Со тековното ниво на технолошки ризици, нема целосно „100 % безбедност“ за медицинските податоци, па така потребни се континуирани инвестиции и ажурирања за да се одржи адекватно ниво на заштита во насока на сé почестите и порафинирани сајбер напади, велат експертите. Превенцијата и вложувањето во заштитата од напади преку Интернет може да превенира лоши сценарија преку кои може да бидат доведени во опасност личните медицински податоци на пациентите.
Дигитализацијата на администрацијата донесе и дигитализација на здравствениот систем па така и покрај тоа што голем број на граѓани се уште ги користат хартиите, печатените книшки, извештаи и рецепти, дел од нив ги користат бенефитите кои што ги нудат новите технологии.
Кога станува збор за здравството има неколку апликации кои што се направени за подобро функционирање, како и закажување на прегледи по електронски пат како „Мој термин“ и „ Мое здравје“.
Апликацијата „ Мое здравје“ нуди целосен пристап до здравствената евиденција на пациентот, преглед на вакцини, извештаи, рецепти. Апликацијата е креирана со цел да ја подобри пристапноста и управувањето со здравствените услуги и податоци преку нивна централизација на едно место. Но, колку се безбедни ваквите апликации за граѓаните, имајќи предвид дека во 2023 година се случија низа хакерски напади на веб страниците на државните институции, меѓу кои и страницата на Фондот за здравствено осигурување, каде покрај тоа што може да се најдат разни лични податоци на граѓаните, таму може да се најде и целата нивна здравствена историја.
Од Министерството за дигитална трансформација за Пина.мк велат дека токму новиот Закон за безбедност на мрежни и информациски системи и Законот за електронски комуникации првпат воспоставуваат обврска за сите институции што управуваат со критични дигитални услуги – како што се Фондот за здравствено осигурување и платформата „Мој Термин“ – да воведат конкретни стандарди за сајбер безбедност, управување со ризик и известување за инциденти.
„Фондот за здравство, според законот, ќе има обврска да воспостави офицер за сајбер безбедност, да се приклучи на националниот систем за известување и да учествува во симулации на сајбер напади. Министерството за дигитална трансформација ќе овозможи техничка поддршка и стандардизација преку новиот Сектор за сајбер безбедност“, дополнуваат од Министерството.
Со оглед на настаните од минатото каде што хакерите може да дојдат до пробивање на здравствени податоци на пациентите , од Министерството велат дека прво, ќе се воведе редовна проценка на ризици и тестирање на ранливости на платформите како „Мој Термин“. Второ, обврзани се сите институции од здравствениот сектор да применуваат енкрипција, контрола на пристап и заштита на бази на податоци според европските стандарди. ,,Во рамки на националниот владин SOC (Security Operations Center) кој го воспоставуваме до крајот на 2025, предвидено е централно следење на заканите и навремено реагирање“, велат оттаму.
Токму поради овие причини, на кои што бевме сведоци изминатите години, се поставува прашањето дали конечно ќе можат да бидат безбедни пациентите за своите лични податоци кои што се доверуваат на здравствениот систем и дали пациентите ќе можат да бидат спокојни? Од Министерството ни одговорија дека граѓаните треба да бидат спокојни и дека целта со новите законски решенија е токму таа, но потребни се ресурси, обука, и одговорност. Според нив, Владата, преку Министерството за дигитална трансформација, воспоставува системска заштита, не само индивидуална интервенција.
Нема целосна безбедност, потребни се постојани инвестиции во заштитата
Лилјана Пецова од Импетус, Центар за Интернет, развој и добро владеење потсетува дека здравствените податоци кај нас се предмет на законска заштита според Законот за заштита на лични податоци и секторските закони во областа на здравството. Колки се тие заштитени, вели таа, треба да покажат редовните внатрешни и надворешни ревизии, направени како од регулаторот за заштита на податоци, така и од независни тела за ревизија. Додава дека воведувањето на стандарди и нивната имплементација би значело една претпоставка дека се зајакнати безбедносните капацитети, особено ако се имплементира ISO 27001 – стандардот за управување со информациската безбедност.
,,Официјалните страници на Фондот за здравство и апликацијата „Мое здравје“ работат на заштита на преносот на податоци со TLS/HTTPS криптирање, а податоците би требало да се чуваат на сервери со ограничен пристап и повеќеслојна заштита (физичка и логичка) за да се спречи неовластен пристап.
Сепак, заклучно со тековното ниво на технолошки ризици, нема целосно „100 % безбедност“. Потребни се континуирани инвестиции и ажурирања за да се одржи адекватно ниво на заштита во насока на сé почестите и порафинирани кибер -напади.
Степенот на заштита мора да ги исполнува највисоките стандарди за доверливост (confidentiality), интегритет (integrity) и достапност (availability) на податоците, односно да се обезбеди: Криптирање во сите фази (во транзит и во мирување на податочни сетови), Мултифакторска автентификација (MFA) за влезни точки на администратори и здравствени лица, Сегментација и мрежна изолација, за да се минимизира ризикот од распространување на нападот во системите, редовни безбедносни тестирања (penetration testing, vulnerability scanning) и одговор на инциденти според воспоставен NIST или ENISA модел, контролирани нивоа за пристап (role-based access control), кои ги обврзуваат корисниците да имаат само неопходни привилегии, итн“, вели Пецова за ПИНА.
