W najbliższej przyszłości numerem jeden pośród trendów związanych z IT w opiece zdrowotnej będzie cyberbezpieczeństwo. Największy wpływ na to ma fakt, że jest to branża ściśle regulowana, a naruszenia bezpieczeństwa danych są w niej bardzo kosztowne. Już dziś duża (jeśli nie największa) cześć ataków ransomware na świecie jest wymierzona w szpitale.

Placówki medyczne muszą też zadbać o wydajną infrastrukturę IT, która pozwoli dostarczać im usługi w sposób optymalny, z korzyścią dla nich samych, a przede wszystkim dla pacjenta. Dlatego zanim dojdzie do upowszechnienia w ochronie zdrowia nowych, najbardziej zaawansowanych technologii, takich jak sztuczna inteligencja, IoT, edge computing czy wirtualna rzeczywistość, trzeba dostarczyć do szpitali te bardziej podstawowe narzędzia, które przyśpieszą ich cyfryzację.

Tablet zamiast kartki papieru

Pandemia pokazała, jak wielkie korzyści może przynieść cyfryzacja i jakim utrudnieniem jest jej brak. Piotr Skirski, Regional Manager Public Sector & Enterprise w Cisco, daje przykład wprowadzenia pewnej procedury związanej koronawirusem, w ramach której lekarze byli w szpitalach zmuszeni do przechodzenia przez tzw. śluzy, czyli pomieszczenia służące oddzieleniu poszczególnych obszarów szpitala. Izolacja miała na celu ograniczenie rozprzestrzeniania się wirusa. W praktyce cały proces bardzo opóźniał i utrudniał całą szpitalną logistykę, przez co personel medyczny znacznie mniej czasu mógł poświęcać pacjentom.

– Lekarz anestezjolog, znajdujący się przy łóżku pacjenta na OIOM-ie, musi ustawić szereg parametrów respiratora podtrzymującego życie chorego. Jednocześnie, wiele informacji z tym związanych powinien wprowadzić do systemu medycznego. Jest to koniecznie, aby mogła być na bieżąco prowadzona historia opieki nad pacjentem – tłumaczy Piotr Skirski.

Przed wprowadzeniem ścisłych obostrzeń wyglądało to tak, że lekarz zapisywał sobie w notesie potrzebne informacje i szedł do pomieszczenia służbowego, w którym siadał przy komputerze, by uzupełnić historię choroby i leczenia pacjenta.

– Gdy nastały ograniczenia, w jednym ze szpitali lekarz spisywał na kartce wszystkie wymagane dane, po czym podchodził do wielkiej szyby, przykładając do niej tę kartkę. Z drugiej strony ktoś z personelu medycznego przepisywał to do notesu. Następnie ta osoba szła do komputera i wprowadzała do systemu dane – opisuje niezwykłą sytuację ekspert Cisco.

Można by nawet uznać, że takie działanie ad hoc spełniało swoje zadanie, bo redukowało możliwość zakażania. Gdyby jednak lekarz miał przy sobie tablet podłączony do systemu szpitalnego, to siedząc przy łóżku pacjenta, mógłby od razu wszystkie dane wprowadzić do systemu. A przecież chodzi o czas, który personel medyczny może poświęcić na opiekę nad kolejnymi pacjentami. A ten jest po prostu bezcenny.

Problemy, które ujawniły się na skutek pandemii pokazały, jak bardzo dziś technologia jest w stanie lekarzom uprościć życie przy zachowaniu najwyższych poziomów bezpieczeństwa. Dostęp do sieci bezprzewodowej i systemów szpitalnych dla personelu medycznego na miejscu, przy łóżku pacjenta ma w takich sytuacjach znaczenie fundamentalne. Od dostępu do dokumentacji pacjenta na mobilnym komputerze albo tablecie przez uzyskiwanie danych telemetrycznych z aparatury medycznej po systemy przywoływania personelu i aplikacje do lokalizacji – wydajna i bezpieczna sieć Wi-Fi staje się podstawą funkcjonowania placówek.

