Ustawa o cyberbezpieczeństwie dotyczy także lecznictwa. Jak tam ochronimy dane i systemy?

Autor: Jacek Janik/Rynek Zdrowia • • 28 lutego 2019 06:00

W sierpniu 2018 roku weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa, której celem jest sprawne działanie na rzecz wykrywania, zapobiegania i minimalizowania skutków ataków na systemy informatyczne, także w sektorze zdrowia. Jakie jednostki w tym sektorze będą musiały dostosować się do tej ustawy i jak są zabezpieczone przed atakami hakerskimi?

Ustawa o cyberbezpieczeństwie dotyczy także lecznictwa. Jak tam ochronimy dane i systemy?
Przynajmniej z deklaracji wynika, że ok. 80 proc. podmiotów leczniczych posiada opracowaną oraz wdrożoną wewnętrzną politykę cyberbezpieczeństwa. Fot. archiwum

Jak przekonują eksperci, nowe technologie - między innymi telemedycyna, robotyzacja, sztuczna inteligencja - niebawem będą codziennością na rynku ochrony zdrowia.

Wdrażamy elektroniczną dokumentację medyczną, mamy działające eWUŚ, eZLA, testujemy działanie e-recepty. Wszystkie te procesy obarczone są ryzykiem związanym z atakami hakerów. To zagrożenie jest  poważnym wyzwaniem, z którym przyjdzie się zmierzyć informatykom pracującym w jednostkach ochrony zdrowia.

- Każdy ze wspomnianych elementów cyfryzacji sektora ochrony zdrowia wiąże się z przetwarzaniem danych w systemach informacyjnych, a według raportu Dolittle połowa urządzeń medycznych działających w szpitalach zabezpieczona jest jedynie domyślnymi hasłami. To stwarza zagrożenie - mówi  nam Sebastian Błaźniak, prokurent Nexus Polska.

W miarę bezpiecznie…
Centrum Systemów Informacyjnych Ochrony Zdrowia w roku 2018 opublikowało raport z III edycji własnych badań dotyczących cyberbezpieczeństwa podmiotów leczniczych. Z analizy wynika, że przynajmniej w części deklaratywnej ok. 80 proc. podmiotów leczniczych posiada opracowaną oraz wdrożoną wewnętrzną politykę bezpieczeństwa.

- Należy oczywiście zadać sobie pytanie o aktualność i stosowanie polityk bezpieczeństwa w polskich szpitalach, ale rzeczywiście z roku na rok można zaobserwować znaczący wzrost świadomości w tym obszarze. Warto odnotować, że tylko w 3 proc. szpitali doszło do utraty danych i były to zazwyczaj przyczyny techniczne, takie jak uszkodzenia dysku twardego, uszkodzenia bazy danych czy awarie sprzętowe - wyjaśnia Błaźniak.

Niestety obserwując tendencje europejskie i rosnącą ilość ataków na systemy zdrowia, między innymi na Łotwie czy w Wielkiej Brytanii, nie możemy czuć się bezpiecznie.

Zagadnienia dotyczące bezpieczeństwa gromadzenia i udostępniania danych będą jednym z wątków dyskusji w trakcie sesji "Elektroniczna dokumentacja medyczna" odbywającej się podczas IV Kongresu Wyzwań Zdrowotnych (Katowice, 7-8 marca 2019 r.). Program całego Kongresu i rejestracja: www.hccongress.pl.

W ocenie naszego rozmówcy, w niektórych placówkach stan bezpieczeństwa systemów informatycznych jest na dobrym poziomie. Dotyczy to przede wszystkim szpitali klinicznych i specjalistycznych, które dysponują zapleczem naukowym, dostępem do specjalistów i znacznie lepiej radzą sobie w pozyskiwaniu środków unijnych na doposażanie w infrastrukturę i oprogramowanie.

W wielu podmiotach możemy jednak nadal mówić o braku nawet podstawowych rozwiązań, wiele z nich nie zabezpiecza danych w należyty sposób.

- Istotna w tym kontekście jest liczebność systemów oraz urządzeń funkcjonujących w podmiotach leczniczych, bo niemalże każde urządzenie medyczne jest wyposażone w jakiś system. Dlatego kluczowe wydaje się właściwe zidentyfikowanie procesów i ryzyk w systemach informacyjnych szpitala. Bez tego nie da się wdrożyć środków minimalizujących ryzyka - stwierdza przedstawiciel Nexus Polska.

Jego zdaniem, identyfikując bariery wpływające na całościowy obraz cyberbezpieczeństwa w polskiej ochronie zdrowia trzeba wspomnieć o dwóch najważniejszych aspektach. Pierwszy, to niewiele systemowych wytycznych i rekomendacji w zakresie stosowania zabezpieczeń systemów informatycznych w szpitalach. Drugi aspekt, to kwestia finansowania inwestycji w infrastrukturę i systemy IT.

