Čeprav je ustvarjanje modelov umetne inteligence in strojnega učenja drago in dolgotrajno, jih je, ko so enkrat ustvarjeni, zelo enostavno ponoviti. Da bi napadalci napadli zdravstveni sistem, potrebujejo dostop do podatkov sistema. Tudi v primeru, ko gre za zapleteno programsko opremo ali proces medicinske naprave, lahko umetno inteligenco zlahka uporabijo za repliciranje sistema ali programa. Da bi to preprečili, je treba vzpostaviti ravni nadzora dostopa, kot so prijave in gesla le za pooblaščene, in dodati zaznavanje anomalij za odkrivanje nenavadnih vzorcev znotraj običajnega vzorca komunikacije. Ta vrsta zaščite prepoznava nenavadne dejavnosti, tako da lahko organizacija ustrezno ukrepa. Nenavaden vzorec je lahko na primer veliko število zahtevkov bota.
Ker bo vse več povezanih medicinskih pripomočkov zasnovanih na umetni inteligenci, se bodo povečala tudi tveganja za kibernetsko varnost, zato je za proizvajalce pomembno, da že v fazi načrtovanja uvedejo napredne varnostne zaščite in zagotovijo varnost zdravstvenih organizacij, izvajalcev in bolnikov [57].
27
4. Napadi in dobre prakse obrambe
V tem poglavju bodo predstavljeni kibernetski napadi, ki jim je bila zdravstvena industrija izpostavljena v zadnjih letih, pa tudi dobre prakse obrambe, ki jih nekatere zdravstvene organizacije že uporabljajo za zaščito.
4.1. Primeri napadov
V tem podpoglavju bodo predstavljeni glavni napadi uporabljeni s strani zlonamernih skupin ali pa posameznikov, ki so bili usmerjeni v zdravstveni sektor v zadnjih letih, ob tem pa bodo predstavljeni dejanski napadi, ki so prizadeli ta sektor.
4.1.1. Napad z izsiljevalsko programsko opremo
Napad z izsiljevalsko programsko opremo (angl. ransomware) je vrsta zlonamerne programske opreme, ki jo uporabljajo kibernetski kriminalci. Če se računalnik ali omrežje okuži z izsiljevalsko opremo, ta blokira dostop do sistema ali šifrira podatke. Kibernetski napadalci nato od svojih žrtev zahtevajo odkupnino v zameno za sprostitev podatkov. Med vsemi možnimi vrstami programske opreme se je v zadnjih letih najbolj razširila prav ta.
Zdravstveno varstvo je bilo že vrsto let resno prizadeto zaradi takšnih napadov [58].
Razlogov za to rast je več: enostavno se je naučiti, ni potrebe po dragi tehnologiji ali zapleteni nastavitvi in lahko je zelo donosno, ker večina organizacij raje plača odkupnino, kot da bi se uprle. Po podatkih svetovne raziskave, opravljene januarja in februarja 2021, je 34 % zdravstvenih organizacij plačalo odkupnino, da bi dobile nazaj svoje podatke. Le 65
% podatkov je bilo dejansko obnovljenih. Ista raziskava je pokazala, da akterji v zdravstvenem sektorju raje plačajo odkupnino, ker morajo zagotoviti neprekinjeno delovanje. Dolgoročni učinki takšne odločitve pa so lahko škodljivi [59].
Poznamo več vrst izsiljevalske programske opreme. Zelo priljubljena je izsiljevalska oprema Locker. Ta blokira osnovne funkcije računalnika. Onemogočen postane dostop do namizja računalnika, miška in tipkovnica pa sta delno onemogočeni, tako da lahko žrtev še
28 4. Napadi in dobre prakse obrambe
vedno izvede plačilo. Dobra stran tega napada je, da zlonamerna programska oprema ne cilja na ključne datoteke, temveč želi zakleniti le uporabnika. Delno ali pa celo popolno uničenje podatkov je zelo malo verjetno. Druga zelo priljubljena vrsta je Kripto-izsiljevalska programska oprema. Cilj te opreme je šifriranje pomembnih podatkov, kot so dokumenti, slike in videoposnetki, ne pa oviranje delovanja osnovnih funkcij računalnika. Ta izsiljevalska programska oprema ima lahko uničujoč vpliv, ker se večina ustanov ne zaveda pomembnosti varnostnih kopij v oblaku ali na zunanjih fizičnih napravah [60]. Med glavne primere izsiljevalske programske opreme sodijo tudi Reveton, CryptoLocker, WannaCry, Bad Rabbit, Ryuk in mnogi drugi [61].
