Obecnie technologia rozwija się na tyle szybko, że lekarz potrzebuje w swojej pracy komputera niemal w równym stopniu, co stetoskopu czy skalpela. Często zderzenie z rzeczywistością jest jednak dość trudne, bo na studiach nikt nie uczy przyszłych medyków, jak posługiwać się systemami teleinformatycznymi. Tym bardziej nikt nie skupia się na cyberbezpieczeństwie. A takie edukowanie, zdaniem ekspertów, nie tylko byłoby pomocne w praktyce, ale też pozwoliłoby wyrobić dobre nawyki.
Centrum e-Zdrowia co roku przeprowadza badania ankietowe dotyczące poziomu zabezpieczenia placówek medycznych, jeśli chodzi o cyberbezpieczeństwo. W 2023 r. wzięło w nim udział łącznie 12 360 podmiotów. Wyniki nie dały powodów do nadmiernego optymizmu. Z ankiet wynikało, że w ubiegłym roku dwie na trzy badane placówki nie posiadały wewnętrznego zespołu do obsługi informatycznej (67,5 proc.). Większość (61,4 proc.) spośród badanych podmiotów lub praktyk nie umożliwiało pacjentom dostępu do e-usług poprzez stronę internetową, ani też nie planowało wdrożenia takiego rozwiązania w przyszłości. Odmienną deklaracje złożyło zaledwie 15 proc. ankietowanych. Najczęściej udostępnianą pacjentom e-usługą była możliwość sprawdzenia wyników badań online (36,4 proc.).
Jedynie trzech na dziesięciu (30 proc.) przedstawicieli badanych placówek posiadało lub miało zaplanowany budżet na utrzymanie i rozwój systemu gabinetowego bądź szpitalnego pozwalającego na wypełnianie obowiązków związanych z informatyzacją. Ponad połowa (51 proc.) badanych placówek przeciętnie oceniła swoją dojrzałość cyfrową. Najczęściej wskazywaną barierą był brak pieniędzy na rozwijanie infrastruktury.
Czytaj również: Cyberbezpieczeństwo w szpitalach wciąż na marginesie
W trakcie konferencji organizowanej przez Centrum e-Zdrowia „Wyzwania dla systemu ochrony zdrowia w dobie cyberzagrożeń” dyskutowano na temat tego, jak obecnie wygląda poziom cyfrowego zabezpieczenia w placówkach medycznych. Wnioski są raczej pesymistyczne. Tegoroczne badanie ankietowe prowadzone przez CeZ zakończyło się niedawno, dlatego na razie nie są znane pełne rezultaty. Jednak z częściowych danych (ok. 500 podmiotów) można już wyciągnąć wnioski, że część wskaźników od roku praktycznie stoi w miejscu. Jak wskazał dr Tomasz Jeruzalski, dyrektor Pionu Eksploatacji Systemów Teleinformatycznych CeZ, nadal 2/3 przebadanych podmiotów nie ma planów zarządzania podatnościami (a więc słabościami, które można wykorzystać w przypadku ataku cybernetycznego). Tyle samo jednostek nie szkoli się z cyberbepieczeństwa, a w ok. 80 proc. przypadków nie stosuje się również podwójnego uwierzytelniania przy logowaniu do systemów. Pozytywną zmianę widać za to np. w zakresie tworzenia kopii zapasowych – ten wskaźnik w porównaniu do poprzedniego roku wzrósł o ok. 1/3. - Poziom zabezpieczenia w zakresie cyberbezpieczeństwa w szpitalach jest niewystarczający – zaznaczył dr Jeruzalski.
A, jak podkreślali prelegenci w trakcie dyskusji, im mniejsza placówka, tym gorzej – o ile w szpitalach jest kiepsko, o tyle w podmiotach POZ i AOS często zabezpieczeń nie ma w ogóle. Dużym problemem są pieniądze. Dr Tomasz Maciejewski, dyrektor Instytutu Matki i Dziecka w Warszawie wskazał, że dział cyberbezpieczeństwa powinien być najważniejszym, jeśli chodzi o „organizm” szpitala. A to kosztuje, bo technologia stale ewoluuje. – Jeśli priorytetem placówki nadal mają być zyski, a nie bezpieczeństwo, to nic się nie zmieni – stwierdził.
