Click Accept pentru a primi notificări cu cele mai importante știri!
Conferința Națională „Romanian Cyber Care Health – siguranță și încredere pentru pacienți” a fost organizată de Asociația pentru Informare, Educație și Prevenție în Sănătate (AIEPS), Directoratul Național de Securitate Cibernetică (DNSC) în parteneriat cu Universitatea de Medicină și Farmacie Carol Davila București (UMFCD), în parteneriat media cu postul de televiziune ANTENA 3 CNN și cotidianul Jurnalul, parte a Intact Media Group.
Organizatorii evenimentului și-au propus să identifice, alături de invitați, soluții care facilitează implementarea Directivei NIS2 în sistemul de sănătate din România. Au fost invitați mai mulți miniștri și secretari de stat, parlamentari, reprezentanți ai instituțiilor din domeniul sănătății, ai instituțiilor responsabile cu implementarea reglementărilor europene actuale privind securitatea cibernetică, alături de specialiști în domeniul IT, pentru a dezbate împreună noile cerințe UE legate de securitatea cibernetică și modul în care transpunerea NIS 2 în legislația națională poate crea cadrul propice pentru dezvoltarea unui mediu transparent și predictibil pentru sistemul de Sănătate și pacienții din România, în condiții de siguranță a utilizării datelor informatice.
Conferința a fost moderată de Mihaela Tănase, expert comunicare în domeniul sănătății, și Adrian Ursu, jurnalist Antena 3 CNN, și a fost transmisă live pe site-urile antena3.ro, jurnalul.ro și pe paginile de Facebook ale Antenei 3 CNN https://www.facebook.com/Antena3Oficial și Jurnalul https://www.facebook.com/jurnalul.ro.
Legislația UE se schimbă
La nivelul UE s-au construit mecanisme legislative care să contribuie la ridicarea nivelului de securitate cibernetică al Statelor Membre și al Uniunii. Un pilon important îl reprezintă Directiva NIS pentru care deja s-au adoptat două versiuni: Directiva NIS 1, intrată în vigoare din 2016, și Directiva NIS 2 care va intra în vigoare din octombrie 2024, în locul NIS 1.
La nivel UE, a fost adoptată o nouă strategie de securitate cibernetică pentru perioada 2020-2025, care vine și cu revizuirea Directivei NIS 1. Peisajul amenințărilor s-a schimbat considerabil de când Directiva NIS 1 a fost adoptată și domeniul de aplicare al directivei trebuia actualizat și extins pentru a face față riscurilor actuale și viitoarelor provocări, una dintre aceste provocări fiind certitudinea că tehnologia 5G este sigură.
Transpunerea și punerea în aplicare a Directivei NIS 1 a scos la lumină deficiențe inerente anumitor prevederi sau abordări, cum ar fi delimitarea neclară a domeniului de aplicare al directivei.
Directiva NIS2 prevede măsuri legale pentru a spori nivelul general de securitate cibernetică în UE, pentru a contribui la funcționarea globală a pieței interne, bazându-se pe aceiași 3 piloni principali care au stat și la baza Directivei NIS1.
Ce aduce nou Directiva NIS 2
Directiva NIS2 impune statelor membre UE să adopte o strategie națională de securitate cibernetică. Statele membre trebuie, de asemenea, să desemneze echipe naționale de răspuns la incidente de securitate informatică (CSIRT), care sunt responsabile de gestionarea riscurilor și incidentelor, o autoritate națională competentă de securitate cibernetică și un punct unic de contact (SPOC).
În cadrul evenimentului care a avut loc ieri s-a discutat despre importanța implementării Directivei NIS 2 în sistemul de Sănătate din România, consolidarea rezilienței cibernetice și protecția datelor sensibile - atât despre noile provocări, cât și despre posibile soluții.
De asemenea, s-a dezbătut nevoia imediată de implementare a Directivei NIS 2, ca oportunitate pentru dezvoltarea unui mediu transparent și predictibil în utilizarea și securitatea datelor informatice din sistemul de Sănătate, în beneficiul pacienților din România.
Un pas înainte pentru protecție
La implementarea directivei NIS 1, România a creat Directoratul Național de Securitate Cibernetică (DNSC) care se ocupă de gestionarea instituțiilor ce intră în programul de protecție cibernetică.