Telemedycyna – wszędzie tam, gdzie można…

Z powodu lockdownu telemedycyna, która wcześniej była nie za często stosowanym dodatkiem do tradycyjnych usług, stała się usługą pierwszej potrzeby. W październiku 2020 r. Anna Goławska, zaraz po objęciu teki wiceministra ds. informatyzacji w Ministerstwie Zdrowia, zadeklarowała: „chcę, aby telemedycyna stała się powszechna w publicznym systemie, szczególnie w zakresie elektronicznej dokumentacji medycznej oraz narzędzi umożliwiających udzielanie świadczeń zdalnie”.

Pandemia jeszcze bardziej uwypukliła problem, z którym polski sektor ochrony zdrowia zmaga się od lat. Według danych OECD w 2018 r. na 1000 Polaków przypadało 2,4 praktykujących lekarzy, co było najniższym wynikiem wśród wszystkich państw Unii Europejskiej, dla której średnia wyniosła 3,8. Dlatego inwestowanie w telemedycynę w tych obszarach, w których może być stosowana, powinno stanowić priorytet. Nie będzie to łatwe. W raporcie Siemensa „Priority Investment. Top investment areas for digital transformation in healthcare” już w 2019 r. podkreślano istnienie olbrzymiego wyzwania inwestycyjnego na rzecz telemedycyny, które w okresie 2019 – 2022 oszacowano dla Polski na 517 mln dol. Można przyjąć, że obecnie – wobec zwiększonych potrzeb – suma ta jest znacznie wyższa.

Autorzy badania przeprowadzonego wspólnie przez firmę EC2, zajmującą się projektami IT dla klientów z sektora medycznego, oraz akcelerator start-upów medycznych Tech Med House, stwierdzają: „Pandemia uświadomiła środowisku medycznemu, że e-rozwiązania są nie tylko niezwykle korzystne, lecz także niezbędne w systemie ochrony zdrowia. Bez nich świadczenie dużej części usług nie byłoby możliwe. Z kolei elektroniczna postać dokumentacji pozwala na efektywne realizowanie usług z zastosowaniem rozwiązań telemedycznych, ułatwia codzienną pracę placówek medycznych, a co najważniejsze, stawia pacjenta w centrum uwagi”.

Jakub Budziszewski, CEO EC2, podkreśla, że przyspieszenie cyfryzacji firm medycznych wiąże się z koniecznością znalezienia nowych kanałów komunikacji z pacjentami, klientami, kluczowymi partnerami biznesowymi czy dostawcami.

Zdaniem integratora

Tomasz Kiełbowski, dyrektor ds. klientów kluczowych, Vernity  

Fakt, że ochrona zdrowia to w zdecydowanej większości podmioty z sektora publicznego, determinuje zasady współpracy z nimi. W porównaniu z klientami biznesowymi mamy w tym przypadku dużo więcej procedur, których trzeba się trzymać. Dużo trudniej jest także przewidywać kierunki rozwoju tego rynku, zwłaszcza w sytuacji trwającej już od półtora roku pandemii. Szpitale zostały zaskoczone koniecznością przeniesienia części personelu do pracy zdalnej, a jednocześnie trafiało do nich mniej pacjentów z problemami niezwiązanymi z COVID-em, których trzeba było jakoś obsłużyć, chociażby poprzez zdalne konsultacje. Dlatego niektóre szpitale zakupiły rozwiązania, które pozwalają wykonywać część zadań, jak analiza zdjęć czy wyników z domu. Przykładowo, wdrożenie wirtualnych desktopów (VDI) rozwiązuje problemy z ograniczonym liczebnie personelem IT, co trafia do przekonania klienta. Nie zauważyłem natomiast, żeby szpitale były zainteresowane migracją infrastruktury do chmury, ponieważ posiadają zbyt wiele danych wrażliwych, które nie powinny być wynoszone na zewnątrz. Dlatego kupują serwery i pamięci masowe, po czym wdrażają je u siebie. Ponieważ szpitale korzystają z outsourcingu IT, to potrzebują także narzędzi do zarządzania i kontroli zdalnego dostępu na prawach administratora (typu PAM). Ostatecznie, pomimo zawirowań, w tej branży niezmiennie będzie występować zapotrzebowanie na moc obliczeniową czy storage. Pacjentów będzie tylko przybywać, a wraz z nimi rosnąć objętość dokumentacji.

