E-zdrowie: zagrożenie utraty danych jest realne, ale są także zabezpieczenia

Autor: DK/Rynek Zdrowia • • 12 listopada 2019 05:58

Wdrażamy kolejne elementy e-zdrowia w Polsce. Eksperci wskazują, że stwarza to ogromną szansę dla systemu, ale przypominają o zagrożeniach dla bezpieczeństwa danych medycznych i debatują o poziomie odpowiedzialności za cyberbezpieczeństwo lekarzy, podmiotów medycznych i dostawców.

Serwerownia (zdjęcie ilustracyjne); FOT. PTWP

Celem projektów z dziedziny e-zdrowia (wprowadzanej elektronicznej dokumentacji medycznej, wkrótce e-recepty, potem e-skierowanie, działa już e-zwolnienie) jest ułatwienie życia lekarzom i pacjentom, ograniczenie biurokracji, zwiększenie jakości i dostępności do świadczeń, optymalizacja wydatków i szybszy dostęp do informacji. Do cyfrowej rewolucji w ochronie zdrowia trzeba się jednak odpowiednio przygotować, ponieważ niesie ona ze sobą również pewne niebezpieczeństwa.

Utrata baz danych
- Nasze ostatnie doświadczenia wskazują, że, niestety, przechodzenie na rozwiązania elektroniczne jest obarczone olbrzymim ryzykiem utraty danych. Mamy ostatnio całą serię przypadków, kiedy pojawiły się wirusy szyfrujące bazy danych i lekarze, którzy przeszli na e-rozwiązania, utracili całkowicie dane - informuje Tomasz Zieliński, wiceprezes Federacji Porozumienie Zielonogórskie oraz wiceprezes Polskiej Izby Informatyki Medycznej.

Podaje przykład lekarki z województwa lubelskiego, która utraciła wszystkie informacje (ma teraz dokumentację elektroniczną zaszyfrowaną) - w rezultacie nie dysponuje żadnymi danymi o swoich pacjentach z ostatnich kilku miesięcy.

- To, że ta lekarka dostanie w ciągu najbliższych kilku miesięcy dodatkowe 4-5 tys. zł nie zrekompensuje strat, jakie poniosła, bo gdyby została przy papierze, to by nie poniosła kosztów odzyskiwania dokumentacji. Dlatego warto znaleźć szybko jakieś rozwiązania, które mogą pomóc - postuluje Tomasz Zieliński.

Wiceprezes FPZ oczywiście popiera co do idei cyfryzację i wdrażanie projektów e-zdrowia, ale… - Samo rozwiązanie początkowo wydawało się obiecujące, natomiast już wiemy, że jest niewystarczające, wymaga uzupełnienia i poprawy - dodaje.

Istnieją sprawne zabezpieczenia
Według Krzysztofa Groyeckiego, wiceprezesa zarządu Asseco Poland SA bezpieczeństwo danych medycznych to bardzo ważna kwestia, która w przypadku elektronicznej dokumentacji medycznej jawi się części środowiska jako nieprawdopodobne, "galaktyczne" wręcz zagrożenie, z którym nie wiadomo, co zrobić.

- Oczywiście zagrożenie jest realne, tylko proszę zwrócić uwagę na to, że jeżeli mieliśmy kartoteki w szufladkach, włamanie do przychodni powodowało mniej więcej podobny efekt. W związku z tym staraliśmy się stosować odpowiednie zamki, autoalarmy, ewentualnie zatrudniać ochronę itd. Tutaj mamy do czynienia oczywiście z inną gamą asekuracji, ale te narzędzia zabezpieczające dane elektroniczne istnieją - podkreśla ekspert.

Groyecki zaznacza, że tak samo jak nie przed każdym profesjonalistą dało się przychodnię zabezpieczyć zamkami, tak samo jest z elektronicznymi danymi.

- Ale istnieją narzędzia, które są łatwo dostępne na rynku, niedużo kosztują, które robią automatyczne backupy takiej dokumentacji w odpowiednio zadanych okresach, czyli np. codziennie przed zakończeniem pracy i wtedy wspomniana lekarka nie miałby tego problemu, bo najwyżej mogłaby stracić dane z jednego dnia - przypomina wiceprezes Asseco Poland SA.

Co jeszcze można zrobić?
Tomasz Zieliński informuje z kolei, że wspomniana doktor, która utraciła dane, miała program antywirusowy oraz wykupioną usługę stałej opieki informatycznej, miała robione backupy, które również zostały zaszyfrowane.

- W związku z tym zrobiła wszystko to, co starszy lekarz rodzinny samodzielnie pracujący w małej miejscowości, wydawało się, że powinien był zrobić. Zapewne za mało, skoro efekt był słaby, ale zrobiła co mogła i to co jej podpowiedziano. Są oczywiście sytuacje kiedy ktoś nic nie robił w kwestii zabezpieczenia danych i oczywiście wtedy jest sam sobie winny - wyjaśnia.

Jak twierdzi Elżbieta Piotrowska-Rutkowska, prezes Naczelnej Rady Aptekarskiej, z takimi sytuacjami mamy do czynienia również w aptekach, które są jednak dobrze zabezpieczone.

