Sistemul de sănătate românesc nu a făcut o prioritate din implementarea principiilor GDPR

Mie nu mie se poate întâmpla, am băieți tineri și destepți la IT” este argumentul unui manager de spital din România pentru a justifica lipsa de interes, de resurse și de timp pentru a implementa procedurile și principiile specifice Regulamentului UE 679/2016. Din păcate, în sistemul sanitar românesc, gradul de implementare a principiilor GDPR nu este unul ridicat, cele mai multe unități sanitare având o preocupare în acest sens doar după data de 25 mai 2018, de când este aplicabil Regulamentul 679/2016. Chiar și această preocupare este de multe ori una superficială, de exemplu numirea unui DPO s-a făcut, în multe spitale din România, în aprilie 2019, și asta datorită unui formular de autoevaluare impus de ANMCS, fără a acorda atenție și celorlate obligații specifice operatorilor. Să nu uităm că numirea unui DPO este obligatorie pentru autoritățile publice, organizațiile care monitorizează sistematic și prelucrează date personale pe scară largă, și nu are nici o legatură cu numărul angajaților sau domeniul de activitate. Sunt trei întrebări la care autoritățile române și managerii spitalelor trebuie să găsească răspunsuri cât mai curând: ”De ce sunt vizate spitalele din România?”, ”De ce sunt așa de multe incidente în domeniul sanitar?” și, poate cea mai importantă întrebare, ”Putem evita să devenim ținta unui atac cibernetic?”.
Spitalele sunt o țintă a atacurilor ransomware în toată lumea, nu doar în România. Foarte multe astfel de incidente au fost raportate de spitale și înainte de 25 mai 2018, dar în ultimii ani am observat că specialiștii vorbesc despre o creștere exponențială a numărului de cazuri. Numai în luna iunie 2019 au fost raportate 5 atacuri severe aplicate simultan asupra a cinci spitale mari din România.
Trebuie să știm încă de la început că Ransomware-ul este un virus sau mai bine spus un software malițios care blochează accesul la fișierele stocate într-un sistem informatic, solicitând plata unei sume de bani în schimbul redobândirii accesului la acestea. De cele mai multe ori, fișierele criptate de malware nu pot fi decriptate nici după efectuarea plății către atacatori. Acest tip de malware nu urmărește o vulnerabilitate a sistemului informatic ci o eroare umană, de cele mai multe ori fiind transmis ca atașament al unui e-mail, sub forma unei facturi, a unei comenzi sau alt tip de document, păcălind astfel utilizatorii mai puțin conștienți sau vigilenți. Interesant este faptul că acest tip de malware nu ar fi putut depăși filtrele antivirușurilor existenți pe piață, ceea ce subliniază o primă problemă din spatele acestui atac în spitalele din România: spitalele atacate nu aveau sisteme antivirus actualizate, iar angajații acestora nu au fost instruiți cu privire la identificarea unor asemenea atacuri.
La o analiză mai atentă a infrastructurii din domeniul sanitar românesc identificăm încă un număr mare de echipamente conectate care nu beneficiază de ultimele patchuri de securitate sau chiar folosesc sisteme de securitate care nici măcar nu mai sunt actualizate de producători. De exemplu Windows XP, care nu mai beneficiază de suport și actualizare din partea Microsoft, este folosit în continuare pe scară largă în sistemul sanitar românesc, făcând posibilă funcționarea aparatelor de radiografii dentare, RMN-uri sau CT-uri. Prin infectarea unuia dintre aceste computere cu sistem de operare învechit se poate infecta apoi foarte simplu întreaga rețea.
Evident, ne întrebăm de ce nu sunt așa de ușor de înlocuit aceste sisteme de operare învechite și răspunsul ar trebui sa îl căutăm fie la producătorii de echipamente medicale, care ar trebui să actualizeze gratuit softurile de interfață cu echipamentul, astfel încât să funcționeze în aceiași parametrii și pe sistemele de operare mai noi, fie la managementul unităților medicale care au amânat investițiile în sisteme noi de operare din lipsă de fonduri sau pur și simplu pentru că echipamentele funcționează normal, chiar dacă sunt vulnerabile în fața atacurilor cibernetice.
