Pod koniec 2020 roku Agencja Unii Europejskiej ds. Cyberbezpieczeństwa ENISA ostrzegała, że w trudnym okresie pandemii Covid-19  dodatkowym obciążeniem dla systemu ochrony zdrowia mogą być ataki cyberprzestępców. - Incydenty cyberbezpieczeństwa mogą skutecznie uniemożliwić przeprowadzanie planowanych operacji czy zagrozić prywatności danych pacjentów – pisała w komunikacie. Dopiero jednak 18 maja 2022 roku Centrum e-Zdrowia opublikowało Plan działania w zakresie cyberbezpieczeństwa, a prezes Narodowego Funduszu Zdrowia 20 maja wydał zarządzenie w sprawie finansowania działań  w celu podniesienia poziomu bezpieczeństwa systemów teleinformatycznych świadczeniodawców. Z jednej strony należy się cieszyć, bo w końcu coś zaczyna się dziać w sprawie cyberbezpieczeństwa sytemu ochrony zdrowia, z drugiej wsparcie finansowe jest przewidziane głównie dla szpitali. I zdaniem ekspertów to za mało.

Sprawdź też: Cyberbezpieczeństwo w podmiotach leczniczych >

Kto dostanie pieniądze na cyberbezpieczeństwo

-  Podmioty  lecznicze prowadzące  szpitale znajdowały się  na  pierwszej  linii  walk z chorobą  COVID-19  i dalej zagrożone  jest  ich bezpieczeństwo.  Tym  samym  ogromne  znaczenie  ma  ochrona systemów informatycznych wykorzystywanych przez te podmioty do udzielania świadczeń opieki zdrowotnej – czytamy w uzasadnieniu. Jednocześnie zaznaczono, że celem  decyzji  jest  zapewnienie  zwiększenia  poziomu bezpieczeństwa systemów teleinformatycznych z uwagi  na  zwiększenie częstotliwości podatności tych systemów na incydenty  cyberbezpieczeństwa  na skutek pandemii  COVID-19,  a nie informatyzacja świadczeniodawców. Dlatego zgodnie z zarządzeniem prezesa NFZ środki na  finansowanie  działań w celu podniesienia poziomu bezpieczeństwa systemów teleinformatycznych otrzymają świadczeniodawcy prowadzący w ramach umowy z NFZ:

1. leczenie szpitalne
2. rehabilitacja lecznicza,
3. opieka psychiatryczna i leczenie uzależnień,
4. lecznictwo uzdrowiskowe.

Wysokość finansowania będzie zależna od wartości umowy z NFZ. Będzie wynosiła od 300 tys. zł do 900 tys. zł. Najniższe finansowanie jest dla tych, których kontrakt z NFZ nie przekracza 10 mln zł, a najwyższe dla tych z umową na ponad 500 mln zł. Podmioty będą mogły wydać te pieniądze na zakup i wdrożenie systemów bezpieczeństwa kopii, segmentacji danych, systemów antywirusowych, firewalli, a także audyt oraz szkolenia pracowników. Koszty audytu bezpieczeństwa nie mogą przekroczyć 10 proc. wartości finansowania. Tyle, że zdaniem ekspertów na cyberataki narażone są nie tylko szpitale, uzdrowiska czy poradnie rehabilitacyjne.

Innowacyjne technologie w ochronie zdrowia. Aspekty prawne ebook

Katarzyna Kokocińska

Sprawdź  

Wsparcie powinno objąć wszystkich świadczeniodawców

– Zabezpieczenie szpitali jest potrzebne, ale to jest jeden element systemu – mówi Paweł Kaźmierczyk z kancelarii DZP. – Gdy szpital prześle dokumentację do AOS czy POZ, to jeśli ktoś włamie się do ich systemów, to dotrze do niej. I nie będzie miało znaczenia, że szpital był dobrze zabezpieczony. Dlatego projektowanie systemu cyberbezpieczeństwa powinno obejmować wszystkie podmioty, od szpitali, przez POZ, AOS, aż po pojedyncze praktyki lekarskie – mówi.

Podobnie uważa Tomasz Judycki, prezes Polskiej Izby Informatyki Medycznej.  – Dofinansowanie powinno objąć wszystkie podmioty, które wymieniają dokumentacje. Nie ma znaczenia, czy to jest szpital, uzdrowisko, czy przychodnia. To prawda, że jeśli zostanie sparaliżowana infrastruktura szpitala, to nie będzie on mógł przeprowadzać operacji, badań, a skutki będą bardziej spektakularne niż zaszyfrowanie komputera alergologa. Tyle, że mamy wiele dużych przychodni, mających pod opieką tysiące pacjentów, które wytwarzają tysiące e-dokumentów, i one też powinny liczyć na wsparcie. Dlatego trudno dostrzec logikę w podjętych działaniach – dodaje Judycki.

