Olsztyn, Elbląg, Ełk, Bartoszyce, Aktualności, Braniewo, Aplikacja mobilna, Region, Działdowo, Giżycko, Gołdap, Iława, Kętrzyn, Lidzbark Warm., Mrągowo, Nidzica, Nowe Miasto Lub., Olecko, Ostróda, Regiony, Pisz, Szczytno, Węgorzewo
Kontrolerzy NIK sprawdzili ochronę danych pacjentów. „Wnioski są bardzo niepokojące”
O wieloletnich zaniedbaniach dotyczących cyberbezpieczeństwa mówią pracownicy NIK, którzy przedstawili wyniki kontroli przeprowadzonych w siedmiu placówkach medycznych w regionie.
Kontrolerzy sprawdzali ochronę danych pacjentów przed cyberatakami od początku 2020 roku do pierwszej połowy 2023 roku. Wykazano 55 nieprawidłowości, 12 z nich usunięto w trakcie kontroli, a 6 w trakcie realizacji wniosków pokontrolnych.
Niestety, ale wnioski z tej kontroli są bardzo niepokojące. Kontrole od wielu lat wykazują niezmienne, wieloletnie zaniedbania dotyczące cyberbezpieczeństwa, bezpieczeństwa danych osobowych, infrastruktury informatycznej, niedostatecznej wiedzy i szkoleń pracowników, jak i wykorzystywania nieaktualnego lub nieprawidłowo skonfigurowanego oprogramowania
– powiedział na konferencji prasowej p.o. dyrektora Delegatury Najwyższej Izby Kontroli w Olsztynie Mariusz Lenkiewicz.
Kontrola dotyczyła 6 szpitali i jednego ośrodka zdrowia. NIK sprawdziła Miejski Szpital Zespolony w Olsztynie, Samodzielny Publiczny Zakład Opieki Zdrowotnej w Działdowie, Szpital Miejski św. Jana Pawła II w Elblągu, Szpital Mrągowski im. Michała Kajki Sp. z o.o., Szpital Powiatowy Sp. z o.o. w Pasłęku, Giżycką Ochronę Zdrowia Sp. z o.o. i Samodzielny Gminny Zakład Opieki Zdrowotnej w Dywitach.
Na przykład w mrągowskim szpitalu ujawniono, że przez foldery systemowe, takie jak pulpit, obrazy lub moje dokumenty, na 7 stanowiskach komputerowych wykorzystywanych przez lekarzy i pielęgniarki możliwy był dostęp praktycznie każdego użytkownika do znajdujących się w tych folderach plików zawierających dane osobowe pacjentów
– dodał kontroler NIK Bartosz Kościukiewicz. Były to imiona i nazwiska pacjentów, ale też numery pesel, adresy zamieszkania, zlecenia badań laboratoryjnych, skierowania. Były też skany dowodów osobistych i paszportów.
W giżyckim szpitalu nie wywiązano się z obowiązku aktualizacji dokumentacji dotyczącej cyberbezpieczeństwa. Z kolei pracownik personelu medycznego w Szpitalu Miejskim w Olsztynie pracował w systemie informatycznym korzystając z konta innego użytkownika, nie obowiązywały też wymogi dotyczące złożoności haseł.
Natomiast na stacjach roboczych w ośrodku zdrowia w Dywitach oprogramowanie antywirusowe nie było aktualne. Problem dotyczył także portów USB, które – mimo zaleceń – nie były zablokowane – ani fizycznie, ani systemowo.
W Szpitalu Miejskim w Elblągu skontrolowano ponad 800 upoważnień do przetwarzania danych osobowych z lat 2016-2023. Ponad połowa z nich została sporządzona dopiero w trakcie kontroli NIK. Jak zeznał inspektor ochrony danych osobowych, brakujące upoważnienia wytworzył w listopadzie 2023 roku na potrzeby naszej kontroli
– dodała kontroler NIK Beata Saba.
O tej sprawie powiadomiono prokuraturę.
Nie mieliśmy wątpliwości, że należy organy ścigania w tym kontekście powiadomić
– podkreślał dyrektor Lenkiewicz.
Szczęśliwie w żadnej z kontrolowanych jednostek, mimo nieprawidłowości, nie doszło do wycieku danych. Kontrolerzy NIK podkreślają, że efekty ich pracy mają przede wszystkim zadziałać profilaktycznie, by inne urzędy, instytucje i placówki publiczne, lepiej zadbały o cyberbezpieczeństwo.
Chcemy, by przyszłe nasze kontrole wskazywały na zmianę postaw i stanów faktycznych na poprawę sytuacji w zakresie bezpieczeństwa, w tym bezpieczeństwa danych osobowych
– dodał Mariusz Lenkiewicz.
Na konferencji prasowej wielokrotnie podkreślał także, że pracownicy NIK liczą, że nagłośnienie wniosków pokontrolnych w mediach wpłynie na zmianę postaw i podjęcie działań naprawczych także w jednostkach, które nie były objęte kontrolą.
Pamiętajmy, że niezabezpieczone dane mogą paść łupem hakerów. Polska jest w czołówce państw Europy Centralnej, które stanowią cel ataków cybernetycznych w 2024 roku. Co tydzień polskie organizacje atakowane są średnio 1430 razy.
Posłuchaj relacji Marka Lewińskiego
Autor: M. Lewiński
Redakcja: A. Niebojewska