Дигитална дијагноза - Колку се безбедни здравствените податоци во Македонија

Во ера на дигитализација, здравствените установи повеќе не се само физички простории каде граѓаните лекуваат акутни и хронични болести, туку се и огромни складишта за чувствителни лични податоци – од дијагнози и терапии, до матични броеви и банкарски податоци на осигуреници. Но колку е безбедна дигиталната инфраструктура?

Во Македонија, одговорот на тоа прашање барем засега не може конкретно да биде дефиниран. Во време кога Европа, па и светот бележат драматичен пораст на сајбер напади врз здравствени системи, домашниот сектор се уште нема унифицирана рамка, нема редовни тестови на системите, а ИТ кадарот во многу институции кубури со бројки и е практично непостоечки. 

Доволен е еден софистициран сајбер напад за податоците кои ги сметаме само за свои да се најдат во рацете на трето лице. Самата помисла дека терапијата која ја примаме или пак дијагнозата која ни била утврдена е застрашувачка, особено кога се има в предвид дека овие чувствителни информации се само на дофат – оти праксата покажала дека само мал дел од јавните здравствени установи имаат формален план за одговор на сајбер инциденти, а уште помалку имаат редовни симулации или тестирања на веќе постоечките мрежи. 

ИТ-секторите во болниците функционираат со минимален персонал. Често се работи за еден или двајца техничари кои покриваат сè – од мрежна инфраструктура до одржување на веб-страни и бази со податоци. Специјализирана експертиза за сајбер безбедност речиси и да нема. Надворешни консултанти се користат исклучително ретко, а обуките се спорадични или непостоечки. Без соодветна обука, вработените не препознаваат фишинг пораки, користат слаби лозинки и не применуваат основни безбедносни протоколи.

Во мнозинството јавни здравствени установи во Македонија, не постојат конкретни, сеопфатни планови за справување со сајбер инциденти. Таму каде што се забележани обиди за формализирана заштита, тие најчесто се однесуваат на општи технички дефекти и не се ажурираат редовно. Во петте најголеми клинички центри не се вршат симулации или обуки за справување со фишинг измами, ransomware или кражба на податоци. Дел од софтверите се застарени, а лозинките често се делат меѓу вработени. Резервните копии – кога ги има – најчесто се чуваат на истата физичка локација, наместо на одделна, cloud-базирана инфраструктура.

Децентрализирани системи - „рај“ за хакерите

Слабостите на здравствениот систем главно се должат и на самата стуктура на јавниот здравствен сектор во државата. Децентрализирани, секоја Јавна здравствена установа има посебен директор кој одлучува за нејзиното работење. Тоа значи и дека секоја установа самата одлучува како ќе се заштити од интернет натрапниците. Децентрализираните системи, според експертите се всушност и најпосакнувани за хакерите.

„Децентрализација е најубавата површина за хакерите и кога нема целосна видливост на сообраќајот. Да, и ние сме се обидувале да дадеме до знаење дека „Мој термин“ е систем кој може да претставува ризик за податоците за коишто не знаеме колку е безбеден. Можеби досега не станал таргер на некои хакери, или можеби станал, но не знаеме. Сите наши податоци се внатре. Односно, со еден напад може да биде блокирана целата инфраструктура на Здравството“, смета Филип Сименов.

За ранливоста на системите поради децентрализацијата е свесен и министерот Азир Алиу кој и самиот доаѓа од ИТ секторот. Вели, еден од системите да е недоволно сигурен е доволно за хакерите да можат да пенетрираат во системот. Затоа Алиу уверува дека сајбер безбедноста е сериозна тема за самата институци. 

„Работиме на централизиран систем. Во моментов правиме мапирање на целата инфраструктура сѐ со цел да имаме јасна слика што поседуваме и каков вид на процеси имаме. Идејата е тотален реинженеринг на сите процеси да се направи. Имаме цел да се централизира, не само инфраструктурно, туку и со капацитети, со екперти кои ќе го набљудуваат системот и ќе бидат во состојба да реагираат навремено тогаш - кога ќе има потреба. Знаете, времето на реагирање и спречување на таков тип на пенетрација во системот е многу битен“, вели Алиу. 

Македонија има Национална стратегија за сајбер безбедност 2023–2026, а во неа посебно место има и здравствениот систем. Од Министерството за дигитална трансформација велат дека овој сектор е препознаен како дел од критична инфраструктура и оти установите ќе подлежат на конкретни законски обврски за заштита од сајбер напади, а нивната улова во системот на дигитална безбедност ќе биде појасно дефинирана и институционално поддржана. 