- Nawet jeżeli środki na systemy IT do podmiotów w ochronie zdrowia trafiają, to cyberbezpieczeństwo zwykle było traktowane drugorzędnie. Znamy szpitale, które trzeci raz wydają środki pochodzące z EU na elektroniczną dokumentację medyczną i towarzyszącą im zaawansowaną infrastrukturę ICT, ale zaledwie znikoma część z nich była konsumowana na kwestie związane z bezpieczeństwem - stwierdza Błaźniak.

Kto zostanie kluczowym operatorem
Zgodnie ze wspomnianą wcześniej ustawą, obok NFZ, CSIOZ, dużych hurtowni i sieci aptek, także szpitale należące do sieci, które mają oddział ratunkowy powinny zostać tzw. operatorami usług kluczowych, co nakłada na nie nowe, kosztowne obowiązki (m.in. specjalistyczne audyty, system obiegu dokumentów związanych z cyberbezpieczeństwem).

Na początku roku media podały, że Ministerstwo Zdrowia prowadzi rozmowy i trwają prace na przepisami umożliwiającymi wyłączenie części szpitali z krajowego systemu bezpieczeństwa. Czy jest to zasadne? Z punktu ekonomicznego wyłączone lecznice nie musiałyby spełniać wielu dodatkowych, kosztownych wymogów.

Jak wyjaśnia Karol Manys z wydziału komunikacji Ministerstwa Cyfryzacji, minister zdrowia wydaje decyzje o uznaniu placówki za operatora usług kluczowych, jeżeli spełnione są łącznie trzy przesłanki. Po pierwsze, podmiot świadczy usługę kluczową, na przykład udziela świadczeń opieki zdrowotnej. Po drugie, świadczenie tej usługi zależy od systemów informacyjnych i podmiot nie jest w stanie świadczyć jej inaczej.

Kolejną przesłanką jest sytuacja, w której ewentualny incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez operatora - tzn. spełnia wartości progowe z rozporządzenia. (Wykaz usług kluczowych oraz progi istotności skutku zakłócającego znajdują się w załączniku do rozporządzenia z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu).

- Wydanie decyzji jest poprzedzone postępowaniem administracyjnym, w którym zbierany jest materiał dowodowy. Na jego podstawie uznaje się, czy dany podmiot spełnia kryteria ustawowe, w tym zależność świadczenia usługi kluczowej od systemów informacyjnych. Na ministrze zdrowia spoczywa obowiązek udowodnienia, że określone przedsiębiorca spełnia wymogi ustawowe - tłumaczy Manys.

Będą wyłączenia z krajowego systemu?
Zapytaliśmy jak w resorcie zdrowia przebiegają prace nad wyłączeniem części szpitali z rygorów ustawy o krajowym systemie cyberbezpieczeństwa i na jakim są one etapie. 

- Zgodnie z art. 5 ust. 1 ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa, operatorem usługi kluczowej może być tylko podmiot leczniczy, wobec którego organ właściwy do spraw cyberbezpieczeństwa (dla sektora zdrowia – minister zdrowia) wydał decyzję o uznaniu za operatora usługi kluczowej - zaznacza Sylwia Wądrzyk- Bularz, dyrektor biura komunikacji Ministerstwa Zdrowia.

Potwierdza, że w Ministerstwie Zdrowia są obecnie prowadzone postępowania administracyjne, które w przypadku każdego z podmiotów leczniczych, wobec których zostały wszczęte takie postępowania, zostaną zakończone wydaniem odpowiedniej decyzji.

- Każde z tych postępowań ma indywidualny charakter i dopiero po ich zamknięciu - wydaniu decyzji oraz jej uprawomocnieniu - możliwe będzie wskazanie czy podmiot leczniczy jest operatorem kluczowym. Samo wszczęcie postępowania nie oznacza, że zostanie wydana decyzja o uznaniu określonego podmiotu za operatora usługi kluczowej - podkreśla.

Zdaniem Sebastiana Błaźniaka, w przypadku strategicznych placówek dla bezpieczeństwa zdrowotnego (szpitale należące do sieci, posiadające SOR-y) ich tymczasowe wyłączenie z systemu cyberbezpieczeństwa byłoby słuszne, jeżeli by było warunkowane brakiem możliwości wdrożenia rozwiązań wymaganych ustawą.

Z informacji jakie uzyskaliśmy od Karol Manysa z wydziału komunikacji  Ministerstwa Cyfryzacji, wynika, że ogółem w sektorze zdrowia wszczęto do tej pory 245 postępowań administracyjnych, co nie oznacza, że tyle podmiotów ostatecznie zostanie operatorami.

- W trakcie prowadzonych otwartych i jawnych postępowań, minister zdrowia sprawdza czy zidentyfikowane podmioty, potencjalni operatorzy usług kluczowych, spełniają określone kryteria. Przypominamy, że tylko łączne spełnienie wszystkich przesłanek ustawowych powoduje, że dany organ właściwy może wydać decyzję administracyjną uznającą podmiot za operatora usługi kluczowej - dodaje Manys.

Dowiedz się więcej na temat:
Podaj imię Wpisz komentarz
Dodając komentarz, oświadczasz, że akceptujesz regulamin forum