  

Hybryda – modne słowo na nowe czasy

Również narzędzia do wideokonferencji mogą znakomicie usprawniać funkcjonowanie szpitali. Dzięki terminalom wideo pracownicy szpitala nie muszą przechodzić między poszczególnymi jego oddziałami i sekcjami, które często dzielą setki metrów. Lekarze, ale również pracownicy niemedyczni, używają terminali wideo, które są w różnych miejscach szpitala, żeby się komunikować. Co więcej, ta technologia sprawdza się również do konsultacji na zewnątrz, chociażby w przypadku, gdy lekarz z jednego szpitala chce porozumieć się z zewnętrznym specjalistą. Może w ten sposób uzgodnić zasadność wykonania konkretnych badań.

Oczywiście nie wszystko można załatwić w ramach konsultacji zdalnych. Dlatego potrzebne są rozwiązania hybrydowe, optymalnie łączące w sobie wykorzystanie technologii na odległość oraz na miejscu, w placówkach ochrony zdrowia. To nieuniknione, chociażby z powodu barier związanych z wiekiem części pacjentów i różnicami pokoleniowymi w obsłudze technologii. Choć dąży się do tego, żeby wizyt u lekarza było znów więcej, teleporady nie znikną.

– Część tych narzędzi, z których korzystaliśmy podczas pandemii, zostanie z nami na stałe. Także w przypadku ochrony zdrowia. Te wizyty, które nie wymagają konsultacji bezpośredniej z lekarzem, przykładowo związane z przedłużeniem recepty, będą mogły być świadczone w pełni zdalnie. W wielu innych sytuacjach będzie funkcjonować model hybrydowy – przewiduje Piotr Skirski.

Chmura raczej prywatna niż publiczna

Świadczenie usług telemedycznych i w ogóle cyfryzacja całego sektora powinna się opierać na rozwiązaniach chmurowych, umożliwiających gromadzenie, przetwarzanie i przechowywanie olbrzymich ilości danych o pacjentach. Musi odbywać się to w sposób zgodny z wymogami prawnymi w zakresie bezpieczeństwa przetwarzania wrażliwych danych osobowych. W tym kontekście wykorzystanie chmury publicznej robi się – w obecnej sytuacji prawnej – dość problematyczne.

Wojciech Janusz, EMEA Manufacturing Practice Lead w Dell Technologies, podkreśla, jak ważnym aspektem wykorzystania chmury w medycynie jest gromadzenie i współdzielenie informacji potrzebnych do badań medycznych. Precyzyjna medycyna czy diagnostyka wspierana sztuczną inteligencją wymagają dostępu do dobrej jakości danych. Tylko na ich podstawie i współdzieleniu ich pomiędzy ośrodkami możliwe stanie się opracowywanie odpowiednio skutecznych modeli leczenia.

– Niestety, o ile technologia do tego potrzebna już istnieje, to nadal brakuje nam regulacji prawnych umożliwiających jej pełne wykorzystanie – przyznaje Wojciech Janusz.

Na obecnym etapie transformacji bez wątpienia mamy do czynienia z dostępem i konsumpcją w modelu chmury publicznej takich rozwiązań, jak komunikatory, pakiety biurowe i inne tego typu aplikacje, potrzebne do codziennej pracy. Korzystają z nich lekarze i personel niemedyczny. Jeżeli chodzi natomiast o systemy medyczne, to model chmurowy jest już zgoła inny.

