DRI: Neophodnost unapređenja mera informacione bezbednosti u zdravstvu

18. februar 2021. godina
DRI: Neophodnost unapređenja mera informacione bezbednosti u zdravstvu

Da bi pouzdanost zdravstvenih informacionih sistema u Srbiji bila veća, potrebno je da Ministarstvo zdravlja, Institut za javno zdravlje Srbije „dr Milan Jovanović Batut“ i Pokrajinski sekretarijat za zdravstvo Vojvodine unaprede mere informacione bezbednosti, pokazao je izveštaj o reviziji svrsishodnosti poslovanja „Informaciona bezbednost u zdravstvenim informacionim sistemima“.

Dr Duško Pejović, predsednik Državne revizorske institucije (DRI) i generalni državni revizor izjavio je tokom konferencije za medije da je cilj revizije bio da se oceni u kom stepenu su primenjene mere u zdravstvenim informacionim sistemima u Srbiji ispunile neophodne ciljeve kada je u pitanju informaciona bezbednost.

Kako je istakao dr Pejović, DRI je, zahvaljujući konstantnim obukama i sada već solidnom iskustvu iz sprovedenih revizija, sposobna i stručna da pravovremeno bira teme koje su od suštinskog značaja za građane i državu.

Dokaz je i ova tema koja je predložena i izabrana krajem 2019. godine, pre svih dešavanja sa korona virusom u 2020. godini. Pitanja digitalizacije zdravstva i informacione bezbednosti su, nažalost, isplivala u prvi plan pre objavljivanja ovog izveštaja, i pokazala koliko su ove teme važne za društvo, i koliku životnu važnost imaju za građane, rekao je dr Pejović.

Postojeći sistemi IT upravljanja u zdravstvu nisu u potpunosti omogućili ispunjenje poslovnih ciljeva, odnosno punu primenu Integrisanog zdravstvenog informacionog sistema (IZIS), procenu IT rizika i uspostavljanje adekvatne informacione IT strukture, istakao je Dejan Stojiljković, državni revizor i vođa tima koji je sproveo reviziju.

Nije prepoznata važnost strateškog planiranja informacionih sistema u zdravstvu, niti je obezbeđeno stabilno finansiranje zdravstvenih informacionih sistema, rekao je Stojiljković.

Kada je u pitanju finansiranje IZIS-a, podaci iz izveštaja pokazuju da jedna zdravstvena ustanova godišnje u proseku može da nabavi 13-14 novih računara, pod uslovom da te godine ne nabavlja drugu računarsku opremu, poput štampača, servera, mrežne opreme, što je nedovoljno za redovnu zamenu zastarelih računara i što predstavlja rizik za funkcionisanje sistema, istakao je Stojiljković.

U toku revizije DRI je prikupila podatke od jednog broja zdravstvenih ustanova i u vezi sa procedurama i politikama koje uređuju IT poslove.

Analizom je utvrđeno da je svega 19 ustanova donelo procedure koje se odnose na IT upravljanje, napomenuo je Stojiljković i dodao da su svega dve ustanove donele procedure za koje se može dati ocena da su dovoljno detaljne.

Izveštaj je pokazao i da zdravstvene ustanove, koje su obuhvaćene anketom, nisu uspostavile upravljanje IT rizicima, iako je to zakonska obaveza.

U IZIS-u nije u potpunosti uspostavljeno ni upravljanje kontinuitetom poslovanja u slučaju vanrednih okolnosti, što može dovesti do nefunkcionisanja delova sistema u dužem periodu.

Ovo je veoma važno pitanje, jer se podrazumeva da sistemi moraju biti u funkciji 24/7, pa se postavlja pitanje zašto planovi nisu donošeni, rekao je Stojiljković i dodao da se razlozi odnose na nedostatak dovoljno stručnog znanja i kadrovskih kapaciteta, kao i finansijskih sredstava.

Zdravstvene ustanove nisu usvojile i primenile ni sveobuhvatne mere zaštite informacionih sistema.

Ministarstvo zdravlja i Institut za javno zdravlje Srbije „dr Milan Jovanović Batut“ nisu uspostavili upravljanje informacionom bezbednošću zdravstvenog informacionog sistemai kontrolu primene mera kao prioritet, što je neophodno kako bi bila osigurana poverljivost, dostupnost i pouzdanost podataka o ličnom zdravlju građana, naglasio je Stojiljković.

Osnivačima zdravstvenih ustanova, Ministarstvu zdravlja i Pokrajinskom sekretarijatu za zdravstvo, u čijoj je nadležnosti ulaganje u informacione sisteme , kao i Institutu za javno zdravlje Srbije „dr Milan Jovanović Batut“, Državna revizorska institucija je dala preporuke u cilju unapređenja stanja u ovoj oblasti.

Izveštaj o reviziji svrsishodnosti poslovanja „Informaciona bezbednost u zdravstvenim informacionim sistemima“ dostupan je OVDE.