În urma unei investigații derulate de specialiști în securitate cibernetică din cadrul CERT-RO, Cyberint și Bitdefender, s-a constatat că formele de malware responsabile de atacurile cibernetice recente, asupra unor spitale din România, au fost Maoloa și Phobos. Acești doi malware nu sunt o noutate absolută, Maoloa fiind prima dată descoperit în februarie 2019, iar Phobos era cunoscut încă din decembrie 2018.
Asociația Specialiștilor în Confidențialitate și Protecția Datelor din România a tras un semnal de alarmă încă de la începutul anului 2019, cu ocazia publicării rezultatelor analizei „GDPR in HEALTH România” realizat în decembrie 2018. Astfel, ASCPD a semnalat atunci faptul că 37,44% dintre instituțiile sanitare cuprinse în analiză s-au confruntat cu incidente de securitate și cu toate acestea 73,85% din total nu au implementat un plan de reacție la incidentele de securitate. 70,26% încă foloseau adrese de email @yahoo.com sau @gmail.com în interes profesional în interiorul rețelei, expunând astfel organizația unor riscuri care pot fi evitate. Mai mult, 11,28% nu aveau implementate sisteme tehnice de protecție antivirus, cel mai des invocând lipsa fondurilor. Fiecare organizație, nu doar cele din domeniul sanitar, trebuie să implementeze un plan de răspuns la incidente de securitate prin care să identifice și să descrie rolurile și responsabilitățile echipei de răspuns în cazul unei breșe de securitate și apoi să realizeze simulări practice pentru a testa modul de reacție a angajaților în cazul unui atac cibernetic.
Datele pacienților români, ținta atacurilor din iunie 2019
Accesarea datelor pacienților este crucială pentru îndeplinirea actului medical. Astfel, în urma atacului cibernetic din iunie 2019, sute de pacienți români nu au putut beneficia de serviciile medicale în spitalele afectate, fiind invitați să revină ulterior sau încurajați să apeleze la serviciile altui spital. Recunoașterea valorii acestor date de către ministrul Sănătății este un cuțit cu două tăișuri. Deși semnalul era orientat spre mobilizarea instituțiilor medicale în vederea prevenirii altor atacuri, atunci când afirmi că “10.000 de euro sunt nimic față de datele stocate acolo”, recunoscând că în trecut s-a optat pentru plata recompenselor solicitate de atacatori pentru decriptarea datelor, acest mesaj poate fi perceput de atacatori drept o încurajare de a continua atacurile și de a solicita recompense mult mai mari.
Recuperarea datelor, fie că este realizată de specialiști în IT sau prin achitarea recompensei solicitate de atacatori, este mult mai costisitoare decât adoptarea măsurilor de securitate necesare prevenirii unor asemenea atacuri. În totală contradicție cu mesajul ministrului Sănătății, instituțiile și companiile cu competențe în domeniul securității cibernetice, printre care CERT-RO, Cyberint și Bitdefender, sfătuiesc utilizatorii infectați “să nu plătească atacatorilor taxele de decriptare solicitate”.
Plata recompensei nu reprezintă o garanție că infractorii își vor onora promisiunea și le vor reda accesul la date și, în plus, ar putea fi țintite din nou de aceeași grupare, întrucât au deja un istoric de buni platnici. Echipa CERT-RO îndeamnă fiecare operator să raporteze astfel de incidente de securitate la numărul de telefon 1911 sau pe mail (alerts@cert.ro), cu includerea a două fișiere infectate (criptate) pentru analiză. Se recomandă să fie atașate acele fișiere într-o arhivă, protejate cu o parolă, care să fie specificată în textul mesajului.
