FORTINET prezentuje raport o stanie przygotowań polskich placówek medycznych do realizacji założeń projektu nowelizacji Ustawy o systemie informacji w ochronie zdrowia. Na kilka miesięcy przed planowanym startem platformy P1, mającej w założeniu udostępnienie szpitalom możliwości elektronicznego raportowania zdarzeń medycznych do Centrum Systemów Informacyjnych Ochrony Zdrowia, pełną lub prawie pełną gotowość do wdrożenia procesu deklaruje 41% szpitali. W badaniu sprawdzono również świadomość istoty zapewnienia bezpieczeństwa danych medycznych wśród przedstawicieli polskich jednostek służby zdrowia. W kontekście wprowadzenia pełnej Elektronicznej Dokumentacji Medycznej zabezpieczenie danych wrażliwych staje się bowiem jednym z priorytetów dla rodzimej służby zdrowia na progu nowej, cyfrowej ery.

 

 

FORTINET, dostawca zaawansowanych rozwiązań bezpieczeństwa sieciowego, we współpracy z Korporacją Badawczą Pretendent, przeprowadził badania dotyczące stanu gotowości polskich szpitali do realizacji założeń projektu zmian w Ustawie o systemie informacji w ochronie zdrowia. Zbadał również obecny stan infrastruktury IT w szpitalach pod kątem rozwiązań dotyczących bezpieczeństwa przetwarzania i transmisji danych.

Wprowadzenie do wyników badań

Proces elektronicznego obiegu danych medycznych ma być koordynowany za pośrednictwem „Elektronicznej Platformy Gromadzenia, Analizy i Udostępniania zasobów cyfrowych o Zdarzeniach Medycznych (P1)”, będącej największym oraz bazowym projektem dla całego Programu Informatyzacji Ochrony Zdrowia, realizowanym przez CSIOZ. Platforma – wedle opinii jej kierownictwa – ma ruszyć już w sierpniu 2014 r. i od tego czasu będzie gotowa, by przyjmować pierwsze dane od szpitali. FORTINET zbadał m.in., które z nich będą gotowe do cyfrowego prowadzenia dokumentacji wraz ze startem platformy. Sprawdził również, ile czasu zajmie placówkom medycznym przejście na uruchomienie pełnej Elektronicznej Dokumentacji Medycznej.

Z badania wynika, że jedynie 10% polskich szpitali byłoby gotowych wprowadzić pełną Elektroniczną Dokumentację Medyczną w styczniu 2014 roku. Niecałe 8 miesięcy przed pierwotnym terminem wprowadzenia EDM-u dyktowanym przez Ustawę (1 sierpnia 2014), aż 46% szpitali oceniło swoje przygotowanie na „przeciętne”, a kolejne 10% jako „bardzo złe” lub „złe”.

Stan informatyzacji polskich szpitali na progu 2014 roku

Na kilka miesięcy przed startem pierwszego etapu informatyzacji polskiej służby zdrowia, a więc udostępnienia platformy P1 do elektronicznego raportowania zdarzeń medycznych do CSIOZ, pełną lub prawie pełną gotowość do realizacji tego procesu deklaruje 41% szpitali, natomiast ponad 40% ocenia swoje przygotowanie jako „przeciętne”. Co dziesiąta biorąca udział w badaniu placówka ocenia swoją gotowość „bardzo źle”, kolejne 5% ankietowanych twierdzi zaś, że ich stan przygotowania jest „raczej zły”. Podobnie jest z gotowością jednostek służby zdrowia do pełnego przejścia na EDM z dniem 1 sierpnia 2017 roku: 46% badanych uznało stopień przygotowania w tym zakresie jako „przeciętny”, a 42% jako „bardzo dobry” lub „dobry”, natomiast kolejne 10% oceniło to przygotowanie jako „raczej złe” lub „bardzo złe”.

Respondenci zostali ponadto zapytani, na jakim etapie znajduje się plan wdrożenia rozwiązań informatycznych, mających na celu wprowadzenie elektronicznego raportowania zdarzeń medycznych do CSIOZ w ich placówce medycznej. Najwięcej badanych (34%) odpowiedziało, że szuka odpowiednich rozwiązań na rynku (uczestniczą w szkoleniach, konferencjach itp.). Z kolei 25% badanych zadeklarowało, że ma trudności z pozyskiwaniem środków finansowych dla szpitala i szuka w tym zakresie pomocy. 19% badanych odpowiedziało, że szpital ma już przydzielony budżet. Pojawiały się również inne odpowiedzi, takie jak: „czekamy na wdrożenie rozwiązań”, czy „ogłosiliśmy przetarg na dostawę rozwiązań”.

