Najwyższa Izba Kontroli sprawdziła szpitale i przychodnie z województwa warmińsko-mazurskiego pod kątem ochrony danych pacjentów przed cyberatakami oraz ich rzetelnego przetwarzania i stwierdziła, że nie przestrzegano w tym zakresie zarówno wewnętrznych regulacji, jak i obowiązujących przepisów dotyczących bezpieczeństwa informacji. Dostęp do danych medycznych pacjentów w systemach informatycznych miała część personelu niemedycznego, a także byli pracownicy placówek. Odnotowano również poświadczanie nieprawdy podczas wytwarzania dokumentów.
Kontrola przeprowadzona przez Delegaturę NIK w Olsztynie dotyczyła lat 2020-2023 i objęła sześć szpitali i jeden ośrodek zdrowia. Były to: Miejski Szpital Zespolony w Olsztynie, Samodzielny Publiczny Zakład Opieki Zdrowotnej w Działdowie, Szpital Miejski św. Jana Pawła II w Elblągu, Szpital Mrągowski im. Michała Kajki Sp. z o.o., Szpital Powiatowy Sp. z o.o. w Pasłęku, Giżycka Ochrona Zdrowia Sp. z o.o. oraz Samodzielny Gminny Zakład Opieki Zdrowotnej w Dywitach.
Minister Zdrowia uznał w lipcu 2022 roku trzy z siedmiu skontrolowanych podmiotów za operatorów świadczących usługi kluczowe (OUK), mające najważniejsze znaczenie dla krytycznej działalności społecznej lub gospodarczej państwa.
W przypadku jednego z nich ustalono szereg nieprawidłowości, takich jak niewdrożenie w terminie systemu zarządzania bezpieczeństwem informacji (SZBI) oraz nieuruchomienie systemu, który zapewniałby systematyczne szacowanie ryzyka wystąpienia incydentu. Ponadto nieterminowo aktualizowano dokumentację dotyczącą cyberbezpieczeństwa systemu informacyjnego, wykorzystywanego do świadczenia usługi kluczowej oraz nieterminowo zamieszczono na stronie internetowej szpitala informacje zapewniające użytkownikom objaśnienie zagrożeń cyberbezpieczeństwa i sposobów zabezpieczania się przed nimi.
Pozostałe cztery skontrolowane podmioty miały obowiązek realizować działania w zakresie bezpieczeństwa informacji na podstawie przepisów rządowego rozporządzenia z 2012 roku w sprawie Krajowych Ram Interoperacyjności (KRI), minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.
Nieprawidłowości w zakresie dostępu do systemu
NIK stwierdziła wiele nieprawidłowości w kontrolowanych placówkach. We wszystkich część personelu niemedycznego miała dostęp do danych medycznych pacjentów w systemach informatycznych w nich funkcjonujących, przy czym w dwóch z nich (Olsztyn i Elbląg) wystąpiły w tym zakresie nieprawidłowości. W Szpitalu Miejskim w Olsztynie czterech pracowników niemedycznych miało dostęp do systemu Optimed NXT, choć nie wykonywali oni czynności pomocniczych przy udzielaniu świadczeń opieki zdrowotnej lub związanych z utrzymaniem systemu teleinformatycznego. W Szpitalu Miejskim w Elblągu z opóźnieniem zaktualizowano upoważnienia 14 pracowników.
W szpitalu w Elblągu spośród 30 zweryfikowanych pracowników medycznych, w 11 przypadkach upoważnienia do przetwarzania danych osobowych wydano w sposób niezgodny z obowiązującym wzorem, zaś w przypadku trzech pracowników upoważnienia były wydane od 371 do 1580 dni po dacie nadania uprawnień do systemu informatycznego. Ponadto 435 pracowników miało dostęp do danych medycznych bez nadanych pisemnych upoważnień.
Z kolei w szpitalu w Olsztynie, spośród 30 zweryfikowanych pracowników medycznych, dwóch posiadało dostęp do danych pacjentów z oddziałów szpitalnych, na których nie świadczyli pracy, 24 pielęgniarki nie posiadały upoważnienia do przetwarzania danych osobowych pacjentów, a dwie kolejne zostały dopuszczone do przetwarzania danych bez stosownego upoważnienia do ich przetwarzania oraz bez polecenia administratora.
Osoby postronne i byli pracownicy z dostępem do danych
W Szpitalu Mrągowskim ujawniono, że przez foldery systemowe (pulpit, obrazy, pobrane, dokumenty) siedmiu stanowisk komputerowych wykorzystywanych przez lekarzy i pielęgniarki, możliwy był swobodny dostęp każdego użytkownika danego stanowiska, a także innych osób. Osoby postronne miały więc dostęp, między innymi do znajdujących się w tych folderach plików z informacjami zawierającymi: dane osobowe pacjentów (imię, nazwisko, pesel, adres zamieszkania, data urodzenia), rodzaje badań laboratoryjnych, rozpoznania, daty rozpoczęcia oraz zakończenia zabiegu, rodzaje wykonanych zabiegów, zalecone badania diagnostyczne, opis uzasadnienia konieczności niezwłocznej hospitalizacji, skierowanie do szpitala czy dane lekarza. Informacje zawarte w tych plikach były zapisane w postaci skanów (dowody osobiste, paszporty, karty ekuz), zrzutów z ekranu , kart segregacji medycznej oraz wykazów w postaci różnego rodzaju zestawień.
W szpitalu w Elblągu pracownicy medyczni (lekarze i pielęgniarki) mieli niezabezpieczony dostęp do systemu Windows. W Szpitalu Miejskim w Olsztynie jeden z pracowników personelu medycznego pracował w systemie informatycznym korzystając z konta innego użytkownika. W SGZOZ w Dywitach na jednej ze stacji roboczych brakowało oprogramowania antywirusowego, zaś na kolejnej stacji baza wirusów takiego oprogramowania była nieaktualna. Ponadto w ośrodku tym porty usb nie były zablokowane ani fizycznie ani systemowo, a ustawienia wartości poziomu zabezpieczeń dostępu do systemu obsługi miały wartości minimalne.
W okresie objętym kontrolą w badanych podmiotach zakończyło pracę 473 pracowników. W związku z tym tylko w dwóch jednostkach (Działdowo i Mrągowo) prawidłowo odebrano dostęp do systemów informatycznych z danymi pacjentów wszystkim byłym pracownikom. W pozostałych pięciu jednostkach stwierdzono nieprawidłowości. Odnotowano 14 przypadków logowania się do wspomnianych systemów po ustaniu stosunku pracy. Najgorzej sytuacja wyglądała w szpitalu w Elblągu: 80 byłych pracowników posiadało w okresie zatrudnienia dostęp do systemów z danymi medycznymi, który został im odebrany wiele dni po ustaniu zatrudnienia, z czego 48 osobom dopiero w trakcie kontroli NIK. Również w Szpitalu Miejskim w Olsztynie odnotowano podobne nieprawidłowości oraz logowanie byłych pracowników do systemu informatycznego zawierającego dane medyczne.
Tylko w jednej ze skontrolowanych jednostek miał miejsce incydent zagrażający bezpieczeństwu systemu informacyjnego. W Giżyckiej Ochronie Zdrowia Sp. z o.o. w lipcu 2022 roku wystąpił tzw. atak hakerski, mający na celu zaszyfrowanie danych, w wyniku którego utracono czasowo dane dotyczące części komórek administracyjnych szpitala.