Powinniśmy wspierać możliwość zdalnej pracy

Telepraca jest dziś jednym z najważniejszych trendów w medycynie, a biorąc pod uwagę wyzwania związane z dostępnością lekarzy i ograniczonym czasem ich pracy, nie powinniśmy z tym zjawiskiem walczyć, a je wspierać – mówi Łukasz Sosnowski, partner operacyjny Sieci Lekarzy Innowatorów przy Naczelnej Izbie Lekarskiej, w rozmowie z Krzysztofem Jakubikiem.

Jak w polskiej branży medycznej wygląda sytuacja dotycząca cyberbezpieczeństwa?

Na poziomie instytucjonalnym jest obiecująco, a z każdym rokiem widać zdecydowane postępy. Swoistą rolę pełni tutaj Centrum e-Zdrowia i działający przy nim jeden z trzech w Polsce Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT CeZ). Mamy też kilka regulacji prawnych, dotyczących tego zagadnienia, których muszą przestrzegać instytucje medyczne. Te ostatnie szykują się również do wdrażania rozwiązań zapewniających spełnienie wymogów z wchodzącej właśnie w życie dyrektywy NIS2.

Natomiast w kontekście cyberbezpieczeństwa największa praca jest do wykonania na niższym poziomie w mniejszych placówkach i wśród personelu medycznego. Należy tu dwukierunkowo prowadzić szkolenia – zarówno w kwestiach merytorycznych, a więc co do świadomości rodzajów zagrożeń, jak i w zakresie reguł przestrzegania cyberhigieny. W przypadku personelu medycznego będzie prościej – istnieją pewne reguły, których trzeba przestrzegać, tak samo jak tego, że nie należy dwa razy używać tej samej igły.

Jak powinien być wyznaczony zakres odpowiedzialności za bezpieczeństwo pomiędzy placówką medyczną z personelem?

Zazwyczaj regulacje takie dotyczą kierownika danej jednostki. To one określają jego odpowiedzialność za wystąpienie incydentów cyberbezpieczeństwa, najczęściej związanych z wyciekiem danych czy uzyskaniem nieautoryzowanego dostępu. I raczej to się nie zmieni ze względu na olbrzymi deficyt profesjonalnego personelu medycznego. Dyrektorzy placówek nie ryzykują przenoszenia pełnej odpowiedzialności na pracowników w kontraktach czy umowach o pracę, bo wiedzą, że nie spotyka się to z dobrym odbiorem. Natomiast obie strony mają pewne obowiązki – zarząd placówki musi dbać o to, aby dział IT wdrożył jak najlepsze systemy ochronne i procedury bezpieczeństwa, zaś personel powinien uczestniczyć w szkoleniach, aby wyrobić sobie dobre nawyki w ramach codziennej cyberhigieny.

Jaka jest dostępność tego typu szkoleń i jak wygląda kwestia obowiązku uczestniczenia w nich?

Takich szkoleń organizowanych jest coraz więcej, także w formie webinarów w ofercie Centralnego Ośrodka Badań, Innowacji i Kształcenia Naczelnej Izby Lekarskiej (COBIK NIL), czy w ramach cyklu Wtorki z Innowacjami NIL IN. Ich tematyka dotyczy m.in. ochrony danych osobowych, cyberbezpieczeństwa czy sztucznej inteligencji. Natomiast uczestniczenie w nich nie jest obowiązkowe. Tą tematyką interesują się raczej świadomi dyrektorzy jednostek lub osoby przez nich delegowane, zarządzające jakością szpitala albo jego bezpieczeństwem. Wiem natomiast, że takie szkolenia mają duży potencjał. Kiedyś, gdy prowadziłem jeden z podmiotów medycznych, sam organizowałem takie szkolenia dla swoich lekarzy. Często byli zaskoczeni prezentowanymi treściami, ale równocześnie wyrażali zadowolenie, że zostały im przedstawione.

W Polsce mamy różne ustawy, które fragmentarycznie dotykają kwestii cyberbezpieczeństwa w placówkach medycznych, ale nie ma jednej – branżowej. Czy powinien powstać taki akt prawny, na wzór amerykańskiej ustawy HIPAA?

Nie sądzę, aby w automatyczny sposób przyczyniło się do poprawy sytuacji dotyczącej zgodności polskich podmiotów medycznych z regulacjami prawnymi. Rzeczywiście, już w tej chwili mamy ich sporo, natomiast trzeba pamiętać, że sama obecność przepisu prawnego nie zmienia rzeczywistości, jeśli podmioty medyczne się do niego nie zastosują. Jeżeli doprowadzilibyśmy do sytuacji, w której 95 proc. polskich placówek byłoby w pełni zgodnych z ustawą o krajowym systemie cyberbezpieczeństwa czy NIS2, mielibyśmy do czynienia z niemal idealną sytuacją.

W komercyjnych przedsiębiorstwach jako jeden z problemów związanych z cyberbezpieczeństwem wskazywane jest dopuszczanie do podłączania do firmowej sieci prywatnych cyfrowych urządzeń, jak laptopy, tablety czy smartfony, co do których istnieje ryzyko, że mogą być zarażone złośliwym kodem. Czy taką możliwość mają lub powinni mieć lekarze i pielęgniarki?

To zależy od rodzaju placówki. W małej poradni, która pracuje na chmurowym systemie gabinetowym, będzie raczej normalną sytuacją, że lekarze przychodzą z własnym sprzętem. Oczywiście, powinien być on odpowiednio zabezpieczony, zablokowany hasłem, mieć włączone szyfrowanie danych, zainstalowanego antywirusa i zaktualizowane oprogramowanie. Natomiast w dużych organizacjach problem ten raczej nie występuje, ponieważ tam dostęp jest możliwy wyłącznie z odpowiednio zabezpieczonych urządzeń będących na wyposażeniu placówki.

Na to zagadnienie można spojrzeć z jeszcze innej strony. Obecnie istnieją możliwości techniczne, aby lekarze dużą część swojej pracy wykonywali zdalnie, np. opisywali wyniki badań. Telepraca jest dziś jednym z najważniejszych trendów w medycynie, a biorąc pod uwagę wyzwania związane z dostępnością lekarzy i ograniczonym czasem ich pracy, nie powinniśmy z tym zjawiskiem walczyć, a wręcz je wspierać. Dlatego warto zachęcać działy IT placówek, aby wypracowały optymalne procesy uzyskiwania bezpiecznego zdalnego dostępu do infrastruktury szpitalnej, systematycznie prowadziły szkolenia oraz korzystały z usług weryfikujących ogólny poziom bezpieczeństwa. Będzie to korzystne dla wszystkich – zarówno placówek, jak też lekarzy i pacjentów.