Zobacz w LEX: Prawne aspekty cyberbezpieczeństwa - ramy prawne i praktyczne zagadnienia > >
Dr hab. Paweł Ptaszyński, zastępca dyrektora ds. Medyczno-Organizacyjnych w Centralnym Szpitalu Klinicznym Uniwersytetu Medycznego w Łodzi, podkreślił, że jego zdaniem uczenie bezpiecznego korzystania z systemów w placówkach medycznych powinno rozpoczynać się już na studiach. Narzędzia teleinformatyczne są bowiem obecnie potrzebne lekarzowi w codziennej pracy niemal w takim samym stopniu jak stetoskop. – Trudna jest sytuacja, gdy do szpitala trafia lekarz stażysta i dopiero musi nauczyć się, jak w ogóle posługiwać się systemami szpitalnymi – wskazał.
O tym, że to istotny problem w praktyce, mówił też dr Artur Drobniak, prezes Okręgowej Rady Lekarskiej w Warszawie. Zaznaczył, że przeprowadzono badanie wśród tegorocznych lekarzy stażystów zrzeszonych w ramach warszawskiej izby. Ponad 40 medyków wskazało, że najbardziej potrzebne jest im właśnie szkolenie z obsługi szpitalnych systemów informatycznych.
Istotne jest, by na każdym kroku uświadamiać, że w szpitalach, podobnie jak w każdym innym podmiocie, słabym ogniwem w cyberatakach niemal zawsze jest człowiek, który ostatecznie kliknie w podejrzany link w mailu. I nie ma znaczenia, że zrobi to na swoim komputerze – skutki odczuje cała szpitalna sieć. Przed ludzkimi błędami nie ochroni nawet najlepszy system, dlatego konieczna jest edukacja i prewencja. Prof. Ptaszyński, który doświadczył takiego cyberataku w szpitalu, zaznaczył, że po tym zdarzeniu pracownikom zablokowano wszelkie dostępy do prywatnej poczty czy portów USB na służbowych komputerach. Początkowo spotkało się to z niezadowoleniem, ale po wytłumaczeniu przyczyn łatwiej było ich do tego przekonać.
Eksperci wskazywali też, że lekarze, słysząc o zabezpieczeniach, niejednokrotnie obawiają się dodatkowych, uciążliwych obowiązków. Dlatego tak często wyłączana jest weryfikacja dwuetapowa przy logowaniu – tak jest po prostu szybciej. Michał Dybowski, prezes Fundacji Healthcare Poland, koordynator Koalicji Cyberbezpieczeństwo w ochronie zdrowia, wyjaśniał, że do zapewnienia bezpieczeństwa systemów wcale nie potrzeba skomplikowanych rozwiązań. Najbardziej efektywne jest korzystanie z fizycznego klucza zabezpieczeń, np. karty. Jeśli lekarz będzie logował się za pomocą hasła i fizycznego klucza, wiele zagrożeń jest eliminowanych już na starcie. Nawet jeśli dojdzie bowiem do włamania do systemu, na którymś etapie będzie potrzebne przyłożenie karty lub klucza. A jest dużo mniejsze prawdopodobieństwo, że osoba, która będzie chciała wykraść dane, będzie znała i hasło, i zyska dostęp do fizycznego zabezpieczenia.
Zobacz również w LEX: Nowe środki w zakresie cyberbezpieczeństwa (dyrektywa NIS 2) > >
Sławomir Wasielewski, członek zarządu ZUS, wskazywał, że słabym ogniwem zabezpieczeń często są też tzw. aplikacje gabinetowe, dostarczane najczęściej przez zewnętrznych dostawców. To oprogramowania, z których korzystają placówki medyczne, np. w celu wystawiania recept. Są w nich więc najbardziej wrażliwe dane dotyczące pacjentów, a poziom zabezpieczeń często pozostawia sporo do życzenia. Dlatego ekspert zaznaczył, że jeśli mówimy o karaniu, to powinniśmy skupić się nie tyle na kierownikach placówek, ale raczej zmusić dostawców aplikacji, by to oni zapewnili odpowiedni poziom zabezpieczenia. Mają bowiem do tego środki. Wskazał również, że obecnie, w porozumieniu z CeZ, toczą się prace, których rezultatem ma być wypracowanie standardów, które podniosą poziom bezpieczeństwa tych aplikacji.
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów LEX jest zależny od posiadanych licencji.