Napadov, ki so se zgodili s to izsiljevalsko programsko opremo, je veliko. Oktobra 2020 je izsiljevalski program Ryuk v enem dnevu prizadel šest bolnišničnih sistemov v ZDA.
Ryuk je šifrirni trojanski konj, ki se je razširil avgusta 2018 in onemogočil funkcijo obnovitve operacijskih sistemov Windows. Tako je bilo brez zunanje varnostne kopije nemogoče obnoviti šifrirane podatke. Ryuk je šifriral tudi omrežne trde diske [62]. Julija 2021 je bila bolnišnica CF Witting v Bukarešti žrtev napada izsiljevalske programske opreme, ki je bila močno usmerjena v strežnike ustanove. Avgusta 2021 so napadalci napadli in blokirali platformo za načrtovanje cepljenja v Italiji ter zahtevali splošno odkupnino. Uporabniki niso mogli dostopati do sistema in rezervirati mesta za cepljenje.
Maja leta 2017 je bila ena od žrtev napada izsiljevalske programske opreme tudi Angleška državna zdravstvena služba (angl. National Health Service, NHS). Takrat je napad WannaCry prizadel skoraj 200.000 računalnikov v 16 zdravstvenih ustanovah. Posledice napada so prizadele na tisoče bolnikov, saj so se ustavile številne pomembne medicinske naprave. WannaCry je bil napad izsiljevalske programske opreme, ki se je leta 2017 razširil v več kot 150 državah. Zasnovan je bil za izkoriščanje varnostne ranljivosti v sistemu Windows [63].
4.1.2. Ribarjenje
Lažno predstavljanje oz. ribarjenje (angl. phishing) je vrsta napada socialnega inženiringa, ki se velikokrat uporablja za krajo podatkov. V večini primerov zlonamerni napadalci želijo prijavne podatke ali številke kreditnih kartic. Napadalec do podatkov pride, ker se izdaja za zaupanja vredno osebo in s tem zavede žrtev, da odpre e-pošto ali besedilno sporočilo. Prejemnik je nato prevaran, da klikne zlonamerno povezavo, kar lahko privede do namestitve zlonamerne programske opreme, zamrznitve sistema v okviru napada izsiljevalske programske opreme ali razkritja občutljivih podatkov. Napadi ribarjenja so vse bolj izpopolnjeni in pogosto pregledno zrcalijo ciljno spletno mesto, kar
29 napadalcu omogoča, da med brskanjem po spletnem mestu opazuje vse, kar počne žrtev, in skupaj z njo prestopi vse dodatne varnostne meje. Ti napadi imajo lahko zelo slabe posledice za posameznike, saj lahko napadalec s pridobljenimi podatki izvaja nepooblaščene nakupe, ukrade posameznikovo identiteto ali pa sredstva. Poleg tega se ribarjenje pogosto uporablja za utrditev v podjetniških ali vladnih omrežjih kot del večjega napada, na primer napredne trajne grožnje. Organizacija, ki je žrtev takega napada, običajno utrpi veliko finančno škodo, poleg tega pa se ji zmanjšajo tržni delež, ugled in zaupanje potrošnikov [64], [65].
Obstaja več tehnik goljufije. Najbolj pogosta je s pomočjo elektronske pošte.
Napadalec pošlje na tisoče zlonamernih sporočil. Pomembne podatke in denar lahko pridobi tudi, če mu uspe prevarati samo majhen odstotek prejemnikov. Druga pogosta oblika je ciljno ribarjenje (angl. spear-phishing), ta oblika je usmerjena na določeno osebo ali podjetje in ne na naključne uporabnike aplikacij. Ta oblika je zelo pogosta za napade na zdravstvene organizacije. Gre za bolj poglobljeno različico ribarjenja, ki zahteva posebno poznavanje organizacije, vključno z njeno strukturo upravljanja. Še ena znana oblika je t. i.
