3 grudnia 2015

Udzielanie pierwszej pomocy z punktu widzenia eksperta od bezpieczeństwa informacji

Pozwolę sobie na przedruk jedynie jednego z artykułów. W wakacje 2013 roku po jednym ze szkoleń prowadzonych w ramach IMMUSEC przygotowałem następujący tekst

W trakcie jednego z tegorocznych szkoleń niejako przypadkiem udało się połączyć szkolenie z zakresu audytowania systemu zarządzania bezpieczeństwem informacji z przeszkoleniem w zakresie pierwszej pomocy przedlekarski. Wiele z zasad, które przekazywane były na tych szkoleniach okazało się być tożsame.
Celem niniejszego tekstu jest pokazanie ekspertom zajmującym się bezpieczeństwem informacji, jak te tematy są tak naprawdę sobie bliskie. Innym osobom uzmysłowi, że zagadnienia stricte informatyczne mogą być, a nawet powinny być zarządzane analogicznie do ogólnie stosowanych zasad.



Zacznijmy od początku czyli wymagań. Kodeks karny w art. 162 nakłada obowiązek udzielania pierwszej pomocy na każdego obywatela pod sankcją 3 lat więzienia. Istnieje jednak wyjątek od tej reguły - można odstąpić od udzielania pierwszej pomocy w sytuacji gdy bezpośrednio zagrożone jest życie ratującego. Mamy tu tym samym elementy analizy ryzyka, którym musi zarządzać ratujący, o czym będzie mowa dalej.

Mamy też standardy - te z kolei są ustalane przez Europejska Radę Resuscytacji i (upraszczając bardzo) zalecają wykonywanie 2 wdechów po których następuje 30 uciśnięć serca. Warto zwrócić uwagę, że tak jak w przypadku wszystkich poważnych standardów, tak i ten jest okresowo przeglądany i aktualizowany. Zmiany wprowadzane w ostatnich latach miały na celu uproszczenie procedury resuscytacji krążeniowo-oddechowa (RKO), jak również wprowadzenie aspektów analizy ryzyka podczas sztucznego oddychania, o czym również napiszę w dalszej części.


Pierwszym krokiem, niezbędnym do jakichkolwiek dalszych czynności jest zareagowanie i zainteresowanie się tym co się dzieje dookoła nas. Wiele osób udaje, że nie dotyczy ich to co ma miejsce dookoła, z takim podejściem wciąż można się spotkać wśród różnych grup społecznych.

Udzielanie pierwszej pomocy należy rozpocząć od błyskawicznej, ale nieodzownej oceny sytuacji i analizy ryzyka - należy wpierw ocenić swoje własne bezpieczeństwo. Czasami zanim przystąpimy do RKO należy wykonać inne czynności. Do takich sytuacji może należeć wypadek w nocy na środku drogi tuż za ostrym zakrętem, stojący w płomieniach samochód z uwiezionymi pasażerami, porażenie prądem...
W pierwszej sytuacji powinniśmy wpierw zabezpieczyć teren, w drugim rozważyć nasze szanse gdyż bohaterskie czyny mogą się niestety skończyć bardzo źle dla ratującego, w trzecim przypadku należy wpierw odciąć dopływ prądu. W ratownictwie stosuje się zasadę „Zatrzymaj się, Pomyśl, Wykonaj” - eksperci od zarządzania incydentami na pewno potwierdzą słuszność tej zasady również w świecie IT.

Po dokonaniu analizy ryzyka należy wybrać sposób postępowania z ryzykiem. Możemy zaakceptować ewentualne ryzyko i zacząć ratować poszkodowanego. Możemy mitygować ryzyko ustawiając trójkąt ostrzegawczy czy zakładając kamizelkę odblaskową. Możemy też poniekąd uniknąć ryzyka. Z czysto ludzkich powodów (abstrahując od odpowiedzialności karnej) nie mam tu oczywiście na myśli odwrócenia się na pięcie. Niekiedy jednak udzielanie pomocy niesie za sobą tak duże ryzyko, że jedyne co możemy zrobić to powiadomić o sytuacji odpowiednie służby. Jest to prawnie wymagane minimum, należy jednak pamiętać o konsekwencjach, jakie taki czyn może wyrządzić w naszym sumieniu.
Pamiętać też należy o tym, że gdy w przypadku incydentów IT rola użytkownika jest ograniczona do powiadomienia o zaistniałej sytuacji, tak w przypadku udzielania pierwszej pomocy należy OBOWIĄZKOWO powiadomić pogotowie, ale jednocześnie przejąć na siebie dalsze postępowania – czyli rolę ISIRT (Information Security Incident Response Team).

Kolejnym miejscem gdzie należy dokonać analizy ryzyka jest decyzja dotycząca wykonywania sztucznego oddychania. Czy ryzyko tego, że poszkodowany jest nosicielem różnego rodzaju chorób zakaźnych jest przez nas akceptowane? W niektórych sytuacjach na pewno tak (typu RKO członka najbliższej rodziny) w niektórych sytuacjach ryzyko może być jednak zbyt duże. Możemy oczywiście zaakceptować ryzyko pamiętając, że sztuczne oddychanie wielokrotnie zwiększa szanse na przywrócenie do życia, możemy uniknąć ryzyka wykonując jedynie masaż serca (który zawsze jednak daje poszkodowanemu szanse na przeżycia), możemy wreszcie zmniejszyć ryzyko zarażenia używając maseczki do sztucznego oddychania (koszt kilka złotych w każdej dobrej aptece). Ratujący (z pewnymi wyjątkami) powinien udzielać pierwszej pomocy, aż do momentu przyjazdu fachowej pomocy, czyli niejako „II linii wsparcia”.

Sam proces resuscytacja krążeniowo-oddechowa (RKO) tak jak pisałem na wstępie opiera się na międzynarodowych standardach. Procedury są banalne w swej prostocie (ABCD – Airway open, Breathing check, Circulation-Chest Compressions, Defibrillation), niemniej tak jak w przypadku incydentów IT tak i tutaj krytycznym elementem jest szkolenie. W sytuacji ratowania życia nie ma już czasu na przypominanie sobie procedur, studiowanie dokumentacji czy telefon do przyjaciela. Ratując życie trzeba działać szybko i prawie że automatycznie. Trzeba wiedzieć jak udrożnić drogi oddechowe, z jaką siłą wdmuchiwać powietrze, jak szybko i głęboko uciskać klatkę piersiową. Z tego powodu zaleca się by szkolenia z zakresu pierwszej pomocy przedlekarski przechodzić nie rzadziej niż raz na 2 lata, a najlepiej corocznie.

Opisane w tekście decyzje dotyczące analizy ryzyka są w rzeczywistości podejmowane w błyskawicznie, czasu na rozwiązania jest zdecydowanie mniej niż w przypadku zarzadzania incydentami IT - mówimy tutaj o innej klasie skutków. Szkolenie pozwala na to by te decyzje były bardziej świadome.

A na zakończenie chciałbym zauważyć (oraz życzyć sobie i wam), że tak jak w przypadku zarządzania incydentami, tak i w przypadku udzielania pierwszej pomocy najlepiej być przygotowanym, lecz nie potrzebować wykorzystywać tej wiedzy w rzeczywistości.

Autor jest instruktorem I pomocy - Emergency First Response

Dziękuję Przemkowi M. za kilka cennych uwag do tekstu

Brak komentarzy:

Prześlij komentarz

Dzień dobry. Komentarze na tym forum są moderowane