Dlaczego kupujemy. w branży medycznej. Odpowiedzialni za środowisko naturalne. certyfikowane produkty. Technologie przyszłości Comarch.

Transkrypt

1 Jakosc Magazyn 2/2014 ISSN Technologie Technologie przyszłości Comarch w branży medycznej Bezpieczeństwo Dlaczego kupujemy certyfikowane produkty Środowisko Odpowiedzialni za środowisko naturalne

2 Jakosc Słowo wstępne Dziesiąta rocznica wstąpienia Polski do Unii Europejskiej jest czasem podsumowań i przyglądania się zmianom, jakie zaszły w wielu obszarach życia społeczno ekonomicznego naszego kraju. Moment akcesji był także przełomowy dla rozwoju rynku certyfikacji i badań. Zarówno prawo wspólnotowe, jak i oczekiwania coraz bardziej świadomych konsumentów spowodowały zdecydowany skok jakościowy w zakresie bezpieczeństwa i oznakowania produktów. A to z kolei przełożyło się na biznes Okazuje się, że technologie IT w branży medycznej to nie tylko oprogramowanie umożliwiające zarządzanie dokumentacją medyczną. To także aparatura i systemy do realizacji opieki zdalnej oraz rozwiązania służące teleradiologii. Do rozmowy na temat nowatorskiego podejścia do technologii w służbie medycyny zaprosiliśmy panią Małgorzatę Sakłak, Pełnomocnik ds. Zintegrowanego Systemu Zarządzania Comarch S.A. Kolejnictwo, gazownictwo, energetyka to sektory gospodarki, w których pewność działania urządzeń i zapobieganie potencjalnym awariom ma kluczowe znaczenie dla bezpieczeństwa narodowego. Aby zyskać możliwość skutecznej kontroli opracowywane są systemy bezpieczeństwa funkcjonalnego, umożliwiające wykrywanie sytuacji potencjalnie niebezpiecznych Coraz częściej decydując o zakupie kierujemy się sugestiami czy opiniami innych osób, np. zaczerpniętymi z Internetu. Na znaczeniu zyskały także badania i certyfikaty wydawane przez ekspertów niezależnych jednostek. Do rozmowy na temat wpływu tego trendu na rozwój biznesu zaprosiliśmy Tomasza Czampiela, Dyrektora Działu Certyfikacji Wyrobów. Troska o środowisko naturalne powinna być jednym z głównych działań firm w ramach odpowiedzialnego biznesu. To jedna z podstawowych zasad, którymi kieruje się Inicjatywa ONZ Global Compact. Kamil Wyszkowski, Koordynator Inicjatywy Sekretarza Generalnego ONZ Global Compact w Polsce w rozmowie z nami opowiada o sposobach motywowania przedsiębiorców do aktywności, wychodzącej poza tzw. minimum norm i standardów. Tomasz Czampiel, Dyrektor Działu Certyfikacji Wyrobów w obszernym wywiadzie pt. Dlaczego kupujemy certyfikowane produkty podaje powody coraz większej dbałości producentów o potwierdzenie jakości swoich wyrobów. Teraz, kiedy bezpieczeństwo produktu stało się już oczywiste, na znaczeniu zyskały takie cechy jak trwałość i przydatność użytkowa, które potwierdzają badania fitness for use. Szerzej na ten temat pisze Tomasz Mańczak, Kierownik Sekcji Wyrobów Użytkowych w artykule poświęconym wymaganiom jakościowym sieci handlowych. Kwestie oceny zgodności produktów wprowadzanych na rynek rozwija natomiast dr Michał Bak, Kierownik Laboratorium Mechanicznego. Istotne znaczenie dla rozwoju biznesu miał także coraz powszechniejszy dostęp do nowoczesnych technologii. Jak przekonuje Małgorzata Sakłak-Rypulak, Pełnomocnik Zarządu ds. ZSZ Comarch S.A. kolejnym krokiem będzie rozwój systemu zdalnej opieki zdrowotnej, który pozwoli na monitorowanie stanu zdrowia pacjentów bez konieczności ich hospitalizacji. Urządzenia mobilne, dzięki którym możliwe jest zastosowanie proponowanych przez Comarch rozwiązań, z założenia mają poprawiać komfort naszego życia. Warto jednak pamiętać, że tablety i smartfony, w których pamięci przechowujemy wrażliwe dane, wymagają dodatkowych zabezpieczeń. Na problem w swoim artykule zwraca uwagę Tomasz Nikiel, Kierownik Systemów Zarządzania Bezpieczeństwem Informacji i Usług IT. Zaawansowane technologie to także skomplikowane systemy sterujące urządzeniami w najbardziej strategicznych sektorach gospodarki. Wszędzie tam, gdzie nie może być mowy o przestojach mamy do czynienia z systemami bezpieczeństwa funkcjonalnego. Przynajmniej część z nich jest współtworzona przez naszych ekspertów. Zapraszam i życzę miłej lektury WYDAWCA: Sp. z o.o. ul. Wolności 327, Zabrze tel w.105 fax REDAKCJA: Agata Tynka, agata.tynka@pl.tuv.com Na okładce: Tomasz Czampiel, Dyrektor Działu Certyfikacji Wyrobów (fot. Marcin Motylewski) SKŁAD I ŁAMANIE: Tomasz Grajek KOREKTA Joanna Owczarczyk PROJEKT IKROPKA Technologie 4 Technologie przyszłości Comarch w branży medycznej 8 Bezpieczeństwo informacji w erze smartfonów, tabletów i danych w chmurze nowe wydanie normy ISO/IEC Zapobieganie groźnym awariom Bezpieczeństwo czyli znaczenie bezpieczeństwa 2 3 funkcjonalnego 12 Jak badany jest produkt zanim trafi do oferty sieci handlowej 14 Dlaczego kupujemy certyfikowane produkty? 