Државна ревизорска институција

ДРИ: Неопходност унапређења мера информационе безбедности у здравству

18. фебруар 2021. година
ДРИ: Неопходност унапређења мера информационе безбедности у здравству

Да би поузданост здравствених информационих система у Србији била већа, потребно је да Министарство здравља, Институт за јавно здравље Србије „др Милан Јовановић Батут“ и Покрајински секретаријат за здравство Војводине унапреде мере информационе безбедности, показао је извештај о ревизији сврсисходности пословања „Информациона безбедност у здравственим информационим системима“.

Др Душко Пејовић, председник Државне ревизорске институције (ДРИ) и генерални државни ревизор изјавио је током конференције за медије да је циљ ревизије био да се оцени у ком степену су примењене мере у здравственим информационим системима у Србији испуниле неопходне циљеве када је у питању информациона безбедност.

Како је истакао др Пејовић, ДРИ je, захваљујући константним обукама и сада већ солидном искуству из спроведених ревизија, способна и стручна да правовремено бира теме које су од суштинског значаја за грађане и државу.

Доказ је и ова тема која је предложена и изабрана крајем 2019. године, пре свих дешавања са корона вирусом у 2020. години. Питања дигитализације здравства и информационе безбедности су, нажалост, испливала у први план пре објављивања овог извештаја, и показала колико су ове теме важне за друштво, и колику животну важност имају за грађане, рекао је др Пејовић.

Постојећи системи ИТ управљања у здравству нису у потпуности омогућили испуњење пословних циљева, односно пуну примену Интегрисаног здравственог информационог система (ИЗИС), процену ИТ ризика и успостављање адекватне информационе ИТ структуре, истакао је Дејан Стојиљковић, државни ревизор и вођа тима који је спровео ревизију.

Није препозната важност стратешког планирања информационих система у здравству, нити је обезбеђено стабилно финансирање здравствених информационих система, рекао је Стојиљковић.

Када је у питању финансирање ИЗИС-а, подаци из извештаја показују да једна здравствена установа годишње у просеку може да набави 13-14 нових рачунара, под условом да те године не набавља другу рачунарску опрему, попут штампача, сервера, мрежне опреме, што је недовољно за редовну замену застарелих рачунара и што представља ризик за функционисање система, истакао је Стојиљковић.

У току ревизије ДРИ је прикупила податке од једног броја здравствених установа иу вези са процедурама и политикама које уређују ИТ послове.

Анализом је утврђено да је свега 19 установа донело процедуре које се односе на ИТ управљање, напоменуо је Стојиљковић и додао да су свега две установе донеле процедуре за које се може дати оцена да су довољно детаљне.

Извештај је показао и да здравствене установе, које су обухваћене анкетом, нису успоставиле управљање ИТ ризицима, иако је то законска обавеза.

У ИЗИС-у није у потпуности успостављено ни управљање континуитетом пословања у случају ванредних околности, што може довести до нефункционисања делова система у дужем периоду.

Ово је веома важно питање, јер се подразумева да системи морају бити у функцији 24/7, па се поставља питање зашто планови нису доношени, рекао је Стојиљковић и додао да се разлози односе на недостатак довољно стручног знања и кадровских капацитета, као и финансијских средстава.

Здравствене установе нису усвојиле и примениле ни свеобухватне мере заштите информационих система.

Министарство здравља и Институт за јавно здравље Србије „др Милан Јовановић Батут“ нису успоставили управљање информационом безбедношћу здравственог информационог системаи контролу примене мера као приоритет, што је неопходно како би била осигурана поверљивост, доступност и поузданост података о личном здрављу грађана, нагласио је Стојиљковић.

Оснивачима здравствених установа, Министарству здравља и Покрајинском секретаријату за здравство, у чијој је надлежности улагање у информационе системе , као и Институту за јавно здравље Србије „др Милан Јовановић Батут“, Државна ревизорска институција је дала препоруке у циљу унапређења стања у овој области.

Извештај о ревизији сврсисходности пословањаИнформациона безбедност у здравственим информационим системима доступан је ОВДЕ.