Placówki medyczne będą musiały zadbać o cyberbezpieczeństwo
Ochrona zdrowia01 grudnia, 2022

Placówki medyczne będą musiały zadbać o cyberbezpieczeństwo

56% placówek medycznych zgłasza potrzeby w zakresie bezpieczeństwa danych i najczęściej są to szpitale (86%). Tylko nieco ponad połowa z 11 tys. badanych podmiotów leczniczych potwierdziła, że przeprowadziła już działania związane z poprawą cyberbezpieczeństwa – wynika z raportu przygotowanego przez Centrum e-Zdrowia „Stan cyfryzacji ochrony zdrowia 2022, czyli daleko od EDM”.

Uczestnicy konferencji „Zmiany w Ochronie Zdrowia 2022” – zorganizowanej przez Wolters Kluwer Polska we współpracy z Instytutem Zarządzania w Ochronie Zdrowia Uczelni Łazarskiego – zgadzali się, że dane w podmiotach leczniczych nie są dostatecznie chronione. 

Ataki hakerów zagrażają szpitalom 

– Ataki cyberprzestępców na dane w ochronie zdrowia są jednymi z najczęstszych – podkreśliła Aniela Hejnowska, dyrektor generalna IQVIA Poland, rozpoczynając panel dyskusyjny nt. bezpieczeństwa placówki i danych medycznych w cyberprzestrzeni.

Roman Łożyński, dyrektor Pionu Eksploatacji i Bezpieczeństwa Systemów Teleinformatycznych w Centrum e-Zdrowia (CeZ), zauważył z kolei, że placówki ochrony zdrowia są separowanymi jednostkami w zakresie cyberbezpieczeństwa. Oznacza to, że szpitale budują własne systemy. – Szpitali jest ok. 1336 i każdy z nich musi być bezpieczny. Niestety o poziomie cyberbezpieczeństwa wszystkich decyduje ten szpital, którego poziom zabezpieczeń jest najniższy – dodał Roman Łożyński.

Według badania przeprowadzonego przez CeZ 63% szpitali wykazuje średni poziom bezpieczeństwa, 20% dobry lub bardzo dobry poziom cyberbezpieczeństwa, a jedynie 3% bardzo słaby. – Średni poziom nie gwarantuje ochrony przed najczęstszym atakiem typu ransomware (złośliwym oprogramowaniem, które blokuje użytkownikom dostęp do systemów lub plików).

Rozwój cyfryzacji niesie zagrożenia

Cyfryzacja i wprowadzanie nowych rozwiązań z zakresu e-zdrowia cały czas postępuje. Z danych Centrum e-Zdrowia wynika, że 89% spośród 11 tys. badanych podmiotów leczniczych twierdzi, że posiada systemy IT do prowadzenia EDM (Elektronicznej Dokumentacji Medycznej). W porównaniu do 2021 r. nastąpił więc znaczący wzrost, bo o 20,6 punktów procentowych. Posiadanie niezbędnych rozwiązań IT najczęściej deklarowały szpitale – 97,3%. Paradoksalnie, to oznacza, że zagrożenia rosną …

Damian Marciniak, dyrektor Departamentu do spraw Zdrowia Psychicznego w Biurze Rzecznika Praw Pacjenta, zwrócił uwagę na konferencji, że ochronie w systemie zdrowia podlegają dane wrażliwe. – Jednym z praw pacjenta jest prawo do tajemnicy informacji. Przy wprowadzaniu rozwiązań e-zdrowia musimy o nim pamiętać – podkreślił. Tym bardziej że obserwujemy zwielokrotnienie ataków na dane medyczne. – Jeśli chodzi o ransomware to ataki zwiększyły się aż o 470% – dodał.

Zmiany w ustawie o systemie Cyber

– Planowana jest nowelizacja ustawy o krajowym systemie Cyber – zapowiedział Michał Pukaluk, zastępca dyrektora Departamentu Cyberbezpieczeństwa KPRM. Główne zmiany spowodują, że system ochrony zdrowia będzie częścią krajowego systemu cyberbezpieczeństwa. – Na samodzielne publiczne zakłady opieki zdrowotnej zostaną nałożone obowiązki związane z zachowaniem cyberbezpieczeństwa. Będą musiały zostać wyznaczone osoby i wdrożone procedury – akcentował. Przypomniał też, że są pieniądze dla szpitali na wsparcie cyberbezpieczeństwa, ale jest problem z ich wydawaniem.
 

Dojrzałość cyfrowa szpitali pozostawia wiele do życzenia 

Prof. dr hab. n. med. Paweł Ptaszyński, dyrektor ds. medyczno-organizacyjnych Centralnego Szpitala Klinicznego UM w Łodzi, podkreślił, że zapewnienie cyberbezpieczeństwa w szpitalu jest złożonym problemem i zależy od wielkości i dojrzałości cyfrowej podmiotu. – Z jednej strony problemem jest znalezienie odpowiednich profesjonalistów i pracowników działu informatycznego w sytuacji, gdy nie możemy zapłacić tyle, ile otrzymaliby na wolnym rynku.

Z drugiej strony są wyzwania związane z użytkownikami, ich zachowaniem i poruszaniem się w sieci. Problemem jest też świadomość dotycząca cyberbezpieczeństwa, bo jeśli ktoś nie wie, jakie ma potrzeby i gdzie ma „dziury” w systemie, to ciężko będzie mu je zabezpieczyć – dodał. Może być to trudne zwłaszcza w mniejszych, powiatowych jednostkach.

Brakuje systemów oceny ryzyka 

– Problemem jest brak systemów oceny ryzyka w szpitalach – podkreślił Roman Łożyński. Są one wymagane ustawą o krajowym systemie cyberbezpieczeństwa, ale tylko w odniesieniu do operatorów usług kluczowych, a takich podmiotów w Polsce jest 260. Pozostaje więc spora grupa szpitali, które nie mają takiego obowiązku, ale wdrożenie takiego systemu jest dla nich bardzo potrzebne – dodał. 

 

Czy znasz system ProgMedica?

Sprawdź oprogramowanie do zarządzania ryzykiem i jakością oraz monitorowania zdarzeń niepożądanych!

Back To Top