18 Co właściwie oznacza znak CE na produkcie Środowisko 20 Odpowiedzialni za środowisko naturalne Ludzie 22 Po czym poznać dobry warsztat samochodowy 24 Pierwszy certyfikat Systemu Zarządzania Partycypacyjnego trafił do Lublina 24 Złombol 2014 we wrześniu rusza do Hiszpanii Wiedza 25 Zarządzanie ryzykiem w praktyce 26 Dyskusja branży ochrony zdrowia na temat systemów zarządzania!zapytaj ekspertów! Drogi czytelniku, powiedz nam o czym chciałbyś przeczytać na łamach Jakości. Propozycje można zgłaszać do redakcji pisemnie agata.tynka@pl.tuv.com lub telefonicznie wew.105

3 Małgorzata Sakłak - Rypulak Pełnomocnik ds. Zintegrowanego Systemu Zarządzania Comarch S.A. Technologie Technologie przyszłości Comarch w branży medycznej Comarch jako globalny dostawca rozwiązań IT rozwija swoją ofertę w wielu branżach. I tak, kilka lat temu rozpoczęto projekt związany z e-zdrowiem. Okazuje się, że technologie IT w branży medycznej to nie tylko oprogramowanie umożliwiające zarządzanie dokumentacją medyczną. To także aparatura i systemy do realizacji opieki zdalnej oraz rozwiązania służące teleradiologii. Do rozmowy na temat nowatorskiego podejścia do technologii zaprosiliśmy panią Małgorzatę Sakłak - Rypulak, Pełnomocnik Zarządu ds. Zintegrowanego Systemu Zarządzania Comarch S.A. Firma Comarch jest kojarzona z bardzo zaawansowanymi rozwiązaniami IT, kierowanymi głównie do biznesu. Proszę powiedzieć skąd pomysł zaangażowania się w branżę medyczną? Comarch od początku swojej działalności inwestował w opracowywanie nowych produktów i udoskonalanie istniejących. Funkcjonując w niemalże wszystkich sektorach gospodarki przyszła kolej na branżę medyczną, dla której przygotowaliśmy szeroka gamę rozwiązań. W ofercie znalazły się systemy do zarzadzania dokumentacją medyczną, systemy HIS dedykowane do kompleksowego zarządzania szpitalem, przychodnią lub gabinetem lekarskim, do zarządzania częścią administracyjną szpitala, czy do rozliczania placówek medycznych z NFZ. Opracowaliśmy systemy radiologiczne, w tym system do obsługi i zarządzania obiegiem radiologicznych obrazów diagnostycznych (RIS), kompleksowy system do wymiany obrazów diagnostycznych oraz zlecania ich opisów pomiędzy placówkami medycznymi (Teleradiologia), narzędzie do przeglądania i analizy obrazów diagnostycznych z poziomu przeglądarki internetowej (Web DICOM Viewer). Na potrzeby zdalnej opieki medycznej, zaprojektowaliśmy i wyprodukowaliśmy aparaturę medyczną, w tym nowoczesne urządzenie do prowadzenia badań holterowskich oraz kompleksowe rozwiązanie do prowadzenia monitoringu stanu zdrowia pacjentów przebywających poza placówką medyczną. Na początku 2012 roku uruchomiliśmy Centrum Medyczne imed24, które zostało wyposażone w najnowocześniejszy sprzęt diagnostyczny. Jako jedno z pierwszych w Polsce, Centrum wdrożyło innowacyjne rozwiązania IT przygotowane przez Comarch. Dzięki wdrożonym rozwiązaniom Centrum Medyczne umożliwia pacjentom wykonanie pełnej diagnostyki, dostęp do specjalistów z niemalże wszystkich dziedzin oraz zapewnia szybki obieg dokumentacji medycznej, która prowadzona jest w wersji elektronicznej. Poza swoją podstawową działalnością Centrum Medyczne stanowi dla Comarch zaplecze, na gruncie którego dochodzi do wymiany wiedzy, doświadczeń, poglądów i oczekiwań pomiędzy personelem medycznym, administracją, informatykami i pacjentami, w wyniku czego powstają i są doskonalone skuteczne i efektywne rozwiązania IT. W ofercie spółki znajdują się systemy IT do zarządzania placówkami medycznymi, systemy do tworzenia elektronicznej dokumentacji medycznej, rozwiązania dla radiologii oraz opieki zdalnej, a także przetwarzanie danych medycznych w chmurze. Które z tych rozwiązań cieszą się największą popularnością i zaufaniem, a które ze względu na zaawansowanie technologiczne budzą jeszcze obawy? Odpowiedź na to pytanie nie jest jednoznaczna. Cześć naszych produktów powstała w związku ze zmieniającymi się wymaganiami prawnymi, część wynika z potrzeb organizacyjnych palcówek medycznych, część jest odpowiedzią na zmiany zachodzące w społeczeństwach, a z nimi nowe oczekiwania i potrzeby. Od 