Infrastruktura IT utrzymywana w szpitalu czy rozwiązanie chmurowe od zewnętrznego dostawcy? Rozbudowany zespół doświadczonych informatyków, czy wręcz odwrotnie? Pytań, jak i możliwości jest wiele. Co wybrać, aby cyfrowa transformacja szpitala zakończyła się sukcesem? Jakie warunki muszą być spełnione m.in. w kontekście organizacji pracy jednostki, jak i cyberbezpieczeństwa?
Z perspektywy dostawcy, aby cyfryzacja szpitala przebiegała efektywnie istotne jest, jak przedstawiciele obszaru IT współpracują z dyrekcją. Tam, gdzie szef działu informatyki bezpośrednio odpowiada przed dyrektorem szpitala, albo jest jego pełnomocnikiem, działania odbywają się sprawnie. Jest pełne zrozumienie, a przede wszystkim decyzje zapadają szybciej.
Istotną kwestią są także umowy podpisywane z wykonawcami. Świadomość klientów w ciągu ostatnich dwóch-trzech lat widocznie wzrosła w tym zakresie. Ich oczekiwania względem wykonawców są na zupełnie innym poziomie i również oni bardziej przykładają się do negocjowania właściwych zapisów w tych umowach.
Należy także pamiętać, że informatyka w szpitalach to nie tylko software i infrastruktura, ale przede wszystkim organizacja. Wdrożenie właściwych procesów w codziennej pracy jednostki oraz pełna świadomość dyrekcji, co do konieczności ich kształtowania, znaczenie podnoszą sprawność działania systemu informatycznego.
Hurtowe ilości danych
Coraz większa ilość cyfrowych danych generowanych przez jednostki służby zdrowia sprawia, że hurtownie danych stają się nieodłącznym elementem funkcjonowania szpitala. Systemy HIS są bowiem nastawione na rejestrowanie danych bieżących, a tylko w niewielkim zakresie tych historycznych. Hurtownia danych natomiast porządkuje i w sposób ustandaryzowany przechowuje informacje z bardzo różnych źródeł: obrazowe, diagnostyczne, liczbowe oraz opisowe.
Hurtownia danych może stanowić wewnętrzną część infrastruktury szpitala, jak również być udostępniana przez zewnętrznego dostawcę w modelu chmurowym. Wiele wskazuje na to, że trend przenoszenia szpitalnej informatyki do chmury będzie się coraz intensywniej rozwijał. Jednym z powodów jest bezpieczeństwo. Dane osadzone w hurtowniach cyfrowych w chmurze są bowiem dużo lepiej zabezpieczone niż te, które są przechowywane w dziesiątkach czy setkach miejsc w ramach szpitalnej infrastruktury. Kolejnym argumentem są kwestie ekonomicznie i coraz bardziej ograniczony dostęp do informatyków. W ciągu najbliższych kilku lat pozostanie może kilkanaście największych szpitali, które będą dysponowały wystarczającą infrastrukturą do przetwarzania coraz potężniejszych hurtowni danych. Oznacza to, że rozwiązania chmurowe są przyszłością i warto z nich korzystać do czego wręcz zachęca polski prawodawca w Uchwale Nr 6 Rady Ministrów z dnia 11 stycznia 2022 r. w sprawie przyjęcia Polityki zakupowej państwa.
Cyberbezpieczeństwo w polskich szpitalach
Cyfryzacja organizacji niesie ze sobą niezliczone korzyści, ale też podstawowe zagrożenie – cyberataki. Jak w tym kontekście wygląda sytuacja polskich szpitali? Analizując bezpieczeństwo w sieci można przyjąć, że w najprostszym ujęciu składa się ono z 3 poziomów. Pierwszym są aplikacje. Istotna jest poprawność ich konstrukcji oraz zabezpieczeń. W polskim sektorze ochrony zdrowia są one na przyzwoitym poziomie. Przechodzą testy wewnętrzne. Ponadto odbywają się ich odbiory, podczas których testowane są scenariusze bezpieczeństwa. Dzieje się tak np. w kontekście aplikacji dla Ministerstwa Zdrowia.
Drugi poziom to infrastruktura. W tym obszarze jest już zdecydowanie gorzej. Istnieją dedykowane urządzenia brzegowe, które separują daną sieć od świata zewnętrznego i kontrolują poprawność przekazywanych w obie strony informacji. Takie rozwiązania są w dużej mierze odporne na ataki. Niestety są one tylko w niewielkim stopniu wykorzystywane w naszym szpitalnictwie, nie mówiąc już o POZ, gdzie ich w ogóle nie ma. Można je spotkać tylko w największych szpitalach, a mimo to często ich możliwości nie są w pełni wykorzystywane. Wynika to z tego, że są one kupowane i wmontowywane do infrastruktury informatycznej danej jednostki z ustawieniami fabrycznymi. Brakuje ich prawidłowej konfiguracji. Oprogramowanie tzw. firmware często nie jest aktualizowane. Ponadto szpitale w swoich umowach utrzymaniowych bardzo rzadko zawierają ten element bezpieczeństwa sieci, co tylko pogłębia problem.
Ostatni poziom to czynnik ludzki i kultura organizacyjna szpitala. Jest to najsłabszy element. Nie bez przyczyny ataki hackerskie zaczynają się zwykle od stacji użytkowników. Do nich najłatwiej jest się dostać i przeprowadzić atak na serwery. Dlaczego? Użytkownicy nie dbają o poziom bezpieczeństwa haseł. Ponadto często zdarza się, że są one na danym oddziale powszechnie znane. Bywa tak, że ze względu na brak czasu np. na SORze jedno hasło obowiązuje dla wszystkich, żeby nie tracić czasu na przelogowanie się. Taki poziom bezpieczeństwa jest stanowczo za niski w stosunku do aktualnych zagrożeń.
Cyfryzacja szpitali, a co się z tym wiąże elektroniczna dokumentacja medyczna i coraz szersza paleta kolejnych e-usług może przynieść wiele korzyści dla pacjentów, placówek i systemu. Wszyscy jednak powinniśmy na ten rozwój pracować. Niezbędne są bowiem odpowiednie normy prawne, finansowanie, a przede wszystkim wzajemna współpraca i otwartość na nowe rozwiązania.
Krzysztof Groyecki, Wiceprezes Zarządu Asseco Poland
Autor był uczestnikiem debaty „Wyzwania e-Zdrowia”, która odbyła się podczas VII Kongresu Wyzwań Zdrowotnych