Czy polskie szpitale będą SAFE?

Czy dzięki przyjęciu projektu SAFE Polska zdobędzie fundusze, dzięki którym będzie mogła lepiej zadbać o bezpieczeństwo sektoru ochrony zdrowia?

W założeniu SAFE ma wzmocnić naszą obronność i bezpieczeństwo. Jednak szczegóły związane z tym programem nie są do końca znane i klarowne, zatem nie wiemy ostatecznie, na co Polska będzie mogła przeznaczyć pożyczone pieniądze. Domeną szpitali nie jest obronność, ale zapewnienie ciągłości działania systemu ochrony zdrowia i dostępności do doświadczeń zdrowotnych w momencie zdarzeń kryzysowych. Szpitale mają przetrwać sytuację, która może się wydarzyć, zagwarantować świadczenie usług w stanie zagrożenia i funkcjonować w przypadku odcięcia od infrastruktury energetycznej, komunikacyjnej itd., tak żeby pacjenci, którzy się pojawią, mogli być uratowani.

Patrząc z tej perspektywy, projekt SAFE nie zawiera żadnych elementów związanych z tą funkcją szpitali. To program stricte obronnościowy, który ma na celu zbudowanie zaplecza pod rozwiązania obronne. Pomija np. to, że w trakcie wojny front przebiega przez szpitale, ich serwerownie, systemy teleinformatyczne itd., a ataki hybrydowe ransomware mają najczęściej za zadanie niszczenie możliwości funkcjonowania tych jednostek. SAFE nie jest dobrym rozwiązaniem z punktu widzenia zabezpieczenia szpitali przed cyberatakami, ponieważ nie zawiera komponentu skoncentrowanego na danych medycznych i na zapewnieniu ich bezpieczeństwa. A przynajmniej my nic o tym nie wiemy.

W projekcie tym brakuje również weryfikowalności i mierzalności, a tym samym skuteczności wdrożenia tego planu. Stwarza to ogromne ryzyko, bo skoro nie jesteśmy w stanie zmierzyć, że przygotowujemy bezpieczną infrastrukturę krytyczną, jaką są szpitale, to nie wiemy, na czym mamy się oprzeć.

Zatem w naszej ocenie przydatność SAFE z punktu widzenia szpitali w ujęciu systemowym jest żadna. Jest to instrument obronny, ale w obecnej jego formule nie ma zastosowania w ochronie zdrowia.

Generał Grzegorz Gielerak powiedział podczas wywiadu z „Menedżerem Zdrowia”, że „jedynie współdziałające sektory cywilne i wojskowe są w stanie skutecznie ochronić Polaków przed skutkami sytuacji kryzysowej. Działania pod kątem ochrony ludności i obrony cywilnej, jak i w zakresie systemu ochrony zdrowia, pozwolą podnieść poziom bezpieczeństwa w kraju”. Jeśli więc SAFE jest instrumentem obronnym, to warto byłoby go wykorzystać w zakresie rozwoju infrastruktury szpitali wojskowych, wojskowych kadr medycznych czy budowy schronów, prawda?

Prawda. Jednak właśnie w tym momencie widać największe problemy z SAFE – nie tylko bowiem zakres i przedmiot wydatkowania środków nie został do końca zdefiniowany, ale przyznawanie pożyczki będzie warunkowane decyzją komisji. Czyli my, jako Polska, musimy zawnioskować, czy w ogóle wolno nam na określony cel wydać pieniądze. Jest to nielogicznie. Bo skoro identyfikujemy jakąś potrzebę w naszym kraju, to przeznaczenie środków na jej zaspokojenie powinno znajdować się w gestii naszego państwa, a nie w gestii kogoś z zewnątrz.

Tymczasem nasze potrzeby w zakresie bezpieczeństwa jako potencjalnego państwa frontowego są ogromne – wybudowanie jednego schronu kosztuje od 30 do 130 milionów złotych. Natomiast wybudowanie infrastruktury schronu, który byłby odzwierciedleniem sali operacyjnej umożliwiającym działalność szpitala pod ziemią w warunkach bojowych, to kilka miliardów złotych.

Zatem generał Grzegorz Gierelak oczywiście mówił z punktu widzenia funkcjonalnego. Doskonale wie, gdzie powinniśmy zaadresować wydatki na obronność. Ale biorąc pod uwagę obecne założenia projektu SAFE, decyzja o wydaniu pieniędzy nie będzie należała do niego.

Jakie więc mamy największe potrzeby związane z działaniem systemu ochrony zdrowia w sytuacji kryzysu?

Potrzeby szpitalnictwa zostały zbadane przez PFSz, zdefiniowane i przedstawione w naszym raporcie. Na pierwszym miejscu znalazło się cyberbezpieczeństwo: segmentacja związana z zarządzaniem tożsamością, (kto ma dostępy do danych i na jakich zasadach), obszary monitoringu i korelacji zdarzeń, czyli centra bezpieczeństwa i obsługi, budowanie odporności (kopii zapasowych, dzięki którym na wypadek skutecznych ataków możemy szybko przywrócić systemy, żeby nadal mogły życie ratować). Konieczna jest ochrona urządzeń medycznych: pomp infuzyjnych, dializatorów i wszystkich maszyn, które mogą zostać uszkodzone. Ogromnie ważna jest budowa standaryzacji bezpieczeństwa dla dostawców – tzw. łańcucha dostaw. Nie wiemy bowiem, czy kupując chiński sprzęt potencjalnie nie przyjmujemy go z fragmentem oprogramowania rosyjskiego. Nikt nie robi audytu w tym zakresie, nie mamy takiego standardu.

