si uvědomilo, že kromě jiných oblastí se velká suma informací, uložených na cloudech, týká zdraví a zdravotnictví. Zdravotnický deník proto zajímalo, jakým způsobem tyto služby využívají české nemocnice.
Externí úložiště nemáme…
Žádná z velkých českých nemocnic, které reagovaly na dotazy Zdravotnického deníku, nepoužívá externí datové úložiště, Zatím tedy nemusejí ani řešit bezpečnost citlivých dat pacientů z pohledu hrozby, že se k nim mohla dostat vláda jiného státu. Nicméně rizika si uvědomují. „Ano, obáváme se“, shodují se jejich mluvčí, ale hned dodávají: „Nás se to netýká“. Připouštějí teoretické riziko jedině tehdy, kdyby jejich nemocnice z nějakého důvodu začaly využívat externí úložiště, ale k tomu se zatím žádná z nich nechystá.
„IKEM takové služby nevyužívá, vyhýbá se jim, blokuje je i na pracovních počítačích (interní směrnice). Pokud bychom byli v budoucnu nuceni externí úložiště využít, bylo by podmínkou, že bude na území ČR nebo EU a data bychom navíc kryptovali. Zároveň by velmi záleželo na smluvních a licenčních podmínkách, i ty by musely projít důkladnou analýzou. Nicméně, v současné chvíli IKEM preferuje pouze vlastní datová úložiště,“ napsala nám například mluvčí Institutu klinické a experimentální medicíny (IKEM) Veronika Velclová.
Mohlo by vás zajímat
Ani ministerstvo zdravotnictví nepoužívá jiná než vlastní datová úložiště. Současně však nepodceňuje možná rizika. „Ministerstvo zdravotnictví se systematicky zabývá otázkami kybernetické bezpečnosti v celé jejich šíři. Rozhodně nemůžeme reagovat ex post až na nějakou událost. Těm se naopak snažíme předcházet,“ říká mluvčí Ladislav Šticha. Připomíná, že přístup České republiky k elektronizaci veřejné správy je koordinován ministerstvem vnitra. Zdravotnictví s vnitrem intenzivně spolupracuje při řešení bezpečné architektury informačních systémů resortu a nepřijímá izolovaná opatření. Podobně spolupracuje s Národním bezpečnostním úřadem.
…v jiných oblastech s IT firmami ale spolupracujeme.
Samozřejmě, že mnohé nemocnice i ministerstvo zdravotnictví se světovými firmami, jako je Microsoft, IBM, Cisco Systems, Oracle, HP, spolupracují v různých jiných oblastech. „Ano, z uvedených společností má NNH smluvní vztah se společností Microsoft a Oracle. Poskytují nám licence na základní počítačové vybavení (operační systémy MS Windows, MS Office, MS Exchange, MS SQL, atd. v případě Microsoftu a SQL Database v případě Oracle),“ uvedla mluvčí Nemocnice Na Homolce Martina Dostálová. „Máme smluvní vztahy s firmami: Microsoft, IBM, Oracle, HP,“ sdělil nám Martin Šalek, mluvčí Nemocnice Na Bulovce. „Nemocnice využívá technologie některých uvedených firem, služeb v souvislosti se zpracováním dat nevyužívá,“ omezila se na ne zcela konkrétní vyjádření Hana Frydrychová z Odboru komunikace, FN v Motole. „Z vámi jmenovaných subjektů máme smluvní vztah pouze s firmou Oracle, a to na dodávku a podporu databázového engine v ceně 30 000 Kč bez DPH. V ostatních případech využíváme české dodavatelské firmy,” odpověděla opět V. Velclová z IKEM.
Další nemocnice uvedly, že s výše uvedenými firmami obchodní vztahy nemají. “Ne. Prodej svých technologií realizují zmíněné firmy prostřednictvím českých distributorů,“ vysvětlil nám ředitel FN Ostrava David Feltl. „Přímé smluvní vztahy s těmito firmami nemáme,“ reagoval podobně mluvčí pražské Všeobecné fakultní nemocnice Filip Brož. „Smluvní vztahy s uvedenými firmami nemáme,“ tvrdí Gabriela Levorová mluvčí FN Plzeň. „Ne,“ odbyl nás stručně její kolega ve FN Brno Pavel Žára.
Ministerstvo zdravotnictví uzavřelo s ministerstvem vnitra v roce 2014 Smlouvu o centralizovaném zadávání na pořízení licencí Microsoft a v roce 2016 na pořízení licencí Oracle a Cisco. Tím přistoupilo k rámcovým smlouvám, které vnitro uzavřelo s vybranými dodavateli. „MZČR doposud nevyužilo možnosti pořízení výše uvedených licencí v rámci uzavřených rámcových smluv,“ doplňuje ZD mluvčí Ladislav Šticha.
Zatím je tedy na cloudové frontě klid.
-cik-