klonsko ribarjenje (angl. clone phishing) – to je vrsta napada, pri katerem se iz legitimnega in predhodno dostavljenega e-poštnega sporočila, ki vsebuje priponko ali povezavo, vzamejo vsebina in naslovi prejemnikov ter se uporabijo za ustvarjanje skoraj identičnega ali kloniranega e-poštnega sporočila. Priponka ali povezava v e-poštnem sporočilu je zamenjana z zlonamerno različico in nato poslana z e-poštnega naslova, ki se izkaže za izvirnega pošiljatelja. Poleg teh oblik obstajajo še mnoge druge, kot so na primer glasovno ribarjenje (angl. voice phishing), goljufanje prek SMS-sporočil (angl. SMS phishing), ugrabitev strani (angl. page hijacking) in goljufanje v koledarju (angl. calendar scam) [64]–
[66].
Lažno predstavljanje je že dolgo uveljavljena taktika socialnega inženiringa in je postala zelo popularen napad na zdravstvene sisteme. To je glavni kanal za prenos izsiljevalske programske opreme na te organizacije. Pandemija COVID-19 je še dodatno okrepila strahove in slabosti zdravstvenih sistemov po svetu. Zlonamerneži so izkoristili to priložnost, medtem ko so se bolnišnice spopadale z bremenom okuženih bolnikov. Številni napadi na zdravstveni sistem v letih 2020 in 2021 so se v veliki meri opirali na elektronsko pošto, saj je to glavni komunikacijski kanal med strokovnjaki [67]. Drugi način, kako je bila pandemija izkoriščena v tem smislu, so bili poskusi lažnega ribarjenja, povezani s COVID-19, od elektronskih sporočil, ki so zahtevala dokazilo o cepljenju, elektronskih sporočil zdravstvenih ustanov do lažnih popustov za teste na COVID-19 [68].
30 4. Napadi in dobre prakse obrambe
Zdravstvene organizacije so, kot je razvidno, bile prizadete že velikokrat. Večjih napadov s pomočjo opisane tehnike je ogromno. Leta 2019 je zaposleni v univerzitetnem medicinskem centru Montpellier nenamerno kliknil na zlonamerno povezavo v lažnem e-poštnem sporočilu. Tako je napadalec dobil dostop do računa in bolnišničnega omrežja. Ta kršitev varnosti podatkov je prizadela približno 600 računalnikov. Zdravstveni delavec je ugotovil, da so bili v prizadetem računu shranjeni občutljivi podatki [69]. Družba Anthem (prej WellPoint) je leta 2015 razkrila, da so napadalci s pomočjo lažnega elektronskega sporočila pridobili dostop do podatkovne zbirke podjetja in tako pridobili dostop do zaščitenih zdravstvenih podatkov organizacije. Hekerji so ukradli skoraj 79 milijonov zapisov s podatki o bolnikih in zaposlenih [70].
4.1.3. Napad z zavrnitvijo storitve
Napad z zavrnitvijo storitve (angl. Denial-of-Service attack, DDoS) je velikokrat imenovan tudi napad iz porazdeljenega omrežja (angl. distributed network attacks). Z napadom želi storilec onemogočiti dostopnost naprave ali omrežnega vira predvidenim uporabnikom tako, da začasno ali za nedoločen čas prekine delovanje storitev gostitelja, ki je povezan z omrežjem. To naredi tako, da napadenemu spletnemu viru pošlje več zahtevkov, da bi se presegla zmogljivost spletnega mesta za obdelavo zahtevkov, s tem pa bi se preprečilo pravilno delovanje spletnega mesta. Da bi se žrtvi lahko poslalo izjemno število zahtevkov, storilec pogosto vzpostavi »zombi omrežje« (angl. zombie network) računalnikov, ki jih je okužil. Zaradi storilčeve možnosti nadzora nad dejanji okuženih računalnikov je lahko obseg napada zelo velik [71]. Čeprav skoraj vsi napadi DDoS vključujejo preobremenitev ciljne naprave ali omrežja s prometom, lahko napade razdelimo v tri kategorije. To so napadi na podlagi obsega (angl. volume-based attacks), napadi na protokole (angl. protocol attacks) in napadi na aplikacijski sloj (angl. application layer attack). Napadalec lahko uporabi enega ali več različnih vektorjev napada ali pa vektorje napada spreminja kot odziv na protiukrepe, ki jih je sprejela tarča.
Različne vrste napadov DDoS ciljajo na različne komponente omrežne povezave.
