Kontrolowane szpitale i przychodnia nie zawsze zapewniały prawidłową ochronę danych pacjentów przed cyberatakami oraz rzetelne ich przetwarzanie. Zdarzało się, że nie przestrzegano w tym zakresie zarówno wewnętrznych regulacji, jak i obowiązujących przepisów dotyczących bezpieczeństwa informacji, w tym ochrony danych pacjentów. Kontrola wykazała, że dostęp do danych medycznych pacjentów w systemach informatycznych miała część personelu niemedycznego, a także byli pracownicy placówek. Odnotowano również poświadczanie nieprawdy podczas wytwarzania dokumentów - poinformowała Najwyższa Izba Kontroli.

Kontrola przeprowadzona przez Delegaturę NIK w Olsztynie objęła sześć szpitali i jeden ośrodek zdrowia. Były to: Miejski Szpital Zespolony w Olsztynie, Samodzielny Publiczny Zakład Opieki Zdrowotnej w Działdowie, Szpital Miejski św. Jana Pawła II w Elblągu, Szpital Mrągowski im. Michała Kajki Sp. z o.o., Szpital Powiatowy Sp. z o.o. w Pasłęku, Giżycka Ochrona Zdrowia Sp. z o.o. oraz Samodzielny Gminny Zakład Opieki Zdrowotnej w Dywitach. Celem kontroli było ustalenie, czy rozwiązania funkcjonujące w tych podmiotach zapewniły prawidłową ochronę danych pacjentów przed cyberatakami oraz rzetelne ich przetwarzanie.

Najważniejsze ustalenia kontroli

W okresie objętym kontrolą, tj. w latach 2020-2023 (I półrocze) wszystkie badane jednostki prowadziły działania mające na celu zapewnienie bezpieczeństwa informacji, w tym danych pacjentów. Jednakże w większości z nich (sześć podmiotów) odbywało się to w sposób nierzetelny i/lub nieadekwatny do rodzaju i skali przetwarzanych danych. Nie przestrzegano bowiem w tym zakresie części wewnętrznych regulacji oraz obowiązujących przepisów prawa dotyczących bezpieczeństwa informacji, w tym ochrony danych pacjentów.

Minister Zdrowia uznał w lipcu 2022 r. trzy z siedmiu skontrolowanych podmiotów za operatorów świadczących usługi kluczowe (OUK), mające najważniejsze znaczenie dla krytycznej działalności społecznej lub gospodarczej państwa. Tym samym samodzielny Publiczny Zakład Opieki Zdrowotnej w Działdowie, Szpital Mrągowski oraz Giżycka Ochrona Zdrowia zostały zobligowane do realizacji określonych obowiązków wynikających z ustawy o krajowym systemie cyberbezpieczeństwa. Dwie spośród tych trzech jednostek wykonały te obowiązki, przy czym stwierdzono nieprawidłowości, które nie miały istotnego wpływu na realizację zadań w zakresie bezpieczeństwa informacji. Polegały one m.in. na opóźnieniu przekazania danych osoby odpowiedzialnej za utrzymanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.

NIK przekazała, że w przypadku kolejnego ze skontrolowanych podmiotów będących OUK (Giżycko) ustalono szereg nieprawidłowości. W szczególności nie wdrożono w terminie systemu zarządzania bezpieczeństwem informacji (SZBI), nie uruchomiono systemu, który zapewniałby systematyczne szacowanie ryzyka wystąpienia incydentu. Ponadto nieterminowo aktualizowano dokumentację dotyczącą cyberbezpieczeństwa systemu informacyjnego, wykorzystywanego do świadczenia usługi kluczowej oraz nieterminowo zamieszczono na stronie internetowej szpitala informacje zapewniające użytkownikom objaśnienie zagrożeń cyberbezpieczeństwa i sposobów zabezpieczania się przed nimi. Takie informacje miało na swoich stronach dwóch skontrolowanych OUK (Działdowo oraz Mrągowo), a OUK (Giżycko) zamieścił je dopiero w trakcie kontroli NIK.