1 sierpnia 2014 roku miał wejść w życie obowiązek prowadzenia dokumentacji medycznej w formie elektronicznej. W 2012 r. szacowaliśmy, że na ok. 750 szpitali w Polsce, zaledwie połowa posiada jakiekolwiek rozwiązania informatyczne wspomagające zarządzanie placówkami. I pomimo faktu, że obecny system przechowywania danych medycznych jest archaiczny - pacjenci mają wypisane wyniki badań w papierowej karcie w jednej przychodni, a konsultację lekarską w drugiej, to wiemy przecież, że obowiązek prowadzenia dokumentacji w formie elektronicznej został przesunięty na 2017 rok. Nie ulega wątpliwości, że polski system opieki zdrowotnej nie jest przygotowany jeszcze na takie zamiany; brakuje funduszy, procesy medyczne są złożone, a wszystko co nowe budzi obawy, opór i dystans. Nowego podejścia wymaga kultura pracy placówek medycznych, przychodni i szpitali. Brakuje regulacji prawnych, które byłyby katalizatorem potrzebnych przemian. Nie mniej jednak machina ruszyła i inwestycje w IT są nieuniknione. Coraz droższa jest i będzie eksploatacja systemów informatycznych. Utrzymywanie własnych informatyków i centrów danych przez każdą jednostkę medyczną jest mało realne. Przetwarzanie i przechowywanie danych wrażliwych, jakimi są dane medyczne jest o wiele bardziej wymagające niż przechowywanie innych danych, a poza tym musimy zwrócić uwagę także na fakt, że z każdym rokiem rośnie liczba przechowywanych danych wraz ze wzrastającą liczbą badań i możliwościami nowego sprzętu. W związku z tym naturalnym jest, że placówki medyczne sięgną po rozwiązania cloudowe, które pozwalają na gromadzenie informacji medycznych poza serwerami szpitala z zachowaniem wymaganego bezpieczeństwa oraz optymalizacji kosztów. Co więcej, e-chmury pozwolą specjalistom na zdalny, szybki i zaufany dostęp do danych medycznych w celach diagnostycznych i konsultacyjnych. Pod tym kątem przygotowany jest system Comarch Teleradiologia.Medyczna e-chmura (e-health Cloud) to użycie koncepcji outsourcingu w odniesieniu do systemów informatycznych dla sektora ochrony zdrowia. Wdrożenie takiego modelu pozwoli placówkom skupiać się na ich podstawowej działalności, czyli diagnozowaniu i leczeniu, a zagadnienia IT wezmą na siebie takie firmy jak nasza, zatrudniające specjalistów, spełniające restrykcyjne wymagania oraz posiadające niezbędną infrastrukturę. Po inne rozwiązania, jak np. Comarch e-care sięgną sami pacjenci. Żyjemy coraz szybciej, chcemy coraz więcej, wzrasta nasza świadomość. Nie chcemy i nie mamy czasu chorować. Comarch PMA (Personal Medical Assistant) pozwala poza środowiskiem szpitalnym monitorować i rejestrować wybrane parametry życiowe pacjenta. Jego podstawową funkcją jest rejestracja sygnału EKG oraz ruchów oddechowych pacjenta. Comarch PMA w czasie rzeczywistym wykrywa i przesyła do Comarch e-care Centrum wykryte nieprawidłowości. Dzięki wyposażeniu urządzenia w zintegrowany GPS na bieżąco podawana jest lokalizacja pacjenta. Kolejne urządzenie Comarch HMA (Home Medical Assistant) umożliwia zdalną opiekę medyczną w warunkach domowych. Podstawową funkcją Comarch HMA jest synchronizacja z wieloma sensorami monitorującymi czynności życiowe (np. EKG, pulsoksymetr, spirometr, tonometr, waga, termometr, glukometr) oraz przesyłanie zgromadzonych danych do Comarch e-care Centrum. Urządzenie Comarch HMA współpracuje z oprogramowaniem Comarch e-care Centrum, co pozwala personelowi medycznemu na pełną integrację z pacjentem, stałe zdalne monitorowanie stanu zdrowia i samopoczucia osoby przebywającej w domu. To są rozwiązania, po które będziemy chcieli sięgać w trosce o zdrowie i bezpieczeństwo nas samych oraz naszych bliskich. Jak w takim razie przedstawia się kwestia zdalnej opieki medycznej, proszę powiedzieć na czym polega ta usługa i w jaki sposób może na niej skorzystać pacjent? Platforma e-care jest kompleksowym rozwiązaniem do zdalnej opieki nad pacjentami 4 5

