Amerykańska Agencja ds. Leków i Żywności (FDA) dopuściła na rynek pierwsze urządzenie wykorzystujące AI do oceny znamion. Pozwala ono zwiększyć dokładność dotychczasowych metod diagnostycznych jak np. badania dermatoskopowego.

Rak skóry należy do jednych z najbardziej agresywnych odmian nowotworów. Według danych Krajowego Rejestru Nowotworów, w 2020 roku na czerniaka w Polsce zachorowało ok. 3 300 osób (na całym świecie: 325 000 pacjentów). U ponad 10 000 zdiagnozowano inne nowotwory złośliwe skóry, jak raka podstawnokomórkowego i kolczystokomórkowego. Odsetek śmiertelności jest bardzo wysoki, sięgając 40–60 proc. u osób powyżej 70. roku życia. Jeśli jednak czerniak nie przekroczy grubości 1 mm, przeżycie jest bliskie 100%.

Algorytm do oceny znamion

Nowe, mieszczące się w dłoni urządzenie o nazwie DermaSensor służy do oceny zmian, które lekarze oznaczyli jako podejrzane. Wykorzystuje one technologię spektroskopii opartą na sztucznej inteligencji do oceny cech komórkowych i podskórnych zmian chorobowych. Algorytm AI został przeszkolony na danych ponad 4000 złośliwych i łagodnych zmian skórnych. Wynik badania dostępny jest natychmiast, dzięki czemu lekarz może przeprowadzić ocenę większej ilości zmian skórnych podczas jednego badania.

Z innowacji skorzystają lekarze podstawowej opieki zdrowotnej i dermatolodzy. Oferuje ona dokładniejszy sposób oceny pieprzyków pod kątem raka skóry niż zwykłe badanie pacjenta gołym okiem lub przez szkło powiększające. Wydając pozwolenia, FDA zaznaczyła jednak, że nie jest to rozwiązanie nadające się do screeningu raka skóry. Wynika to z faktu, że mowa o urządzeniu wysokiego ryzyka, gdzie błąd (np. klasyfikacja złośliwej zmiany jako łagodnej) może stanowić zagrożenie dla zdrowia i życia pacjenta. Dlatego urządzenie może pełnić tylko rolę pomocnika.

Jak AI diagnozuje raka skóry?

Całość wygląda jak mały telefon komórkowy z kamerą. Po zidentyfikowaniu potencjalnie złośliwej zmiany u pacjenta, lekarz dociska urządzenie do zmiany, aby ją przeskanować. Opatentowany algorytm analizuje dane spektralne i dostarcza ocenę w czasie rzeczywistym. Jeśli na ekranie pojawi się wynik „Zbadaj dalej”, specjalista powinien dokładnie przyjrzeć się zmianie. Z kolei komunikat „Monitoruj” sugeruje, że dalsza ocena nie jest konieczna. W takim przypadku wystarczy obserwacja podczas kolejnego badania przesiewowego.

Oprócz pomocy w wykrywaniu czerniaka, który jest najbardziej śmiertelną formą raka skóry, urządzenie może również oceniać znamiona pod kątem raka podstawnokomórkowego i płaskonabłonkowego.

Jak zaznacza producent urządzenia, dzięki AI dermatologia wkracza w erę medycyny predykcyjnej. Ocena wzrokowa jest niedoskonała, bo lekarz nie może zajrzeć pod skórę. Rozwój AI umożliwia tworzenie nowych metod diagnostycznych – na rynku istnieją już dermatologiczne aplikacje mobilne. Wystarczy zrobić zdjęcie pieprzyka, a system dokona wstępnej oceny i w razie konieczności połączy pacjenta z dermatologiem, aby pogłębić badanie. Jeszcze większą skuteczność screeningu będzie można uzyskać, gdy informacje gromadzone w elektronicznych kartotekach pacjentów poszerzone zostaną o dane DNA.

Zatwierdzenie przez FDA jest warunkowe – teraz agencja oczekuje przeprowadzenia dodatkowych testów walidacyjnych na pacjentach z szeroko reprezentatywnych grup demograficznych, w tym tych, którzy są mniej narażeni na raka skóry.

Czytaj także: EKG, pulsoksymetr, stetoskop i termometr w jednym. Oto BeamO

Jakie nowe metody stosują cyberprzestępcy? Jak się przed nimi bronić? Rozmowa z Jakubem Betka, Prezesem Zarządu Ogólnopolskiego Stowarzyszenia Ochrony Danych Osobowych w Sektorze Medycznym oraz inspektorem ochrony danych, konsultantem ds. cyberbezpieczeństwa.