Pozostałe cztery skontrolowane podmioty miały obowiązek realizować działania w zakresie bezpieczeństwa informacji na podstawie przepisów rządowego rozporządzenia z 2012 r. w sprawie Krajowych Ram Interoperacyjności (KRI), minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.

Przychodnie i szpitale mają ustawowy obowiązek wprowadzenia systemu zarządzania bezpieczeństwem informacji opracowanego na podstawie Polskiej Normy (PN-ISO/IEC 27001 – Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – Systemy zarządzania bezpieczeństwem informacji – Wymagania). Co prawa spośród siedmiu skontrolowanych publicznych zakładów opieki zdrowotnej w pięciu opracowano i wdrożono SZBI (Olsztyn, Działdowo, Elbląg, Mrągowo oraz Dywity), jednak w Olsztynie i w Mrągowie tylko niektóre elementy systemu zostały opracowane na podstawie Polskiej Normy, a w Dywitach SZBI zaczął obowiązywać dopiero od 2023 r.

NIK ustaliła, że w szpitalach w Giżycku i Pasłęku wprawdzie obowiązywały zasady ochrony danych i szacowania ryzyka wynikające z m.in. z rozporządzenia RODO, jednak nie można ich było uznać za system zarządzania bezpieczeństwem informacji w myśl przepisów ustawy o cyberbezpieczeństwie i rządowego rozporządzenia KRI.

W każdej skontrolowanej jednostce wyznaczono inspektora ochrony danych osobowych (IODO), przy czym w dwóch z nich (Olsztyn oraz Dywity) stwierdzono w tym zakresie istotne nieprawidłowości. W pierwszym przypadku nie zapewniono wsparcia lub zastępstwa IODO, który nie świadczył pracy przez wiele miesięcy. Z kolei w Dywitach IODO został wyznaczony dopiero pod koniec 2022 r.

W okresie objętym kontrolą sześć z siedmiu badanych podmiotów (oprócz SGZOZ w Dywitach) uzyskało dofinansowanie NFZ na inwestycje poprawiające bezpieczeństwo infrastruktury teleinformatycznej w łącznej kwocie blisko 3 mln zł (od 365 tys. zł do 796 tys. zł). W ramach tego dofinansowania zakupiono nowe systemy ochrony sieci wewnętrznej, aplikacji Web i poczty elektronicznej, rozbudowano posiadane systemy, zakupiono system monitorowania infrastruktury, system bezpieczeństwa sieci, system ochrony poczty, zakupiono zapory sieciowe, oprogramowanie antywirusowe, sprzęt komputerowy oraz usługi wdrożeniowe i audytowe.

Ponadto szpital w Elblągu uzyskał także ponad 2 mln dofinansowania z Regionalnego Programu Operacyjnego Województwa Warmińsko-Mazurskiego na lata 2014-2020 „Cyfrowy Region”, współfinansowanego ze środków Europejskiego Funduszu Rozwoju Regionalnego. Posłużyło ono do rozbudowy serwerowni o niezbędną infrastrukturę na potrzeby wdrożenia e-usług, w tym: e-rejestracji pacjentów, e-wyników, e-recepty, e-zlecenia i e-skierowania. Tym samym unowocześniono zaplecze techniczne, tj. sprzęt informatyczny oraz poprawiono bezpieczeństwo działania systemów informatycznych wraz z zapewnieniem bezpieczeństwa informacji medycznych.

NIK przekazała, że we wszystkich skontrolowanych podmiotach część personelu niemedycznego miała dostęp do danych medycznych pacjentów w systemach informatycznych w nich funkcjonujących, przy czym w dwóch z nich (Olsztyn i Elbląg) wystąpiły w tym zakresie nieprawidłowości. W Szpitalu Miejskim w Olsztynie czterech pracowników niemedycznych miało dostęp do systemu Optimed NXT, choć nie wykonywali oni czynności pomocniczych przy udzielaniu świadczeń opieki zdrowotnej lub związanych z utrzymaniem systemu teleinformatycznego, zaś w zakresach ich obowiązków nie powierzono im wykonywania ww. czynności. Natomiast w Szpitalu Miejskim w Elblągu z opóźnieniem zaktualizowano upoważnienia 14 pracowników W pozostałych skontrolowanych placówkach personel niemedyczny miał dostęp do danych medycznych wyłącznie w zakresie niezbędnym do wykonywanych zadań.

