Michał Dybowski: priorytetem jest dla nas wdrażanie odporności cyfrowej

Michał Dybowski, dyrektor ds. zrównoważonego rozwoju w Polskiej Federacji Szpitali, podczas panelu eksperckiego w ramach XI Kongresu Nowoczesny Pion Techniczny mówił m.in. o tym, czy polskie szpitale są zabezpieczone przed cyberatakami i czym jest piaskownica regulacyjna w kontekście sztucznej inteligencji.

– Nie jesteśmy i nie będziemy przygotowani na cyberataki. Nie ma systemów zabezpieczonych tak, żeby tych zabezpieczeń nie dało się obejść. Dlatego priorytetem jest dla nas wdrażanie odporności cyfrowej, żebyśmy byli w stanie po ataku hakerskim szybko przywrócić operacyjność. Są rozwiązania, które mitygują czas przestoju, ryzyko narażenia pacjenta na brak dostępności usługi, pozbawienie nas systemów komunikacji – wymieniał Michał Dybowski.

Zwracał też uwagę, że musimy mieć świadomość, że szpital jest krytycznym elementem całego obszaru ochrony zdrowia i wszyscy interesariusze mają tu swoją rolę do odegrania.

– Rozmawiamy o nowoczesnym pionie technicznym – technikalia są po stronie szpitala, infrastruktury informatycznej, digitalizacji, ale musimy pamiętać też o łańcuchu dostaw, które są źródłem ataków. Mówimy tu o wszystkich systemach wymiany informacji, o dostawcach usług, którzy mają dostęp do naszych systemów albo z którymi my się łączymy. To właśnie są punkty i powierzchnie potencjalnego ataku. Występują tu pewne zagrożenia i niezmitygowanie tego procesu zarządzania polityką dostępności, zasobów, współdzielenia mocy obliczeniowych, realizowania zadań w różnych systemach powoduje wprost ogromne ryzyka dla całego obszaru HIS-u, CIS-u czy komunikacji – podkreślał Dybowski.

Jako konsultant z ramienia Ministerstwa Cyfryzacji ds. wdrożenia ustawy o sztucznej inteligencji wyjaśnił też koncepcję piaskownicy regulacyjnej w tym kontekście.

– Mamy cały obszar sztucznej inteligencji, który wymaga regulacji – bardzo szczegółowo przeanalizowanej. I tu pojawia się koncept piaskownicy regulacyjnej. Gdy przychodzi do nas autor danego oprogramowania sztucznej inteligencji, które ma zostać wykorzystane w sprzęcie medycznym, musimy dowiedzieć się, jak w punkcie wyjścia wygląda algorytm, jakie elementy pobiera. I to podlega analizie prawnej – czy urządzenie ma prawo mieć dostęp do takich danych. Ponadto algorytm należy rozłożyć na czynniki pierwsze. My w ramach piaskownicy regulacyjnej mamy za zadanie ocenić, jak się to rozkłada i czy nie powstają przy tym jakieś niebezpieczne czynniki, a następnie co jest wynikiem tego procesu – tłumaczył.

Na koniec wskazał też problem z cyberbezpieczeństwem urządzeń medycznych.

– Przy obecnych założeniach prawie w ogóle nie ma cyberbezpieczeństwa rozważanego w ramach certyfikacji MDR w urządzeniach medycznych i to jest ogromny problem. Producenci nie byli zobligowani do rejestrowania swoich produktów w ramach tej regulacji z poziomu cyberbezpieczeństwa – dopiero kolejna rewizja je uwzględni. Dlatego należy rozważyć nabycie technologii, które uzupełnią tę lukę w obecnych sprzętach medycznych albo wybierać takich producentów, którzy już to u siebie zaimplementowali w ramach dobrej praktyki – podsumował Michał Dybowski.

Czytaj także: Szybka ścieżka postępowań i rozliczeń – jak zdążyć z KPO?