Bezpieczeństwo pacjentów oraz ich danych w sieci aptek "Aspirynka"

W dobie coraz szerszej cyfryzacji życia publicznego a co za tym idzie, również w zakresie prowadzenia apteki, zapewnienie bezpieczeństwa danych stało się problemem kluczowym. W związku z olbrzymią konkurencyjnością rynku, kwestią kluczową okazało się znalezienie rozwiązania elastycznego, umożliwiającego zagregowanie wielu usług a zarazem taniego i stosunkowo prostego w implementacji. Czynnikiem bardzo istotny ze względu na wrażliwość danych było ich bezpieczeństwo, co na wstępie wykluczyło rozwiązania dostarczane zewnętrznie. Dziś w aptece przechowywane są olbrzymie ilości przetwarzanych danych, które muszą być odpowiednio archwizowane oraz dobrze zabezpieczone.

Kiedyś wystarczały do tego proste rozwiązania – zwykły pendrive lub dysk wbudowany. Jednak wymagania rosną w miarę rozwoju technologicznego. Dzisiejsze apteki przymują elektroniczne recepy (e-recepty), prowadzona jest serializacja stoku, przechowywane są elektronicznie dokumenty realizacji recept, stany magazynowe oraz historia zakupów. Te wszystkie dane, w razie ich utraty są niebywale trudne i pracochłonne do odzyskania (choć oczywiście możliwe). 

Wypadki losowe, zmiany atmosferyczne moga spowodować utratę danych. Wystarczy również jedna wizyta miłośników cudzej własności i sprzęt elektroniczny będzie na czele listy „rzeczy do wzięcia".

Aby uniknąć potencjalnej utraty danych apteka "Aspirynka" postanowiła wdrożyć dość specyficzną strategię backupów. Jako, że placowka ta korzysta z oprogramowania firmy Kamsoft SA pracującego na bazie FireBird, pierwotnie używają wbudowanego w oprogramowanie narzędzia do tworzenia kopii zapasowej. Narzędzie to tworzy spakowany plik na dysku serwera programu KS Apteka oraz na dysku lokalnym komputera końcowego.

Tworzenie kopii zapasowych danych

Pierwszym krokiem po podłączeniu serwera Synology było uruchomienie aplikacji Synology Drive, która pozwoliła na podłączenie folderu backupów z serwera aptecznego. Zapewniło to backup danych w lokalizacji firmy. Dodatkowo zainstalowane zostały dwa pakiety, które pozwoliły na automatyczne wyeksportowanie kopii do zdalnej lokalizacji – Hyper Backup i Hyper Backup Vault.

O ile zastosowanie drugiego Hyper Backup Vault jest mocno fakultatywne i zależy od tego czy w lokalizacji docelowej również możemy skorzystać z serwera Synology, o tyle możliwości samej aplikacji Hyperbackup są olbrzymie. Aplikacja ta jest tak mocno rozbudowana, że do tej pory apteka nie jest w stanie wykorzystać wszystkich jej możliwości.

Pakiet ten pozwala skorzystać z wielu lokalizacji docelowych, co dodatkowo zwiększa bezpieczeństwo danych. W  przypadku apteki "Aspirynka" są to dwie lokalizacje. Jedna z nich to serwer Synology umieszczony w domu administratora sieci a druga to serwer znajdujący się u zaprzyjaźnionego technika. Olbrzymia zaletą pakietu jest możliwość szyfrowania wysyłanych danych, co prowadzi do tego, że można skorzystać w zasadzie z dowolnej lokalizacji jako magazynu. Zauważyć trzeba, że miejscem docelowym nie musi być urządzenie firmy Synology a może nim być dowolny serwer, w tym również usługa w darmowej chmurze dostarczonej przez gigantów takich Google, Amazon Drive czy Dropbox.

Najczęstszą przyczyną braku kopii zapasowych jest duży nakład czasu potrzebny pracownikowi do wykonania dodatkowej kopii. Tutaj również pakiety do tworzenia kopii zapasowych firmy Synology ponownie stają się niebywale pomocne ponieważ pozwalają one na całkowite zautomatyzowanie wykonywania zdalnej kopii.