Napadi na aplikacijski sloj so tipično napadi sistema za odgovarjanje na zahteve HTTP (angl. Hypertext Transfer Protocol). Izvedba posamezne zahteve HTTP na strani odjemalca je računsko poceni, vendar je lahko odziv ciljnega strežnika drag, saj strežnik pogosto naloži več datotek in izvede poizvedbe po zbirki podatkov, da ustvari spletno stran. Primer takšnega napada prikazuje Slika 7. Protokolni napadi, znani tudi kot napadi z izčrpavanjem stanja, povzročijo prekinitev storitve s preveliko porabo strežniških virov in/ali virov omrežne opreme, kot so požarni zidovi in usmerjevalniki obremenitve. Poznamo tudi
31 volumetrične napade – ti poskušajo ustvariti zastoje, da porabijo vso razpoložljivo pasovno širino med ciljem in širšim internetom [72], [73].
Slika 7: Primer DDoS napada na aplikacijski sloj [72]
Ti napadi lahko predstavljajo resno težavo za izvajalce zdravstvenih storitev, ki potrebujejo dostop do omrežja za zagotavljanje ustrezne oskrbe pacientov ali dostop do interneta za pošiljanje ter prejemanje e-pošte, receptov, zapisov in informacij. Zdravstveni sektor je še posebej izpostavljen plačilu odkupnine, saj gre za življenja. Leta 2014 je bil eden najodmevnejših napadov DDoS usmerjen na bostonsko otroško bolnišnico.
Bolnišnični sistem je bil napaden z DDoS, ko je obravnaval primer odvzema starševstva 14-letni deklici. Bolnišnica je imela približno 300.000 dolarjev stroškov za odpravo škode, ki jo je povzročil kibernetski napad DDoS [74].
4.1.4. Napadi na spletne aplikacije in oblak v zdravstvu
Zaradi hitre digitalne transformacije, v kateri je svet že dalj časa, so tudi zdravstveni ponudniki bili primorani digitalno preobraziti svoje organizacije. Število spletnih aplikacij se zelo hitro povečuje. Žal pa je v zdravstvu še vedno veliko število spletnih aplikacij z varnostnimi napakami. Po poročilu podjetja Veracode ima 75 % aplikacij na področju zdravstva varnostne ranljivosti [75]. Dobra novica pa je, da je zdravstvena industrija na drugem mestu – takoj za finančno – po času, ki je potreben za odpravo pomanjkljivosti, povezanih z varnostjo. Da bi še dodatno povečali varnost, morajo
32 4. Napadi in dobre prakse obrambe
redno izvajati tudi teste prodora, s katerimi se preveri učinkovitost varnosti spletnih aplikacij in zmogljivosti za odkrivanje vdorov.
V povezavi z digitalno transformacijo vse več zdravstvenih ponudnikov uporablja storitve v oblaku. Varnost v oblaku je eden izmed največjih izzivov, s katerim se mora zdravstveni sektor soočiti v prihodnosti. Zdravstvene organizacije morajo razumeti, katere storitve v oblaku se izvajajo v njihovi organizaciji, kje se nahajajo njihovi podatki o pacientih in drugi kritični podatki, ter zagotoviti, da imajo ti tretji ponudniki sami razvite varnostne mehanizme. Zelo pomembno je upravljanje dostopa do virov [76].
4.2. Dobre prakse
Sedaj, ko smo bili seznanjeni z najpogostejšimi napadi, ki prizadenejo zdravstveni sektor, bomo pogledali še dobre prakse, ki jih zdravstveni sektor uporablja, da se zaščiti pred napadi. Poznamo določene splošne dobre prakse, ki jih uporabljajo zdravstvene organizacije, pa tudi dobre prakse, ki se delijo glede na vrste javnih naročil. Sem spadajo:
• sistemi oskrbe na daljavo,
• sistemi za upravljanje stavb,
• klinični informacijski sistemi,
• storitve v oblaku,
• identifikacijski sistemi,
• industrijski nadzorni sistemi,
• medicinski pripomočki,
• mobilne odjemalske naprave,
• strokovne storitve,
• omrežna oprema [77].
V naslednjih podpoglavjih bodo opisana tri največja in najpomembnejša področja, saj so v ostalih dobre prakse zelo podobne in jih lahko apliciramo iz glavnih.