Apreciez că sunt foarte importante aceste recomandări din partea autorităților, însă atrag atenția că prevenirea atacurilor cibernetice nu ar trebui să se limiteze la această listă, motiv pentru care aș mai sublinia câteva măsuri importante: auditarea sistemelor IT în vederea identificării vulnerabilităților; implementarea unor politici clare privind prelucrarea datelor personale; criptarea datelor stocate pe dispozitivele mobile (laptop, tabletă, memorii USB) pentru a împiedica accesarea datelor în caz de pierdere sau furt; criptarea datelor personale transmise prin e-mail; interzicerea accesării datelor de pe CD, DVD, stick-uri USB sau altele asemenea, dacă provin din surse nesigure; echipamentele de lucru care stochează date personale vor fi parolate, vor fi blocate atunci când nu vor fi utilizate (ctrl+alt+del → lock this computer); asigurarea unui sistem de management al accesului, astfel încât fiecare utilizator să se logheze la echipamentul de lucru cu user și parolă proprii.
Unul dintre cele mai importante aspecte pe care nu l-am regăsit în adresa Ministerului Sănătății este necesitatea instruirii personalului. Un personal instruit va fi mult mai vigilent, va identifica eventualele pericole și va cunoaște procedurile pe care trebuie să le urmeze pentru a identifica, semnala sau limita efectele unui atac cibernetic.
Conștientizarea pericolelor în domeniul securității este o parte esențială a formării angajaților și este cel mai eficient mod de a menține companiile în siguranță, de la intruși și hackeri. Procesul de digitalizare atrage după el și metode tehnice avansate de securitate, care cresc gradul de protecție al vieții private, dar trebuie să conștientizăm în primul rând că cea mai mare vulnerabilitate în cadrul unei organizații este chiar resursa umană. Este nevoie de educație a personalului mai mult decât de investiții mari în soluții tehnice de securitate.
Trebuie să renunţăm la a mai căuta soluţii formale de conformare
Noi, ca operatori de date, trebuie să renunţăm la a mai căuta soluţii formale. Complianţa GDPR nu se obţine apăsând butonul „Print“, orice operator care alege această cale rămâne la fel de expus riscurilor. Spitalele din România sunt atacate pentru că sunt vulnerabile și este profitabil având în vedere valoarea informațiilor și caracterul sensibil și mai ales precedentele create prin plata rascumpărării accesului la date. Putem evita aceste incidente dacă în primul rând renunțăm la mentalitatea că “mie nu mi se poate întâmpla” și investim în instruirea resurselor umane, implementând planuri și proceduri de lucru în caz de atac cibernetic și alocând fonduri pentru a impune măsuri adecvate de protecție tehnică și organizatorică.
Procentul de operatori din România care au adoptat și implementat principiile GDPR este greu de calculat cu exactitate, dar având în vedere că numai în domeniul public avem peste 42.000 de autorități, toate cu obligația de a fi implementat deja măsuri tehnice și organizatorice, și cunoscând sistemul sanitar din ultimii 18 ani, estimez că gradul de implementare nu a depășit procentul de 15%. Putem, în schimb, să analizăm poziția țării noastre din punct de vedere al notificării breșelor de securitate și a investigațiilor derulate de autoritățile de supraveghere europene. România este extrem de departe de media europeană în ceea ce privește plângerile privind prelucrările ilegale de date personale. De exemplu, în perioada cuprinsă între 25 mai 2018 și până în februarie 2019 la nivelul UE au fost raportate nu mai puțin de 59.000 de breșe de securitate.
Campioni la acest capitol au fost olandezii, cu 15.400 breșe notificate, în timp ce România număra la acea vreme doar 270. Analizâd această situație am găsit două răspunsuri posibile: ori noi, românii, suntem un popor norocos și atacurile cibernetice ne evită, ori nu recunoaștem o breșă de securitate nici dacă ne împiedicăm de ea. Mai mult, din Raportul European Data Protection Board, care cuprinde datele înregistrate de autoritățile de supraveghere în primele 9 luni de la aplicarea GDPR-ului, aflăm că autoritățile europene de supraveghere au deschis în total 94.622 de investigații, din care aproape 65.000 au survenit în urma notificărilor privind încălcarea datelor (a breșelor de securitate). În România s-au efectuat 460 de investigații din oficiu (69 din sesizări și 391 în urma încălcărilor notificate autorității) și 456 de investigații dispuse în urma plângerilor persoanelor vizate, care erau aproximativ 5000.
