• ELEKTRONICZNA DOKUMENTACJA MEDYCZNA

  • Start

Czy EDM jest bezpieczna? Ekspert: "Wyciek danych medycznych to matka wszystkich cyberbomb"

Autor: oprac. IB • Źródło: Rzeczpospolita, Gazeta Wyborcza/Rynek Zdrowia21 lipca 2021 10:30

E-dokumentacja medyczna czy jest bezpieczna? O tym, jak ważne jest cyberbezpieczeństwo, przekonujemy się coraz częściej, ostatnio na przykładzie całkowitego sparaliżowania przez hakerów administracji niemieckiego powiatu. Takie zagrożenie dotyczy również szpitali.

EDM a cyberbezpieczeństwo. Czy e-dokumentacja medyczna jest bezpieczna? Fot. Shutterstock
  • Przykłady z Niemiec pokazują, że atak hakerski może sparaliżować administrację całego powiatu, ale także szpital. Tak się już zdarzyło.  Skutkiem była śmierć pacjentki
  • "Panie Ministrze-to jest sens się upierać przy repozytoriach dokumentacji med. w 180 tys. miejsc? Nie lepiej zrobić to raz i porządnie w domenie utrzymywanej przez rząd?" - pytał na TT Andrzej Cisło
  • Warto zainwestować nie jak zwykle w wyspowe narzędzie, ale w jedno zunifikowane, być może sieciowe, bo to rozwiązałoby problem bezpieczeństwa - mówił Piotr Pobrotyn
  • Utrata danych nawet na 12 godzin może być bardzo brzemienna w skutkach terapeutycznych podjętych decyzji - wskazywał

Jak podała Rzeczpospolita, na początku lipca hakerzy, którzy już przecież nie raz atakowali firmy i szpitale, po raz pierwszy doprowadzili do całkowitego unieruchomienia administracji powiatu - Anhalt-Bitterfeld. Jego władze ogłosiły z tego powodu stan klęski żywiołowej.

"Czy jest sens się upierać przy repozytoriach dokumentacji medycznej w 180 tys. miejsc?"

Informację tę skomentował na Twitterze Andrzej Cisło, wiceprezes Naczelnej Rady Lekarskiej. "Panie Ministrze-to jest sens się upierać przy repozytoriach dokumentacji med. w 180 tys miejsc? Nie lepiej zrobić to raz i porządnie w domenie utrzymywanej przez rząd? Przecież wyciek danych med. to taka „matka wszystkich cyberbomb” - napisał.

Jak przypominał podczas ubiegłorocznego HCC Online Piotr Pobrotyn, dyrektor Uniwersyteckiego Szpitala Klinicznego we Wrocławiu, problem zabezpieczenia dokumentacji medycznej leży w skali aktywności placówki, bo archiwizować trzeba m.in. obrazy tomografii, rezonansów, wyniki histopatologii, laboratoryjne, całą kartotekę medyczną.

- Obecnie tworzymy dwie kopie zapasowe na własnych nośnikach, ale marzylibyśmy o zunifikowanym sieciowym rozwiązaniu, pewnie ogólnopolskim. Mam nadzieję, że takie powstanie. Teraz z przyczyn technicznych agregujemy dane między godziną 24 a 2 w nocy, czyli tworzymy kopie zapasowe raz na dobę, ale mamy oczywiście procedury odtworzenia dokumentacji na wypadek utraty danych z jednego dnia - wyjaśniał.

- To do czego zmierzamy to archiwizacja online w dwóch niezależnych źródłach poza szpitalem, bo muszą być przynajmniej dwie kopie zapasowe  - zwracał uwagę dyrektor.

Dbanie o bezpieczeństwo przetwarzania danych jednak sporo kosztuje. Jak podawał szef wrocławskiego szpitala, autoryzacja systemów już funkcjonujących czy inwestycje w oprogramowanie i nowe rozwiązania bezpieczeństwa to roczny koszt w wysokości kilku milionów złotych.

Czytaj również: E-dokumentacja medyczna jest obowiązkowa. Co na EDM zyskują pacjenci?

Problem bezpieczeństwa EDM: potrzebne zunifikowane rozwiązanie

W jego ocenie warto zainwestować nie jak zwykle w wyspowe narzędzie, ale w jedno zunifikowane, być może sieciowe, bo to rozwiązałoby problem bezpieczeństwa.