4 Schemat systemu medycyny zdalnej przebywającymi poza placówką medyczną. Swoje zastosowanie znajduje m.in. w dziedzinie kardiologii, psychiatrii, opieki nad ludźmi starszymi i przewlekle chorymi, ginekologii i położnictwie, monitoringu medycznym osób aktywnych, medycynie sportowej, czy w obszarze badań klinicznych. Platforma e-care jak już zostało wspomniane składa się z urządzenia medycznego dla pacjentów przebywających w domu (HMA), urządzenia przenośnego dla pacjentów mobilnych (PMA) oraz z oprogramowania Centrum e-care i aplikacji mobilnych dla lekarzy. Podstawowym zadaniem systemu jest gromadzenie, przechowywanie i przetwarzanie danych z urządzeń pomiarowych Comarch PMA i Comarch HMA oraz analiza i prezentacja przesyłanych parametrów za pomocą Centrum e-care. Dzięki dostępowi do Centrum e-care z dowolnego terminala końcowego, możliwa jest dwustronna komunikacja pomiędzy pacjentem a placówką medyczną. Główną funkcją stałego monitoringu jest zdalna analiza zebranych w systemie danych przez wykwalifikowany personel medyczny i podjęcie w razie potrzeby stosownych działań: od podniesienia psychicznego komfortu pacjenta dzięki bezpośredniej komunikacji poprzez nadzorowane przebiegu leczenia, aż po podjęcie działań ratujących życie. Podstawową korzyścią dla pacjenta jest jego poczucie bezpieczeństwa i świadomość, że znajduje się praktycznie non stop pod profesjonalną opieką medyczną, jednocześnie nie rezygnując ze swojego normalnego trybu życia. To zdecydowanie podnosi komfort i jakość życia oraz sprzyja poprawie samopoczucia pacjenta. Usługa kierowana jest do wszystkich. Będą z niej mogły skorzystać osoby prywatne, firmy oraz placówki medyczne, zarówno w celu opieki nad ludźmi chorymi, jak i profilaktyki ludzi zdrowych. Urządzenia medyczne, o których Pani wspomina przed wprowadzeniem na rynek musiały uzyskać certyfikat dla wyrobów medycznych klasy II. Jak wyglądał proces oceny zgodności tych wyrobów przeprowadzony przez TÜV Rheinland? Comarch jest przede wszystkim dostawcą oprogramowania i usług informatycznych. Pierwszym urządzeniem jakie zostało zaprojektowane i wykonane od początku do końca przez naszych inżynierów jest Comarch PMA. Proces oceny zgodności tego urządzenia oceniam jako bardzo trudny dla nas, przede wszystkim z uwagi na fakt, że przechodziliśmy go po raz pierwszy i od razu w tak trudnej materii, jaką są wyroby medyczne. Nasze innowacyjne pomysły i rozwiązania niejednokrotnie zderzyły się z bardzo restrykcyjnymi i nie zawsze nadążającymi za rozwojem technologicznym wymaganiami dotyczącymi wyrobów medycznych. Ostatecznie przygotowaliśmy produkt zgodny z wymaganiami zasadniczymi oraz wymaganiami norm zharmonizowanych, przygotowaliśmy dokumentację techniczną, opracowaliśmy i wdrożyliśmy system zarządzania jakością zgodny z normą ISO i z powodzeniem przeprowadziliśmy proces oceny zgodności. I chcąc się pochwalić, wszystko wykonaliśmy sami, bez wsparcia jednostki konsultacyjnej. Oczywiście podkreślenia wymaga bardzo dobra współpraca i komunikacja z pracownikami TÜV Rheinland, z którymi się zetknęliśmy zarówno na etapie ofertowania i uzgadniania szczegółów przebiegu procesu oceny zgodności, jak i podczas samego procesu certyfikacji. Do tej pory współpraca przebiega w bardzo życzliwej i merytorycznej atmosferze. Obecnie certyfikaty posiada większość naszych produktów będących wyrobami medycznymi i jesteśmy po pierwszym audycie nadzoru, niedługo będziemy mieli kolejne. Przełomowy dla rozwoju usług ochrony zdrowia jest też wzrost dostępności badań obrazowych w diagnostyce. W tym kontekście istotne znaczenie ma kwestia zapewnienia wydajnego oraz bezpiecznego zarządzania obiegiem informacji oraz optymalne wykorzystanie dostępnych specjalistów. Proszę powiedzieć, jak te kwestie pomaga rozwiązać system Comarch Teleradiologia? Comarch Teleradiologia jest rozwiązaniem umożliwiającym zdalny zaufany dostęp do obrazów medycznych w celach diagnostycznych i konsultacyjnych. Diagnostyka obrazowa jest istotnym elementem współczesnej medycyny. Powszechny dziś dostęp do nowoczesnej aparatury diagnostycznej, cyfryzacja obrazów medycznych, wprowadzenie uniwersalnego standardu DICOM (Digital Imaging and Communications in Medicine Obrazowanie Cyfrowe i Wymiana Obrazów w Medycynie) do przetwarzania obrazów diagnostycznych w medycynie wpływają na popularyzację badań obrazowych. System Comarch Teleradiologia rozwiązuje problem braku lub ograniczonego dostępu do wykwalifikowanej kadry medycznej. Technologie Pozwala na przetwarzanie, prezentację, transmisję i analizę danych medycznych poza miejscem ich powstania i jest dostępny z poziomu przeglądarki internetowej. System został zaprojektowany, by wspierać radiologów i innych specjalistów branży medycznej w diagnostyce obrazowej poprzez swobodny przepływ wiedzy i doświadczeń pomiędzy różnymi ośrodkami medycznymi. Istotnym komponentem systemu Comarch Teleradiologia jest aplikacja webowa Comarch Web DICOM Viewer, która oferuje bogaty wachlarz