W moim odczuciu pieniądze z SAFE w obecnym kształcie mogą być spożytkowane na doposażenie 100 szpitali tzw. przyjaznych dla wojska. Brakuje w nich obecnie fundamentalnych elementów, które pozwolą przyjąć żołnierzy, nie ma nawet miejsc do składowania broni.

Mówię o słabych punktach projektu, ale nie po to, żeby go krytykować, tylko żeby zwrócić uwagę na to, czego nam brakuje. Wskazuję, jakie elementy możemy przepracować i zbudować SAFE, który systemowo obejmie również ochronę zdrowia.

Jakie są rekomendacje Polskiej Federacji Szpitali w tym zakresie?

Przede wszystkim chcielibyśmy, żeby wpisać bezpieczeństwo szpitali jako priorytet do krajowych planów inwestycyjnych – nie jako wątek poboczny, ale obszar strategiczny. Powinien tam się znaleźć jednolity system obejmujący bezpieczeństwo szpitali, w rozumieniu komunikacji, łańcuchów dostaw leków, wody, łączności itd. Dopiero na podstawie takiego systemu będzie można rozliczać wydatkowanie środków.

Kluczowym obszarem jest też suwerenność. Poddawanie pod ocenę państw zewnętrznych naszego bezpieczeństwa jest co najmniej nierozsądne. Rekomendujemy, by utworzyć specjalny krajowy instrument, który mógłby skoncentrować się na planach inwestycyjnych dla Polski i będzie komplementarny wobec SAFE. Potrzebne są nam proste, szybkie i uproszczone mechanizmy finansowania. Nie wiemy na przykład, czy będzie można w ramach SAFE realizować postępowania przetargowe w ramach specustawy pozwalającej na wydatkowanie środków na infrastrukturę krytyczną na szybkiej ścieżce przetargowej.

Wskazujemy także na potrzebę budowy regionalnych modeli zapewnienia analizy bezpieczeństwa, w tym cyberbezpieczeństwa i jednej wspólnej architektury bezpieczeństwa dla placówek, zwłaszcza powiatowych i wojewódzkich.

Naszym zdaniem konieczne jest stworzenie specjalnego programu finansowania kompetencji i procedur w obszarze szkoleń, ćwiczeń, planów, ciągłości działania, testów odtwarzania, standardów reakcji na sytuacje kryzysowe itd. Te elementy powinny funkcjonować jako narodowy standard. Funkcjonuje on bardzo dobrze w państwach, które często mają do czynienia z zagrożeniem militarnym.

W naszych rekomendacjach znajduje się też pragmatyczna polityka doboru technologii, zbudowanie ograniczeń formalnych do zaufanych dostawców, którzy są niepenetrowalni przez grupy APT (które atakują całą infrastrukturę z punktu widzenia cyfrowego).

Podkreślamy, że potrzebujemy włączenia bezpieczeństwa zdrowia w logikę obrony cywilnej. Zresztą nie tylko w SAFE – bezpieczeństwo zdrowia nie jest obecnie uwzględnione nawet w zatwierdzonym programie szkolenia straży pożarnej dla obrony cywilnej. Bardzo ważne jest, żeby obrona cywilna w zdrowiu nie była tematem pobocznym – musimy zbudować architekturę rozwiązania, bo na końcu tej infrastruktury stoi pacjent.

Potrzebujemy więc programu SAFE i komplementarnego wobec niego programu krajowego, które obejmują dokładnie zaplanowaną odporność cywilną i ciągłość działania szpitali.

Czy wobec tego, w pana ocenie, prezydent powinien zawetować ustawę?

Sam mechanizm SAFE jest nam potrzebny, żeby budować bezpieczeństwo. Polityka obronności państwa musi być oparta na współpracy z partnerami. Żadne państwo samo nie przetrwa sytuacji kryzysu długoterminowo. Natomiast powinna być absolutnie suwerenna w zakresie wyboru projektów, sposobu finansowania i realizacji. Jako federacja obstawalibyśmy, żeby stworzyć mechanizm polski, który nie jest niczym warunkowany przez zewnętrzne państwa. Dlatego moim zdaniem w obecnej formie ustawa powinna być zawetowana.

Natomiast absolutnie widzę w SAFE przestrzeń do poprawy. Myślę, że dobrze by było, gdyby pan prezydent zaangażował w tym celu gremia ekspertów do spraw obronności i zdrowia, którzy biorą na co dzień udział w pracach w systemie ochrony zdrowia, np. współpracujące z Polską Federacją Szpitali Healthcare Poland czy Krajową Izbę Domów Opieki. Myślę, że wspólnie możemy wypracować mądre rozwiązania, które będą praktycznie wdrażalne dla sektora ochrony zdrowia.

Przeczytaj także: „Jak Polska buduje odporny system ochrony zdrowia?”, „Mamy tylko jeden system ochrony zdrowia”, „Nowoczesna medycyna wojskowa jako filar bezpieczeństwa zdrowotnego państwa”, „Musimy stworzyć lekarzom wojskowym realną perspektywę rozwoju” i „Czy jesteśmy przygotowani do wojny?”.