Paraliż administracji. Cyberatak obnaża kruchość systemów medycznych
Współczesna administracja publiczna w coraz większym stopniu polega na skomplikowanej sieci zewnętrznych powiązań i podwykonawców. Choć outsourcing usług pozwala na optymalizację kosztów, niesie za sobą potężne ryzyko, o czym boleśnie przekonał się właśnie Zarząd Służby Zdrowia (HSE). W efekcie wyrafinowanego cyberataku na systemy zewnętrznego dostawcy odpowiedzialnego za drukowanie dokumentów, instytucja została zmuszona do całkowitego wstrzymania wydawania wielu kluczowych kart, w tym medycznych.
Przypadek ten rzuca nowe światło na problem odpowiedzialności za dane pacjentów w dobie permanentnego zagrożenia cyfrowego.
Wszystko zaczęło się wieczorem 26 maja, kiedy do centrali HSE wpłynął alert o naruszeniu bezpieczeństwa u jednego z kluczowych partnerów technologicznych. Reakcja była natychmiastowa i już następnego dnia rano podjęto decyzję o zamrożeniu procesu emisji dokumentów. Z dnia na dzień wstrzymano wydawanie plastikowych kart medycznych, Europejskich Kart Ubezpieczenia Zdrowotnego (EKUZ), kart wizyt u lekarzy rodzinnych, a także dokumentów uprawniających do udziału w programach płatności za leki oraz programach przeznaczonych dla osób cierpiących na choroby długotrwałe. Skala problemu jest ogromna, ponieważ dotyka bezpośrednio setek tysięcy obywateli zależnych od państwowego systemu wsparcia.
Dyrekcja HSE spieszy z wyjaśnieniami, starając się uspokoić opinię publiczną, więc zapewniono, że wewnętrzne systemy samej instytucji pozostały nienaruszone, a wdrożone natychmiast protokoły cyberbezpieczeństwa zadziałały prawidłowo.
Nie da się jednak ukryć faktu, że cyberprzestępcom udało się uzyskać dostęp do pewnej liczby danych należących do pacjentów służby zdrowia. Choć instytucja mówi o „niewielkiej liczbie zapisów”, w cyfrowym świecie nawet minimalny wyciek wrażliwych danych medycznych rodzi poważne konsekwencje. Sprawa trafiła już do Komisji Ochrony Danych, która obecnie prowadzi drobiazgową ocenę stopnia problemu. Trwa także weryfikacja, jak głęboko hakerzy zdołali spenetrować zasoby dostawcy kart. O powadze sytuacji świadczy deklaracja HSE, które zapowiedziało, że po dokładnym zbadaniu sprawy bezpośrednio powiadomi każdą osobę, której prywatność mogła zostać w jakikolwiek sposób zagrożona.
Informacje o incydencie, jako pierwsze, podało do wiadomości publicznej RTÉ Raidió na Gaeltachta.
W obliczu tego kryzysu urzędnicy musieli szybko wdrożyć rozwiązania awaryjne, aby osoby ubiegające się o wymienione wcześniej karty, nie pozostały bez formalnego potwierdzenia swoich praw. Osoby wnioskujące o standardowe karty medyczne nie otrzymają więc ich w najbliższym czasie, choć wydane im zostanie tradycyjne urzędowe pismo.
Ma ono stanowić pełnoprawny dowód kwalifikacji do odpowiednich programów pomocowych. Z kolei w miejsce tradycyjnej karty EKUZ wydawane są tymczasowe certyfikaty zastępcze, które gwarantują identyczny zakres opieki zdrowotnej podczas pobytu za granicą.
Co ciekawe, w przypadku osób dorosłych system w dużej mierze ratuje cyfryzacja. Karty EKUZ są bowiem wciąż dostępne w wersji elektronicznej za pośrednictwem oficjalnej aplikacji mobilnej HSE Health App, którą można pobrać na smartfony.
Z punktu widzenia codziennego funkcjonowania szpitali i przychodni, sytuacja wydaje się opanowana. HSE kładzie duży nacisk na fakt, że lekarze rodzinni oraz apteki weryfikują uprawnienia pacjentów za pomocą niezależnych kanałów cyfrowych. Brak plastikowej karty w portfelu pacjenta nie zamyka zatem drzwi do gabinetu lekarskiego ani nie uniemożliwia wykupienia refundowanych leków. Wnioski o przyznanie świadczeń są rozpatrywane w normalnym trybie, a samo prawo do opieki nie zostało w żaden sposób ograniczone.
Mimo tych uspokajających komunikatów, incydent wywołał falę uzasadnionej krytyki ze strony organizacji broniących praw pacjentów. Głos w sprawie zabrało Irlandzkie Stowarzyszenie Pacjentów, reprezentowane przez przewodniczącego Stephena McMahona. Jego stanowisko jest jednoznaczne i dotyka fundamentalnego problemu współczesnego zarządzania danymi publicznymi. McMahon stanowczo podkreślił, że zlecenie świadczenia usług na zewnątrz nie oznacza i nigdy nie może oznaczać przeniesienia odpowiedzialności za bezpieczeństwo obywateli. To na Zarządzie Służby Zdrowia spoczywa ostateczny obowiązek ochrony danych osobowych pacjentów, bez względu na to, jak wielu pośredników bierze udział w procesie technicznym.
Choć informacja o braku bezpośredniego wpływu na ciągłość leczenia przynosi ulgę, to zdaniem Stowarzyszenia kluczowa staje się teraz całkowita transparentność działań. Pacjenci mają pełne prawo wiedzieć, co dokładnie się stało, jakiego rodzaju informacje wpadły w niepowołane ręce i – co najważniejsze – jakie konkretne kroki zostaną podjęte, aby taka sytuacja nigdy więcej się nie powtórzyła.
Bogdan Feręc
Źr. RTE
Fot. Dzięki uprzejmości RTE
