- Jak CSIOZ ocenia stan zabezpieczeń systemów informatycznych w polskich placówkach ochrony zdrowia?

Marcin Węgrzyniak: - Bezpieczeństwo systemów informatycznych należy rozpatrywać pod kątem atrybutów przypisanych informacjom w nich przetwarzanym. Możemy tutaj mówić o poufności, integralności i dostępności. Na podstawie przeprowadzanych analiz ryzyka przetwarzania informacji, które bezpośrednio wykonuje się na wypadek utraty powyżej wspomnianych atrybutów, wprowadza się zabezpieczenia w warstwach systemowej, organizacyjnej i technicznej. Bardzo często wprowadzone są zabezpieczenia nieadekwatne lub też pomija się atrybuty przypisane informacjom np. ich dostępność.

Warto jednak zaznaczyć, że zgodnie z wykonaną w 2016 roku przez CSIOZ II edycją "Badania stopnia przygotowania podmiotów wykonujących działalność leczniczą do obowiązków wynikających z Ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia" 82 proc. szpitali oraz 63 proc. stacjonarnych i całodobowych świadczeniach zdrowotnych innych niż szpitalne może pochwalić się posiadaniem opracowanej oraz wdrożonej wewnętrznej polityki bezpieczeństwa.

Do utraty danych, w badanym okresie, doszło jedynie w niecałym 1 proc. ankietowanych AŚZ-ów, niecałym 0,5 proc. stacjonarnych i całodobowych świadczeniach zdrowotnych innych niż szpitalne oraz 3 proc. szpitali. Przyczyną były: uszkodzenia dysku twardego, uszkodzenia bazy danych, bądź też awaria sprzętowa serwera.

Jednak z naszego doświadczenia wynikającego z kontroli prowadzonych wraz z MZ w podmiotach leczniczych prowadzących rejestry medyczne, wynika, że zapisy zawarte w Wewnętrznych Politykach Bezpieczeństwa Informacji często są nieaktualne, a w niektórych przypadkach Polityka Bezpieczeństwa Informacji w ogóle nie została wdrożona i nie jest stosowana.