Niebezpieczne e-recepty

Koncepcja e‑recepty nie jest wcale niczym nowym. Po raz pierwszy „na poważnie” pojawiła się i tak została potraktowana w Stanach Zjednoczonych w 2000 roku, a więc już 20 lat temu!

Biała Księga wzywa

Właśnie wtedy Instytut Bezpiecznych Praktyk Lekarskich (The Institute for Safe Medication Practices‑ISMP) opublikował tzw. Białą Księgę, opatrzoną niemal rewolucyjnym tytułem: „Wezwanie do działania”. Publikacja wzywała do zaprzestania stosowania odręcznie pisanych recept. Według ISMP „właściwe i agresywne” użycie perfekcyjnie zaprojektowanego elektronicznego systemu preskrypcji leków (e‑prescribing), mogłoby zapobiec błędom medycznym związanym z ręcznym wypisywaniem recept. Biała Księga ściśle przewidywała, że do zupełnej likwidacji papierowych recept powinno dojść w czasie maksymalnie 3 lat. Jednak w USA do dziś nie zrezygnowano całkowicie z papierowej recepty.

Już wtedy przejście z papierowych recept na e‑recepty i dokumentację elektroniczną pokazało problemy, których nikt wcześniej nie był w stanie dokładnie przewidzieć. Nazwano je „niezamierzonymi konsekwencjami”. Jednym z najważniejszych zjawisk opisanych w Białej Księdze były tzw. informacje krytyczne. Zasugerowano wówczas, by przyszłe systemy służące do obsługi e‑recepty nie zawierały zbyt wielu informacji oraz wrażliwych danych i sugerowano konieczność wdrożenia odpowiednich systemów na wypadek ryzyka wycieku informacji dotyczących pacjentów. Niestety, koncepcje związane ze stawianym na pierwszym miejscu bezpieczeństwem tych systemów nigdy nie zostały całkowicie wprowadzone w życie. Coraz częściej też zaczęto zastanawiać się, czy przejście na technologię cyfrową, choć ma sporo zalet, nie zostanie przyćmione przez realne zagrożenia ze strony… hakerów.

Ministerstwo Zdrowia w piśmie z 11 XII 2019 r. przesłanym Izbom Lekarskim poinformowało, że w dniu 8 stycznia 2020 roku wejdzie w życie obowiązek wystawiania recept w postaci elektronicznej. Jednakże autor pisma – podsekretarz stanu Janusz Cieszyński, będący m.in. osobą odpowiedzialną za cyfryzację w ochronie zdrowia, podkreślił, że wszystkie recepty wystawione w postaci papierowej po dacie 8 stycznia 2020 roku będą realizowane na starych zasadach w każdej aptece. Z kolei obowiązujące przepisy nie przewidują kar dla lekarzy, którzy będą takie recepty wypisywali.

A w Polsce

Złośliwi, choć niektórzy nazywali ich realistami, publicznie informowali, że jedyną korzyścią wprowadzenia e‑recepty w Polsce będzie to, że rząd, służby specjalne oraz hakerzy będą wiedzieli, na co chorują obywatele. O ile odpowiednie służby w uzasadnionych przypadkach mają prawo do wglądu w życie własnych obywateli, o tyle nikt z nas nie życzyłby sobie, aby nasze dane wrażliwe, w tym medyczne informacje nas dotyczące stały się łupem cyberprzestępców. Ponieważ na całym świecie coraz większa liczba lekarzy i placówek ochrony zdrowia przechodzi z papierowej na elektroniczną dokumentację, hakerzy coraz częściej udowadniają, że kradzież informacji medycznych jest bardzo opłacalna.

