Jak nie chronić danych
Tagi: | Najwyższa Izba Kontroli, NIK, pacjent, pacjenci |
Skontrolowano sześć szpitali i przychodnię w województwie warmińsko-mazurskim – podmioty nie zapewniały prawidłowej ochrony danych pacjentów przed cyberatakami, a osoby postronne miały dostęp do imion, nazwisk, numerów PESEL, rozpoznań i informacji o wykonanych zabiegach.
Urzędnicy Najwyżej Izby Kontroli przeprowadzili audyt sześciu szpitali i ośrodka zdrowia – były to:
- Szpital Powiatowy w Pasłęku,
- Szpital Mrągowski im. Michała Kajki,
- Szpital Miejski św. Jana Pawła II w Elblągu,
- Samodzielny Publiczny Zakład Opieki Zdrowotnej w Działdowie,
- Samodzielny Gminny Zakład Opieki Zdrowotnej w Dywitach,
- Miejski Szpital Zespolony w Olsztynie,
- Giżycka Ochrona Zdrowia.
Celem było ustalenie, czy rozwiązania funkcjonujące w tych podmiotach zapewniły prawidłową ochronę danych pacjentów przed cyberatakami oraz rzetelne ich przetwarzanie.
Który z nich wypadł najlepiej?
Streszczamy wnioski
W okresie objętym kontrolą, to jest w latach 2020-2023, wymienione podmioty prowadziły działania mające na celu zapewnienie bezpieczeństwa informacji, w tym danych pacjentów – odbywało się to w sposób nierzetelny i nieadekwatny do rodzaju i skali przetwarzanych danych. Nie przestrzegano bowiem wewnętrznych regulacji oraz przepisów dotyczących bezpieczeństwa informacji, w tym ochrony danych pacjentów.
Minister zdrowia uznał w lipcu 2022 r. trzy z siedmiu skontrolowanych podmiotów za operatorów świadczących usługi kluczowe, mające najważniejsze znaczenie dla krytycznej działalności społecznej lub gospodarczej państwa. Tym samym samodzielny Publiczny Zakład Opieki Zdrowotnej w Działdowie, Szpital Mrągowski oraz Giżycka Ochrona Zdrowia zostały zobligowane do realizacji określonych obowiązków wynikających z ustawy o krajowym systemie cyberbezpieczeństwa. Dwie spośród tych trzech jednostek wykonały te obowiązki, przy czym stwierdzono nieprawidłowości, które nie miały istotnego wpływu na realizację zadań w zakresie bezpieczeństwa informacji. Polegały one między innymi na opóźnieniu przekazania danych osoby odpowiedzialnej za utrzymanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.
W przypadku podmiotu w Giżycku stwierdzono wiele nieprawidłowości. W szczególności nie wdrożono w terminie systemu zarządzania bezpieczeństwem informacji, nie uruchomiono systemu, który zapewniałby systematyczne szacowanie ryzyka wystąpienia incydentu. Ponadto nieterminowo aktualizowano dokumentację dotyczącą cyberbezpieczeństwa systemu informacyjnego, wykorzystywanego do świadczenia usługi kluczowej oraz nieterminowo zamieszczono na stronie internetowej szpitala informacje zapewniające użytkownikom objaśnienie zagrożeń cyberbezpieczeństwa i sposobów zabezpieczania się przed nimi. Takie informacje miały na swoich stronach internetowych podmioty z Działdowa i Mrągowa, a jednostka w Giżycku zamieściła je dopiero w trakcie kontroli.
Pozostałe cztery skontrolowane podmioty miały obowiązek realizować działania w zakresie bezpieczeństwa informacji na podstawie przepisów rządowego rozporządzenia z 2012 r. w sprawie Krajowych Ram Interoperacyjności (KRI), minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.
Przychodnie i szpitale mają ustawowy obowiązek wprowadzenia systemu zarządzania bezpieczeństwem informacji (SZBI) opracowanego na podstawie Polskiej Normy (PN-ISO/IEC 27001 – Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – Systemy zarządzania bezpieczeństwem informacji – Wymagania). Co prawa spośród siedmiu skontrolowanych publicznych zakładów opieki zdrowotnej w pięciu opracowano i wdrożono SZBI (Olsztyn, Działdowo, Elbląg, Mrągowo oraz Dywity), jednak w Olsztynie i w Mrągowie tylko niektóre elementy systemu zostały opracowane na podstawie Polskiej Normy, a w Dywitach SZBI zaczął obowiązywać dopiero od 2023 r.
W szpitalach w Giżycku i Pasłęku wprawdzie obowiązywały zasady ochrony danych i szacowania ryzyka wynikające z między innymi z rozporządzenia RODO, jednak nie można ich było uznać za system zarządzania bezpieczeństwem informacji w myśl przepisów ustawy o cyberbezpieczeństwie i rządowego rozporządzenia KRI.