„Este extrem de relevant și de important să purtăm această discuție despre sistemul medical care are un rol semnificativ în cadrul entităților pe care noi le reglementăm, 40% dintre operatorii pe care noi îi reglementăm fiind din acest sistem. Ceea ce a introdus, în anul 2018, directiva NIS este obligația de a implementa un set de securitate cibernetică. În legislația românească, noi am introdus obligația auditului periodic. Cerințele se extind către administrația publică, pentru entitățile care fabrică dispozitive medicale și către servicii IT&C, către furnizorii de servicii de securitate și către lanțul de aprovizionare. Directiva are o abordare holistică și e orientată către managementul riscului. Suplimentar, directiva vine cu clarificarea activității de securitate și control”, a explicat Gabriel Dinu, director adjunct Directoratului Național de Securitate Cibernetică (DNSC).
Universitățile care pregătesc specialiști în domeniul medical au foarte mare nevoie de securitate cibernetică, pentru că se fac cercetări foarte importante ce pot fi atacate oricând de hackeri.
Securizarea datelor este esențială
Rectorul UMF Carol Davila din București a vorbit despre proiectele instituției pe care o conduce, pentru a proteja datele medicale și de cercetare.
„Universitatea va avea un institut de cercetare-dezvoltare în genomică, iar datele genomice sunt foarte importante, astfel încât trebuie să știm cine poate face acces la aceste date, pentru a se ajunge la tratamente bazate pe terapia țintită. Investițiile în resursa umană sunt greu de realizat, pentru că putem găsi greu specialiști care să facă față atacurilor hackerilor experimentați. Este foarte important să păstrăm datele în cercetare, fiind atacate permanent. Putem pune bazele unei securități cibernetice la nivelul sistemului medical. Poate va fi nevoie și de un program național de pregătire a specialiștilor în acest domeniu, pentru a ne da posibilitatea de a bloca eventualele scurgeri de informații și ieșirile din sistem ale unor date consistente”, a explicat prin prof. univ. dr. Viorel Jinga, rectorul Universității de Medicină și Farmacie „Carol Davila”.
Este nevoie de noi specialiști
Marea problemă pe care au ridicat-o aproape toți participanții la conferință este legată de diferențele de salarizare dintre mediul privat și cel bugetar, astfel încât cei care ar putea lucra în cadrul sistemelor de apărare cibernetică ale României ar trebui să accepte să fie plătiți foarte prost. S-a discutat despre nevoia ca statul român să investească suplimentar în resursa umană, astfel încât specialiștii în IT să poată fi plătiți cel puțin la nivelul din mediul privat, pentru a putea asigura această protecție a datelor cibernetice.
Sistemul de protecție vizează și mediul privat. Dacă o fabrică de medicamente ar fi atacată de hackeri și din această cauză și-ar opri producția doar pentru o zi, pierderile ar fi enorme, a explicat Mihai Fugarevici, CEO STADA ROMÂNIA, producător de medicamente. Acesta a mai spus că va fi nevoie și de accesul fabricilor de medicamente la datele instituțiilor statului, pentru că acest schimb de date ar veni în sprijinul pacienților.
„În acest moment nu avem acces la datele de consum pe care le are Casa Națională de Asigurări de Sănătate sau alte instituții publice. Noi vrem să înțelegem spre ce ar trebui să ne orientăm producția, în funcție de evoluția consumului pe piața de medicamente. Astfel s-ar securiza aprovizionarea cu medicamente a României”, a explicat reprezentantul companiei.
Surse de finanțare din PNRR
Planul Național de Redresare și Reziliență poate oferi finanțarea acestui domeniu. „Digitalizarea sistemului de sănătate va însemna cunoașterea stării de sănătate a României. Este foarte important să creăm acest cadru de protecție. În acest moment nu avem o fișă a pacientului care să poată fi accesată, la nivel securizat, pentru a putea ști tot ce este necesar despre acel pacient”, a explicat Adrian Câciu, ministrul Investițiilor și Proiectelor Europene.
Avem la dispoziție 6 miliarde de euro care se alocă pentru această zonă de digitalizare și securitate cibernetică, doar din PNRR, iar acești bani trebuie să fie investiți într-un proiect integrat. „Dacă vom cumula platformele Casei de Sănătate, vedem că nu se potrivesc, iar noi trebuie să avem un nou sistem integrat. Sunt provocări care trebuie realizate până în 2026. Este important că este pentru prima oară când toate părțile implicate vor să stea la aceeași masă și să găsească soluții. Procesul de digitalizare trebuie să includă și sistemul de protecție. Îmi doresc ca acești bani să fie folosiți pentru acest sistem, să nu fie risipiți, cum s-a mai întâmplat până acum”, a mai precizat ministrul.