33 4.2.1. Sistemi za upravljanje stavb
Sistem za upravljanje stavb (angl. Building Management System) je računalniško podprt nadzorni sistem, ki nadzoruje in spremlja mehansko in električno opremo stavbe, v našem primeru zdravstvene ustanove, kot so električni sistemi, voda, plini in varnostni sistemi [78].
Dobre prakse, ki jih zdravstvene ustanove uporabljajo, so vzpostavitev posebnih mehanizmov za nadzor dostopa za objekte za medicinske pripomočke. Dostop do posebnih medicinskih pripomočkov, kot so kirurški roboti ali razni skenerji, mora biti dovoljen le specializiranemu osebju in vsak mora imeti svoj lasten račun. Izvesti je treba oceno tveganja kot del postopka javnega naročanja. Dobra praksa je tudi načrtovanje vzdrževalnih del za vso opremo. Vzdrževanje mora zagotoviti ustrezno raven funkcionalnosti opreme in potrebno se je odločiti za morebitne posodobitve ali popravke.
Vzpostaviti je potrebno tudi politiko testiranja. Zdravstvena organizacija je dolžna določiti minimalen nabor varnostnih testov, ki jih je potrebno opraviti na novopridobljenih izdelkih ali sistemu. Dobro je omogočiti tudi testiranje vseh sestavnih delov. Informacijske sisteme je treba temeljito preizkusiti, da se zagotovi, da delajo to, kar je obljubljeno. Preveriti je priporočljivo varnostne pomanjkljivosti, enostavnost uporabe, pravilnost rezultatov in obremenitev. Testiranje mora biti usklajeno s politikami testiranja [21]–[23], [77].
4.2.2. Klinični informacijski sistemi
Klinični informacijski sistem (angl. Clinical Information System) je informacijski sistem, ki se uporablja pri nudenju zdravstvene pomoči. Povezuje se s številnimi sistemi v sodobnih zdravstvenih organizacijah. Informacije iz vseh teh sistemov zbira v elektronski zapis o pacientu, ki ga lahko zdravniki vidijo ob bolnikovi postelji [79].
Med dobre prakse sodi izvedba popisa sredstev in upravljanje konfiguracije, pa tudi zahtevanje certifikacije kibernetske varnosti. Zelo priporočljivo za zdravstvene organizacije bi bilo, da bi prednostno naročala sredstva, ki so certificirana na podlagi shem/standardov kibernetske varnosti, kot je na primer HIPPA. Organizacije bi morale tudi vnaprej načrtovati zahteve glede omrežja, strojne opreme in licenc. Pomembno je uskladiti zahteve glede strojne in programske opreme. K dobrim praksam sodi tudi določitev omrežnih zahtev. Po oblikovanju topologije omrežja in komponent morajo bolnišnični strokovnjaki navesti varnostne zahteve za vsako posamezno komponento, da se zagotovi interoperabilnost in se preprečijo vrzeli. Ključnega pomena je tudi poznavanje varnostnih funkcij, ki jih želi imeti omrežna oprema. Pomemben vidik varnosti je razvoj načrtov za
34 4. Napadi in dobre prakse obrambe
odzivanje na incidente. Veliko število zdravstvenih organizacij prakticira tudi penetracijsko testiranje. Na novo pridobljen ali konfiguriran izdelek je dobro preizkusiti v dejanskem okolju, v katerem je nameščen. Dobavitelj mora tudi obvezno priznati pravico ustanovi, da v okviru svojih pristojnosti izvaja potrebne varnostne preglede (penetracijske teste). Še ena osnovna zahteva za dobavitelje je zahteva za popravke za vse komponente.
Zdravstvene ustanove se morajo zavedati, da popravljanja ni mogoče izvesti kadar koli, ampak je potrebno upoštevati določen postopek. Pri kliničnih informacijskih sistemih je zelo ključno, da v upravljanje incidentov vključimo tudi prodajalca ali proizvajalca. Zaradi obrabe ali nepravilnega ravnanja sistemi in naprave sčasoma odpovejo. Jasno mora biti, kakšne storitve lahko v teh primerih ponudijo proizvajalci/prodajalci, kakšni so stroški storitve in pričakovani odzivni čas. Dobra praksa na tem področju je tudi, da je potrebno oddaljen dostop do sistema čim bolj zmanjšati in ga upravljati. Dostop mora biti vnaprej določen, odobren in nadzorovan. Oddaljeni dostop je dovoljen samo za namene vzdrževanja. Med tem postopkom se ne smejo pridobiti nobeni osebni podatki. Zelo pomembno za zaščito sistema je tudi načrtovanje in spremljanje vzdrževalnih del za vso opremo. V skladu s politiko je potrebno vzdrževati različne vrste opreme. S tem se mora zagotoviti ustrezno raven funkcionalnosti opreme in sprejeti odločitev za morebitne posodobitve ali popravke [21], [22], [77].