W każdej skontrolowanej jednostce wyznaczono inspektora ochrony danych osobowych, przy czym w Olsztynie i Dywitach stwierdzono w tym zakresie istotne nieprawidłowości. W pierwszym przypadku nie zapewniono wsparcia lub zastępstwa IODO, który nie świadczył pracy przez wiele miesięcy. Z kolei w Dywitach IODO został wyznaczony dopiero pod koniec 2022 r.
W okresie objętym kontrolą sześć z siedmiu badanych podmiotów (oprócz podmiotu w Dywitach) uzyskało dofinansowanie Narodowego Funduszu Zdrowia na inwestycje poprawiające bezpieczeństwo infrastruktury teleinformatycznej w wysokości niemal 3 mln zł (od 365 tys. zł do 796 tys. zł). Za to dofinansowanie zakupiono nowe systemy ochrony sieci wewnętrznej, monitorowania infrastruktury, bezpieczeństwa sieci, ochrony poczty, a także zapory sieciowe, oprogramowanie antywirusowe, sprzęt komputerowy i usługi audytowe.
Ponadto szpital w Elblągu uzyskał także ponad 2 mln zł dofinansowania z Regionalnego Programu Operacyjnego Województwa Warmińsko-Mazurskiego na lata 2014-2020 „Cyfrowy Region”, współfinansowanego z Europejskiego Funduszu Rozwoju Regionalnego. Posłużyło ono do rozbudowy serwerowni o niezbędną infrastrukturę na potrzeby wdrożenia e-usług, w tym e-rejestracji pacjentów, e-wyników, e-recepty, e-zlecenia i e-skierowania. Tym samym unowocześniono zaplecze techniczne, to jest sprzęt informatyczny, oraz poprawiono bezpieczeństwo działania systemów informatycznych wraz z zapewnieniem bezpieczeństwa informacji medycznych.
We wszystkich skontrolowanych podmiotach część personelu niemedycznego miała dostęp do danych medycznych pacjentów w systemach informatycznych w nich funkcjonujących, przy czym w dwóch z nich (Olsztyn i Elbląg) wystąpiły w tym zakresie nieprawidłowości. W Szpitalu Miejskim w Olsztynie czterech pracowników niemedycznych miało dostęp do systemu Optimed NXT, choć nie wykonywali oni czynności pomocniczych przy udzielaniu świadczeń opieki zdrowotnej lub związanych z utrzymaniem systemu teleinformatycznego, zaś w zakresach ich obowiązków nie powierzono im wykonywania tych czynności. Natomiast w Szpitalu Miejskim w Elblągu z opóźnieniem zaktualizowano upoważnienia czternastu pracowników. W pozostałych skontrolowanych podmiotach pracownicy mieli dostęp do danych medycznych wyłącznie w zakresie niezbędnym do wykonywanych zadań.
W pięciu z siedmiu skontrolowanych podmiotów (Giżycko, Działdowo, Mrągowo, Pasłęk oraz Dywity) personel medyczny (pielęgniarki i położne) był zaangażowany w przetwarzanie danych osobowych pacjentów na podstawie uprawnień użytkownika systemu oraz w stopniu adekwatnym do realizowanych zadań i obowiązków.
Kontrolerzy przeprowadzili oględziny i analizy nadanych uprawnień w systemach informatycznych, które potwierdziły powyższe ustalenia, a także pozwoliły na zidentyfikowanie w dwóch z nich istotnych nieprawidłowości. W szpitalu w Elblągu jedenastu spośród 30 zweryfikowanych pracowników medycznych upoważnienia do przetwarzania danych osobowych wydano w sposób niezgodny z obowiązującym wzorem, zaś w przypadku trzech pracowników upoważnienia były wydane od 371 do 1580 dni po dacie nadania uprawnień do systemu informatycznego. Ponadto 435 pracowników miało dostęp do danych medycznych bez nadanych pisemnych upoważnień. Z kolei w szpitalu w Olsztynie dwóch spośród 30 zweryfikowanych pracowników medycznych posiadało dostęp do danych pacjentów z oddziałów szpitalnych, na których nie świadczyli pracy, 24 pielęgniarki nie posiadały upoważnienia do przetwarzania danych osobowych pacjentów, a dwie kolejne zostały dopuszczone do przetwarzania danych bez stosownego upoważnienia do ich przetwarzania oraz bez polecenia administratora.
Kontrolerzy sprawdzali sprzęt służący bezpieczeństwu informacji i ochronie danych pacjentów – łącznie poddano analizie 80 stanowisk komputerowych obsługiwanych przez lekarzy, pielęgniarki i pracowników niemedycznych. Celem było sprawdzenie realizacji postanowień przepisów wewnętrznych (w szczególności SZBI) przez pracowników skontrolowanych placówek medycznych. Podczas oględzin sprawdzono między innymi aktualność systemu operacyjnego i oprogramowania antywirusowego, sposób logowania się użytkowników, w tym liczbę znaków haseł, zawartość pulpitu i folderów systemowych pod kątem danych pacjentów, dostęp do portów usb, a także otoczenie stanowisk pod kątem zapisanych haseł w miejscach ogólnie widocznych. W dwóch z siedmiu skontrolowanych podmiotów nie stwierdzono nieprawidłowości w tym zakresie (Działdowo i Pasłęk). W pozostałych pięciu jednostkach były błędy w przestrzeganiu obowiązujących procedur w SZBI.