W przypadku apteki jest to godzina 1 w nocy, kiedy to w żadnej z dwóch lokalizacji serwerów nie ma zapotrzebowania na łącze internetowe i można bezstresowo przesłać kilkaset megabajtów zaszyfrowanych danych. System przy okazji może wysłać wiadomość email o statusie wykonania zadania, co dodatkowo podnosi bezpieczeństwo i wygodę całego procesu. 

Dodatkowym atutem jest bardzo swobodne kształtowanie polityki retencji danych. Apteka przechowuje kopie z ostatnich 30 dni oraz kopie z ostatniej wersji plików każdego miesiąca ponieważ łatwiej odzyskać utracony dzień danych niż tydzień, miesiąc czy całą bazę danych.To niebywale wygodne rozwiązanie!

Synology dostarcza również jako narzędzie dodatkowe do zdalnego przeglądania, rozszyfrowywania i odzyskiwania danych przy pomocy komputera stacjonarnego aplikację Synology Hyper Backup Explorer. Dzięki temu nawet awaria serwera Synology nie odbiera zdalnego dostępu do danych!

Synchronizacja folderów między komputerami

Dzięki temu, że aplikacja Synology Drive potrafi synchronizować foldery na wielu urządzeniach, apteka ma możliwość w czasie rzeczywistym posiadać kopie plików na więcej niż jednym komputerze. Większość aptek ma więcej niż jedno stanowisko. Przeważnie stanowiska te nie są przypisane do konkretnego pracownika, którym zdarza się pracować na kilku różnych fizycznych maszynach. Dzięki synchronizacji folderów Dokumenty oraz Reklamacje niezależnie od tego, na którym komputerze pracownik podejmuje pracę, zawsze ma pełen zestaw przechowywanych na wszystkich komputerach plików. Takie rozwiązanie pozwala na eliminację zadań takich jak szukanie protokołów reklamacyjnych, aktualnych ofert promocyjnych czy wreszcie zestawień refundacyjnych i plików xml z tymi zestawieniami. Dzięki temu, że te pliki dostępne są również na serwerze umożliwia to tworzenie ich kopii zapasowych w identyczny sposób jak w przypadku bazy danych. Aplikacja ta pomaga również w pracy zdalnej jako, że pliki są synchronizowane z komputerem w domu, co pozwala na dostęp do nich w dowolnym momencie. Jest to ogromnym plusem dla pracowników, którzy znajdują się poza siedzibą apteki.

Synology Virtual Machine do postawienia Pi Hole

VM – z ang. Virtual Machine – czyli po prostu komputer wirtualny to technologia umożliwiająca zasymulowanie fizycznego urządzenia na urządzeniu które już mamy. Dzięki temu możliwe jest np. równoległe użytkowanie kilku systemów na jednym fizycznym komputerze. 

Pi Hole to nic innego niż prywatny serwer DNS (Domain Name Server) czyli coś, co kieruje nasze zapytania w odpowiednie zakątki Internetu. Taka usługa jest wykonywana przez każdy router lub DNS dostawcy Internetu, natomiast wielu z was może nie zdawać sobie sprawy z tego jak wiele tych zapytań jest generowanych oraz z tego, że część z nich jest mocno niepożądanych. Dlaczego tak się dzieje? Otóż każdy zawarty na stronie internetowej element to osobne zapytanie. Niestety nie wszystkie te zapytania są dla nas neutralne. Część z nich służy do śledzenia nas a część jest zwyczajnie szkodliwym kodem. I tu wkracza Pi Hole. Jest to rozwiązanie, które filtruje zapytania na podstawie dostępnych w internecie list i blokuje te zaraportowane jako reklamy czy elementy niebezpieczne, finalnie uniemożliwiając ich pobranie. Zysk apteki z tego prostego rozwiązania jest niewspółmiernie wysoki do nakładu jaki musi ponieść. 

Domoticz do zbierania danych o temperaturze w aptece

Jednym z głównych elementów codziennej rutyny w środowisku, które przechowywuje delikatne materiały takie jak leki jest codzienny pomiar temperatury i wilgotności panujących w aptece. Zazwyczaj wykorzystywane są tutaj tradycyjne metody zeszytu i długopisu, jednak Synology udostępnia pakiet, który świetnie zastąpił tą niezbyt bezpieczną metodę.