narzędzi wspierających diagnostykę radiologiczną. Pozwala na otwieranie i przeglądanie obrazów medycznych pochodzących z różnych urządzeń diagnostycznych znajdujących się w różnych placówkach i generujących obrazy we wspomnianym już standardzie DICOM, zarządzanie i dystrybucję tych obrazów do Centrum Opisowego lub pomiędzy placówkami partnerskimi. Korzyści płynące z takiego rozwiązania to m.in. możliwość zlecania opisu badań medycznych pomiędzy różnymi placówkami (optymalizacja i redukcja kosztów), zwiększenie dyspozycyjności lekarzy poprzez umożliwienie im zdalnej pracy, dostęp do światowej klasy specjalistów, szybki dostęp do danych medycznych gromadzonych we wszystkich jednostkach świadczących usługi medyczne, będących elementami systemu, udostępnienie pacjentom wyników badań poprzez platformę webową. Oczywiście wszystko przy zapewnieniu bezpieczeństwa wymaganego dla danych medycznych. Obszar e-zdrowia wydaje się dawać duże możliwości dalszego rozwoju. Czy może Pani zdradzić nad jakimi projektami w tym obszarze pracują jeszcze eksperci Comarch? e-zdrowie faktycznie daje duże możliwości rozwoju. W 2013 roku szczególne znaczenie dla Comarch miały prace R&D związane z rozwojem innowacyjnych rozwiązań dla medycyny. Kontynuacja prac R&D w obszarze medycyny pozostaje strategicznym celem Grupy Kapitałowej na kolejne lata, a sektor medyczny w przyszłości powinien stać się jednym z głównych odbiorców produktów i usług Comarch. W związku z tym obecnie podejmujemy prace nad dalszym rozwojem i doskonaleniem naszych produktów, jednocześnie poszukując lepszych jakościowo oraz bardziej optymalnych rozwiązań. Stale też monitorujemy rynek medyczny, śledząc pojawiające się na nim potrzeby i oczekiwania oraz produkty i usługi proponowane przez konkurencję w skali światowej. 6 7

5 Ogromny skok w dostępie do szybkich, bezprzewodowych łączy telekomunikacyjnych i technologii przesyłu danych, takich jak UMTS, HSPA czy LTE spowodował, że smartfony i tablety są obecnie najszybciej rozwijającymi się urządzeniami cyfrowymi. Mobilne urządzenia mają również coraz szersze zastosowanie w biznesie. Pracownicy większości branż komunikują się z własną organizacją poprzez stosowanie tego typu urządzeń. Służbowe komórki Bardzo wiele istotnych, z punktu widzenia firmy, informacji przetwarzanych jest na urządzeniach przenośnych. Na służbowych smartfonach i tabletach mamy dostęp do poczty firmowej, pliki zawierające dane wrażliwe, czy niektóre zasoby sieci firmowej. Niestety, zdarza się, że te urządzenia nie są odpowiednio zabezpieczone, dane nie są szyfrowane, a pracownicy nie mają świadomości tego, jak ważne i cenne są informacje, które posiadają w swoich służbowych komórkach. Zdecydowana większość producentów telefonów umożliwia stworzenie specjalnego firmowego profilu na urządzeniu. Takie konto firmowe znacznie ułatwia zachowanie bezpieczeństwa informacji przechowywanych na smartfonach i tabletach. Profil firmowy, zabezpieczony PINem lub hasłem, pozwala na bezpieczne uruchamianie Tomasz Nikiel, Kierownik Systemów Zarządzania Bezpieczeństwem Informacji i Usług IT tomasz.nikiel@pl.tuv.com Bezpieczeństwo informacji w erze smartfonów, tabletów i danych w chmurze Smartfony i tablety stały się urządzeniami łączącymi cechy podręcznych, przenośnych komputerów i urządzeń do bezprzewodowej łączności ze światem. Mobilne urządzenia mają również coraz szersze zastosowanie w biznesie. Dostęp do poczty firmowej, pliki zawierające dane wrażliwe, czy niektóre zasoby sieci firmowej są często przetwarzane właśnie na służbowych smartfonach czy tabletach. Warto w tym kontekście zastanowić się nad sposobem zabezpieczenia tych cennych aktywów firmy, biorąc pod uwagę ryzyko utraty sprzętu. firmowych aplikacji, przechowywanie plików i służbowych wiadomości oraz na bezpieczny dostęp do służbowej poczty . W momencie kradzieży lub zagubienia telefonu, osoby odpowiedzialne w firmie za bezpieczeństwo, mogą zdalnie usunąć wszystkie ustawienia oraz całą zawartość służbowego profilu. Dane w chmurze Równolegle z rozwojem urządzeń mobilnych, rozwija się rynek dla usług IT związanych z przetwarzaniem danych w tzw. chmurze (cloud computing). Chmura obliczeniowa to model dostarczania i użytkowania usług informatycznych, takich jak zasoby serwerowe, archiwizacja danych czy konkretne aplikacje. To po prostu system obliczeń, w którym Dzięki cloud computingowi możliwe jest dostosowanie ilości koniecznych zasobów