Dane pacjentów z Warmii i Mazur są słabo chronione przed cyberatakami? Skontrolowano sześć szpitali i przychodni
2024-08-08 20:02:27(ost. akt: 2024-08-08 14:52:51)
Kontrolowane podmioty lecznicze nie zawsze zapewniały prawidłową ochronę danych pacjentów przed cyberatakami i rzetelne ich przetwarzanie - wynika z kontroli przeprowadzonej przez olsztyńską delegaturę NIK w sześciu szpitalach i przychodni w województwie warmińsko-mazurskim.
Według ustaleń NIK zdarzało się, że nie przestrzegano w tym zakresie zarówno wewnętrznych regulacji, jak i obowiązujących przepisów dotyczących bezpieczeństwa informacji, w tym ochrony danych pacjentów. Kontrola wykazała, że dostęp do danych medycznych pacjentów w systemach informatycznych miała część personelu niemedycznego, a także byli pracownicy placówek.
W ocenie p.o. dyrektora delegatury NIK w Olsztynie Mariusza Lenkiewicza, zarówno wyniki tej, jak i podobnych kontroli realizowanych w tym zakresie również przez inne delegatury są niepokojące.
— Bowiem kontrole od wielu lat wykazują niestety niezmienne, wieloletnie zaniedbania dotyczące cyberbezpieczeństwa, bezpieczeństwa danych, w tym danych osobowych, bezpieczeństwa infrastruktury informatycznej, niedostatecznej wiedzy i szkoleń pracowników, jak i wykorzystywania nieaktualnego lub nieprawidłowo skonfigurowanego oprogramowania — powiedział.
Kontrolerzy liczą, że nagłośnienie wniosków pokontrolnych w mediach wpłynie na zmianę postaw i podjęcie działań naprawczych także w jednostkach, które nie były objęte kontrolą i doprowadzi do poprawy bezpieczeństwa, w tym bezpieczeństwa danych osobowych.
Kontrola, której wyniki zaprezentowano w czwartek, objęła sześć szpitali i jeden ośrodek zdrowia.
Były to Miejski Szpital Zespolony w Olsztynie, Samodzielny Publiczny Zakład Opieki Zdrowotnej w Działdowie, Szpital Miejski św. Jana Pawła II w Elblągu, Szpital Mrągowski im. Michała Kajki Sp. z o.o., Szpital Powiatowy Sp. z o.o. w Pasłęku, Giżycka Ochrona Zdrowia Sp. z o.o. i Samodzielny Gminny Zakład Opieki Zdrowotnej w Dywitach.
Celem kontroli było ustalenie czy rozwiązania funkcjonujące w tych podmiotach zapewniły prawidłową ochronę danych pacjentów przed cyberatakami oraz rzetelne ich przetwarzanie. Dotyczyła okresu od 2020 r. do I półrocza 2023 r.
Według NIK wszystkie kontrolowane jednostki prowadziły działania mające na celu zapewnienie bezpieczeństwa informacji, w tym danych pacjentów. Jednak w większości z nich (sześć podmiotów) odbywało się to w sposób nierzetelny lub nieadekwatny do rodzaju i skali przetwarzanych danych. Nie przestrzegano bowiem w tym zakresie części wewnętrznych regulacji oraz obowiązujących przepisów prawa dotyczących bezpieczeństwa informacji, w tym ochrony danych pacjentów.
Jak poinformowała NIK, w szpitalu miejskim w Elblągu skontrolowano ponad 800 upoważnień do przetwarzania danych osobowych z lat 2016-2023. Ponad połowa z nich tj. 435 zostało sporządzonych dopiero w trakcie kontroli NIK. Według kontrolerów inspektor danych osobowych przyznał się do wytworzenia brakujących upoważnień w listopadzie 2023 r. na potrzeby kontroli.
Kontrolerzy ustalili, że w szpitalu w Giżycku nie wdrożono w wymaganym terminie systemu zarządzania bezpieczeństwem informacji ani systemu zapewniającego prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu i zarządzania tym ryzykiem oraz zarządzania samymi incydentami. Nieterminowo wywiązano się także z obowiązku aktualizacji dokumentacji dotyczącej cyberbezpieczeństwa systemu informatycznego.
W szpitalu mrągowskim ujawniono, że przez foldery systemowe siedmiu stanowisk komputerowych wykorzystywanych przez lekarzy i pielęgniarki możliwy był dostęp każdego użytkownika danego stanowiska, a także innych osób m.in. do znajdujących się w tych folderach plików z informacjami zawierającymi dane osobowe pacjentów (np. nazwisko, pesel, adres, zlecenia badań laboratoryjnych, rozpoznania, data rozpoczęcia i zakończenia oraz rodzaj zabiegu, czy opis uzasadnienia konieczności niezwłocznej hospitalizacji).
Pracownik personelu medycznego szpitala miejskiego w Olsztynie pracował w systemie informatycznym, korzystając z konta innego użytkownika. Ustawienia systemowe domeny dotyczące wymagań złożoności haseł użytkowników były wyłączone, pomimo, że uregulowania wewnętrzne obligowały do tego, aby składały się one przynajmniej z jednej dużej, jednej małej litery, jednej cyfry i jednego znaku specjalnego.
NIK podała, że na stanowiskach komputerowych w ośrodku zdrowia w Dywitach brak było aktualnego oprogramowania antywirusowego. Porty usb nie były zablokowane fizycznie ani systemowo, a ustawienia wartości poziomu zabezpieczeń dostępu do systemu obsługi posiadały wartości minimalne.
Główne ustalenia i wskazane działania naprawcze dotyczyły m.in. zmian w zakresie nadawania i odbierania uprawnień do systemów informatycznych, wyznaczenia pełnomocnika ds. systemu zarządzania bezpieczeństwem informacji i wykonania audytu zgodności stosowanego systemu zarządzania bezpieczeństwem informacji z wymogami ustawy o cyberbezpieczeństwie.
Wymieniono część sprzętu komputerowego i oprogramowania na spełniające wymogi w zakresie bezpieczeństwa, w tym ochrony danych osobowych. W kolejnej jednostce zawarto umowę powierzenia przetwarzania danych osobowych z podmiotem prowadzącym domenę adresu poczty elektronicznej.
W sumie NIK stwierdziła 55 nieprawidłowości, z których 12 kierownicy jednostek usunęli już w trakcie kontroli, a sześć kolejnych w ramach realizacji wniosków pokontrolnych. NIK przedstawiła 21 takich wniosków, z czego (wg stanu na koniec lipca) zostało zrealizowanych siedem, a 14 pozostawało w realizacji.
PAP
Komentarze (0) pokaż wszystkie komentarze w serwisie
Komentarze dostępne tylko dla zalogowanych użytkowników. Zaloguj się.
Zaloguj się lub wejdź przez