– Jeśli chcemy faktycznie zinformatyzować służbę zdrowia tak, aby nasze wyniki badań mogły być wysyłane między placówkami, to musimy je podłączyć do internetu, który jest bezpieczny – mówi Radosław Nielek, dyrektor NASK-PIB. Jak zapowiada w rozmowie z DGP, między instytutem a Ministerstwem Zdrowia toczą się rozmowy w sprawie budowy takiego rozwiązania. Jak dodaje, ma to być przełom w dziedzinie cyberbezpieczeństwa dla szpitali i przychodni.
Na czym dokładnie miałby polegać?
NASK chciałby dostarczać do placówek publiczną sieć telekomunikacyjną, która umożliwi im dostęp do szybkiego internetu, a jednocześnie będzie wyposażona w narzędzia bezpieczeństwa. Jak przyznaje Nielek, miałaby to być kopia rozwiązania wykorzystanego przy Ogólnopolskiej Sieci Edukacyjnej, którą NASK zbudował dla szkół. Roboczo nazwano projekt Ogólnopolską Siecią Medyczną – Os-Med.
NASK zawiera umowy z dostawcami telekomunikacyjnymi na dociągnięcie przyłącza do placówki, a później utrzymuje sieć. Do tego instytut badawczy zapewnia kontrolę ruchu pomiędzy siecią wewnętrzną a zewnętrznymi sieciami telekomunikacyjnymi oraz blokowanie komunikacji z serwerami o podejrzanej reputacji. Poszczególne placówki w sieci OSE są od siebie separowane, by ograniczyć skutki ewentualnego przełamania zabezpieczeń wewnątrz sieci któregoś z podmiotów.
Usługi bezpieczeństwa OSE wykonują operacje monitoringu i kontroli ruchu sieciowego automatycznie. NASK deklaruje, że działania systemów zapewniają pełną poufność przetwarzanych danych.
Przestępcy na celowniku
Centralne zarządzanie przynajmniej elementami cyberbezpieczeństwa miałoby zwiększyć szanse placówek w starciu z przestępcami. Coraz częściej szpitale i przychodnie padają bowiem celami ataków. Jak wynika z badań firmy Check Point Research, służba zdrowia stała się w ostatnich latach ich głównym celem – to trend widoczny zarówno w Polsce, jak i na świecie. Tymczasem jak wynika z raportu zajmującej się cyberbezpieczeństwem firmy Fortinet, w co trzeciej placówce ochrony zdrowia brakuje specjalistów zajmujących się architekturą IT. Jedynie 16 proc. z nich prowadziło w ostatnich latach regularne szkolenia z zakresu cyberbezpieczeństwa.
Centralizacja zarządzania Os-Med miałaby być również odpowiedzią na brak specjalistów w dziedzinie cyberbezpieczeństwa. Według Fortinet w 2023 r. aż 68 proc. przedsiębiorstw zgłaszało niedobór wykwalifikowanych specjalistów w tej dziedzinie w swoich zespołach. Tymczasem z badania Centrum e-Zdrowia dotyczącego potrzeb placówek w zakresie informatyzacji wynika, że co czwarta czuje potrzebę zwiększenia odporności na cyberataki, 16,9 proc. chciałaby poprawić ciągłość działania swoich systemów informatycznych.
Trudno oceniać projekt na etapie wstępnego pomysłu – zastrzega prof. Katarzyna Kolasa z Akademii Leona Koźmińskiego. – Natomiast bez wątpienia system ochrony zdrowia w przyszłości będzie wirtualny, powinniśmy więc dążyć do tego, żeby stworzyć system umożliwiający bezpieczny przepływ danych medycznych – dodaje.
Zdaniem ekspertki podłączenie wszystkich placówek ochrony zdrowia do jednej sieci może być jednak bardzo trudne. – To byłaby ogromna zmiana, wymagająca czasu, pilotaży, okresu próbnego – zastrzega Kolasa. Dla porównania – budowa OSE, która obejmuje ok. 20 tys. placówek, zajęła ponad sześć lat.
Pomysł jest na bardzo wczesnym etapie
Dylematem do rozstrzygnięcia pozostaje na przykład to, czy do Os-Med mają również być podłączane apteki. To podniosłoby koszty, które w NASK są szacowane na kilkaset milionów złotych. Późniejsze utrzymanie ma być kosztem na poziomie takim, jak OSE – ok. 200 mln zł. Inne wyzwanie to dostarczenie internetu do placówek, które znajdują się w obszarze białych plam internetu. To takie lokalizacje, do których operatorom telekomunikacyjnym nie opłaca się dostarczyć połączenia, albo znajdujące się na bardzo trudnym terenie. Tu jednak odpowiedzią mogłoby być dostarczenie internetu radiowego albo satelitarnego – w ten sposób podłączonych jest już część szkół w projekcie OSE.
Skąd pieniądze? Jeśli projekt spotka się z zainteresowaniem MZ, będzie można szukać ich w kolejnych rozdaniach funduszy europejskich. Początkowo była nadzieja, by sięgnąć po środki z Krajowego Planu Odbudowy (KPO), ale projekt nie był gotowy na tyle wcześnie, by wpisać go do rewizji.
Resort zdrowia chce za to wykorzystać KPO, by popchnąć rozwój e-zdrowia. 25 września do konsultacji trafiło rozporządzenie dotyczące udzielania pomocy publicznej podmiotom zajmującym się transformacją cyfrową. Łącznie na ten cel do 2026 r. ma zostać wydane 2,4 mld zł. MZ oszacowało, że po środki będzie mogło sięgnąć 160 podmiotów – dostawców oprogramowania IT. Mają zostać przeznaczone m.in. na rozwój systemów elektronicznej dokumentacji medycznej.
Zapytaliśmy resort o stanowisko w sprawie Os-Med, do zamknięcia wydania nie otrzymaliśmy jednak odpowiedzi.
Sama bezpieczna sieć nie rozwiąże jednak wszystkich problemów z cyberbezpieczeństwem placówek. Jak przyznają eksperci w temacie, ważna jest też zmiana kultury organizacji. Dla przykładu – opisywaliśmy w DGP sprawę podatności w aplikacjach gabinetowych, czyli systemach, które pozwalają zarządzać aptekami czy przychodniami („O krok od katastrofy w e-zdrowiu”, DGP nr 116 z 17 czerwca 2024 r.). Błędy w oprogramowaniu używanym przez lekarzy, aptekarzy i stomatologów przez wiele lat umożliwiały dostęp z zewnątrz do danych pacjentów i podszywanie się pod lekarzy w systemie do e-recept. Chodziło o to, że hasła dostępu były na stałe zaszyte w kodzie oprogramowania. Podatności, po doniesieniu sygnalisty, odkrył etyczny haker i autor bloga Opensecurity.pl, Jakub Staśkiewicz.
Przy okazji Staśkiewicz ujawnił też fatalny stan wiedzy personelu medycznego na temat bezpieczeństwa w sieci – pracownicy przychodni używali choćby banalnych haseł, jednakowych do wszystkich usług e-zdrowia. Dzięki wykorzystaniu podatności dało się je odczytać. ©℗