W skrócie:

• Liczba ataków hakerskich na podmioty z sektora medycznego wzrosła o 24%
• W ostatnim czasie, bardzo często dochodzi do ataków typu DDoS
• RODO w sektorze zdrowia jest nadal postrzegane przez pryzmat absurdalnych sytuacji
• Dokumentacja zapewniająca zgodność z RODO”, często trafia do szuflady. Nie tędy droga
• Trzeba na bieżąco analizować przypadki ataków hakerskich na inne jednostki

Jak wyglądają statystyki dotyczące ataków hakerów na placówki zdrowia?

Skalę ataków hakerskich na polskie placówki medyczne można podzielić na trzy etapy. Pierwszy to okres do 2020 roku, kiedy ataków było stosunkowo niewiele. Oczywiście takie ataki występowały, natomiast rok 2020 wszystko zmienił. Skutkiem pandemii COVID-19 była wzmożona cyfryzacja w sektorze medycznym, co zachęciło cyberprzestępców do coraz częstszych ataków. Ten stan trwał do 2022 roku i rozpoczęcia przez Rosję wojny z Ukrainą – od tego czasu skala cyberataków znacznie znaczenie wzrosła.

O ile?

Porównując pierwszy kwartał 2022 roku i pierwszy kwartał 2023 roku, obserwujemy wzrost ataków hakerskich na podmioty z sektora medycznego o 24%. Podmioty medyczne, które wdrożyły mechanizmy monitorowania swoich systemów teleinformatycznych, wprost wskazują, że do prób ataków dochodzi kilkadziesiąt, a często kilkaset razy dziennie.

Czy podmioty lecznicze dobrze chronią dane pacjentów?

Większość placówek na pewno sądzi, że dobrze chroni dane pacjentów. Pytanie, czy na pewno skutecznie? Ochrona danych i cyberbezpieczeństwo to ciągła walka z cyberprzestępcami. Dlatego do tematu ochrony danych pacjentów trzeba podchodzić jak do procesu ciągłego doskonalenia i poprawiania systemu. W ramach stowarzyszenia OSODO w Sektorze Medycznym, prowadzimy regularne spotkania, podczas których członkowie, czyli Inspektorzy Ochrony Danych, wskazują, gdzie widzą największe zagrożenia. To daje możliwość reakcji innym członkom w ich placówkach.

Co jest w takim razie najsłabszym ogniwem? Jak najczęściej dochodzi do wycieku danych?

Utrwaliło się stwierdzenie, że najsłabszym ogniwem w systemie bezpieczeństwa danych jest człowiek. Trudno nie zgodzić się z tym stwierdzeniem. Placówka medyczna, może dysponować najnowszymi rozwiązaniami technicznymi, ale bez odpowiedniej wiedzy i świadomości personelu nie będzie można ich w pełni wykorzystać. Bardzo często dochodzi do ataków typu DDoS (ang.: Distributed Denial of Service), które mają na celu zakłócenie lub całkowite wyłączenie danej usługi czy systemu. Ryzyko tego typu ataku można ograniczyć najlepiej poprzez wprowadzenie odpowiednich rozwiązań technicznych.

Czy oprócz DDoS są jeszcze jakieś inne, nowe metody działania cyberprzestępców?

Najwięcej w ostatnim czasie w zakresie cyfryzacji mówi się o sztucznej inteligencji. Po rozwiązania oparte na AI sięgają również cyberprzestępcy, wykorzystując je go szybszych i sprawniejszych ataków. Sztuczna inteligencja jest wykorzystywana do łamania haseł, w analizach najsłabszych punktów placówki, w zbieraniu informacji do przeprowadzenia ataków phishingowych oraz do tworzenia wiadomości phishingowych.

Hakerzy korzystający ze sztucznej inteligencji są w stanie wygenerować wiadomość np. dyrektora szpitala do działu IT, używając w wiadomości stwierdzeń, powiedzeń, słów, szyku zdań, które zazwyczaj stosuje nadawca.

Trzeba także pamiętać, że sztuczna inteligencja jest coraz częściej wykorzystywana w ochronie zdrowia. Takie rozwiązania mają wspomóc personel medyczny w analizie i podejmowaniu decyzji. Jednak w przypadku wykorzystania AI, kwestia bezpieczeństwa danych zyskuje jeszcze bardziej na znaczeniu. Nie chodzi tutaj już o wycieki danych. Atak hakerski może bowiem polegać na nieautoryzowanej manipulacji danymi służącymi do nauki lub testowania algorytmu.

Skutkiem mogą być zafałszowane wyniki, które mogą prowadzić do błędnych analiz, błędnych decyzji, zastosowania błędnego leczenia, a w najgorszych przypadkach – nawet do śmierci pacjenta.