Zakupione zostały termo-higrometrów Xiaomi i Raspbarry pi zero do odczytu pomiarów. Termohigrometry zostały rozmieszczone w aptece Dziś co 10 minut dane odczytują mi automatycznie i wpisują w bazę. Uruchomiona została również dodatkowa baza danych na serwerze Synology. Dzięki eksportowi z Domoticza apteka posiada teraz dane w wygodnym formacie SQL, które można prezentować i obrabiać w dowolny sposób. Dane z pomiarów temperatury i wilgotności powietrza są oczywiście automatycznie archiwizowane.

Surveillance Station - Monitorowanie apteki  

Pakiet Survilance Station dostarczany jako standardowy dla serwerów Synology daje olbrzymie możliwości. Aby z niego skorzystać potrzebne są wspierane przez pakiet kamery IP (jest ich ponad 7000), kamer certyfikowanych ONVIF (zdecydowana większość kamer IP) lub kamer korzystających z protokołu RSTP. 

W przypadku apteki wykorzytane zostały 4 kamery. Jedna z nich umożliwia podgląd tylnego wejścia a pozostałe 3 są rozmieszczone w izbie ekspedycyjnej. Aplikacja Surveillance Station umożliwia równoczesną obsługę nawet 3 strumieni w różnej jakości, co bardzo poprawia podgląd zdalny lub podgląd wielu kamer równocześnie.

Dzięki wbudowanej w aplikację detekcji ruchu przeszukiwanie nagrań jest stosunkowo proste i nie wymaga od nas mozolnego przeglądania długich fragmentów w celu odnalezienia konkretnego zdarzenia. Surveillance Station potrafi synchronizować czas nagrań, co w połączeniu z czasem w programie ekspedycyjnym dodatkowo pozwala na proste odnalezienie interesujących zdarzeń. 

Nie każdy jednak chce przechowywać całe nagrania, lub nie ma po prostu takie potrzeby. Możliwe jest wtedy skorzystanie z harmonogramu dla każdej z kamer z osobna. W ten sposób możliwe jest np. wyłączenie rejestrowania w godzinach nocnych. Dla jeszcze większej oszczędności miejsca na dysku a co za tym idzie wydłużenia retencji danych możliwe jest wykorzystanie opcji rejestracji  obrazu tylko w sytuacji wykrycia ruchu. 

W przypadku apteki 3TB dysk wystarcza na około 6-7 dni przechowywania nagrań w rejestracji ciągłej przy maksymalnych dla kamer parametrach obrazu. Przy rezygnacji z nagrywania w czasie nocnym byłoby to 8-9 dni, w sytuacji rejestracji tylko zapisu z wykrytym ruchem - 2 tygodnie nie byłyby problemem. 

Co ciekawe dużą zaletą jest możliwość równoczesnego podglądu obrazu z kamer podczas jego rejestracji. W ten sposób przebywając w biurze adminostator sieci IT może ocenić jak wygląda sytuacja na ekspedycji i w razie potrzeby podjąć odpowiednie działania. 

Apteka używa również aplikacji Survilance Station Client, której olbrzymim plusem jest możliwość korzystania z akceleracji sprzętowej oraz wyboru strumienia niższej jakości w czasie podglądu. 

Następnym wielkim bonusem jest aplikacja mobilna, która jest również używana przez pracownika działu IT. Niezależnie czy korzystamy z IOS czy Androida dostajemy wspaniale działające narzędzie pozwalające na podgląd tego co dzieje się w aptece z dowolnego miejsca na świecie!

Synology VPN

VPN z ang. Virtual Private Network – czyli po polsku Wirtualna Sieć Prywatna – rozwiązanie pozwalające z dowolnego miejsca na świecie być w swojej sieci lokalnej. To oczywiście uproszczenie, jednak dla większości farmaceutów lub właścicieli aptek to wystarczająca definicja. Dzięki rozwiązaniom dostępnym w Synology bez większego problemu możemy skorzystać z 3 różnych standardów PPTP, IPSEC over L2TP i OpenVPN. 