– Centrum e-Zdrowia, mając potężne własne zasoby, jest w pewnym sensie chmurą prywatną, wybudowaną przez polski rząd. Innym przykładem jest NFZ, który także ma swoje data center, w ramach którego tworzy różne systemy. Także szpitale mają swoje prywatne chmury, w których przechowują wrażliwe dane i systemy. Dlatego trudno spodziewać się, aby takie organizacje dążyły do transformacji do chmury publicznej – zauważa Piotr Skirski.

Ostatecznie chodzi o dane w najwyższym stopniu wrażliwe – o informacje dotyczące zdrowia pacjentów. Szybszej migracji do chmury publicznej można się natomiast spodziewać w obszarach „miękkich”, rozwiązaniach na potrzeby back office’u i usług, które nie dotyczą danych pacjentów.

– Obserwujemy wykorzystanie infrastruktury chmurowej do zapewnienia bezpiecznego dostępu, także dzięki uwierzytelnianiu wieloskładnikowemu. Inny przykład to przeniesienie do chmury portali do obsługi pacjenta, które jest wykonalne i możliwe do zabezpieczenia przez narzędzia typu Web Application Firewall – mówi Robert Dąbrowski, szef zespołu inżynierów w polskim oddziale Fortinetu.

Niektórzy liczą na zmianę w podejściu do chmury publicznej dzięki powołaniu spółki Krajowy Operator Chmury Medycznej (Chmura dla zdrowia), o czym w kwietniu tego roku poinformowały wspólnie Asseco Poland i Chmura Krajowa. Jej celem ma być „cyfryzacja służby zdrowia i umożliwienie jednostkom medycznym świadczenia e-Usług z zachowaniem najwyższych standardów bezpieczeństwa”. Chmura dla zdrowia będzie specjalizowała się w chmurowych wdrożeniach elektronicznej dokumentacji medycznej (EDM). Ma też zadbać o sprawne dostosowanie do regulacji prawnych i przyczyniać się do standaryzacji usług informatycznych w sektorze opieki zdrowotnej. Będzie działać w oparciu o platformę Google Cloud, które jest strategicznym partnerem Chmury Krajowej. Dane mają być przechowywane na terytorium Polski.

Zdaniem specjalisty

Piotr Skirski, Regional Manager Public Sector & Enterprise, Cisco  

Aby zapewnić równy dostęp do usług i technologii z tego zakresu dla wszystkich obiektów, cyfryzacja służby zdrowia powinna być jednym z kluczowych kierunków w planowaniu strategicznym Krajowego Planu Odbudowy. Nawet możliwość korzystania z podstawowej infrastruktury dostępu do sieci ma szansę w ogromnym stopniu ułatwić pracę lekarzy i całego personelu medycznego oraz podnieść poziom usług, które świadczą. Infrastruktura dostępowa zwiększa mobilność lekarzy, ułatwiając im pracę przy pacjencie, co jest szybsze, lepsze i tańsze. Drugą kluczową rzeczą jest bez wątpienia bezpieczeństwo w szpitalach – w tym wypadku chodzi o bezpieczeństwo w wymiarze cybernetycznym.

  
Wojciech Janusz, EMEA Manufacturing Practice Lead, Dell Technologies  

Jeśli chodzi o potrzeby polskich szpitali w obszarze IT, to odpowiedzią na nie może być to, co sprawdziło się już w innych gałęziach gospodarki. Chodzi o automatyzację procesów, najlepiej wspieraną przez sztuczną inteligencję. Czasochłonne i często uciążliwe czynności, takie jak gospodarowanie dostępnym sprzętem i pomieszczeniami, optymalizacja kalendarza dyżurów czy prowadzenie dokumentacji pacjenta można w dużej części wdrożyć w postaci bezobsługowej. Efektem takiego rozwiązania jest lepsze wykorzystanie istniejących zasobów oraz odciążenie personelu, który może skupić się na leczeniu.

