Strona główna Radio Elbląg
Posłuchaj
Pogoda
Elbląg
DZIŚ: 2 °C pogoda dziś
JUTRO: 10 °C pogoda jutro
POSŁUCHAJ

Kontrolerzy NIK sprawdzili ochronę danych pacjentów. „Wnioski są bardzo niepokojące”

Fot. M. Lewiński

O wieloletnich zaniedbaniach dotyczących cyberbezpieczeństwa mówią pracownicy NIK, którzy przedstawili wyniki kontroli przeprowadzonych w siedmiu placówkach medycznych w regionie.

Kontrolerzy sprawdzali ochronę danych pacjentów przed cyberatakami od początku 2020 roku do pierwszej połowy 2023 roku. Wykazano 55 nieprawidłowości, 12 z nich usunięto w trakcie kontroli, a 6 w trakcie realizacji wniosków pokontrolnych.

Niestety, ale wnioski z tej kontroli są bardzo niepokojące. Kontrole od wielu lat wykazują niezmienne, wieloletnie zaniedbania dotyczące cyberbezpieczeństwa, bezpieczeństwa danych osobowych, infrastruktury informatycznej, niedostatecznej wiedzy i szkoleń pracowników, jak i wykorzystywania nieaktualnego lub nieprawidłowo skonfigurowanego oprogramowania

– powiedział na konferencji prasowej p.o. dyrektora Delegatury Najwyższej Izby Kontroli w Olsztynie Mariusz Lenkiewicz.

Kontrola dotyczyła 6 szpitali i jednego ośrodka zdrowia. NIK sprawdziła Miejski Szpital Zespolony w Olsztynie, Samodzielny Publiczny Zakład Opieki Zdrowotnej w Działdowie, Szpital Miejski św. Jana Pawła II w Elblągu, Szpital Mrągowski im. Michała Kajki Sp. z o.o., Szpital Powiatowy Sp. z o.o. w Pasłęku, Giżycką Ochronę Zdrowia Sp. z o.o. i Samodzielny Gminny Zakład Opieki Zdrowotnej w Dywitach.

Na przykład w mrągowskim szpitalu ujawniono, że przez foldery systemowe, takie jak pulpit, obrazy lub moje dokumenty, na 7 stanowiskach komputerowych wykorzystywanych przez lekarzy i pielęgniarki możliwy był dostęp praktycznie każdego użytkownika do znajdujących się w tych folderach plików zawierających dane osobowe pacjentów

– dodał kontroler NIK Bartosz Kościukiewicz. Były to imiona i nazwiska pacjentów, ale też numery pesel, adresy zamieszkania, zlecenia badań laboratoryjnych, skierowania. Były też skany dowodów osobistych i paszportów.

W giżyckim szpitalu nie wywiązano się z obowiązku aktualizacji dokumentacji dotyczącej cyberbezpieczeństwa. Z kolei pracownik personelu medycznego w Szpitalu Miejskim w Olsztynie pracował w systemie informatycznym korzystając z konta innego użytkownika, nie obowiązywały też wymogi dotyczące złożoności haseł.

Natomiast na stacjach roboczych w ośrodku zdrowia w Dywitach oprogramowanie antywirusowe nie było aktualne. Problem dotyczył także portów USB, które – mimo zaleceń – nie były zablokowane – ani fizycznie, ani systemowo.

W Szpitalu Miejskim w Elblągu skontrolowano ponad 800 upoważnień do przetwarzania danych osobowych z lat 2016-2023. Ponad połowa z nich została sporządzona dopiero w trakcie kontroli NIK. Jak zeznał inspektor ochrony danych osobowych, brakujące upoważnienia wytworzył w listopadzie 2023 roku na potrzeby naszej kontroli

– dodała kontroler NIK Beata Saba.

O tej sprawie powiadomiono prokuraturę.

Nie mieliśmy wątpliwości, że należy organy ścigania w tym kontekście powiadomić

– podkreślał dyrektor Lenkiewicz.

Szczęśliwie w żadnej z kontrolowanych jednostek, mimo nieprawidłowości, nie doszło do wycieku danych. Kontrolerzy NIK podkreślają, że efekty ich pracy mają przede wszystkim zadziałać profilaktycznie, by inne urzędy, instytucje i placówki publiczne, lepiej zadbały o cyberbezpieczeństwo.

Chcemy, by przyszłe nasze kontrole wskazywały na zmianę postaw i stanów faktycznych na poprawę sytuacji w zakresie bezpieczeństwa, w tym bezpieczeństwa danych osobowych

– dodał Mariusz Lenkiewicz.

Na konferencji prasowej wielokrotnie podkreślał także, że pracownicy NIK liczą, że nagłośnienie wniosków pokontrolnych w mediach wpłynie na zmianę postaw i podjęcie działań naprawczych także w jednostkach, które nie były objęte kontrolą.

Pamiętajmy, że niezabezpieczone dane mogą paść łupem hakerów. Polska jest w czołówce państw Europy Centralnej, które stanowią cel ataków cybernetycznych w 2024 roku. Co tydzień polskie organizacje atakowane są średnio 1430 razy.

Posłuchaj relacji Marka Lewińskiego

Autor: M. Lewiński
Redakcja: A. Niebojewska