Ogromna baza informacji medycznych, która coraz częściej pada ofiarą hakerów na całym świecie, często sprzedawana jest na czarnym rynku – m.in. w USA wyszła na jaw sprzedaż danych medycznych tysięcy pacjentów firmom ubezpieczeniowym. W związku z tym opisywane były przypadki niewypłacenia opiewających na setki tysięcy dolarów odszkodowań za śmierć najbliższej rodzinie ubezpieczonego, bo firma ubezpieczeniowa przedstawiła dowód, że ubezpieczony, w momencie zawierania umowy nie przyznał się, że cierpiał na łagodny przerost prostaty. W oficjalnie nieznany nikomu sposób firma dotarła do recept wypisywanych ubezpieczonemu, i dowiodła, że ten wypełniając formularz nie podał – bo najprawdopodobniej zapomniał – o łagodnym przeroście prostaty, traktując tę przypadłość, jako naturalny efekt starzenia się każdego mężczyzny. Firma ubezpieczeniowa uznała, że to zatajenie ważnych informacji medycznych, co było podstawą do niewypłacenia jego rodzinie odszkodowania. Na nic zdały się tłumaczenia, że dobroduszny Bill za życia regularnie od wielu lat płacił horrendalnie wysokie składki ubezpieczeniowe.

Niestety, jeżeli chodzi o polski system e‑zdrowie, to już w tym roku użytkownicy skarżyli się na dość długie i niepokojące przerwy w działaniu jego serwerów. W opinii większości doświadczonych informatyków, zajmujących się bezpieczeństwem sieci, na zorganizowane ataki hakerskie zupełnie nie jesteśmy przygotowani. Zaś w ich opinii atak przeprowadzony na przykład przez hakerów pracujących na zlecenie obcego wywiadu – w przypadku e‑recepty może skończyć się paraliżem, dużo groźniejszym w skutkach, niż zablokowanie możliwości wystawiania e‑zwolnień. Dlatego nie może być zgody samorządu lekarskiego na nierozważne decyzje i całkowite wycofanie papierowej recepty. Żaden rozsądny kraj nie prowadził e‑re­formy w ochronie zdrowia w ten sposób. Na szczęście polskie MZ wydaje się ten problem rozumieć.

Zabezpieczenie idealne?

Musimy jednak wiedzieć, że poziomy zabezpieczeń stosowanych w polskich szpitalach są dużo słabsze, niż te stosowane w placówkach medycznych na terenie USA. Pomimo to, według raportu Instytutu Ponemon, tylko w samym 2013 roku – niemal dwa miliony Amerykanów padły ofiarą kradzieży tożsamości medycznej! Około 30 proc. z tych osób, których dane medyczne pady ofiarą hakerów. Wspomniany raport szacuje, że kradzież tożsamości medycznej kosztuje ofiary w Stanach Zjednoczonych 12,3 mld dolarów rocznie!

Współcześni hakerzy z łatwością radzą sobie z nawet najbardziej zaawansowanymi systemami zabezpieczeń. O ile, zdobywając dostęp do głównych serwerów systemu zawierającego wrażliwe dane oraz informacje medyczne dotyczące zdrowia milionów Polaków posiądą ogromną wiedzę o tym, czy pan Kowalski przyjmował leki z powodu AIDS, a może miał problemy z uzależnieniem, które przez wiele lat leczył. Posiadanie tak dokładnych wrażliwych danych, które mogą skompromitować wiele osób, może być niezwykle skutecznym narzędziem umożliwiającym otrzymanie żądanego przez nich okupu w zamian za rezygnację z upublicznienia takich informacji. Kradzież wrażliwych danych może dać jednak znacznie szersze możliwości. Na zdobyte nielegalnym sposobem dane wrażliwe możliwe może być zaciągnięcie w naszym imieniu kredytu przez cyberprzestępców, czy włamanie się na nasze konto bankowe i jego całkowite „wyzerowanie”. Dlatego moim zdaniem świadomy pacjent będzie domagał się wystawienia recepty w formie papierowej, a nie e‑recepty, bo system w Polsce posiada znacznie słabsze zabezpieczenia niż na przykład system amerykański, który, jak pokazuje życie, również jest mało odporny na ataki hakerów.

Marek Derkacz
marekderkacz@interia.pl