Evenimente, NEWS — November 28, 2017 at 2:21 pm

Dosarele medicale, țintă atractivă pentru atacurile informatice

by

dosare medicaleDosarele medicale reprezintă cea mai atractivă ţintă pentru criminalitatea informatică datorită prezenţei în același loc a informaţiilor confidenţiale, cum ar fi cele privind identitatea, datele de contact, datele de facturare, istoricul medical etc.

Instituţiile medicale și serviciile financiare au fost domeniile cele mai vulnerabile pentru atacurile de tip ransomware, cu o rată de penetrare peste media globală, care a fost de 40% in anul 20161. Aceste industrii sunt printre cele mai dependente de informaţiile electronice, astfel încât sunt primele către care atacatorii se îndreaptă datorită faptului că sunt extrem de vulnerabile, neavând tehnologiile necesare detectării atacurilor sau copii de siguranţă (la zi) ale datelor relevante. Răscumpărarea medie pentru decriptarea datelor a crescut de 3 ori faţă de anul 2014 (de la 373$ în anul 2014, la 1077$ în anul 2016), iar 72% din instituţiile infectate cu ransomware și-au pierdut accesul la date pentru mai mult de 2 zile. Pierderile cauzate de ransomware la nivel global, în anul 2017, sunt previzionate a fi de peste 5 miliarde de dolari.

Principala provocare constă în creșterea nivelului de protecţie a datelor fără a împiedica accesul rapid al cadrelor medicale la informaţiile ce pot salva viaţa pacienţilor.
Din perspectivă europeană, 74% dintre europeni consideră că informaţiile medicale sunt informaţii personale. În același timp, doar 50% dintre români consideră că informaţiile medicale sunt informaţii personale.

VEEAM GDPRDin punctul de vedere al reglementărilor la nivelul UE privind protecţia datelor cu caracter personal (General Data Protection Regulation – GDPR, adoptat de Parlamentul European în aprilie 2016 și având termen de implementare în luna mai 2018), datele medicale sunt considerate categorii sensibile de date. Costurile generate de implementarea modificărilor aduse de GDPR, dar și măsurile punitive ce se preconizează, au făcut din transpunerea acestui Regulament un punct extrem de important atât pe agenda mediului privat, cât și public. Este și motivul pentru care New Strategy Center a organizat o dezbatere, reunind reprezentanţi ai autorităţilor direct implicate, ai mediului de afaceri și academic, beneficiind în același timp de prezenţa domnului Michael O’Neill, Chairman of the Board of Directors of OSREHA, care a prezentat modul în care sistemul american de sănătate a rezolvat problemele ridicate de asigurarea securităţii datelor medicale, precum și a prelucrării acestora.

O componentă extrem de importantă a siguranţei pacientului o reprezintă accesul la informaţiile medicale despre sine, iar acest aspect comportă un risc, în sensul în care informaţiile pot fi accesate de către persoane rău intenţionate și folosite în alte scopuri sau manipulate, oferind personalului medical date eronate despre pacient. Pe lângă această vulnerabilitate, specifică sistemelor informatice, ne mai confruntăm cu o vulnerabilitate generată de mentalitatea și comportamentul uman, deoarece, în cultură organizaţională această componentă a confidenţialităţii datelor este tratată cu superficialitate. În ce privește disponibilitatea datelor medicale, este absolut necesar și un sistem de validare a acestora, pentru că, la ora actuală, în sistemul de sănătate circulă date a căror validitate este discutabilă.

Standardele de acreditare elaborate de Autoritatea Naţională de Management al Calităţii în Sănătate au această componentă a siguranţei și securităţii datelor, încercând pe de o parte să modifice cultură organizaţională, atenţionând personalul medical și nu numai, ce poate avea acces la datele pacientului, asupra riscului utilizării neconforme a informaţiilor, precum și asupra faptului că administratorul de sistem trebuie să fie un ofiţer de securitate a datelor. Aceste standarde de acreditare ar trebui sa vizeze in egala masura si sistemele informatice pentru managementul activitatilor din cadrul spitalelor.

Pe lângă asigurarea securităţii și siguranţei datelor pacientului, mai există un aspect, și anume acela al proprietăţii asupra datelor. În domeniul sănătăţii, proprietatea pacientului asupra propriilor date trebuie să fie foarte clar reglementată, deoarece refuzul pacientului de a permite accesul la propriile date îl expune riscului asupra sănătăţii sale. Au existat numeroase discuţii cu asociaţiile de pacienţi, care solicitau ca pacientul să decidă care dintre datele sale pot fi accesate de către medic, ori această situaţie este poate mai riscantă decât aceea în care accesul este refuzat în totalitate.
Aceste aspecte ţin mai mult de educaţia populaţiei, iar, în acest caz, trebuie intervenit în sensul în care sistemele informatice care stochează aceste date trebuie să fie securizate și nu în sensul în care pacientul să decidă dacă datele sale medicale urmează să fie incluse sau nu în dosarul electronic de sănătate. Există un ordin comun al Ministerului Sănătăţii și CNAS care stipulează, dar nu foarte clar, obligativitatea înregistrării datelor medicale în dosarul electronic al pacientului, și, în continuare se poartă discuţii asupra aspectului etic, în încercarea de a se
ajunge la un compromis, în care dreptul pacientului de proprietate asupra propriilor date să fie respectat, dar nu în detrimentul accesului la informaţii medicale ce pot fi vitale pentru starea de sănătate a acestuia.