4.2.3. Storitve v oblaku
Storitve v oblaku so infrastruktura, platforme ali programska oprema, ki jih gostijo tretji ponudniki in so uporabnikom na voljo prek interneta. Storitve v oblaku omogočajo pretok uporabniških podatkov od »front-end odjemalcev« (npr. uporabnikovih strežnikov, tabličnih računalnikov, namiznih računalnikov, prenosnih računalnikov) prek interneta do sistemov ponudnika in nazaj [80].
Dobre prakse na tem področju so izvajanje ocene tveganja kot del postopka javnega naročanja. Dobra praksa je tudi določitev omrežnih zahtev in razvoj načrtov za odziv na incidente. Ti načrti morajo zajemati na novo pridobljene izdelke ali sisteme. Po spremembi sistema ali arhitekture le-tega je dobro načrtovati penetracijske teste.
Zahtevati je treba popravke za vse komponente in pri tem v upravljanje vključiti prodajalca ali proizvajalca. Do oblačnih sistemov je potrebno zelo omejiti dostop, do njih imajo lahko dostop le določeni zaposleni. Zelo pomembno je tudi, da zdravstvene organizacije segmentirajo svoje omrežje. Ker starejših naprav mogoče ni več možno nadgraditi na novejši operacijski sistem, ni možno ublažiti ranljivosti teh naprav, zato je potrebno uvesti nadomestne kontrole. Ključnega pomena je, da so naprave, povezane z omrežjem,
35 izolirane od preostalega omrežja. V ta namen je potrebno izvesti segmentacijo omrežja. S segmentacijo omrežja je mogoče omrežni promet izolirati in/ali filtrirati ter tako omejiti in/ali preprečiti dostop med omrežnimi območji. Dobro za organizacije je tudi, da šifrirajo občutljive osebne podatke v mirovanju in pri prenosu. Vse informacije, ki spadajo v kategorije osebnih podatkov 9. člena GDPR je potrebno vedno šifrirati. To pomeni, kadar koli se prenašajo ali mirujejo. Za vse druge podatke je priporočljivo zagotoviti šifriranje le, kadar zapustijo organizacijo. Zelo dobra praksa, ki jo uporabljajo moderne bolnišnice, je tudi izvajanje postopka prepoznavanja in upravljanja ranljivosti [22], [23], [77].
4.2.4. Splošne dobre prakse
Kibernetske grožnje zdravstvenim ustanovam ogrožajo zdravje pacientov, neprekinjeno poslovanje in sisteme IKT. Da bi zdravstvene organizacije povečale kibernetsko varnost in uskladile pristope industrije z razvojem skupnega sklopa prostovoljnih smernic, praks, metodologij, postopkov in procesov, ki temeljijo na soglasju in jih vodi industrija ter jih lahko zdravstvene organizacije uporabljajo za povečanje kibernetske varnosti, so bile ustvarjene številne delne skupine in organizacije, kot na primer CSA 405(d) in HICP [81], [82]. Te vsebujejo smernice o stroškovno učinkovitih
Kibernetske grožnje zdravstvenim ustanovam ogrožajo zdravje pacientov, neprekinjeno poslovanje in sisteme IKT. Da bi zdravstvene organizacije povečale kibernetsko varnost in uskladile pristope industrije z razvojem skupnega sklopa prostovoljnih smernic, praks, metodologij, postopkov in procesov, ki temeljijo na soglasju in jih vodi industrija ter jih lahko zdravstvene organizacije uporabljajo za povečanje kibernetske varnosti, so bile ustvarjene številne delne skupine in organizacije, kot na primer CSA 405(d) in HICP [81], [82]. Te vsebujejo smernice o stroškovno učinkovitih