Sprawdź też: Kokocińska Katarzyna (red.) "Innowacyjne technologie w ochronie zdrowia. Aspekty prawne" >

Jego zdaniem dobrze by było nagrodzić tych, którzy raportują zdarzenia medyczne. – To może sprawiłoby, że pozostałe podmioty licząc na nagrodę, zmobilizowałyby się do cyfryzacji – podkreśla.

Jeszcze inaczej na sprawę patrzy Tomasz Zieliński, wiceprezes Porozumienia Zielonogórskiego. – Szpitale to duże jednostki, które w przeciwieństwie do małych przychodni mają wiedzę, pieniądze, zatrudniają informatyków. To prawda, że atak hakerski na szpital jest bardzo spektakularny, ma siłę rażenia. Jednak utrata dokumentacji przez POZ czy AOS może mieć kluczowe znaczenie dla ich pacjentów, np. utrudnić ubieganie się o rentę. Dlatego ważne jest zadbanie o wszystkie podmioty, zwłaszcza szkolenia pracowników. Bo często to błąd ludzki, otworzenie załącznika z maila, odpowiedź na podejrzany mail, ułatwia do włamania się do systemu – kwituje Zieliński.

Digitalizacja konieczna, ale słabo działa

Warto przypomnieć, że w trakcie Europejskiego Kongresu Gospodarczego Adam Niedzielski, minister zdrowia, podkreślił, że jest jeszcze jeden warunek stabilnego, odpornego systemu ochrony zdrowia.  - To digitalizacja – powiedział. Tyle, że jak pisaliśmy na początku maja, elektroniczna dokumentacja medyczna nie działa. Z ponad 180 tysięcy podmiotów dane zaraportowało tylko 23 tys. placówek medycznych. Część ekspertów twierdzi, że to właśnie z powodu braku bezpiecznych, publicznych repozytoriów, w których można przechowywać wytworzone dokumenty. Zinformatyzowane są głównie szpitale.

Z kolei z danych CERT Polska – zespołu, który zajmuje się w Państwowym Instytucie Badawczym NASK analizowaniem incydentów bezpieczeństwa – wynika, że w 2019 roku  w Polsce  zarejestrowano  53 incydenty  cyberbezpieczeństwa dotyczące  sektora  ochrony  zdrowia,  a od 1 stycznia 2020 roku do września 2020 roku odnotowano ich już ponad 90. Ile odnotowano później nie wiadomo, choć w październiku 2021 roku podczas posiedzenia Rady do spraw Interoperacyjności – organu doradczego Centrum e-Zdrowia - poinformowano, że CeZ Security Operating Center odnotowuje tygodniowo dość znaczną liczbę prób naruszeń systemów dużych placówek opieki zdrowotnej w Polsce. Jednocześnie  Roman Łożyński, dyrektor Pionu Bezpieczeństwa Systemów Teleinformatycznych CeZ, przyznał, że system repozytoriów jest systemem naczyń połączonych i będzie tak odporny na ataki , jak profesjonalnie zabezpieczone będzie najsłabsze w nim ogniwo, czyli najgorzej zabezpieczone repozytorium z całej 180 tysięcznej masy. 

Za sprawą wojny na Ukrainie liczba cyberataków jeszcze wzrosła. Przypomnijmy, że od 14 do 25 lutego br. nie działała strona Lotniczego Pogotowia Ratunkowego, mimo że przez 12 dni LPR 24 godziny na dobę współpracował z państwowymi i zewnętrznymi jednostkami po to, by jak najszybciej odbudować uszkodzoną infrastrukturę teleinformatyczną. - Jest to zamach na jednostkę, która każdego dnia niesie pomoc ludziom. Atak ma postać ransomware, a atakujący zażądali 390 tysięcy dolarów okupu za odszyfrowanie danych. Dyrektor LPR nie podjął jakichkolwiek negocjacji – napisało w oświadczeniu LPR, wydanym dopiero 21 lutego. Tuż przed pandemią atak hakerski przeżyła też jedna z przychodni zrzeszonych w Porozumieniu Zielonogórskim. Wszystkie dokumenty zostały zaszyfrowane. Teraz Ministerstwo Zdrowia i NFZ kierują wsparcie finansowe, ale głównie dla szpitali.