- Niestety, aktualnie apteka musi backup robić co godzinę, żeby nie stracić danych. Mamy z tym bardzo często do czynienia, o czym państwo nie wiecie, bo apteki borykają się z tym problemem po cichu, odzyskując wszystkie dane: pacjenta, recept, transakcje finansowe. To wszystko coraz częściej znika - opisuje farmaceutka.

Szkolenia potrzebne od zaraz
Jakie więc mogą być przyczyny problemów lekarzy, aptekarzy i podmiotów ochrony zdrowia z zabezpieczaniem danych?

W ubiegłym roku Centrum Systemów Informacyjnych Ochrony Zdrowia opublikowało raport z III edycji własnych badań dotyczących cyberbezpieczeństwa. - Warto odnotować, że tylko w 3 proc. szpitali doszło do utraty danych i były to zazwyczaj przyczyny techniczne, takie jak uszkodzenia dysku twardego, uszkodzenia bazy danych czy awarie sprzętowe - wyjaśniał Rynkowi Zdrowia w lutym br.  Sebastian Błaźniak, prokurent Nexus Polska.

W wielu podmiotach możemy jednak nadal mówić o braku nawet podstawowych rozwiązań, wiele z nich nie zabezpiecza danych w należyty sposób. - Każdy z elementów cyfryzacji sektora ochrony zdrowia wiąże się z przetwarzaniem danych w systemach informacyjnych, a według raportu Deloitte połowa urządzeń medycznych działających w szpitalach zabezpieczona jest jedynie domyślnymi hasłami. To stwarza zagrożenie - mówił Błaźniak.

Jak dodaje Rafał Włach, dyrektor handlowy CompuGroup Medical Polska, wiele typowych ataków hakerskich, z którymi mamy do czynienia, jest spowodowane po prostu niewiedzą użytkowników.

Zdaniem Krzysztofa Groyeckiego to efekt braku szkoleń. Dlatego konieczna jest akcja edukacyjna w tym zakresie, ponieważ szkody, jakie może wyrządzić haker albo jakiś wirus są nieobliczalne.

Nadmiar obowiązków, brak kompetencji?
Andrzej Cisło, wiceprezes Naczelnej Rady Lekarskiej przypomina, że lekarz tak naprawdę w kontakcie ze światem informatyków jest po części bezbronny, dlatego, że po prostu nie jest w stanie nawiązać równorzędnej, fachowej dyskusji. Jeśli nie chciałby wykazać się brakiem dbałości, żeby wybrać pomiędzy różnymi wspierającymi rozwiązaniami technicznymi, to musiałby wesprzeć się doradcą czy opinią jakiejś komisji.

- Dbanie o ten system to może być za wiele w przypadku lekarzy, mających cały kalendarz wypełniony wizytami pacjentów, którym przeznaczają średnio 6 minut - zwraca uwagę wiceprezes NRL.

Do tego dochodzą obowiązki w związku z wdrożeniem rozwiązań e-zdrowia, które, jak przekonuje Tomasz Zieliński, w zasadzie wydłużają czas pracy i po stronie lekarza, i po stronie farmaceuty, a nie ma z tego na razie realnej korzyści.

- Zwracam uwagę, że jesteśmy w sytuacji dosyć naprężonej struny i chodzi o to, żeby tej struny nie przeciągać ponad miarę, tylko żeby po prostu przeanalizować, jakie obowiązki można ograniczyć - dodaje Cisło.

Odpowiedzialność dostawców
Co w sytuacji ograniczonych zasobów i czasu pracowników ochrony zdrowia może być rozwiązaniem? - Myślę, że właśnie uzyskaliśmy odpowiedź na pytanie, które jeszcze kilka lat temu zadawaliśmy, czy warto przenosić dane do chmury, ponieważ była taka obawa, że nie będą tam tak bezpieczne, jak na komputerze - ocenia Bartosz Pampuch, wiceprezes Comarch Healthcare SA.

- Lekarz niekoniecznie jest w stanie, a nawet uważam, że nigdy nie będzie w stanie dochować należytej staranności, by w swojej jednostce wdrożyć niezbędne zabezpieczenia danych, ponieważ to nie jest odpowiedzialność i kompetencja lekarza. To jest odpowiedzialność dostawców, aby takie dane zabezpieczać np. w rozwiązaniach usługowych - przekonuje Bartosz Pampuch.

Podsumowując, kiedy powierza się coraz więcej danych przestrzeni cyfrowej, o której do końca nawet nie wiemy, jak działa, musimy edukować pacjentów, lekarzy, farmaceutów, wszystkich uczestników procesu, co to jest cyberbezpieczeństwo. Często nie do końca jesteśmy świadomi, że musimy o to dbać.

- A w jaki sposób tę wiedzę rozpowszechniać? Myślę, że cyberbezpieczeństwo należy propagować od najmłodszych lat, tłumaczyć, w jaki sposób bezpiecznie zachowywać się w internecie, jak chronić swoją prywatność, co robić ze swoim telefonem komórkowym itd.- przekonuje Rafał Włach z CompuGroup Medical Polska.

 

Podaj imię Wpisz komentarz
Dodając komentarz, oświadczasz, że akceptujesz regulamin forum