Vlákno názorů k článku Nemocnice jsou snadným cílem hackerů, útok je dokáže ochromit od MKzB - Bohužel nemocnice jsou rozpočtové organizace a tam je...

Bohužel nemocnice jsou rozpočtové organizace a tam je s financováním problém. Známý dělá v nemocnici údržbáře. Má asi už 20x repasovanou aku-vrtačku. Repase vrtačky - OK, koupě nové vrtačky - děsný problém.
Důvody:
1. Na novou vrtačku jdou peníze z jiné hromádky v rozpočtu, o které vedoucí dílny nerozhoduje, ale musí žádat na vyšších místech a čekat, než to úřední šiml přežvýká, zatímco o opravě vrtačky rozhoduje mistr. Vůbec nevadí, že do repasí se nacpe víc peněz, než kolik by stála nová.
2. V dřívějších dobách se dalo domluvit se servisem, že se koupila nová vrtačka a vyfakturovalo se to jako repase. Dnes v době všemožného dozoru a e-dozoru to už nejde. Vůbec nejde o to, že by se ušetřilo, ale o to, aby se údržbář nemohl "obohatit" tím, že si starou vrtačku odnese domů a tam si ji spraví.

Ano, tohle je obecný problém nakládání s veřejnými penězi. Kvůli pár podvodníkům, kteří se nestydí okrádat erár, vznikne sada drakonických předpisů, které jednak stejně okrádání nezamezí a navíc v podstatě znemožní spoustu legitimních činností.

Jinak jak jsem vyposlechl od jednoho ředitele IT jedné velké nemocnice, trápí je zejména to, že zatímco síť pracovních stanic personálu mají jakž-takž pod kontrolou, velké problémy jim dělá právě tzv. zdravotechnika, tedy lékařské přístroje. Přesně jak se píše v článku, o jejich nákupu rozhodují úplně jiná oddělení, k IT se to dostane jako hotová věc se slovy: „Tohle potřebujeme připojit do interní sítě, aby to mělo přístup ke všem datům pacientů.“ A ředitel IT je bohužel malý pán na to, aby řekl, že něco, co má v sobě Windows XP a nikdy to nedostalo aktualizace do sítě prostě nepřipojí.

Ředitel IT musí mít zákonnou oporu, aby to nemusel udělat.
Jedinou praktickou možností je, aby to udělat ani nesměl.

Daňový poradce Vám dokáže říct, co stát neumí zkontrolovat, a kde se můžete pokusit o podvod. Přesto to neudělá, protože má zákonem zostřenou odpovědnost odborníka, který nejen vědět mohl, ale i měl. Státní zastupitelství v posledních letech takovou odpovědnost dovozuje i u účetních, kteří nejsou daňovými poradci.

Odpovědnost je ale potřeba poměřovat s nějakým minimem; u účetních a daňových poradců je minimum stanovené Zákonem o účetnictví, Českým účetním standardem (podzákonný předpis) a stanovisky Komory daňových poradců. Pokud požadavky z těchto zdrojů odborník naplní, nemusí se víceméně obávat odpovědnosti.

V IT oboru neexistuje žádná zákonná delegace, zavinění tím pádem nelze objektivizovat a tím pádem ani soudit. Takže když se IT pracovník vzepře, je vyměněn a na jeho místo nastoupí někdo "pružnější".

Dokud nevznikne právní opora, situace se nezlepší.

Zcela souhlasím, že je zhovadilé zostřovat obecné předpisy jen kvůli tomu, že stát a jeho orgány rezignovaly na chytání a trestání toho zlomku lumpů. Poctivé to zasáhne, ale lump zůstane lumpem dál. Často se i z poctivých pak stanou lumpíci, protože dodržet všechny předpisy prakticky nejde - a když už "musí" podvádět, tak proč by nepodváděl ještě o něco víc?

Ve zdravotnictví musí být každý přístroj schválený pro provoz. Zcela selhává stát v tom, že u přístroje hodnotí pouze jeho biologickou bezpečnost, ale nebere v potaz nutnost vyspecifikovat podmínky provozu a digitální bezpečnosti. Zatímco přístroje se i následně v provozu kontrolují, jestli nevyzařují víc, neničí víc tkáně apod., jestli jsou "aktualizované" (vyměňované) spotřební komponenty, tak jejich softwarová bezpečnost se v čase nehodnotí.

Jenomže tady asi narazíte na realitu. Lékařské přístroje se pochopitelně vybírají podle "lékařských" kritérií, tedy co umí. Pokud by se ještě zavedly přísné požadavky na digitální bezpečnost, nemuselo by se najít nic vyhovujícího, anebo za šílené peníze. Přitom by ona digitální bezpečnost klidně mohla být jen věcí deklarace; zákazník je ochoten platit, tak to holt riskneme.