Šių metų pavasarį priimti sprendimai reikšmingai išplėtė Valstybinės ligonių kasos (toliau – VLK) vaidmenį sveikatos duomenų ekosistemoje: VLK tampa „e. sveikatos“ tvarkytoja ir naujai įsteigtos Vieningos ligoninių išteklių valdymo ir sąnaudų apskaitos informacinės sistemos (toliau – VLIVAS IS) valdytoja. Lietuvos verslo konfederacijos (toliau – LVK) vertinimu, VLK tapimas centrine dviejų itin jautrių sveikatos sistemų figūra reikalauja didesnio valstybės dėmesio. Reaguodama į VĮ Registrų centro duomenų saugumo incidentą, LVK ragina neapsiriboti šio atvejo tyrimu ir nedelsiant įvertinti „e.sveikatos“ ir VLIVAS IS, kuriose kaupiami vieni jautriausių Lietuvos gyventojų duomenų, atsparumą.

LVK prezidento Andriaus Romanovskio teigimu, Registrų centro incidentas, kurio metu galėjo būti neteisėtai nukopijuota daugiau kaip 600 tūkst. registrų įrašų, išryškino duomenų sistemų Lietuvoje spragas.

LVK pabrėžia, kad Registrų centro incidentas negali būti vertinamas tik kaip vienos institucijos problema. Registrų centras yra nacionaliniam saugumui svarbi įmonė, kuriai taikomi griežti nacionalinio ir kibernetinio saugumo reikalavimai. Vis dėlto net toks reguliacinis režimas neužkirto kelio incidentui. Būtent todėl, LVK vertinimu, Registrų centro skandalas turi tapti atskaitos tašku vertinant „e. sveikatos“ ir kitų sveikatos duomenų sistemų saugumą. Sveikatos duomenys pagal savo pobūdį yra dar jautresni – jie apima informaciją apie žmogaus diagnozes, gydymą, receptus, tyrimus ir sveikatos istoriją.

Pasak A. Romanovskio, verslui neramu, kad ypatingos svarbos duomenų valdytoju ir tvarkytoju taps institucija, kuri iki šiol su tuo neturėjo nieko bendro.

„Valstybinė ligonių kasa iš sveikatos finansavimo ir draudimo lėšų administravimo institucijos tampa centrine nacionalinės sveikatos duomenų infrastruktūros grandimi. Tai nėra paprastas funkcijų perskirstymas. Tai pokytis, kuris turi būti vertinamas per nacionalinio saugumo, kibernetinio atsparumo ir pacientų duomenų apsaugos prizmę“, – pabrėžia Andrius Romanovskis.

Ypatingą susirūpinimą LVK kelia tai, kad VLK tampant tiek sveikatos duomenų tvarkytoja, tiek valdytoja, šis vaidmens išplėtimas nėra lydimas būtinų nacionalinio saugumo ir kibernetinio atsparumo garantijų. Sveikatos duomenims taikomi itin griežti tvarkymo reikalavimai, todėl jų apsaugai turi būti keliami aukščiausi saugumo standartai. Tai reiškia, kad tokiems duomenims būtini dar griežtesni saugumo reikalavimai nei Registrų centro tvarkomiems duomenims, kurių apsaugos užtikrinti nepavyko.

Dar viena problema – nevienodi saugumo režimai. Registrų centrui, kaip nacionaliniam saugumui svarbiai įmonei, taikomi sandorių atitikties nacionalinio saugumo interesams patikros reikalavimai. Tuo tarpu VLK, nors jos vaidmuo tvarkant sveikatos duomenis plečiamas, šiuo metu nėra saistoma analogišku sandorių patikros režimu. Tai reiškia, kad trečiosios šalys, kurioms gali būti suteikiama prieiga prie jautrių sveikatos duomenų sistemų ar jų infrastruktūros, gali nepatekti į tokio pat lygio nacionalinio saugumo patikrą.

„Tai paradoksas: Registrų centrui, kuris tvarko mažiau jautrius duomenis, taikomi griežtesni nacionalinio saugumo reikalavimai nei institucijai, kurios vaidmuo sveikatos duomenų sistemose sparčiai plečiamas. Bendras sistemos saugumas visada yra toks stiprus, kokia yra silpniausia jos grandis“, – sako A. Romanovskis.

LVK siūlo, kad sandorių atitikties nacionalinio saugumo interesams patikros reikalavimai būtų taikomi ne tik nacionaliniam saugumui svarbioms įmonėms, bet ir visoms institucijoms, kurios valdo, tvarko ar prižiūri valstybines informacines sistemas, registrus ar kadastrus, kuriuose tvarkomi ypatingos svarbos arba svarbūs valstybės informaciniai ištekliai.

Taip pat siūloma konsoliduoti kritinių valstybės informacinių sistemų tvarkymo kompetencijas, stiprinti finansavimą, reguliarius auditus, testavimą, veiklos tęstinumo planus ir aiškią atsakomybės grandinę.

„Po Registrų centro skandalo valstybė turi dvi galimybes. Pirmoji – tirti šį incidentą ir tikėtis, kad kitas neįvyks. Antroji – pripažinti, kad tai yra sisteminis perspėjimas. Mes raginame rinktis antrą kelią, nes sveikatos duomenų incidentas būtų nepalyginamai skaudesnis. Šiandien dar galime sustiprinti saugiklius. Po kito incidento bus galima tik skaičiuoti žalą“, – teigia LVK prezidentas.

LVK pabrėžia, kad sveikatos duomenų kompromitavimas būtų ne tik privatumo pažeidimas. Tai galėtų turėti tiesioginių pasekmių gydymo prieinamumui, sveikatos priežiūros sistemos veikimui ir žmonių pasitikėjimui valstybe.

#VerslasLietuvai