În ultima perioada se observă un trend pozitiv în ce privește utilizarea sistemelor informatice în managementul datelor medicale, mergând până la implementarea soluţiilor de inteligenţă artificială pentru susţinerea deciziilor medicale. Este de așteptat ca acest trend să se accelereze, fapt ce presupune o expunere și mai mare a datelor medicale către sisteme informatice care le vor prelucra, urmând ca, în viitorul nu foarte îndepărtat, inteligenţa
artificială să joace un rol tot mai important în fundamentarea deciziei medicale.

Exemplul SUA
O altă componentă a managementului datelor medicale ţine de mobilitatea acestora, respectiv de posibilitatea ca medicii să-și fundamenteze decizia medicală pe baza datelor pacientului disponibile pe un dispozitiv mobil personal.

În SUA, 84% dintre medici folosesc astfel de dispozitive pentru spriin în luarea deciziei medicale, iar peste 35% își bazează decizia pe informaţiile furnizate de aceste dispozitive mobile. Informaţiile disponibile pe aceste dispozitive sunt atât informaţii publice, cât și cele furnizate de pacient, iar din acest punct de vedere situaţia capătă o altă valenţă, deoarece informaţiile medicale despre pacient vor fi disponibile pe un suport informatic utilizat de către medic, dar care nu aparţine spitalului, fiind astfel greu de omologat din perspectiva securităţii. Va fi foarte dificil de impus medicilor să folosească anumite dispozitive standardizate sau formate de date standardizate.

Ca exemplu, sistemul normativ american, HIPA, dedicat sistemului medical, abordează cel mai bine la nivel internaţional managementul datelor pacienţilor. Acesta identifica prin numere unice toţi medicii și instituţiile parte din actul medical (farmacii, spitale, instituţii de asigurări), iar un up-date din 2013 a mărit aria de acoperire a acestor entităţi și la asociaţii de business ale celor care furnizează servicii medicale sau sunt implicaţi în actul medical. Din perspectiva americană, standardele aplicate sistemelor informatice de sănătate sunt foarte importante pentru asigurarea securităţii informaţiilor, dar și pentru asigurarea interoperabilităţii sistemelor ce le folosesc.

Aceste standarde privesc:
– Criptarea datelor medicale și stocarea lor;
– Arhitectura documentelor clinice;
– Autentificarea și autorizarea utilizatorului de date medicale;
– Distribuirea informaţiilor clinice în cadrul aceleași unităţi medicale (ex: între radiologie, laborator, farmacie, dispozitivele electronice, etc), dar și a informaţiilor financiare și administrative;
– Comunicarea dintre o unitate medicală și alte sisteme.
Toate acestea sunt standarde tehnice, și, deși sistemul de sănătate evoluează în sensul creșterii calităţii serviciilor și a optimizării costurilor, recomandarea este de a nu dezvolta standarde noi. În schimb, dacă vorbim de standardizarea unei politici, a unei proceduri, practici sau ghid de implementare, aceasta este aria în care autorităţile, industria de servicii medicale, zona de cercetare trebuie să lucreze împreună.
Ghidurile de implementare sau de bune practici sunt extrem de folositoare furnizorilor de servicii medicale în alegerea celor mai potrivite standarde pe care să le implementaze. Aici intervine aspectul voluntar al implementării standardelor. De asemenea, companiile au la dispoziţie o platformă ce facilitează comunicarea specialiștilor, pentru a înţelege funcţionarea anumitor standarde și pentru testarea lor, înainte de a fi implementate în cadrul unei unităţi
medicale.

În același timp, anumite standarde sunt obligatorii a fi implementate corect și complet, pentru a asigura securitatea datelor și, în unele cazuri, pentru a asigura siguranţa pacientului, și aici vorbim despre certificare. Pentru a încuraja implementarea și utilizarea de softuri care să gestioneze datele medicale, autorităţile americane au utilizat sistemul recompensă/penalizare, în special de ordin financiar. Sistemul este destul de complex, în sensul în care autorităţile
impun anumite cerinţe pe care softul trebuie să le îndeplinească, apoi intervin companiile de certificare care oferă testare și certificare producătorilor de soft. Astfel, utilizatorii finali ai acestor soft-uri, doctorii și unităţile medicale, implementează și utilizează soft-uri certificate.
În plus, orice modificare a unui soft necesită o re-certificare.

Având deja exemplul SUA, pentru România este clar că avem nevoie de un cadru legislativ puternic. Există un început, prin GDPR, care include datele medicale în setul de date cu caracter personal, supunându-le astfel acelorași rigori, doar că HIPA, sistemul american este mai avansat decât GDPR – este un concept, nu doar o protecţie a datelor personale. Pe lângă DPO (Data Protection Officer), care este instituţionalizat prin GDPR, prin HIPA există un administrator la nivel naţional, un CIO al sistemul medical american, care este resonsabil cu gestionarea datelor din sistem și care stabilește, prin omologii săi, la nivelul spitalelor și unităţilor medicale, implementarea regulilor de securitate. Este o piaţă dificilă, pentru că va impune investiţii în zona de securitate, pe care unităţile medicale nu știu să le gestioneze în acest moment.

Astfel, pe lângă investiţia financiară, se va pune problema unui management al acestui sistem, care va trebui reglementat, și este clar că va trebui să ne folosim de GDPR ca de o oportunitate prin care să adăugăm acestui sistem valenţele de care are nevoie, pentru a ne asigura că datele medicale sunt bine protejate.