W przypadku pełnej Elektronicznej Dokumentacji Medycznej również najczęściej wskazywano te same odpowiedzi: poszukiwanie odpowiednich rozwiązań na rynku (24%), posiadanie określonego budżetu (21%) oraz trudności w pozyskiwaniu środków finansowych (20%). Co istotne, projekty związane z podniesieniem poziomu informatyzacji wg badanych finansowane są głównie: ze środków własnych placówek (66%), ze środków unijnych (56%) oraz funduszy rządowych/samorządowych (19%).

 

Co z bezpieczeństwem danych i edukacją?

W kontekście badania gotowości polskich szpitali na wprowadzenie raportowania do CSIOZ, Elektronicznej Dokumentacji Medycznej oraz ogólnego poziomu informatyzacji, zapytano również o bezpieczeństwo danych medycznych. Wrażliwe informacje, takie jak np. karty chorób pacjentów, mogą bowiem stać się łatwym łupem dla cyberprzestępców. Okazuje się, że tylko niewiele ponad połowa (55%) badanych określiła obecny poziom bezpieczeństwa przetwarzania i transmisji danych w ich placówce medycznej jako „raczej dobry”, z kolei 25% oceniło go „przeciętnie”. Tylko 17% badanych szpitali jest zdania, że ich zabezpieczenia są na tyle dobre, by móc oprzeć się zdecydowanej większości ataków hakerskich.

Oznacza to, że w przynajmniej 83% szpitali istnieje możliwość podnoszenia jakości zabezpieczeń przetwarzania i transmisji danych, z czego w 28% możliwości takie są bardzo duże. Ponadto, kierownicy działów IT powinni odnosić się entuzjastycznie do takich działań – wskazują na to ich wypowiedzi dotyczące zasadności podnoszenia bezpieczeństwa przetwarzania i transmisji danych.

W przebadanych szpitalach jedynie co trzeci stosuje urządzenie klasy UTM, a więc jedno kompaktowe rozwiązanie łączące w sobie ponad 15 różnego rodzaju funkcjonalności w zakresie zabezpieczeń, takich jak firewall, antyspam, antyspyware, VPN, systemy ochrony przed włamaniami (IPS i IDS), systemy filtrowania treści stron WWW, DLP (ochrona przed wyciekiem danych) i inne. Większość szpitali (odpowiednio 93 i 92%) stosuje niewystarczającą ochronę w postaci zwykłych antywirusów i firewalli.

Po ponad 2 latach od uchwalenia Ustawy o systemie informacji w ochronie zdrowia widzimy olbrzymią różnorodność pod względem przygotowania szpitali zarówno do wdrożenia EDM, jak i wiedzy na temat skutecznych metod ochrony danych medycznych. Z badania wynika, że przedstawiciele wszystkich szpitali oceniają kwestie bezpieczeństwa za kluczowe lub bardzo ważne, jednak nie wszyscy z nich wiedzą, jakie rozwiązania mogą tę ochronę zapewnić. Niektóre jednostki są już dobrze przygotowane do zmian. Istnieją jednak szpitale, głównie mniejsze, powiatowe czy miejskie, które nie są pewne, czy zdążą wdrożyć infrastrukturę EDM, nie mówiąc o ich bezpieczeństwie. Obecnie posiadają one rozproszone moduły bezpieczeństwa. Komplikuje to architekturę i często powoduje spadek wydajności całego systemu. Dlatego niezmiernie ważna jest ciągła edukacja. Musimy nieustannie pokazywać, że standardowe rozwiązania, takie jak firewall czy antywirus nie będą sprawdzać się w momencie, w którym przez szpitalne łącza dziennie zacznie przepływać olbrzymi strumień elektronicznych danych. Pozostały do 1 sierpnia 2017 roku czas to okres, w którym szpitale ze szczególną roztropnością powinny podejść do kwestii odpowiedniego zabezpieczenia sieci przed atakami cyberprzestępców – ocenia Mariusz Rzepka, Fortinet Territory Manager na Polskę, Białoruś i Ukrainę.

W następnej kolejności respondenci zostali zapytani o systemy, jakie planują wdrożyć w swojej placówce medycznej. Najczęściej wymienianymi były:

• systemy centralnego uwierzytelniania (wskazywane przez 15% badanych),
• wielofunkcyjne rozwiązania bezpieczeństwa (UTM) (14%), 
• bezpieczne WiFi (9%),
• IDS+IPS (systemy wykrywania i ochrony przed włamaniami) (7%).

W 58% szpitali planowane jest prowadzenie szkoleń dotyczących zagadnień związanych z bezpieczeństwem wykorzystywania urządzeń do przetwarzania transmisji danych. Wśród tej grupy w 34% placówek nie ma jeszcze przygotowanego harmonogramu i przedmiotu takich szkoleń. Kolejne 28% ankietowanych odpowiedziało, że decyzje dotyczące szkoleń nie zostały jeszcze podjęte, ale najprawdopodobniej tego typu szkolenia zostaną przeprowadzone. 8% respondentów odpowiedziało, że szkolenia nie są planowane, a 3%, że najprawdopodobniej szkolenia się nie odbędą, choć nie zostały jeszcze podjęte ostateczne decyzje w tym zakresie.

