56% placówek medycznych zgłasza potrzeby w zakresie bezpieczeństwa danych i najczęściej są to szpitale (86%). Tylko nieco ponad połowa z 11 tys. badanych podmiotów leczniczych potwierdziła, że przeprowadziła już działania związane z poprawą cyberbezpieczeństwa – wynika z raportu przygotowanego przez Centrum e-Zdrowia „Stan cyfryzacji ochrony zdrowia 2022, czyli daleko od EDM”.
Uczestnicy konferencji „Zmiany w Ochronie Zdrowia 2022” – zorganizowanej przez Wolters Kluwer Polska we współpracy z Instytutem Zarządzania w Ochronie Zdrowia Uczelni Łazarskiego – zgadzali się, że dane w podmiotach leczniczych nie są dostatecznie chronione.
Ataki hakerów zagrażają szpitalom
– Ataki cyberprzestępców na dane w ochronie zdrowia są jednymi z najczęstszych – podkreśliła Aniela Hejnowska, dyrektor generalna IQVIA Poland, rozpoczynając panel dyskusyjny nt. bezpieczeństwa placówki i danych medycznych w cyberprzestrzeni.
Roman Łożyński, dyrektor Pionu Eksploatacji i Bezpieczeństwa Systemów Teleinformatycznych w Centrum e-Zdrowia (CeZ), zauważył z kolei, że placówki ochrony zdrowia są separowanymi jednostkami w zakresie cyberbezpieczeństwa. Oznacza to, że szpitale budują własne systemy. – Szpitali jest ok. 1336 i każdy z nich musi być bezpieczny. Niestety o poziomie cyberbezpieczeństwa wszystkich decyduje ten szpital, którego poziom zabezpieczeń jest najniższy – dodał Roman Łożyński.
Według badania przeprowadzonego przez CeZ 63% szpitali wykazuje średni poziom bezpieczeństwa, 20% dobry lub bardzo dobry poziom cyberbezpieczeństwa, a jedynie 3% bardzo słaby. – Średni poziom nie gwarantuje ochrony przed najczęstszym atakiem typu ransomware (złośliwym oprogramowaniem, które blokuje użytkownikom dostęp do systemów lub plików).
Rozwój cyfryzacji niesie zagrożenia
Cyfryzacja i wprowadzanie nowych rozwiązań z zakresu e-zdrowia cały czas postępuje. Z danych Centrum e-Zdrowia wynika, że 89% spośród 11 tys. badanych podmiotów leczniczych twierdzi, że posiada systemy IT do prowadzenia EDM (Elektronicznej Dokumentacji Medycznej). W porównaniu do 2021 r. nastąpił więc znaczący wzrost, bo o 20,6 punktów procentowych. Posiadanie niezbędnych rozwiązań IT najczęściej deklarowały szpitale – 97,3%. Paradoksalnie, to oznacza, że zagrożenia rosną …
Damian Marciniak, dyrektor Departamentu do spraw Zdrowia Psychicznego w Biurze Rzecznika Praw Pacjenta, zwrócił uwagę na konferencji, że ochronie w systemie zdrowia podlegają dane wrażliwe. – Jednym z praw pacjenta jest prawo do tajemnicy informacji. Przy wprowadzaniu rozwiązań e-zdrowia musimy o nim pamiętać – podkreślił. Tym bardziej że obserwujemy zwielokrotnienie ataków na dane medyczne. – Jeśli chodzi o ransomware to ataki zwiększyły się aż o 470% – dodał.
Zmiany w ustawie o systemie Cyber
– Planowana jest nowelizacja ustawy o krajowym systemie Cyber – zapowiedział Michał Pukaluk, zastępca dyrektora Departamentu Cyberbezpieczeństwa KPRM. Główne zmiany spowodują, że system ochrony zdrowia będzie częścią krajowego systemu cyberbezpieczeństwa. – Na samodzielne publiczne zakłady opieki zdrowotnej zostaną nałożone obowiązki związane z zachowaniem cyberbezpieczeństwa. Będą musiały zostać wyznaczone osoby i wdrożone procedury – akcentował. Przypomniał też, że są pieniądze dla szpitali na wsparcie cyberbezpieczeństwa, ale jest problem z ich wydawaniem.Dojrzałość cyfrowa szpitali pozostawia wiele do życzenia
Prof. dr hab. n. med. Paweł Ptaszyński, dyrektor ds. medyczno-organizacyjnych Centralnego Szpitala Klinicznego UM w Łodzi, podkreślił, że zapewnienie cyberbezpieczeństwa w szpitalu jest złożonym problemem i zależy od wielkości i dojrzałości cyfrowej podmiotu. – Z jednej strony problemem jest znalezienie odpowiednich profesjonalistów i pracowników działu informatycznego w sytuacji, gdy nie możemy zapłacić tyle, ile otrzymaliby na wolnym rynku.
Z drugiej strony są wyzwania związane z użytkownikami, ich zachowaniem i poruszaniem się w sieci. Problemem jest też świadomość dotycząca cyberbezpieczeństwa, bo jeśli ktoś nie wie, jakie ma potrzeby i gdzie ma „dziury” w systemie, to ciężko będzie mu je zabezpieczyć – dodał. Może być to trudne zwłaszcza w mniejszych, powiatowych jednostkach.
Brakuje systemów oceny ryzyka
– Problemem jest brak systemów oceny ryzyka w szpitalach – podkreślił Roman Łożyński. Są one wymagane ustawą o krajowym systemie cyberbezpieczeństwa, ale tylko w odniesieniu do operatorów usług kluczowych, a takich podmiotów w Polsce jest 260. Pozostaje więc spora grupa szpitali, które nie mają takiego obowiązku, ale wdrożenie takiego systemu jest dla nich bardzo potrzebne – dodał.