  

Przede wszystkim bezpieczeństwo

Cyfryzacja służby zdrowia oczywiście niesie za sobą cyberzagrożenia. Dlatego istotne jest wypracowanie dobrych praktyk i koncentracja na kwestiach cyberbezpieczeństwa już na wczesnym etapie projektowania systemów i doboru technologii. Szpitale muszą zadbać o zabezpieczenie wszystkich urządzeń końcowych. Muszą pamiętać o wprowadzeniu segmentacji sieci, rozdzieleniu urządzeń medycznych od dostępu z urządzeń peryferyjnych typu tablet czy komputer. Powinny również zadbać o to, żeby móc sprawnie bronić się przed atakami typu ransomware. Zdaniem wielu specjalistów pomocne w radzeniu sobie z tymi wyzwaniami może być podejście Zero Trust, czyli ochrona już na poziomie DNS. Odpowiedzialne za technologię zespoły powinny zatroszczyć się również o autoryzację tego, kto ma dostęp do sieci.

Inwestycje w bezpieczeństwo IT będą w najbliższych latach kluczowe dla transformującej się branży medycznej. W tym kontekście zwraca się uwagę na fakt, że placówki ochrony zdrowia potrzebują wdrażania rozwiązań do segmentacji sieci, ale także inwestycji w wydajne firewalle następnej generacji (NGFW). Niezmiernie ważny jest też bezpieczny dostęp do sieci, który zapewnią rozwiązania takie jak NAC czy VPN.

– Wszędzie tam, gdzie tylko jest to możliwe, powinny być wykorzystywane rozwiązania zapewniające dwuskładnikową weryfikację dostępu do konta z zastosowaniem protokołu SAML – mówi Robert Dąbrowski.

W zapewnieniu bezpieczeństwa dużą rolę odgrywają także bramy skanujące pocztę elektroniczną, ponieważ e-mail nadal jest jednym z najczęściej wykorzystywanych narzędzi do cyberataków. Aplikacje internetowe chronione mogą być za pomocą zapory typu WAF. Kolejną warstwę zabezpieczającą przed atakami stanowią bardziej zaawansowane narzędzia typu sandbox oraz EDR (Endpoint Detection and Response).

Rzecz jasna, sama ochrona środowiska IT to jednak nie wszystko. Ponieważ przyczyną większości ataków jest ludzki błąd, tak ważną sprawą niezmiennie pozostaje szkolenie pracowników pod kątem ewentualnych zagrożeń.

Szpitale na celowniku hakerów

Niestety, szpitale i inne placówki opieki zdrowotnej muszą się liczyć z dużym zagrożeniem związanym z ransomware i innymi ukierunkowanymi na nie cyberatakami. Wynika to poniekąd z charakteru samej branży – dużego zdecentralizowania procesów w szpitalach i wykładniczo rosnącej ilości danych o stanie zdrowia pacjentów, gromadzonych i przechowywanych w formie elektronicznej dokumentacji medycznej (EDM) przez systemy medyczne.

Także COVID-19 przyczynił się do wzrostu ataków ransomware na służbę zdrowia. Wybuch pandemii zmusił dostawców usług medycznych do natychmiastowego tworzenia rozwiązań awaryjnych i dodatkowych placówek, więc brakowało czasu na zaplanowanie solidnej infrastruktury bezpieczeństwa IT w celu ochrony takich obiektów. Przejście praktycznie z dnia na dzień na pracę zdalną i szybkie wdrażanie elementów telemedycyny otworzyły dziesiątki nowych luk w zabezpieczeniach, które są równie szybko wykrywane przez cyberprzestępców.

Co gorsza, towarzyszy temu rosnące wyrafinowanie grup przestępczych wykorzystujących oprogramowanie ransomware. Z przeprowadzania ataków typu brute force o dużej skali szybko przeszły one na bardziej skoncentrowane, starannie zaplanowane i wykonywane uderzenia, które są dużo trudniejsze do wykrycia oraz neutralizowania.