W Szpitalu Mrągowskim ujawniono, że przez foldery systemowe (pulpit, obrazy, pobrane, dokumenty) siedmiu stanowisk komputerowych wykorzystywanych przez lekarzy i pielęgniarki, możliwy był swobodny dostęp każdego użytkownika danego stanowiska, a także innych osób. Osoby postronne miały więc dostęp, między innymi do znajdujących się w tych folderach plików z informacjami zawierającymi dane osobowe pacjentów (imię, nazwisko, PESEL, adres zamieszkania, data urodzenia), rodzaje badań laboratoryjnych, rozpoznania, daty rozpoczęcia oraz zakończenia zabiegu, rodzaje wykonanych zabiegów, zalecone badania diagnostyczne, opis uzasadnienia konieczności niezwłocznej hospitalizacji, skierowanie do szpitala i dane lekarza. Informacje zawarte w tych plikach były zapisane w postaci skanów (dowody osobiste, paszporty, karty EKUZ), zrzutów z ekranu, kart segregacji medycznej oraz wykazów w postaci różnego rodzaju zestawień.
W szpitalu w Elblągu pracownicy medyczni (lekarze i pielęgniarki) mieli niezabezpieczony dostęp do systemu Windows. W Szpitalu Miejskim w Olsztynie w trakcie oględzin ustalono natomiast, że jeden z pracowników personelu medycznego pracował w systemie informatycznym, korzystając z konta innego użytkownika. Również w tym szpitalu ustawienia systemowe domeny dotyczące wymagań złożoności haseł użytkowników były wyłączone, pomimo że uregulowania wewnętrzne obligowały do tego, żeby hasła składały się przynajmniej z jednej dużej, jednej małej litery, jednej cyfry i jednego znaku specjalnego. W Dywitach na jednej ze stacji roboczych brakowało oprogramowania antywirusowego, zaś na kolejnej stacji baza wirusów takiego oprogramowania była nieaktualna. Ponadto w ośrodku tym porty usb nie były zablokowane ani fizycznie, ani systemowo, a ustawienia wartości poziomu zabezpieczeń dostępu do systemu obsługi miały wartości minimalne.
W okresie objętym kontrolą w badanych podmiotach zakończyło pracę 473 pracowników. W związku z tym tylko w dwóch jednostkach (Działdowo i Mrągowo) prawidłowo odebrano dostęp do systemów informatycznych z danymi pacjentów wszystkim byłym pracownikom. W pozostałych pięciu stwierdzono nieprawidłowości. Odnotowano czternaście przypadków logowania się do wspomnianych systemów po ustaniu stosunku pracy. Najgorzej sytuacja wyglądała w szpitalu w Elblągu – 80 byłych pracowników posiadało dostęp do systemów z danymi medycznymi, który został im odebrany wiele dni po zakończeniu pracy, z czego 48 osobom dopiero w trakcie kontroli NIK. Również w Szpitalu Miejskim w Olsztynie odnotowano podobne nieprawidłowości oraz logowanie byłych pracowników do systemu informatycznego zawierającego dane medyczne.
Tylko w jednej ze skontrolowanych jednostek doszło do incydentu zagrażającego bezpieczeństwu systemu informacyjnego. W Giżyckiej Ochronie Zdrowia w lipcu 2022 r. wystąpił tzw. atak hakerski, mający na celu zaszyfrowanie danych, w wyniku którego utracono czasowo dane dotyczące części komórek administracyjnych szpitala. W ocenie dyrekcji nie wystąpiły przesłanki do zgłoszenia naruszenia organowi nadzorczemu, ponieważ nie stwierdzono naruszenia poufności i integralności chronionych danych osobowych ani ryzyka naruszenia praw lub wolności osób fizycznych. Zaszyfrowane w wyniku ataku dane zostały odzyskane i sprawdzone. W związku z wystąpieniem powyższego zdarzenia dyrekcja postąpiła zgodnie z procedurą.
We wszystkich poza jedną skontrolowaną jednostką zawierano umowy dotyczące powierzenia przetwarzania danych osobowych, o których mowa w rozporządzeniu RODO. Umowy te w większości zawierały niezbędne informacje. Tylko przychodnia w Dywitach nie zawarła podobnej umowy, mimo że korzystano w niej z domeny zewnętrznej dla adresów mailowych.
Wystąpienie pokontrolne w całości poniżej.
Przeczytaj także: „NIS2 to wyższy poziom technologicznego bezpieczeństwa” i „Nic za darmo! Cyberbezpieczeństwo musi kosztować”.