informatycznych do bieżącego zapotrzebowania firmy. dostarczaną usługą są dynamicznie skalowalne zasoby. Cloud umożliwia integrację całej struktury firmy w ramach jednej architektury teleinformatycznej. W ramach chmury firma może korzystać z aplikacji, które wspomagają szeroki zakres działalności, m.in. zarządzanie magazynami, dostawami, czy relacjami z klientami. Dzięki cloud computingowi możliwe jest dostosowanie ilości koniecznych zasobów informatycznych do bieżącego zapotrzebowania firmy. W stabilnych warunkach, standardowe aplikacje wymagają określonej ilości zasobów, które przy zwiększonym obciążeniu, mogą okazać się niewystarczające. Zakładając, że nie korzystamy z technologii cloudowej, nasza infrastruktura musi być przygotowana nie tylko na standardowe użycie, ale także na warunki konieczne do rozwoju. Oznacza to, że przedsiębiorstwo samodzielnie utrzymujące serwery, musi zainwestować w sprzęt, co jest zawsze niemałą inwestycją. Dzięki usłudze przetwarzania danych w chmurze klient ma do dyspozycji wirtualne zasoby, które zależnie od zapotrzebowania, może dowolnie zmieniać, zwiększając je bądź zmniejszając, ale ponosząc koszt tylko za te, z których skorzystał. Cloud computing jest jednak wyzwaniem pod względem ochrony danych. Zapewnienie bezpieczeństwa sieci bierze na siebie dostawca chmury, natomiast klient powinien skupić się na ochronie danych. Należy wziąć pod uwagę choćby to, że usługodawca może mieć dostęp do danych zapisywanych w chmurze przez swoich klientów. Dlatego branże, które są silnie regulowane, jak Technologie nowe wydanie normy ISO/IEC służba zdrowia czy instytucje finansowe, muszą znacznie ostrożniej podchodzić do wysyłania danych do chmury. Większość dostawców usług chmurowych oferuje zaawansowane mechanizmy szyfrowania danych przechowywanych w publicznie dostępnej infrastrukturze oraz wysoki poziom specjalistów z dziedziny bezpieczeństwa IT, którzy stoją na straży bezpieczeństwa przetwarzanych danych swoich klientów. Tym niemniej trzeba zawsze pamiętać o trzymaniu się kilku dobrych praktyk. Przede wszystkim ważne jest, aby należycie szyfrować swoje dane i raczej nie korzystać z mechanizmów szyfrowania udostępnianych przez usługodawcę szczególnie jeśli organizacja przetwarza dane wrażliwe lub tajne. Po drugie, należy zawsze mieć pełną kontrolę nad swoimi danymi. W przypadku usługi cloud computing sprowadza się do utrzymania w swoim posiadaniu kluczy szyfrujących. Usługodawca, czyli operator chmury nie będzie wtedy w stanie wejść w posiadanie naszych informacji bez znajomości kluczy szyfrujących. Kontrolowanie dostępu jest szczególnie ważne, jeśli z chmury korzysta wiele osób. W takiej sytuacji niezadowolony pracownik może podjąć próbę dostępu do poufnych danych. Niestety wiele firm dba tylko o szyfrowanie danych, a nie przykłada wystarczającej wagi do zarządzania kluczami oraz kontroli i monitorowania dostępu do danych. Kontrolowanie dostępu jest szczególnie ważne, jeśli z chmury korzysta wiele osób. W takiej sytuacji niezadowolony pracownik może podjąć próbę dostępu do poufnych danych. Dlatego podejście do bezpieczeństwa skoncentrowane na danych musi obejmować szyfrowanie, zarządzanie kluczami, silną kontrolę dostępu oraz dodatkowe mechanizmy zabezpieczeń. Norma ISO/IEC dostosowana do nowych czasów Norma ISO/IEC 27001, której ostatnie wydanie było z roku 2005, powoli przestawała odpowiadać na wymagania stawiane przed zapewnieniem bezpieczeństwa danych w obszarze tak szybko rozwijających się technologii. Konieczne stało się świeże spojrzenie na nowe trendy pod kątem uregulowania zabezpieczeń przed niekontrolowanym wyciekiem informacji i tym samym objęcie smartfonów, tabletów i usług przetwarzania w chmurze precyzyjnymi wymaganiami odnowionej normy. Celem nowelizacji było dostosowanie standardu do zmian technologicznych związanych z postępem, który nastąpił od 2005 roku. Pod koniec września 2013 roku opublikowano nowe wydanie normy ISO/IEC 27001:2013, dotyczącej systemów zarządzania bezpieczeństwem informacji. Wraz z nowymi wymaganiami wydany został również standard ISO/IEC 27002:2013 opisujący Praktyczne Zasady Zarządzania Bezpieczeństwem Informacji. Nowe wydanie Normy zawiera szereg zmian, m. in. w podejściu do zarządzania ryzykiem oraz warunków w jakich funkcjonuje organizacja. Zmodyfikowany został również Załącznik A do Normy, w którym wprowadzono zabezpieczenia mające pomóc w radzeniu sobie ze współczesnymi zagrożeniami wynikającymi z powszechności stosowania tabletów, smartfonów, portali społecznościowych oraz innymi słabościami on-line. Odnowiony standard Systemu Zarządzania Bezpieczeństwem Informacji wymusza na organizacji ustanowienie odpowiedniej polityki i środków wspomagających bezpieczeństwo używania urządzeń mobilnych. Należy zwrócić uwagę na to, by wszystkie tego typu urządzenia przetwarzające dane firmowe były objęte zarządzaniem ryzykiem związanym z niekontrolowanym i nieautoryzowanym dostępem do danych oraz ewentualną możliwością utraty tych danych. Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji w znaczący sposób podnosi również świadomość pracowników w zakresie ochrony informacji oraz wpływa na właściwe podejście do przetwarzania danych. Musimy pamiętać, że wg badań za ponad 80% wszystkich incydentów związanych z bezpieczeństwem informacji i nieautoryzowanym dostępem do danych odpowiada czynnik ludzki. Nawet najlepsze i najdroższe zabezpieczenia techniczne nie zapewnią odpowiedniego poziomu bezpieczeństwa, jeśli za tym nie pójdzie świadomość pracowników i ich odpowiednie kwalifikacje. ISO/IEC 27001:2013 jest normą, która odpowiada na kierunki rozwoju technologii i usług, i z całą pewnością pomoże w podniesieniu bezpieczeństwa informacji, których zapewnienie jest kluczowym aspektem funkcjonowania każdej organizacji. 8 9

6 Krzysztof Podolec Specjalista ds. Certyfikacji Wyrobów Technologie Zapobieganie groźnym awariom czyli znaczenie bezpieczeństwa Kolejnictwo, gazownictwo, energetyka to sektory gospodarki, w których pewność działania urządzeń i zapobieganie potencjalnym awariom ma kluczowe znaczenie dla bezpieczeństwa. Aby zyskać możliwość skutecznej kontroli opracowywane są systemy bezpieczeństwa funkcjonalnego umożliwiające wykrywanie sytuacji potencjalnie niebezpiecznych oraz aktywowanie funkcji regulujących system, które zapobiegają sytuacjom niebezpiecznym i ich następstwom. Bezpieczeństwo funkcjonalne to termin, z którym coraz częściej spotykamy się w wielu branżach, gdzie pewność działania urządzeń i zapobieganie potencjalnym awariom ma kluczowe znaczenie. Zagadnienie to nie jest całkiem nowe, pierwsze próby ustandaryzowania podejścia do bezpieczeństwa funkcjonalnego podejmowano w Niemczech w latach osiemdziesiątych, kiedy stwierdzono konieczność opracowania metodyki oceny całego urządzenia jako elementu systemu bezpieczeństwa. Czym jest bezpieczeństwo funkcjonalne? Aby określić, czym jest bezpieczeństwo funkcjonalne, należy najpierw odpowiedzieć na pytanie, czym w ogóle jest bezpieczeństwo. Zgodnie z definicją, możemy określić je jako uwolnienie od niedopuszczalnego ryzyka fizycznego urazu lub uszczerbku zdrowia, wynikającego bezpośrednio lub pośrednio z uszkodzenia mienia lub środowiska. Prościej można stwierdzić, że jest to takie projektowanie i budowa systemów, maszyn i innego wyposażenia, aby możliwe było ich bezpieczne użytkowanie. Bezpieczne oznacza takie, które z zachowaniem środków ochronnych i ustalonych sposobów postępowania nie zagraża zdrowiu i życiu ludzi bądź zagraża w stopniu jaki jesteśmy w stanie zaakceptować. Bezpieczeństwo funkcjonalne natomiast, możemy opisać jako dążenie do zapewnienia, że system bądź wyposażenie zadziała prawidłowo w odpowiedzi na sygnał, jaki do niego dostarczymy. Polega to na wykryciu potencjalnie niebezpiecznego stanu oraz aktywacji takich funkcji ochronnych lub regulujących system, aby zapobiec sytuacjom niebezpiecznym i ich następstwom. Ważne jest, aby system był tak skalibrowany, aby zabezpieczenia zadziałały w momencie wystąpienia realnego zagrożenia. Często bowiem, problemem nie jest zaprojektowanie systemu, który będzie reagował na każdy sygnał potencjalnego zagrożenia, ale takiego, który z całą pewnością zareaguje podczas zagrożenia, jednocześnie nie przerywając pracy systemu w sytuacjach, realnego zagrożenia nie stanowiących. Poziom nienaruszalności bezpieczeństwa - SIL Osiągnięcie bezpieczeństwa funkcjonalnego, jest skomplikowanym procesem, który podzielić możemy na kilka kroków. Pierwszym z nich, jest określenie wymaganych funkcji bezpieczeństwa systemu, co bezpośrednio wiąże się z wymaganiem opisania i zdefiniowania zagrożeń z jakimi będziemy mieć do czynienia. Zastosowane mogą być tutaj metody HAZID oraz HAZOP, które umożliwiają identyfikację występującego ryzyka. Kolejnym krokiem jest ocena wymagań, w zakresie redukcji ryzyka dla zapewnienia funkcji bezpieczeństwa i określenia