Wiele kwestii związanych z ochroną danych reguluje RODO, które obowiązuje w Polsce już od 6 lat. Czy w ochronie zdrowia jest ono przestrzegane?

Z RODO jest dokładnie jak z cyberbezpieczeństwem – zapewnienie zgodności z przepisami tego unijnego rozporządzenia to ciągły proces. Każda nowa usługa, nowy proces, nowy system informatyczny lub aparatura medyczna, może generować nowe ryzyko dla bezpieczeństwa danych pacjentów.

Mimo upływu 6 lat, w dalszym ciągu RODO w sektorze zdrowia jest postrzegane przez pryzmat absurdalnych sytuacji, do których dochodziło przy początkach jego stosowania. W niektórych jednostkach można nadal spotkać niepotrzebne zgody pacjentów na przetwarzanie ich danych osobowych w celu prowadzenia procesu leczenia.

Część placówek skupiła się na stworzeniu dokumentacji, która ma „zapewnić zgodność z RODO”. Po tym, jak zostały opracowane, często trafiały do szuflady, w której czekają na kontrolę. Niestety, nie tędy droga.

RODO opiera się na analizie ryzyka, czyli na analizie, która ma wykazać, jakie sytuacje mogą skutkować utratą bezpieczeństwa dla danych i jakie zabezpieczenia placówka wdrożyła lub wdroży, aby zmniejszyć skutki takich sytuacji lub prawdopodobieństwo ich wystąpienia. Taka analiza powinna być prowadzona cyklicznie, choćby ze względu na to, że zmieniają się metody działania cyberprzestępców.

Podmioty lecznicze z reguły nie mają dużych budżetów na ochronę danych. Jak mimo to zwiększyć poziom cyberbezpieczeństwa?

Bez wystarczających środków finansowych, cyberprzestępcy zawsze będą o krok przed placówkami medycznymi.

Można oczywiście zwiększać świadomość personelu. Takie szkolenia może, wręcz powinien, prowadzić Inspektor Ochrony Danych, który posiada odpowiednią wiedzę i cały czas ją aktualizuje. A to z kolei oznacza koszt dla placówki medycznej.

Innym aspektem bezpieczeństwa, który nie wymaga dużych nakładów finansowych, jest wyegzekwowania bezpieczeństwa danych u dostawców. Placówki medyczne coraz częściej korzystają z rozwiązań zewnętrznych (np. chmura, oprogramowanie medyczne, zdalny serwis aparatury medycznej), jednak nie stawiają przed dostawcami żadnych wymogów związanych z zapewnieniem bezpieczeństwa danych podczas korzystania z tych rozwiązań.

Polecam też uczyć się na cudzych błędach. Placówki powinny przeanalizować przypadki ataków hakerskich na inne jednostki, jak przykładowo ostatni głośny atak na Laboratoria ALAB, i sprawdzić, czy są gotowe na takie sytuacje. Jeżeli nie, to kolejnym krokiem jest wprowadzenie mechanizmów, które zminimalizują prawdopodobieństwo wystąpienia podobnego ataku „u Nas”. Jednak obawiam się, że bez wystarczających środków finansowych, placówki medyczne nie będą gotowe na coraz intensywniejszą wojnę w cyberprzestrzeni.

Czytaj takż: Pobierz raport “Cyberbezpieczeństwo w ochronie zdrowia”

Światowa Organizacja Zdrowia oddała do użytku nowego cyfrowego bota zdrowotnego. S.A.R.A.H wykorzystuje generatywną sztuczną inteligencję, aby udzielać precyzyjnych i empatycznych odpowiedzi na pytania dotyczące zdrowia.

Awatary pozwalają zwiększać dostęp do wiedzy medycznej

Pierwsza wersja bota została upubliczniona w 2022 roku, tuż przed Mistrzostwami Świata w Piłce Nożnej w Katarze 2022. Wówczas nazywała się Florence i miała przede wszystkim informować o pandemii COVID-19, szczepieniach oraz podpowiadać, jak rzucić palenie papierosów, dobrze się odżywiać i prowadzić zdrowszy tryb życia. Światowa Organizacja Zdrowia określiła Florence “pierwszym na świecie cyfrowym pracownikiem ochrony zdrowia.”

Od tego czasu na rynku pojawiły się systemy generatywej sztucznej inteligencji, jak ChatGPT, które pozwoliły udoskonalić płynność rozmowy z botami AI. Inteligentny asystent zdrowia S.A.R.A.H (albo Sarah) – który miał swoją premierę przed Światowym Dniem Zdrowia w kwietniu br. – też już korzysta z technologii dużych modeli językowych (LLM). Jest dostępny 24 godziny na dobę i może porozumiewać się w 8 językach: angielskim, hebrajskim, chińskim, francuskim, rosyjskim, hiszpańskim, hindi i portuagalskim.