„И во Националната стратегија за сајбер безбедност 2025–2028 и во Предлог-законот за безбедност на мрежни и информациски системи (ЗБМИС), здравствените установи се категоризирани како ‘суштински субјекти’ со висока критичност Здравствените институции добиваат техничка поддршка, стандарди и пристап до обуки за ИТ кадарот. Согласно новиот закон, тие се обврзани да спроведуваат редовни проценки на ризик, тестирање на системи и обуки за вработените. Целта е воспоставување на високо ниво на заштита на личните здравствени податоци“, наведуваат од Министерството.

ФЗОМ - редовна мета на хакери

Еден од најпознатите и најеклатантните примери за злоупотреба на личните податоци на граѓаните се случи неодамна – пред само две години. Во февруари 2023-та година, Фондот за здравствено осигурување на Македонија беше цел на сериозен хакерски напад од типот „Ransomware“. „Напаѓачите“ го криптираа целиот систем, оставајќи ги институциите без пристап до базата на осигуреници, електронски упати и комуникации. 

При овој напад од страна на хакерите беше побаран откуп за враќање на податоците, а оваа блокада во институциите, граѓаните ја почувствуваа на своја кожа оти во текот на одреден период беа оставени без пристап до услуги, а податоците беа потенцијална компромитирачка мета. 

Иако своевремено директорите не открија детали за обемот на штетата, која доколку инволвира лични податоци на осигуреници, веројатно е ненадоместлива, сепак во јавноста стана јасно дека ниту еден податок не е сигурен – оти иако постоеле валидни бекапи на податоците, поради обемноста на информациите, процесот за враќање според тогашните изјави на официјалните лица од ФЗО беше оти тој процес е комплициран – не наведувајќи колкави се штетите.

Чувството на несигурност кај граѓаните, дополнително ги зголеми фактот што во целиот процес отсуствуваше транспарентост, а одговорноста и штетите никогаш не беа официјално утврдени.

Две години подоцна, пристапот на „напаѓачите“ се смени, но не и институцијата која е цел на напад. На почетокот на 2025-та, се појави лажна веб-страница, клон на официјалната платформа на ФЗОМ, која собираше и лични податоци од граѓаните. Овој фишинг напад помина незабележано неколку дена, а остави трајна штета. 

Токму овие два таргетирани напади ставија до знаење дека дигиталната безбедност на здравствениот сектор во земјава е кревка, како и свеста на граѓаните – што пак е добитна комбинација за податоците на граѓаните да бидат ранливи. Дополнително, покрај нискиот степен на безбедност, во преден план излезе и институционалната небрежност кон овие сензитивни информации кои не би требало да бидат достапни за секого.

Што презема оттогаш до денес Фондот, и како може да се спречат овие случаи во иднина? Оттаму велат, по нападот, се преземени значајни чекори за унапредување на безбедноста на системот – односно, старата ИТ инфраструктура била во целост заменета, а платформата мигрирана на нов побезбеден дата центар. Дополнително, воведени се и нови технички и организациски мерки, вклучително и специјализирани услуги за сајбер безбедност. 

„Целата постојна мрежна, серверска и апликативна инфраструктура беше заменета – стариот дата центар беше напуштен, а системот мигриран во нова, високо безбедна платформа хостирана од страна на Македонски Телеком. Дополнително, се воспоставија нови технички и организациски мерки за заштита, вклучително и интегрирање на специјализирани услуги за сајбер безбедност“, велат од ФЗО.

Во однос на обидите за фишинг измама од годинава, велат дека благодарение на брзата и координирана реакција, лажната веб-страница била активна само краток временски период, односно неколку часа по што биле преземени сите неопходни мерки за нејзино блокирање и отстранување и потенцираат оти со брзината на државната интервенција, значително се намалил бројот на потенцијалните жртви од финансиска штета или пак од кражба на лични податоци. 

„Во рамките на воспоставената системска заштита, Фондот има донесено: Политика за приватност; Политика за безбедност на информацискиот систем; Интерни процедури и оперативни упатства со кои детално се уредуваат начинот на обработка, пристапот, чувањето и безбедното ракување со личните податоци. Важно е да се истакне дека Фондот не обработува целосни медицински картони, туку исклучиво податоци поврзани со финансиски аспекти на здравственото осигурување (на пр. потврди за боледување, платени здравствени услуги и слично). Во моментов, Фондот активно работи на усогласување со измените на:  Правилникот за безбедност на обработка на лични податоци, и Законот за безбедност на мрежи и информациони системи, со што дополнително се зајакнува правната и техничката рамка за сајбер-безбедност и заштита на чувствителни информации“, заклучуваат оттаму.

Последиците од успешен сајбер напад може да бидат катастрофални. Злоупотребата на чувствителни здравствени информации – како дијагнози, психијатриски извештаи, податоци за терапија или ХИВ-статус – може да резултира со јавна стигматизација, уцени или губење на работно место. Ако тие податоци завршат на dark web, граѓаните се изложени на дополнителни закани како кражба на идентитет, изнуда или социјален инженеринг.