Unul dintre motivele pentru care avem acești indicatori este bugetul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal care este cu aproape 50% mai mic decât necesarul estimat de EDPB și în al doilea rând schema de personal a autorității care este mult subdimensionată, necesitând o suplimentare de 142%. Conform datelor oferite de reprezentantul autorității, chiar dacă în organigramă sunt prevăzute 85 de posturi, structura organizatorică actuală numără 34 de angajați, cu tot cu șoferi și personal TESA. Apreciez că a fost o muncă titanică să efectuezi acest număr de investigații cu un așa număr redus de persoane angajate în cadrul Autorității.
Amenzi aplicate unităților medicale
În cadrul Uniunii Europene avem mai multe situații în care s-au aplicat amenzi spitalelor și din fiecare caz în parte avem ceva de învățat:
- Spitalul Barreiro din Portugalia a primit o amendă de 400.000 de euro pentru că a acordat accesul la datele clinice ale pacienților prin sistemul lor cel puțin catre nouă persoane care sunt profesioniști non-medicali (asistenți sociali) și nu aveau nevoie de accesul la datele respective. Mai mult, datele pacienților din spitalul Barreiro nu au fost separate în mod corespunzător de datele arhivate ale unui alt spital și mecanismele de autentificare a accesului au fost considerate insuficiente.
- Spitalul Haga din Olanda a primit o amendă de 450.000 de euro pentru că o persoană foarte cunoscută în Olanda a fost pacientă a spitalului, prilej cu care zeci de angajați ai spitalului, mânați de o curiozitate mistuitoare, au studiat dosarul medical al pacientului, fără a avea un motiv real pentru a face asta.
- Un spital de stat din Cipru a fost sancționat cu 5.000 de euro pentru neacordarea accesului la dosarul său medical unui pacient.
- Autoritatea de supraveghere austriacă a aplicat o amendă de 55.000 euro unui operator care activează în sectorul medical. Pe parcursul investigației, autoritatea de supraveghere austriacă a descoperit că operatorul nu a numit niciun Responsabil cu protecția a datelor (DPO), nici nu a publicat datele de contact ale acestuia și nici nu le-a raportat autorității de supraveghere, operatorul a obligat persoanele vizate să își dea consimțământul pentru o prelucrare a datelor, care nu îndeplinea criteriile prevăzute la art. 7 GDPR: Condiţii privind consimţământul, și-a încălcat datoria de a furniza informații în conformitate cu art. 13, 14 GDPR si în ciuda manipulării datelor sensibile, nicio evaluare a impactului protecției datelor, în conformitate cu art. 35 GDPR, a fost efectuat.
Cine este adevăratul “responsabil cu protecția datelor” ?
Chiar dacă traducerea în limba română a funcției Data Protection Officer (DPO) este Responsabil cu protecția datelor cu caracter personal (COR 242231) acesta are ca atribuții principale dezvoltarea și analiza politicilor referitoare la proiectarea, implementarea și modificarea operațiunilor și programelor guvernamentale și comerciale. Nu este reponsabil de aplicarea efectivă a măsurilor, întreaga responsabilitate revenind managementului operatorului de date care trebuie să aplice măsuri și proceduri pornind de la recomandările DPO-ului.
Recomandări pentru managementul unităților sanitare
- Desemnați un DPO real, nu formal sau incompatibil – aceasta este doar una din obligațiile operatorilor, mai sunt cel putin 6 obligații legale și desemnarea DPO-ului nu vă transformă automat într-un operator de date compliant. Așadar, nu alegeți persoana care vă este cel mai la îndemână și care nu o să vă dea prea multe bătăi de cap. Căutați o persoană în interiorul organizației sau externalizați către o persoană sau firmă din exterior. Dacă totuși v-ați gândit la o persoană din interior, este bine să vă asigurați că activitatea pe care o desfășoară nu o poziționează într-o situație de incompatibilitate. De exemplu, managerul de IT poate identifica cu ușurință o breșă de securitate, dar în același timp poate să o și ascundă pentru a masca de exemplu o greșeală personală și intervine astfel un conflict între funcția de manager de IT și cea de DPO, într-un final angajatul alegând varianta care nu îi va pune postul în pericol, în defavoarea eticii profesionale. Condițiile pentru alegerea unei persoane pentru funcția de DPO sunt clar definite în Regulament, dar recomandarea mea este să alegeți în primul rând o persoană care cunoaște foarte bine activitatea Dumneavoastră, procedurile de lucru și are autoritate în fața angajaților. Alegerea în mod formal a unei persoane, fără a ține cont de aceste recomandări, nu vă apropie de complianța GDPR.