poziomu bezpieczeństwa systemu. Jedną z najpopularniejszych metod oceny jest przypisanie do odpowiedniego poziomu SIL (Safety Integrity Level). Koncepcja SIL opisana została w normie EN i dotyczy poziomu nienaruszalności bezpieczeństwa, czyli prawdopodobieństwa, że system bądź jego element uruchomi i zrealizuje prawidłowo wymagane funkcje bezpieczeństwa w zadanym czasie i określonych warunkach. Umożliwia określenie poziomu nienaruszalności w jednej z czterech kategorii. Najmniej restrykcyjne wymagania dotyczą poziomu SIL1, najbardziej SIL4, który stosowany jest na przykład w branży kolejowej, gdzie wystąpienie uszkodzenia lub awarii mogłoby mieć katastrofalne skutki. Dla zobrazowania, dla systemów pracy ciągłej, czyli SIL4 dopuszcza możliwość wystąpienia uszkodzenia z prawdopodobieństwem nie większym jak 10-8 na godzinę. Dopuszczalne zakresy prawdopodobieństwa uszkodzenia pokazano w poniższej tabeli: POZIOM NIENARUSZLANOŚCI BEZPIECZEŃSTWA PRAWDOPODOBIEŃSTWO WYSTĄPIENIA NIEBEZPIECZNEGO USZKODZENIA /h do do do do 10-8 POZIOM SIL DLA UKŁADÓW PRACUJĄCYCH CIĄGLE LUB CZĘSTO - DUŻE OBCIĄŻENIE FUNKCJONALNE Nie każdy system ma funkcjonować nieprzerwanie, co więc z funkcjami, które mają być wywołane np. raz w ciągu użytkowania urządzenia? Dobrym przykładem może być samochód i jego systemy dbające o bezpieczeństwo pasażerów. Układ kierowniczy czy hamulcowy działa w sposób ciągły bądź bardzo częsty i za każdym razem musi funkcjonować poprawnie. Wymaganie prawidłowego działania, możemy przypisać również np. poduszkom powietrznym, jednak zadziałają one co najwyżej raz w przeciągu kilku lat. W związku z tym, poziom SIL układów pracujących rzadko lub na wywołanie ujęty jest innymi parametrami: POZIOM NIENARUSZALNOŚCI BEZPIECZEŃSTWA PRAWDOPODOBIEŃSTWO WYSTĄPIENIA NIEBEZPIECZNEGO USZKODZENIA /h DOSTĘPNOŚĆ SYSTEMU do % do 99% do % do 99,9% do ,9% do 99,99% do ,99% do 99,999% POZIOM SIL DLA UKŁADÓW PRACUJĄCYCH RZADKO LUB NA ŻĄDANIE - MAŁE OBCIĄŻENIE FUNKCJONALNE Poziom, jaki ma być osiągnięty przez dany system czy urządzenie, powinien być określony na etapie projektowania. Jest to konieczne, aby odpowiednio dobrać rozwiązania techniczne funkcjonalnego i podzespoły. Dodatkowo należy zaznaczyć, że osiągnięta wartość nienaruszalności jest składową wszystkich występujących w systemie urządzeń. Jest on oceniany całościowo. Przykładowo, jeśli dążymy do poziomu SIL2, to żadne z urządzeń lub podsystemów mających wpływ na bezpieczeństwo nie może mieć niższego poziomu nienaruszalności niż zakładany dla całego systemu SIL2. Funkcje bezpieczeństwa Poziom nienaruszalności SIL jest rozwiązaniem, które jedynie określa poziom ryzyka z jakim mamy do czynienia w ramach danego systemu. Od strony rozwiązań technicznych, niezbędną jego składową jest system określany przez normę PN-EN jako przyrządowy system bezpieczeństwa - SIS (Safety Instrumented System). Jest to układ czujników, elementów krańcowych i logicznych, który ma pełnić co najmniej jedną funkcję bezpieczeństwa. Ma on za zadanie automatycznie wykrywać wszelkie przekroczenia warunków w procesie i przywracać proces w stan bezpieczny. SIS realizuje te zadania przez tzw. przyrządową funkcję bezpieczeństwa (ang. SIF Safety Instrumented Function), która jest niezależną pętlą przywracającą system do stanu bezpiecznego, po wystąpieniu określonych warunków inicjujących. Tak więc SIL określić możemy jako poziom nienaruszalności określonej, przyrządowej funkcji bezpieczeństwa SIF, która jest wprowadzona poprzez odpowiedni przyrządowy system bezpieczeństwa SIS. Innymi słowy, SIL to po prostu miara redukcji ryzyka, jaką osiągnięto poprzez zastosowanie odpowiednich urządzeń i funkcji bezpieczeństwa w całym systemie. Nasze doświadczenie Praktycznie od początku powstania pojęcia bezpieczeństwa funkcjonalnego, czyli od lat osiemdziesiątych TÜV Rheinland znajduje rozwiązania dla wyzwań związanych z bezpieczeństwem i jego nienaruszalnością. Poczynając od oprogramowania poprzez programowalne kontrolery, systemy związane z komunikacją autobusową, windy i inne urządzenia, gdzie bezpieczeństwo ma kluczowe znaczenie. W zakresie kompetencji personelu natomiast, prowadzony jest program certyfikacji FS, gdzie możliwe jest uzyskanie tytułu FS Engineer oraz FS Expert. w zakresie bezpieczeństwa funkcjonalnego prowadzi między innymi nadzór ekspercki nad projektem budowy kilku tłoczni gazu, gdzie weryfikuje zadeklarowany poziom nienaruszalności SIL2.