W pięciu z siedmiu skontrolowanych podmiotów (Giżycko, Działdowo, Mrągowo, Pasłęk oraz Dywity) personel medyczny (pielęgniarki i położne) był zaangażowany w proces przetwarzania danych osobowych pacjentów na podstawie uprawnień użytkownika systemu oraz w stopniu adekwatnym do realizowanych zadań i obowiązków. Kontrolerzy NIK przeprowadzili oględziny lub analizy nadanych uprawnień w systemach informatycznych, które potwierdziły powyższe ustalenia, a także pozwoliły na zidentyfikowanie w dwóch z nich istotnych nieprawidłowości. W szpitalu w Elblągu spośród 30 zweryfikowanych pracowników medycznych, w 11 przypadkach upoważnienia do przetwarzania danych osobowych wydano w sposób niezgodny z obowiązującym wzorem, zaś w przypadku trzech pracowników upoważnienia były wydane od 371 do 1580 dni po dacie nadania uprawnień do systemu informatycznego. Ponadto 435 pracowników miało dostęp do danych medycznych bez nadanych pisemnych upoważnień. Z kolei w szpitalu w Olsztynie, spośród 30 zweryfikowanych pracowników medycznych, dwóch posiadało dostęp do danych pacjentów z oddziałów szpitalnych, na których nie świadczyli pracy, 24 pielęgniarki nie posiadały upoważnienia do przetwarzania danych osobowych pacjentów, a dwie kolejne zostały dopuszczone do przetwarzania danych bez stosownego upoważnienia do ich przetwarzania oraz bez polecenia administratora.

Kontrolerzy NIK dokonali oględzin sprzętu i programów, służących bezpieczeństwu informacji oraz ochronie danych pacjentów. Łącznie poddano analizie 80 stanowisk komputerowych obsługiwanych przez lekarzy, pielęgniarki i pracowników niemedycznych. Celem było sprawdzenie realizacji postanowień obowiązujących przepisów wewnętrznych (w szczególności SZBI) przez pracowników skontrolowanych placówek medycznych. Podczas oględzin sprawdzono m.in. aktualność systemu operacyjnego i oprogramowania antywirusowego, sposób logowania się użytkowników, w tym liczbę znaków haseł, zawartość pulpitu i folderów systemowych pod kątem danych pacjentów, dostęp do portów usb, a także otoczenie stanowisk pod kątem zapisanych haseł w miejscach ogólnie widocznych.

W dwóch z siedmiu skontrolowanych podmiotów nie stwierdzono nieprawidłowości w tym zakresie (Działdowo i Pasłęk). W pozostałych pięciu jednostkach stwierdzono szereg istotnych nieprawidłowości w przestrzeganiu obowiązujących procedur w ramach SZBI. W Szpitalu Mrągowskim ujawniono, że przez foldery systemowe (pulpit, obrazy, pobrane, dokumenty) siedmiu stanowisk komputerowych wykorzystywanych przez lekarzy i pielęgniarki, możliwy był swobodny dostęp każdego użytkownika danego stanowiska, a także innych osób. Osoby postronne miały więc dostęp, m.in. do znajdujących się w tych folderach plików z informacjami zawierającymi: dane osobowe pacjentów ( imię, nazwisko, pesel, adres zamieszkania, data urodzenia), rodzaje badań laboratoryjnych, rozpoznania, daty rozpoczęcia oraz zakończenia zabiegu, rodzaje wykonanych zabiegów, zalecone badania diagnostyczne, opis uzasadnienia konieczności niezwłocznej hospitalizacji, skierowanie do szpitala czy dane lekarza. Informacje zawarte w tych plikach były zapisane w postaci skanów (dowody osobiste, paszporty, karty ekuz), zrzutów z ekranu , kart segregacji medycznej oraz wykazów w postaci różnego rodzaju zestawień.