- Eliminați “Consimțământul GDPR” al pacientului pentru serviciile medicale – unul din principiile GDPR este de a prelucra date doar în regim de legalitate și există 6 modalități de a justifica această legalitate: obligația legală, interesul vital, obligații contractuale, interes public, interes legitim și nu în ultimul rând consimțământul persoanei vizate. În cazul domeniului medical, pentru activitatea specifică de acordare de îngrijiri medicale și tratament medicamentos putem justifica prin interes vital, obligație legală și obligații contractuale. Pentru aceste activități specifice nu este nevoie să apelăm la consimțământ pentru a obține legalitatea prelucrării și chiar dacă am face-o am putea ajunge ipotetic în situații de blocaj. De exemplu, dacă eu cer consimțământul pacientului înainte de efectuarea unei consultații și acesta refuză, eu sunt în imposibilitatea de a-mi mai desfășura activitatea. Există și situații în domeniul sanitar când apelăm la consimțământ, de exemplu pentru învățământul medical sau activitățile de marketing.
- Anonimizarea rezultatelor concursurilor de ocupare de post – cea mai ușoară metodă de a deveni automat compliant este de a asocia fiecărui candidat a unui cod numeric, de exemplu numărul de înregistrare de la comisia de concurs a dosarului de candidatură și în momentul publicării rezultatelor să fie afișate în relație cu acest cod, fără a publica numele și prenumele.
- Reglementați printr-o procedură comunicarea informațiilor pacientului – comunicarea cu pacientul și cu aparținătorii acestuia trebuie să țină cont de dreptul la confidențialitate privind datele de sănătate. Având în vedere mijloacele de comunicare (față în față, telefonic, electronic prin intermediul aplicațiilor de mesagerie, email) vă recomand să redactați proceduri distincte care să menționeze expres cine poate da informații și mai ales ce informații pot fi oferite pe fiecare canal în parte, ținând cont de posibilitatea ca la capătul celălalt să nu fie persoana pe care o credem noi.
- Realizați un plan continuu de instruire și evaluare angajați – angajații sunt la nivel teoretic cel mai mare risc pentru organizație privind breșele de securitate și de aceea una din metodele cele mai eficiente pentru a diminua acest risc este educația continuă și procedurile de lucru. Realizați un plan anual de instruire care să asigure creșterea implicării personalului în procesul de protecție a datelor și evaluați din când în când ce au înțeles angajații din informațiile transmise.
- Efectuați un test de penetrare și audit tehnic (securitate informatică) – auditul tehnic și testele de penetrare ne oferă o imagine realistă a gradului de securitate pe care ni-l oferă echipamentele și aplicațiile software de care dispunem.
- Securizați accesul la bazele de date și reglementați condițiile de utilizare – vă recomand să utilizați conturi individuale pentru fiecare angajat, utilizarea unor parole cu o dificultate măcar medie, și configurarea accesului la baza de date în funcție de postul angajatului, limitând accesul doar la datele de care are nevoie pentru a-și desfășura activitatea în condiții optime. Prin fișa postului și activități de instruire putem de asemenea să ne asigurăm că angajații respectă condițiile de securitate.
- Implementarea unui plan de răspuns la incidente de securitate – în iunie 2019 activitatea a cinci spitale din România a fost afectată prin infectarea cu un ransomware, datele fiind criptate. Cum trebuie să reacționăm într-un astfel de caz, ce trebuie să facă angajatul care descoperă o breșă de securitate, care sunt măsurile care trebuie implementate imediat? Toate aceste lucruri trebuie detaliate și explicate angajaților pentru a diminua pierderile în cazul unei breșe de securitate.
