Kontrolerzy NIK sprawdzili ochronę danych pacjentów. „Wnioski są bardzo niepokojące”
Fot. M. Lewiński
O wieloletnich zaniedbaniach dotyczących cyberbezpieczeństwa mówią pracownicy NIK, którzy przedstawili wyniki kontroli przeprowadzonych w siedmiu placówkach medycznych w regionie.
Kontrolerzy sprawdzali ochronę danych pacjentów przed cyberatakami od początku 2020 roku do pierwszej połowy 2023 roku. Wykazano 55 nieprawidłowości, 12 z nich usunięto w trakcie kontroli, a 6 w trakcie realizacji wniosków pokontrolnych.
Niestety, ale wnioski z tej kontroli są bardzo niepokojące. Kontrole od wielu lat wykazują niezmienne, wieloletnie zaniedbania dotyczące cyberbezpieczeństwa, bezpieczeństwa danych osobowych, infrastruktury informatycznej, niedostatecznej wiedzy i szkoleń pracowników, jak i wykorzystywania nieaktualnego lub nieprawidłowo skonfigurowanego oprogramowania
– powiedział na konferencji prasowej p.o. dyrektora Delegatury Najwyższej Izby Kontroli w Olsztynie Mariusz Lenkiewicz.
Kontrola dotyczyła 6 szpitali i jednego ośrodka zdrowia. NIK sprawdziła Miejski Szpital Zespolony w Olsztynie, Samodzielny Publiczny Zakład Opieki Zdrowotnej w Działdowie, Szpital Miejski św. Jana Pawła II w Elblągu, Szpital Mrągowski im. Michała Kajki Sp. z o.o., Szpital Powiatowy Sp. z o.o. w Pasłęku, Giżycką Ochronę Zdrowia Sp. z o.o. i Samodzielny Gminny Zakład Opieki Zdrowotnej w Dywitach.
Na przykład w mrągowskim szpitalu ujawniono, że przez foldery systemowe, takie jak pulpit, obrazy lub moje dokumenty, na 7 stanowiskach komputerowych wykorzystywanych przez lekarzy i pielęgniarki możliwy był dostęp praktycznie każdego użytkownika do znajdujących się w tych folderach plików zawierających dane osobowe pacjentów
– dodał kontroler NIK Bartosz Kościukiewicz. Były to imiona i nazwiska pacjentów, ale też numery pesel, adresy zamieszkania, zlecenia badań laboratoryjnych, skierowania. Były też skany dowodów osobistych i paszportów.
W giżyckim szpitalu nie wywiązano się z obowiązku aktualizacji dokumentacji dotyczącej cyberbezpieczeństwa. Z kolei pracownik personelu medycznego w Szpitalu Miejskim w Olsztynie pracował w systemie informatycznym korzystając z konta innego użytkownika, nie obowiązywały też wymogi dotyczące złożoności haseł.
Natomiast na stacjach roboczych w ośrodku zdrowia w Dywitach oprogramowanie antywirusowe nie było aktualne. Problem dotyczył także portów USB, które – mimo zaleceń – nie były zablokowane – ani fizycznie, ani systemowo.
W Szpitalu Miejskim w Elblągu skontrolowano ponad 800 upoważnień do przetwarzania danych osobowych z lat 2016-2023. Ponad połowa z nich została sporządzona dopiero w trakcie kontroli NIK. Jak zeznał inspektor ochrony danych osobowych, brakujące upoważnienia wytworzył w listopadzie 2023 roku na potrzeby naszej kontroli
– dodała kontroler NIK Beata Saba.
O tej sprawie powiadomiono prokuraturę.
Nie mieliśmy wątpliwości, że należy organy ścigania w tym kontekście powiadomić
– podkreślał dyrektor Lenkiewicz.
Szczęśliwie w żadnej z kontrolowanych jednostek, mimo nieprawidłowości, nie doszło do wycieku danych. Kontrolerzy NIK podkreślają, że efekty ich pracy mają przede wszystkim zadziałać profilaktycznie, by inne urzędy, instytucje i placówki publiczne, lepiej zadbały o cyberbezpieczeństwo.
Chcemy, by przyszłe nasze kontrole wskazywały na zmianę postaw i stanów faktycznych na poprawę sytuacji w zakresie bezpieczeństwa, w tym bezpieczeństwa danych osobowych
– dodał Mariusz Lenkiewicz.
Na konferencji prasowej wielokrotnie podkreślał także, że pracownicy NIK liczą, że nagłośnienie wniosków pokontrolnych w mediach wpłynie na zmianę postaw i podjęcie działań naprawczych także w jednostkach, które nie były objęte kontrolą.
Pamiętajmy, że niezabezpieczone dane mogą paść łupem hakerów. Polska jest w czołówce państw Europy Centralnej, które stanowią cel ataków cybernetycznych w 2024 roku. Co tydzień polskie organizacje atakowane są średnio 1430 razy.
Posłuchaj relacji Marka Lewińskiego
Autor: M. Lewiński
Redakcja: A. Niebojewska