- Pozostaje kwestia przypadków ostrych, kiedy utrata danych nawet na 12 godzin może być bardzo brzemienna w skutkach terapeutycznych podjętych decyzji, związanych z natychmiastowym dostępem do informacji sprzed paru godzin, które lekarze, ratownicy czy pielęgniarki mieć powinni - podkreślał dyrektor Pobrotyn.

Dlatego, z powodu bezpieczeństwa, nie tylko prawnego, ale i medycznego, w szpitalu dokumentację się drukuje. Równolegle poza elektronicznym prowadzeniem obszaru aktywności, archiwizuje się również formę papierową, co dla personelu medycznego stanowi olbrzymi wysiłek.

Czytaj także: E-dokumentacja medyczna. Od 1 lipca będzie obowiązkowa. A w szpitalach wciąż drukują na potęgę

Czym może się skończyć atak hakerski na szpital?

Na przykład śmiercią pacjenta. We wrześniu ub.r. przekonał się o tym szpital kliniczny w Düsseldorfie. Hakerzy sparaliżowali wówczas system informatyczny placówki, co wyłączyło ją z systemu ratunkowego. W efekcie lecznica przestała przyjmować karetki i pacjentów w stanie krytycznym. Kobietę, która znajdowała się w stanie zagrażającym życiu, przewieziono do szpitala w Wuppertal, ale gdy tam dotarła, na ratunek było już za późno.

Jak to wygląda w Polsce? W październiku 2019 r. ówczesna wiceminister zdrowia Józefa Szczurek-Żelazko informowała w Sejmie, że od 2015 r. doszło do 28 awarii systemów informatycznych, w tym trzech ataków hakerskich.

W 2017 r. Zespół Cyberbezpieczeństwa firmy Deloitte wykrył m.in. w internecie bazę danych 50 tys. pacjentów Samodzielnego Publicznego Zakładu Opieki Zdrowotnej w Kole. Upublicznione zostały m.in. imię, nazwisko, adres, numer PESEL i dane medyczne, takie jak grupa krwi i diagnostyka.

Poszkodowani zostali zatem narażeni na utratę prywatności na dwa sposoby - po pierwsze, ich dane mogły posłużyć np. do wyłudzenia pożyczek lub towarów. Po drugie, postronne osoby mogły zaznajomić się z danymi dotyczącymi stanu zdrowia.

Najprawdopodobniej strona szpitala została przejęta przez hakerów, o czym świadczyły pozostawione przez nich ślady.

Po tym wydarzeniu Rzecznik Praw Obywatelskich zwrócił się do ministra zdrowia i Głównego Inspektora Ochrony Danych Osobowych o informacje na temat działań podjętych w tej sprawie. Poprosił także o wskazanie, czy kwestia zabezpieczenia danych medycznych w placówkach ochrony zdrowia jest przedmiotem ich szczególnego zainteresowania w wymiarze systemowym.

Polecamy: E-dokumentacja medyczna już obowiązkowa. Ta rewolucja miała ruszyć już siedem lat temu

Pieniądze za odblokowanie dostępu do danych

Z kolei w grudniu 2019 r. dr Maciej Piróg, dyrektor Kliniki "Budzik" działającej w Centru Zdrowia Dziecka w Warszawie poinformował, że istniało zagrożenie, iż działalność kliniki zostanie zablokowana przynajmniej na miesiąc.

Atak hakerski rozpoczął się od fałszywych maili rozsyłanych przez różne instytucje, z informacją o niezapłaconych fakturach. Maile zawierały linki, które infekowały wirusami system komputerowy.

Jak mówił dr Maciej Piróg, cały system informatyczny kliniki został zablokowany, co uniemożliwiło sporządzenia raportu dla NFZ. Gdyby klinika nie przedstawiła takiego sprawozdania na czas, mogłaby nie otrzymać finansowania z Funduszu.

Hakerzy zażądali 30 tys. zł za odblokowanie dostępu do danych. Ostatecznie informatycy szpitalni dali sobie radę z atakiem, ponieważ klinka nie utraciła ważnych danych, które są kopiowane.

 

 

Podaj imię Wpisz komentarz
Dodając komentarz, oświadczasz, że akceptujesz regulamin forum