- În cazul unei breșe de securitate anunțați CERT.RO (1911) și ANSPDCP în 72h – nu ascundeți breșele de securitate, cereți ajutorul specialiștilor pentru a vă asigura că efectele sunt reduse la minim. Datele personale aparțin de drept persoanelor fizice și trebuie să luați măsuri urgente de limitare a efectelor în cazul unei breșe de securitate.
- Condiționați / restricționați accesul la aplicații/website-uri (Facebook, Yahoo, Gmail, WhatsApp, etc.) și la medii de stocare externe (USB) – activitatea neproductivă a angajaților precum navigarea pe internet în timpul programului sau introducerea de medii de stocare externe pentru a copia informații introduce în organizație un risc mărit de virusare, punând la încercare măsurile tehnice. Recomandarea mea este de a limita aceste activități și să eliminați aceste riscuri. Cu siguranță este o măsură nepopulară în rândul angajaților, dar să nu uităm că majoritatea dețin un smartphone personal de pe care își pot verifica emailul sau mesajele pe rețelele de socializare, bineînteles în pauzele de lucru. Riscul de a introduce un virus prin metoda phishing sau prin infectare directa se diminuează foarte mult în organizațiile care au adoptat astfel de măsuri.
- Folosiți adrese de email @spital.ro, cu stocare în UE – vă aduceți aminte că atunci când ați creat o căsuță de email gratuită ați fost de acord că toate mesajele și atasamentele sunt de fapt proprietatea furnizorului de email și că poate folosi toate aceste informații pentru a vă face un profil, pentru a vă trimite oferte comerciale și poate chiar să comercializeze aceste date ? Mai mult, ați realizat că păstrarea unui email cu sau fără atașament în inbox sau sent items este de fapt o prelucrare și cum majoritatea furnizorilor de “emailuri gratuite” au serverele în USA, practic trebuie să documentați motivele pentru care realizați transfer extracomunicat de date cu caracter personal?
- Nu permiteți angajaților să utilizeze dispozitive personale – dacă permiteți angajaților să vină cu laptopul de acasă înseamnă că permiteți ca stocarea datelor să se facă pe echipamente care nu sunt în proprietatea Dumneavoastră și astfel nu aveți nici un control, această practică ducând cel mai des la o breșă de securitate
- Asigurați transparența sistemului de învățământ medical – anunțați pacienții încă de la internare dacă la fișa lor au acces studenții și anonimizați datele pe care studenții le scot din organizație pentru a-și desfășura activitatea de cercetare. Este nevoie de consimțământul pacientului pentru a transfera date către studenți și în cazul unui refuz trebuie să organizați activitatea conform dorinței pacientului.
- Actualizați formularele, asigurați informarea prealabilă (Ordinul nr. 1411/2016 și Legea nr. 347/2018 publicată în Monitorul Oficial 03.01.2019)
- Pacientul are dreptul de a desemna, printr-un acord consemnat în anexa la foaia de observație clinică generală, o persoană care să aibă acces deplin, atât în timpul vieții pacientului, cât și după decesul pacientului, la informațiile cu caracter confidențial din foaia de observație.
- Acordul pacientului privind filmarea/fotografierea în incinta unității sanitare
- Model Acordul pacientului/reprezentantului legal privind participarea la învățământul medical
- Model Solicitare privind comunicarea documentelor medicale personale
- Model Declarație privind comunicarea documentelor medicale personale
- Model Acordul pacientului privind comunicarea datelor medicale personale
- Recomandați DPO-ului să se înscrie în ASCPD (Asociația Specialiștilor în Confidențialitatea și Protecția Datelor)
În final să nu uităm că în tot acest Regulament General privind Protecția Datelor este vorba despre datele personale ale unor indivizi, sau mai bine spus ale noastre! Nu este vorba despre creşterea birocraţiei şi despre proceduri sufocante. Este vorba despre respectul pe care trebuie să îl acordăm şi să îl obţinem unii de la ceilalţi, respect de care am uitat datorită banilor obţinuţi prin tranzacţionarea datelor personale şi a informaţiilor confidenţiale, efect direct al evoluţiei exponenţiale a tehnologiei.