Таа советува дека главната лекција е дека здравствените организации мора да бидат подготвени за најлошото сценарио, што подразбира дека критичните сервиси — дијагностика, итна медицинска помош, услуги кон пациенти, особено за хронично болни и ранливи возрасни групи — ќе останат оперативни дури и ако други делови од системот се компромитираат, како и дека мора да се прави континуирано резервно копирање на податоците (off-site backups) и редовно тестирање на процесите за враќање на податоците (disaster recovery drills).
,,Особено е важно да се изработат јасни планови за одговор на инциденти со координација на релевантни институции како МКД-ЦИРТ, Агенцијата за заштита на лични податоци, јавни здравствени установи и приватни партнери. Но не помалку важно е редовното подигање на капацитети на персоналот преку обуки и вежби, насочени кон правилно препознавање фишинг-напади и други социјално-инженерски методи, бидејќи така најчесто почнува сајбер нападот“, додава Пецова.
Крадењето на лични медицински податоци може да донесе сериозни последици и тоа од повеќе аспекти.
,,Правни и регулаторни казни: Организациите може да се соочат со значителни глобални казни за непочитување на законот за заштита на личните податоци. Репутациски ризик: Загубата на довербата кај пациентите, довербата во здравствените институции, приватните здравстени установи, може да доведе до намалување на користењето на сервисите и до финансиски загуби. Можеби треба да размислуваме и во насока на економска штета и трошоци за надоместување штети, технички и правни трошоци за опоравување и судски процеси, доколку дојде до злоупотреба на податоци. Психолошки и социјални штети: Пациентите може да доживеат ненавремена терапија, оневозможен пристап до медицински услуги, итна помош, неправилна дијагноза или злоупотреба на нивните податоци, што дополнително ја загрозува нивната здравствена заштита и благосостојба. Сигурно ќе се сетите дека одредени болни не беа во можност да користат услуги за добивање терапија, така што и повеќе од важно е да се превенира, редовно да се врши надзор и ревизија на системот за заштита на податоци“, вели Пецова за ПИНА.
Фонд за здравство: Во нападите не беше утврден никакво истекување на податоци
Фондот за здравствено осигурување беше една од институциите кои во февруари 2023 година беа цел на координиран хакерски напад насочен кон државната ИКТ-инфраструктура. Оттаму велат дека благодарение на навремено поставените превентивни безбедносни мерки, кои Фондот доследно ги имплементирал уште пред самиот напад, не бил компромитиран ниту еден личен или здравствен податок на осигурениците.
,,Ова е резултат на системскиот пристап кон заштитата на чувствителните информации, што произлегува од нашата институционална посветеност на дигиталната безбедност и довербата на граѓаните.
Според официјалните извештаи од Националниот центар за одговор на компјутерски инциденти (МКД-ЦИРТ), како и од надворешните експерти ангажирани веднаш по нападот, не беше утврден никаков истек на податоци од системите на Фондот.
По нападот, Фондот презеде низа суштински чекори за понатамошно зајакнување на ИКТ-безбедноста. Целата постојна мрежна, серверска и апликативна инфраструктура беше заменета – стариот дата центар беше напуштен, а системот мигриран во нова, високо безбедна платформа хостирана од страна на Македонски Телеком. Дополнително, се воспоставија нови технички и организациски мерки за заштита, вклучително и интегрирање на специјализирани услуги за сајбер безбедност. Безбедноста на здравствените податоци останува еден од нашите врвни приоритети. И во иднина, Фондот ќе продолжи со унапредување на капацитетите за дигитална заштита, со цел граѓаните да бидат сигурни дека нивната доверба е оправдана и добро чувана“, велат од Фондот за ПИНА.
Препораки од Агенцијата за заштита на лични податоци за зајакнување на мерките за заштита
Во текот на 2023 година од страна на Агенцијата за заштита на личните податоци била извршена вонредна супервизија во Фондот за здравствено осигурување, при што за истото е составен записник и решение согласно Законот за заштита на личните податоци во кои Агенцијата дала препораки и задолженија до Фондот за здравствено осигурување, информираат оттаму за ПИНА.
,,При спроведување на супервизијата, утврдено е дека Фондот за здравствено осигурување при своето работење не применува соодветни технички и организациски мерки според одредбите од членот 28 од Законот за заштита на личните податоци. Понатаму, Фондот за здравствено осигурување при ангажирањето на обработувачи не ги применувале одредбите од членот 32 од Законот за заштита на личните податоци и не ја исполнувале обврската за безбедност на обработката на личните податоци според одредбите од Законот за заштита на личните податоци. Фондот постапи во дадениот рок согласно мерките од Агенцијата и достави докази за постапување по дадените задолженија од страна на Агенцијата“, велат од Агенцијата за ПИНА.
Во однос на опасноста од сајбер напади кон институциите тие велат дека законска обврска на контролорите е да ја известат Агенцијата во случај на нарушување на безбедноста на личните податоци, додека на веб-страницата на Агенцијата објавен е контролен список – прашалник со јасни препораки за контролорите и обработувачите (организациите, институциите) како да се заштитат од инциденти. Меѓу главните препораки се: редовно ажурирање на софтверот и хардверот, инсталирање заштитни ѕидови и антивирусни решенија, уредување на правото на пристап до личните податоци, политика за резервни копии, воспоставување на процедура за интерна пријава и одговор на инциденти итн.
Ивана Јаневска / Кристина Озимец