L2TP jest natywnie wspierany zarówno przez Windows jak i rozwiązania mobilne IOS i Android. OpenVPN jest za to standardem otwartym i ani Windows ani IOS ani też Android nie wspierają go same z siebie, co oczywiście nie oznacza, że na tych systemach nie można go używać. Ma on za to olbrzymią zaletę w postaci w zasadzie dowolnego wyboru portu na jakim będzie działał. Dlaczego to takie ważne? Otóż w niektórych krajach niemożliwe jest używanie standardowych ustawień sieci VPN ze względu na mniej lub bardziej sensowne „względy bezpieczeństwa". Właśnie wtedy OpenVPN może być bardzo pomocny!

Aplikacja ta zapewnia aptece "Aspirynka" prywatność i bezpieczeństwo. Dzięki niezwykle silnemu szyfrowaniu, wymianie kluczy wstępnych (bądź w bardziej zaawansowanych opcjach certyfikatów) oraz używaniu dodatkowo nazwy użytkownika i indywidualnego hasła apteka może korzystać ze swojego terminala (niezależnie czy to komputer, tablet czy telefon) z dowolnego miejsca na świecie tak, jakby był wpiętegy do switcha w aptece. 

Pozwala to na dostęp do wymienionych wcześniej usług jak Survilance Station, Drive czy Domoticz ale też do korzystania ze zdalnego pulpitu! Jest to dla administratora siecie IT w aptece codzienne, podstawowe narzędzie pracy. Dzięki zainstalowaniu na wszystkich komputerach serwerach ThinVNC administrator IT może służyć pomocą w razie problemów czy wykonywać swoją pracę zdalnie. To dzięki tej aplikacji pracownik nie musi być fizycznie obecny w aptece a jego nieobecność nie obciąża mniej zaawansowanych technicznie pracowników.

Dodatkowe opcje wykorzystania serwera Synology

Apteka wykorzystuje swój serwer również do tworzenia kopii zapasowych telefonów  i komputerów, przesyłania backupu domowego serwera administratora sieci IT na dysk serwera w aptece, wykorzystuje aplikację Audio Station do dostarczania domowej biblioteki muzycznej na urządzenia przenośne domowników, jako, że apteka jest biznesem rodzinnym. Na serwerze zainstalowane jest również oprogramowanie sterujące Unifi i wykorzystany jest serwera Plex. 

"Czy można poradzić sobie bez Synology? Oczywiście, że można tylko musimy sobie zadać pytanie czy jest to logicznie i ekonomicznie uzasadnione. W moim odczuciu ciężko byłoby skorzystać z tak wielu funkcjonalności przy tak niskim nakładzie sił i środków. Możemy zakupić dedykowane urządzenie dla każdej z przedstawionych powyżej funkcji i zlecić jego skonfigurowanie. Trudno jednak liczyć, że jeśli niezawodność tych urządzeń ma być na rozsądnym poziomie  będą to rozwiązania tanie i zarazem łatwe w implementacji. Co za tym idzie przy dość dużym rozdrobnieniu usług zaczynają pojawiać się kolejne problemy: potrzeba większego switcha, konieczność zapewnienia zasilania awaryjnego dla każdego z tych urządzeń z osobna czy w końcu miejsca dla nich. Synology to rozwiązanie bardzo wygodne i przystępne w konfiguracji i obsłudze. Dużo łatwiejsze do opanowania niż rozwiązania konkurencji czy rozwiązania otwarte, dla których wsparcie społeczności jest jednak nadal niewystarczające dla przeciętnego użytkownika. 

To co udało mi się wdrożyć to oczywiście nie jest wszystko co chciałbym „wycisnąć" z mojego serwera. Cały czas rozważam nowe funkcje, które chciałbym tam przenieść. Pierwszą podstawową jest nieodparta chęć przeniesienia bazy danych z serwera KS Apteka do serwera Synology. Chciałbym wykorzystać wydajność urządzenia w dostarczaniu plików w sieciach opartych na protokole SMB.

Obecnie rozważamy uruchomienie komunikatora wewnętrznego. Rozwiązanie oferowane przez Synology da nam przede wszystkim niezależność od wielkich internetowych graczy a co za tym idzie bezpieczeństwo w dobie RODO. Chcielibyśmy zacząć korzystać z wbudowanego pakietu biurowego. Liczę, że Synology jeszcze niejednym nas zaskoczy." - Maciej Siąkowski - Administrator sieci IT, Apteka "Aspirynka"