Acesta a mai explicat că România ar putea face economii foarte mari datorită sistemului integrat de date din Sănătate, pentru că s-ar putea face prevenție, pornind de la identificarea problemelor pacienților care ar putea evolua către afecțiuni grave. Pentru acest tip de prevenție va fi nevoie de un sistem integrat al Casei de Sănătate.
Cadrele medicale au nevoie de pregătire
Prof. univ. dr. Anca Coliță, managerul Institutul Clinic Fundeni din București, a vorbit despre nevoia de investiții în infrastructura IT, dar și de nevoia de a avea angajați proprii pentru acest domeniu, plătiți la nivelul din mediul privat.
„Și noi am câștigat un proiect de digitalizare și vom avea la dispoziție un milion de euro pentru investiții în infrastructură. Suntem foarte vulnerabili, pentru că avem probleme mari de infrastructură în IT. Nu știu dacă acest milion de euro este suficient pentru Spitalul Fundeni, dar vom face un prim pas. Activitatea IT are servicii externalizate doar pe mentenanță, dar va fi nevoie de investiții pentru a avea specialiștii proprii, directori de IT care să fie angajați ai instituțiilor, pentru că în momentul în care noi avem un contract pe perioadă determinată, la finalul contractului nu-și mai asumă nimeni responsabilitatea pentru sistem. Va fi foarte importantă și pregătirea personalului. Medicii și asistentele trebuie să fie instruiți în permanență”, a explicat managerul de la Fundeni.
Pentru a rezolva aceste probleme, Asociația pentru Informare, Educație și Prevenție în Sănătate (AIEPS) a lansat o platformă pe care cererea să se întâlnească direct cu oferta, în domeniul IT&C.
Adriana Cotel, reprezentanta AIEPS, a prezentat platforma, subliniind faptul că responsabilitatea revine fiecăruia dintre noi, pentru a evita atacurile cibernetice, mai ales asupra sistemului sanitar. Aceasta a mai spus că investițiile trebuie să se facă deopotrivă în tehnologizare, dar și în resursa umană, pentru implementarea noii directive europene.
Investiții doar în tehnologii sigure
Ministrul Digitalizării, Bogdan Ivan, a vorbit despre aceste noi provocări din perspectiva instituției pe care o conduce. „Este un domeniu extrem de important, pentru că tehnologia ne asigură inclusiv securitatea datelor. Dacă vorbim despre rețeaua sanitară, oamenii își pun întrebări în legătură cu datele lor personale și medicale. Lucrăm pe trei paliere pentru a reglementa modul în care datele românilor să fie în siguranță. În luna ianuarie ne-am confruntat cu un atac cibernetic la Camera Deputaților, acum avem de implementat directiva NIS 2 și trebuie să putem crea o cultură de securitate cibernetică. În urma renegocierii PNRR de la finalul anului trecut am reușit să facem unele modificări în legătură cu sistemul „cloud”. Din proiectul de cloud guvernamental avem o alocare de 200 de milioane de euro pentru securitatea cibernetică. Vom dezvolta cele mai noi tehnologii de pe piața mondială, care includ și componentele de securitate”, a explicat ministrul Digitalizării, în cadrul conferinței.
Problemă de siguranță națională
Ministrul Sănătății, Alexandru Rafila, a vorbit despre pașii pe care instituția pe care o conduce i-a făcut pentru a gestiona situația, integrat, la nivel național, fiind deja o problemă de securitate națională. „Digitalizarea sistemului de sănătate are nevoie de un sistem integrat, interoperabil și securizat. Sunt spitale mari care beneficiază de fonduri pentru informatizare, dar fără o integrare cu sistemul de asigurări de sănătate și cu registrele nu pot oferi o politică coerentă în domeniul sănătății. Chiar ieri, Institutul Național de Sănătate Publică a lansat licitația pentru registrele de boli netransmisibile. În privința protecției datelor, sunt două categorii de probleme”, a explicat ministrul.
Acesta a explicat că România va trebui să furnizeze date de sănătate în spațiul european, fiind creat „un colos care va aduna informațiile pacienților din spațiul european, ceea ce reprezintă și o resursă pentru cercetarea din domeniul farmaceutic”, a adăugat Rafila, subliniind faptul că este foarte importantă confidențialitatea datelor medicale.
„Cealaltă componentă care ne interesează - pentru că zeci de spitale din România au fost țintele unui atac informatic, în urmă cu puțin timp – este faptul că mai ales în contextul actual, protecția datelor din domeniul sănătății devine o problemă care ține de siguranța națională, iar în perioada următoare vom avea o structură care să protejeze aceste date. Până acum, responsabilitatea ținea de fiecare unitate medicală în parte”, a precizat ministrul Sănătății.
