ДРИ: Неопходност унапређења мера информационе безбедности у здравству

Да би поузданост здравствених информационих система у Србији била већа, потребно је да Министарство здравља, Институт за јавно здравље Србије „др Милан Јовановић Батут“ и Покрајински секретаријат за здравство Војводине унапреде мере информационе безбедности, показао је извештај о ревизији сврсисходности пословања „Информациона безбедност у здравственим информационим системима“.

Др Душко Пејовић, председник Државне ревизорске институције (ДРИ) и генерални државни ревизор изјавио је током конференције за медије да је циљ ревизије био да се оцени у ком степену су примењене мере у здравственим информационим системима у Србији испуниле неопходне циљеве када је у питању информациона безбедност.

Како је истакао др Пејовић, ДРИ je, захваљујући константним обукама и сада већ солидном искуству из спроведених ревизија, способна и стручна да правовремено бира теме које су од суштинског значаја за грађане и државу.

– Доказ је и ова тема која је предложена и изабрана крајем 2019. године, пре свих  дешавања са корона вирусом у 2020. години. Питања дигитализације здравства и информационе безбедности су, нажалост, испливала у први план пре објављивања овог извештаја, и показала колико су ове теме важне за друштво, и колику животну важност имају за грађане – рекао је др Пејовић.

– Постојећи системи ИТ управљања у здравству нису у потпуности омогућили испуњење пословних циљева, односно пуну примену  Интегрисаног здравственог информационог система (ИЗИС), процену ИТ ризика и успостављање адекватне информационе ИТ структуре – истакао је Дејан Стојиљковић, државни ревизор и вођа тима који је спровео ревизију.

Није препозната важност стратешког планирања информационих система у здравству, нити је обезбеђено стабилно финансирање здравствених информационих система,  рекао је Стојиљковић.

– Када је у питању финансирање ИЗИС-а, подаци из извештаја показују да једна здравствена установа годишње у просеку може да набави 13-14 нових рачунара, под условом да те године не набавља другу рачунарску опрему, попут штампача, сервера, мрежне опреме, што је недовољно за редовну замену застарелих рачунара и што представља ризик за функционисање система – истакао је Стојиљковић.

У току ревизије ДРИ је прикупила податке од једног броја здравствених установа  иу вези са процедурама и политикама које уређују ИТ послове.

– Анализом је утврђено да је свега 19 установа донело процедуре које се односе на ИТ управљање – напоменуо је Стојиљковић и додао да су свега две установе донеле процедуре за које се може дати оцена да су довољно детаљне.

Извештај је показао и да здравствене установе, које су обухваћене анкетом, нису успоставиле управљање ИТ ризицима, иако је то законска обавеза.

У ИЗИС-у није у потпуности успостављено ни управљање континуитетом пословања у случају ванредних околности, што може довести до нефункционисања делова система у дужем периоду.

– Ово је веома важно питање, јер се подразумева да системи морају бити у функцији 24/7, па се поставља питање зашто планови нису доношени – рекао је Стојиљковић и додао да се разлози односе на недостатак довољно стручног знања и кадровских капацитета, као и финансијских средстава.

Здравствене установе нису усвојиле и примениле ни свеобухватне мере заштите информационих система.

– Министарство здравља и Институт за јавно здравље Србије „др Милан Јовановић Батут“ нису успоставили управљање информационом безбедношћу здравственог информационог система  и контролу примене мера као приоритет, што је неопходно како би била осигурана поверљивост, доступност и поузданост података о личном здрављу грађана – нагласио је Стојиљковић.

Оснивачима здравствених установа, Министарству здравља и Покрајинском секретаријату за здравство, у чијој је надлежности улагање у информационе системе , као и Институту за јавно здравље Србије „др Милан Јовановић Батут“, Државна ревизорска институција је дала препоруке у циљу унапређења стања у овој области.

_________________________________________________________________________________