Wikipedia, "Matrix"

Cyberochrona w szpitalu, czyli co z ustawą o krajowym systemie cyberbezpieczeństwa

Udostępnij:
Każdy szpital, w którym jest oddział ratunkowy i należy do sieci, zgodnie z ustawą o cyberbezpieczeństwie powinien zostać zakwalifikowany jako operator usług kluczowych. A to oznacza wydatki związane z wdrożeniem systemu zarządzania bezpieczeństwem w infrastrukturze informatycznej i audytami, które mogą kosztować 100 tys. zł. - Kłopot w tym, że szpitale nie mają na to pieniędzy - przyznaje Dariusz Madera, dyrektor Uniwersyteckiego Szpitala Klinicznego w Opolu, a Sławomir Głaz, członek Grupy Roboczej ds. Ochrony Danych Osobowych przy Ministerstwie Cyfryzacji, dodaje: - Przez to podejmowane działania będą pozorne, służące "odbębnieniu" nałożonego obowiązku.
Zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa z 5 lipca 2018 r. zdecydowana większość szpitali w Polsce powinna być zaliczona do operatorów usług kluczowych. Ministerstwo Cyfryzacji szacuje, że taki status zyska około 250 podmiotów medycznych. - Ustawodawca wstępnie przewidział w uzasadnieniu projektu ustawy, że może ona dotyczyć 130 szpitali, 50 największych podmiotów prowadzących hurtownie farmaceutyczne, 50 największych podmiotów prowadzących apteki oraz 20 największych wytwórców, importerów lub dystrybutorów substancji czynnych - wyjaśnia "Prawo.pl".

Ustawa o cyberbezpieczeństwie nakłada kilka nowych i kosztownych obowiązków na szpitale, które zostaną uznane za operatorów usług kluczowych. Jednym z nich jest wdrożenie zarządzania bezpieczeństwem w infrastrukturze informatycznej. Poza tym szpital jako operator usługi kluczowej musi zapewnić przeprowadzenie, co najmniej raz na dwa lata, audytu bezpieczeństwa systemu informatycznego. Koszt wykonania przez polską firmę audytu bezpieczeństwa oceniającego ilościowo i jakościowo system bezpieczeństwa wymagany przez ustawę wyniesie około 100 tys. zł.

Co na to eksperci?

- Ustawa jest jak najbardziej potrzebna, choćby dlatego, że jednostki ochrony zdrowia (szczególnie publiczne), w których rozwój IT nie szedł w parze z rozwojem technologicznym, będą zobligowane do podjęcia konkretnych działań w obszarze bezpieczeństwa informatycznego - mówi Sławomir Głaz, inspektor ochrony danych i specjalista do spraw cyberbezpieczeństwa z Wielospecjalistycznego Szpitala Powiatowego w Tarnowskich Górach, członek Grupy Roboczej ds. Ochrony Danych Osobowych przy Ministerstwie Cyfryzacji, w rozmowie z "Menedżerem Zdrowia".

Równocześnie jednak zwraca uwagę, że brakuje wsparcia "z góry". - Szczególnie w zakresie finansowania, co może doprowadzić do tego, że podejmowane przez szpitale działania będą pozorne, służące "odbębnieniu" nałożonego obowiązku - podkreśla Głaz.

To, że nie ma pieniędzy, potwierdza Dariusz Madera, dyrektor Uniwersyteckiego Szpitala Klinicznego w Opolu oraz członek rady naczelnej Polskiej Federacji Szpitali.

- Nikt nie twierdzi, że nie powinniśmy zwiększać bezpieczeństwa danych, tym bardziej że dysponujemy danymi wrażliwymi. Problemem jest to, że szpitale nie mają na to pieniędzy - twierdzi Madera i dodaje: - Nie mogą natomiast zwiększyć stawek, za które świadczą usługi, bo są one regulowane przez rząd, a nie pojawiły się celowe programy, z których można byłoby sfinansować ten obowiązek.

Pozytywnie o ustawie wypowiada się Wojciech Zawalski, ekspert ochrony zdrowia i były dyrektor Departamentu Świadczeń Opieki Zdrowotnej w NFZ.

- Ustawa o cyberbezpieczeństwie jest bardzo dobra - przyznaje Zawalski i podkreśla, że obszar IT w szpitalach, a przede wszystkim bezpieczeństwo infrastruktury szpitalnej w Polsce, to dramat.

- Polskie szpitale zapominają, jak wrażliwe dane przechowują. Złotym standardem cyberbezpieczeństwa w Polskim szpitalu jest antywirus…. Włos się jeży na głowie, gdy uświadomimy sobie, jak krytyczną infrastrukturą są szpitale. Dane medyczne są niezwykle wrażliwe, albowiem dotyczą zdrowia, danych intymnych. W ręku hakera stają się bronią. Elementem szantażu - mówi Zawalski w rozmowie z "Menedżerem Zdrowia".

Cyberbezpieczeństwo szpitali to jednak nie tylko dane. - Zapominamy, że szpitale zapewniają nam bezpieczeństwo na wypadek katastrof, zamachów terrorystycznych i wojny. Ale one też mogą stać się miejscem zamachu, a atak na systemy podtrzymywania życia może doprowadzić do zagrożenia. Shakowany system dystrybucji leków czy zleceń może być powodem tragedii - twierdzi Zawalski. I dodaje, że dziś mało który dyrektor szpitala myśli tymi kategoriami.

- Wręcz żenujące są próby „ucieczki” przed przepisami tej ustawy. Przed czym uciekamy? Przed bezpieczeństwem! Nie wolno tego robić! Obowiązkiem zarządzających szpitalami jest dbałość o cyberbezpieczeństwo. Przeprowadzanie regularnych audytów i troszczenie się o to, żeby ktoś nie wykradł danych lub nie zaatakował infrastruktury IT. Taki atak to w najlepszym scenariuszu utrata danych, w najgorszym śmierć wielu ludzi. O bezpieczeństwo trzeba dbać - podsumowuje Zawalski.

Co sądzisz o sprawie? Wypowiedź się, wyślij swój komentarz na adres k.lurka@termedia.pl.

Przeczytaj także: "Tonie w długach" i "Studnia bez dna".

Zachęcamy do polubienia profilu "Menedżera Zdrowia" na Facebooku: www.facebook.com/MenedzerZdrowia i obserwowania konta na Twitterze: www.twitter.com/MenedzerZdrowia.
 
© 2024 Termedia Sp. z o.o. All rights reserved.
Developed by Bentus.