 

Wykres 2: Jak ocenia Pan/Pani obecny poziom bezpieczeństwa przetwarzania i transmisji danych w Pana/Pani placówce medycznej?

Sieci bezprzewodowe zadomawiają się w polskiej służbie zdrowia

W procesie informatyzacji polskich szpitali niemałą rolę odgrywa umożliwienie personelowi, gościom i pacjentom dostępu do sieci bezprzewodowej. W badaniu sprawdzono więc także, jak wiele szpitali zainstalowało już w swoich budynkach punkty dostępowe Wi-Fi. Łącznie 40% ankietowanych udostępnia obecnie pacjentom dostęp do bezprzewodowego internetu, w tym 18% bez żadnych ograniczeń, 13% z pewnymi ograniczeniami, a 9% tylko po zalogowaniu. Kolejne 28% badanych jednostek planuje wdrożenie takiego dostępu. Szacuje się, że do 2017 roku ok. 70% polskich szpitali będzie dysponować sieciami Wi-Fi dla pacjentów i gości. To dobry znak, ale jednocześnie kolejna lampka alarmowa dla szpitali. Na pierwszym planie bowiem pojawia się kwestia zapewnienia bezpieczeństwa sieci bezprzewodowej.

Co przyniesie 2017 rok?

Choć dane dotyczące obecnego stanu informatyzacji polskich placówek medycznych, ich gotowości do wdrożenia EDM i świadomości niebezpieczeństw z tym związanych są alarmujące, z badania przeprowadzonego przez FORTINET wyłania się napawająca nadzieją konkluzja. Prawie połowa ankietowanych (46%) stwierdziła bowiem, że pełne dostosowanie informatycznych systemów ich placówki do wprowadzenia Elektronicznej Dokumentacji Medycznej zajmie maksymalnie rok. Czas, jaki do 1 sierpnia 2017 roku dało szpitalom Ministerstwo Zdrowia, wydaje się więc całkiem realny do rozwiązania wszystkich palących problemów. Dokładnie jedna trzecia badanych odpowiedziała, że okres przystosowania do wdrożenia EDM w ich jednostkach będzie trwał do dwóch lat. To również daje dość spory zapas przed wejściem w życie przepisów Ustawy. Trudności z dokończeniem wszystkich inwestycji związanych z przejściem na elektroniczny obieg danych medycznych – wg wyników badania – może mieć jedynie 12% szpitali.

 

 

 

Wykres 3: Ile czasu może Państwu zająć pełne dostosowanie informatycznych systemów szpitala do wprowadzenia pełnej Elektronicznej Dokumentacji Medycznej?

Nasze badanie jasno pokazuje, z jakimi problemami zmagają się obecnie jednostki polskiej służby zdrowia i na jakim etapie znajduje się informatyzacja szpitali. Wydaje się jednak, że zdążą one przed 1 sierpnia 2017 roku dostosować się do przejścia na EDM. Cieszymy się, że badanie zostało przeprowadzone właśnie teraz. Mam nadzieję, że dzięki badaniu wysiłki zarządzających infrastrukturą IT zostaną wzmożone i będziemy świadkami udanego i bezpiecznego startu cyfrowej polskiej medycyny w Nowy Rok 2017 – konkluduje Mariusz Rzepka z firmy FORTINET.

Badanie zostało przeprowadzone w czwartym kwartale 2013 roku. W ogólnopolskim panelu realizowanym za pomocą metody ilościowej, wykorzystującej technikę CATI (ang. Computer Assisted Telephone Interviewing) wspomaganą przed technikę CAWI (ang. Computer Assisted Web Interviewing), udział wzięli pracownicy wyższej kadry administracyjnej, odpowiedzialnej za rozwój systemów IT (Dyrektorzy ds. IT, Kierownicy ds. IT, Kierownicy Działu Informatyki, Główni Specjaliści IT, Główni Administratorzy IT) ze 100 szpitali w całej Polsce. Do badania zaproszono przedstawicieli 100 szpitali klinicznych, wojewódzkich, powiatowych, gminnych, miejskich oraz placówek prywatnych. W większości placówek medycznych (55%), biorących udział w badaniu, liczba łóżek wahała się między 101 a 300. W niemal 40% badanych szpitali liczba urządzeń służących do transmisji i przetwarzania danych (wszystkie urządzenia posiadające adres IP, tj. notebooki, komputery PC, tablety, smartfony, serwery) nie przekraczała 100 (łącznie dla kadry białej i szarej), natomiast w niemal 30% wahała się w przedziale od 100 do 200 jednostek.

Źródło: FORTINET