W szpitalu w Elblągu pracownicy medyczni (lekarze i pielęgniarki) mieli niezabezpieczony dostęp do systemu Windows. W Szpitalu Miejskim w Olsztynie w trakcie oględzin ustalono natomiast, że jeden z pracowników personelu medycznego pracował w systemie informatycznym korzystając z konta innego użytkownika. Również w tym szpitalu ustawienia systemowe domeny dotyczące wymagań złożoności haseł użytkowników były wyłączone, pomimo że uregulowania wewnętrzne obligowały do tego, żeby hasła składały się przynajmniej z: jednej dużej, jednej małej litery, jednej cyfry i jednego znaku specjalnego. W SGZOZ w Dywitach na jednej ze stacji roboczych brakowało oprogramowania antywirusowego, zaś na kolejnej stacji baza wirusów takiego oprogramowania była nieaktualna. Ponadto w ośrodku tym porty usb nie były zablokowane ani fizycznie ani systemowo, a ustawienia wartości poziomu zabezpieczeń dostępu do systemu obsługi miały wartości minimalne.

W okresie objętym kontrolą w badanych podmiotach zakończyło pracę 473 pracowników. W związku z tym tylko w dwóch jednostkach (Działdowo i Mrągowo) prawidłowo odebrano dostęp do systemów informatycznych z danymi pacjentów wszystkim byłym pracownikom. W pozostałych pięciu jednostkach stwierdzono nieprawidłowości. Odnotowano 14 przypadków logowania się do wspomnianych systemów po ustaniu stosunku pracy. Najgorzej sytuacja wyglądała w szpitalu w Elblągu: 80 byłych pracowników posiadało w okresie zatrudnienia dostęp do systemów z danymi medycznymi, który został im odebrany wiele dni po ustaniu zatrudnienia, z czego 48 osobom dopiero w trakcie kontroli NIK. Również w Szpitalu Miejskim w Olsztynie odnotowano podobne nieprawidłowości oraz logowanie byłych pracowników do systemu informatycznego zawierającego dane medyczne.

Tylko w jednej ze skontrolowanych jednostek miał miejsce incydent zagrażający bezpieczeństwu systemu informacyjnego. W Giżyckiej Ochronie Zdrowia Sp. z o.o. w lipcu 2022 r. wystąpił tzw. atak hakerski, mający na celu zaszyfrowanie danych, w wyniku którego utracono czasowo dane dotyczące części komórek administracyjnych Szpitala. W ocenie Spółki nie wystąpiły przesłanki do zgłoszenia naruszenia organowi nadzorczemu, ponieważ nie stwierdzono naruszenia poufności i integralności chronionych danych osobowych, ani ryzyka naruszenia praw lub wolności osób fizycznych. Zaszyfrowane w wyniku ataku dane zostały odzyskane i sprawdzone. W związku z wystąpieniem powyższego zdarzenia Spółka postąpiła zgodnie z procedurą.

We wszystkich poza jedną skontrolowaną jednostką zawierano umowy dotyczące powierzenia przetwarzania danych osobowych, o których mowa w rozporządzeniu RODO. Umowy te w większości zawierały niezbędne informacje. Tylko przychodnia w Dywitach nie zawarła podobnej umowy mimo, że korzystano w niej z domeny zewnętrznej dla adresów mailowych.

Zdaniem NIK, na szczególną uwagę zasługuje kluczowe ustalenie kontroli, dotyczące 435 upoważnień do przetwarzania danych osobowych z datą wcześniejszą niż faktyczna data ich sporządzenia. W trakcie czynności kontrolnych pracownik przyznał się do wytworzenia dokumentów poświadczających nieprawdę.

Wnioski

W wyniku sześciu z siedmiu kontroli, w związku ze stwierdzonymi nieprawidłowościami, NIK przedstawiła łącznie 21 wniosków pokontrolnych, z czego według stanu na 20 maja 2024 r. zostało zrealizowanych siedem, zaś 14 pozostawało w realizacji.


Źródło: NIK