Cyfrowy szpital bez odporności to ryzyko dla pacjenta, nie postęp

Dawno nie zabierałem głosu jeśli chodzi o ochronę zdrowia. Jednak jako audytor wiodący systemu zarządzania bezpieczeństwem informacji ISO27001, moje doświadczenie w ochronie zdrowia jak i ostatnie informacje prasowe powinienem odnieść się do kilku ważnych kwestii.

Polska inwestuje miliardy w e-zdrowie. Rząd przyjął projekt ustawy o rozwoju usług e-zdrowia. Padają miliardowe kwoty na cyfryzację szpitali, ochrony zdrowia. Pacjenci zastanawiają się czy to im pomoże w dostępie do leczenia? Zdecydowanie tak – informatyzacja systemu ochrony zdrowia w sposób praktyczny poprawia dostęp pacjentów do leczenia i diagnostyki. Ale cyfryzacja nie działa jak magiczna różdżka, która zniweluje wszystkie braki…

E-zdrowie ułatwia pacjentom nawigację po systemie, redukuje obciążenia biurokratyczne, przyspiesza obieg informacji, ale źle zoptymalizowane oprogramowanie może np. zamienić lekarza w urzędnika wprowadzającego dane do komputera zamiast pomóc mu skupić się na pacjencie.

Jest jeszcze coś…

Nawet najbardziej “cyfrowy szpital”, który NIE POTRAFI się zabezpieczyć, przez co przestaje działać w sytuacji kryzysowej staje się dla pacjenta wręcz NIEBEZPIECZNY!

Ataki na placówki w Raciborzu i Szczecinie pokazały to brutalnie. Skutki incydentu cybernetycznego w szpitalu nie kończą się w serwerowni. Pacjent odczuwa je w rejestracji, dostępie do dokumentacji, organizacji świadczeń i ciągłości opieki, a w skrajnych przypadkach nawet na sali operacyjnej lub SOR.

Dlatego najważniejsze pytanie z perspektywy pacjenta brzmi: CZY taki nowoczesny, “cyfrowy SZPITAL” BĘDZIE DZIAŁAŁ także wtedy, gdy padnie ofiarą cyberataku, awarii albo możliwości szybkiego dostępu do danych? Co się stanie z moimi danymi w systemie? Kto będzie miał do nich dostęp, kto będzie miał wtedy wgląd do moich najwrażliwszych informacji, czy będą one bezpieczne, czy nie „znikną” i czy da się je odtworzyć. Czy przestępca będzie mógł wykorzystać je przeciwko mnie?

Gdy szpital lub placówkę zdrowia atakują cyberprzestępcy, gdy ludzie popełniają błąd, gdy system pada — problem przestaje być techniczny. Staje się również problemem pacjenta. Bo pacjent nie potrzebuje cyfrowego szpitala tylko z nazwy. Pacjent potrzebuje szpitala, który potrafi działać również wtedy, gdy coś pójdzie nie tak.

Tak jak za bezpieczeństwo pacjenta w szpitalu nie odpowiada wyłącznie lekarz czy pielęgniarka, tak samo za bezpieczeństwo informacji nie odpowiada wyłącznie informatyk a odpowiada cały szpital; zarząd, personel medyczny, administracja IT… Każdy, kto pracuje z informacją.

Na szczęście kończy się epoka wygodnego myślenia, że bezpieczeństwo cyfrowe można zrzucić wyłącznie na dział IT. Nie można. Dyrektywa NIS2 której celem radykalne podniesienie i ujednolicenie poziomu cyberbezpieczeństwa nie jest kolejną biurokratyczną nakładką i biurokratycznym wymogiem – jest wskazówką i droga do osiągnięcia dojrzałości szpitala w kryzysie, bo ataki i awarie były, są i będą. Będą dotyczyły każdego przetwarza informacje – a im bardziej wrażliwe i ważne, tym cenniejsze.

W tym sensie NIS2, ISO 27001 mówią to samo: bezpieczeństwo informacji to nie tylko technologia. To odpowiedzialność, procedury, audyty, szkolenia, analiza ryzyka i gotowość działania wtedy, gdy coś pójdzie nie tak. Pacjenta nie chroni sam certyfikat. Pacjenta chronią: realne działania, procedury, przeszkolony personel, kopie zapasowe, monitoring, audyty, i odpowiedzialność zarządu. Cyfryzacja bez kultury bezpieczeństwa to nie postęp. To tylko bardziej zaawansowana forma organizacyjnej bezbronności. Polska ochrona zdrowia potrzebuje dziś nie tylko cyfryzacji – potrzebuje również zmiany mentalnej dającej szansę na cyfryzację odporną i bezpieczną dla nas wszystkich.

Piotr Piotrowski – ekspert ochrony zdrowia, działacz społeczny, audytor wiodący ISO/IEC 27001 oraz dyrektor placówki edukacyjnej. Od lat zajmuje się problematyką praw pacjenta, organizacji ochrony zdrowia i bezpieczeństwa informacji.