Токму затоа е потребна итна системска промена и тоа најверојатно „од корен“. Пред се, здравствените работници мора да добијат основна обука за безбедно работење во дигиталната сфера, а потребно е и подигнување на свеста кај граѓаните за важноста на нивните лични податоци и колку тие се кревки во оваа ера.

Неопходно е и самите институции да назначат одговорни лица за сајбер безбедност кои би развиле детални планови за справување со инциденти. 

Дополнително, потребно е Министерството за здравство да воспостави минимални стандарди за ИТ-безбедност што ќе важат за сите установи, како и централизирана набавка на безбедносни решенија (антивирус, firewall, енкрипција на податоци итн.). Со воведување на заеднички критериуми и надзор, ќе се обезбеди еднаков степен на заштита без разлика на капацитетите на поединечните болници.

Инженерот Симеонов вели дека потребни се сериозни инвестиции во сајбер безбедноста доколку сакаме државата да ги сочува најчувствителните податоци на граѓаните.

„Централизација и воспоставување на целосна видливост. Зошто го зборувам ова? Сите клиники сега се децентрализирани и сите даваат по нешто за да се заштитат со нешто или да бидат дигитализирани. Не, едноставно треба да се централизира во еден дата-центар кадешто ќе завршат сите податоци, целиот трафик и кој ќе има посебен тим којшто ќе спречува, па ќе реагира доколку се случат некакви потенцијални злонамерни активности. Односно, значи централизација и целосна видливост на сообраќајот на активностите во самата мрежа. Тоа само може да се воспостави со централна точка, односно со воспоставување на централен дата-сервер на самите клиники и сите разменувања на податоци во едно место. Поинаку - многу тешко“ вели Симеонов. 

Министерот Алиу, пак, вели дека Министерството во моментот работи на поставување на три столбови кои во иднина ќе бидат клучот за безбедноста на податоците на граѓаните. 

Првиот е технички и значи зајакнување и заштита на серверите. Вториот е организациски и Министерството работи на воспоставување на правила и политики за користење на опремата. Третиот се однесува на персоналот, кој според Алиу, е најслабата алка во системот за безбедност. 

За да се зајакнат кадровските капацитети, Министерството подготвува и своја стратегија за „доживотно учење“ на сите вработени во здравствениот систем.

„Почнувајќи од доктори до технички кадар. И тука еден од главните пилари е обуки и тие базични знаења за дигитална писменост. Тука влегуваат неколку корикулуми. Еден од нив е се разбира и безбедноста на системите и ракување со нив. Ова ни е еден од клучните процеси за подигнување на свеста кај вработените“, вели Алиу. 

Од министерството за дигитална трансформација велат оти се планираат едукации и кампањи наменети за здравствени работници со кои би се подигнала свеста во однос на важноста за заштитата на личните податоци на граѓаните.

„Во рамки на Приоритетната област „Општество отпорно на сајбер закани“, се предвидени кампањи за едукација на здравствени работници и граѓани за дигитална безбедност и заштита на лични податоци. Искуствата од претходните инциденти, како нападот врз ФЗОМ, беа основа за оваа компонента на Стратегијата“, велат од МДТ.

Дополнително, министерот Алиу вели дека неопходна е интерперабилност помеѓу институциите. Или пластично кажано, поврзување на сите институции во еден систем преку кој полесно и побезбедно ќе треба да комуницираат.

„За инфраструктурно поврзување или интероперабилноста помеѓу институциите дефинитивно се прават заеднички напори со Министерството за дигитална трансформација бидејќи знаете, таа хоризонтална дигитална трансформација е надлежност на МДТ, додека вертикалните дигитални трансформации, нарочито кај министерствата кои се дел од таа критична инфраструктура се прават во самите министерства. Паралелно работиме. Дигиталните процесо коишто се дел од нашата инфраструктура ги работиме локално во министерството, додека интероперабилност помеѓу институциите го правиме заедно со МДТ“. 

Кибер нападите одамна не се прашање на „дали“, туку на „кога“. Податоците кои ги чуваат здравствените институции се скапоцени и затоа мора да бидат третирани со соодветна грижа. Заштитата на овие податоци значи и заштита на животите. Пропустите во подготовката, обученоста и регулацијата се ризици кои мораат итно да се адресираат. Македонија има можност да научи од искуствата на други држави и да го подигне нивото на безбедност пред да се случи следната катастрофа. Во спротивно, следниот напад нема само да ја загрози нашата приватност – туку и здравјето на граѓаните.

Даниел Василев

Михаил Милошевски