Šiandien įvykęs kibernetinis incidentas Valstybinėje akreditavimo sveikatos priežiūros veiklai tarnyboje (toliau – VASPVT), per kurį buvo pavogti duomenys apie šalies medikus, išryškino sveikatos sektoriaus duomenų saugumo spragas. Kartu su VĮ Registrų centro duomenų saugumo incidentu šis atvejis, Lietuvos verslo konfederacijos (toliau – LVK) vertinimu, rodo tendencingą Lietuvos duomenų saugos spragų išnaudojimą. Reaguodama į tai, LVK ragina nedelsiant įvertinti „e. sveikatos“ ir naujai įsteigtos Vieningos ligoninių išteklių valdymo ir sąnaudų apskaitos informacinės sistemos (toliau – VLIVAS IS), kuriose kaupiami vieni jautriausių Lietuvos gyventojų duomenų, atsparumą kibernetinėms grėsmėms.

Šių metų pavasarį priimti sprendimai reikšmingai išplėtė Valstybinės ligonių kasos (toliau – VLK) vaidmenį sveikatos duomenų ekosistemoje: VLK tampa „e. sveikatos“ tvarkytoja ir naujai įsteigtos VLIVAS IS valdytoja. Lietuvos verslo konfederacijos (toliau – LVK) vertinimu, VLK tapimas centrine dviejų itin jautrių sveikatos sistemų figūra reikalauja didesnio valstybės dėmesio.

Pasak A. Romanovskio, verslui neramu, kad jau antrą kartą nutekant valstybinės reikšmės duomenims, ypatingos svarbos duomenų valdytoju ir tvarkytoju taps institucija, kuri iki šiol su tuo neturėjo nieko bendro.

„Valstybinė ligonių kasa iš sveikatos finansavimo ir draudimo lėšų administravimo institucijos tampa centrine nacionalinės sveikatos duomenų infrastruktūros grandimi. Tai nėra paprastas funkcijų perskirstymas. Tai pokytis, kuris turi būti vertinamas per nacionalinio saugumo, kibernetinio atsparumo ir pacientų duomenų apsaugos prizmę“, – pabrėžia Andrius Romanovskis.

LVK pabrėžia, kad Registrų centras yra nacionaliniam saugumui svarbi įmonė, kuriai taikomi griežti nacionalinio ir kibernetinio saugumo reikalavimai. Vis dėlto net toks reguliacinis režimas neužkirto kelio incidentui. Nerimą sustiprina žinios apie kibernetinį incidentą, kurio metu pasisavinta daugiau nei 60 tūkst. įrašų apie Lietuvos medikus.

Todėl, LVK vertinimu, šie incidentai turi tapti atskaitos tašku vertinant „e. sveikatos“ ir kitų sveikatos duomenų sistemų saugumą. Sveikatos duomenys pagal savo pobūdį yra ypač jautrūs – jie apima informaciją apie žmogaus diagnozes, gydymą, receptus, tyrimus ir sveikatos istoriją.

Ypatingą susirūpinimą LVK kelia tai, kad VLK tampant tiek sveikatos duomenų tvarkytoja, tiek valdytoja, šis vaidmens išplėtimas nėra lydimas būtinų nacionalinio saugumo ir kibernetinio atsparumo garantijų. Sveikatos duomenims taikomi itin griežti tvarkymo reikalavimai, todėl jų apsaugai turi būti keliami aukščiausi saugumo standartai. Tai reiškia, kad tokiems duomenims būtini dar griežtesni saugumo reikalavimai nei Registrų centro tvarkomiems duomenims, kurių apsaugos užtikrinti nepavyko.

Dar viena problema – nevienodi saugumo režimai. Registrų centrui, kaip nacionaliniam saugumui svarbiai įmonei, taikomi sandorių atitikties nacionalinio saugumo interesams patikros reikalavimai. Tuo tarpu VLK, nors jos vaidmuo tvarkant sveikatos duomenis plečiamas, šiuo metu nėra saistoma analogišku sandorių patikros režimu. Tai reiškia, kad trečiosios šalys, kurioms gali būti suteikiama prieiga prie jautrių sveikatos duomenų sistemų ar jų infrastruktūros, gali nepatekti į tokio pat lygio nacionalinio saugumo patikrą.

„Tai paradoksas: Registrų centrui, kuris tvarko mažiau jautrius duomenis, taikomi griežtesni nacionalinio saugumo reikalavimai nei institucijai, kurios vaidmuo sveikatos duomenų sistemose sparčiai plečiamas. Bendras sistemos saugumas visada yra toks stiprus, kokia yra silpniausia jos grandis“, – sako A. Romanovskis.

LVK siūlo, kad sandorių atitikties nacionalinio saugumo interesams patikros reikalavimai būtų taikomi ne tik nacionaliniam saugumui svarbioms įmonėms, bet ir visoms institucijoms, kurios valdo, tvarko ar prižiūri valstybines informacines sistemas, registrus ar kadastrus, kuriuose tvarkomi ypatingos svarbos arba svarbūs valstybės informaciniai ištekliai.

Taip pat siūloma konsoliduoti kritinių valstybės informacinių sistemų tvarkymo kompetencijas, stiprinti finansavimą, reguliarius auditus, testavimą, veiklos tęstinumo planus ir aiškią atsakomybės grandinę.

„Po Registrų centro ir VASPVT skandalų valstybė turi pripažinti, kad tai yra signalai, perspėjantys apie sisteminę valstybės duomenų saugos problemą. Mes raginame imtis saugumo prevencijos veiksmų jau dabar ir sustiprinti saugiklius. Tolimesni incidentai gali būti dar skaudesni ir teks tik skaičiuoti dėl jų patirtą žalą“, – teigia LVK prezidentas.

LVK pabrėžia, kad sveikatos duomenų kompromitavimas yra ne tik privatumo pažeidimas. Tai turi tiesioginių pasekmių gydymo prieinamumui, sveikatos priežiūros sistemos veikimui ir žmonių pasitikėjimui valstybe.

#VerslasLietuvai