Przyszłość zdrowia jest cyfrowa

Cyfrowy promotor zdrowia WHO został wytrenowany pod kątem udzielania wiarygodnych informacji zdrowotnych. Sarah potrafi wytłumaczyć m.in. czynniki ryzyka groźnych chorób niezakaźnych jak rak, choroby serca i płuc oraz cukrzyca. Ma także promować zdrowy tryb życia, pomagać w rzucaniu palenia, motywować do aktywności fizycznej i zdrowej diety.

Prezentując bota, dyrektor generalny WHO, dr Tedros Adhanom Ghebreyesus, powiedział, że przyszłość zdrowia jest cyfrowa, a Sarah pokazuje, jak AI może być wykorzystywana w celu poprawy dostępu do informacji zdrowotnych w interaktywny sposób. WHO od kilku lat wspiera cyfryzację ochrony zdrowia, rozwój telemedycyny i innych rozwiązań e-zdrowia, aby ułatwić korzystanie z usług medycznych bez względu na miejsce zamieszkania i sytuację ekonomiczną.

Dzięki temu, że bot korzysta z generatywnej AI, zwiększyła się dokładność i zakres udzielanych w czasie rzeczywistym odpowiedzi. Rozmowy stały się bardziej spersonalizowane i empatyczne, a komunikacja z botem jeszcze bardziej przypomina rozmowę z drugim człowiekiem.

Aby stworzyć cyfrowego promotora zdrowia, WHO nawiązała współpracę z Soul Machines, firmą zajmującą się rozwojem sztucznej inteligencji. Z porad Sarah może skorzystać każdy, wystarczy wejść na stronę internetową z botem.

Aby rozpocząć czat z Sarah, kliknij tutaj.

Blog OSOZ uruchamia nowy newsletter. Raz w miesiącu otrzymasz briefing e-zdrowia, dostęp do bonusowych treści oraz zaproszenia na webinary w ramach Klubu OSOZ.

Korzyści z newslettera OSOZ:

• Tylko jeden e-mail w miesiącu
• Powiadomienie o nowym wydaniu czasopisma OSOZ do pobrania
• Briefing e-zdrowia: najważniejsze newsy i zmiany prawne
• Bonusowe teksty i raporty
• Zaproszenie na bezpłatne konferencje i szkolenia
• Wkrótce: Klub Cyfrowej Medycyny z webinarami i wywiadami na żywo

Dla kogo? Newsletter OSOZ kierujemy do wszystkich pracowników ochrony zdrowia, w tym menedżerów, personelu medycznego i administracyjnego, farmaceutów, studentów, pasjonatów innowacji i nowych technologii, przedstawicieli instytucji rynku zdrowia oraz firm zainteresowanych e-zdrowiem.

Jak często? Newsletter otrzymasz na podany w formularzu adres e-mail tylko raz w miesiącu w formie treściwego podsumowania, które przeczytasz w 1-2 minuty. Wyjątkiem od tej reguły są pilne i ważne informacje jak np. raporty specjalne, zapowiedzi szkoleń itd.

Bezpieczeństwo Twoich danych. Nasz newsletter tworzymy korzystając z bezpiecznych narzędzi zgodnych z RODO. W każdej chwili możesz z niego zrezygnować.

Społeczność e-zdrowia. Bądź na bieżąco z informacjami na temat cyfryzacji ochrony zdrowia w Polsce oraz weź udział w webinarach i szkoleniach. Jako pierwszy dowiesz się o tym, co ważne w e-zdrowiu.

Zapisz się do newslettera OSOZ

Na jaw wychodzą kolejne szczegóły kontrowersyjnego systemu e-Gabinet+ oferowanego przez MZ poprzedniej kadencji. Teraz okazuje się, że korzysta z niego aktywnie zaledwie 11 placówek spośród 1301 uczestniczących w projekcie. Żadna nie rozliczyła się z NFZ z pomocą systemu.

Na co poszły 172 miliony na e-zdrowie?

Po zmianach kadrowych w Departamencie Innowacji Ministerstwa Zdrowia, czasopismo OSOZ otrzymało informację dotyczącą kosztów rozwoju aplikacji e-Gabinet+ dostępnej na stronie gabinet.gov.pl.

Do końca roku 2023, e-Gabinet+ został udostępniony 1301 placówkom POZ uczestniczącym w projekcie (czyli 5,7% wszystkich przychodni w Polsce, których jest 22600). Łączna wysokość wydatków kwalifikowanych poniesionych w projekcie wyniosła 172 294 365,40 zł. Kwota ta obejmuje trzy składniki. Pierwszy to rozbudowa centralnego narzędzia o funkcjonalności e-usług i integrację z systemem e-zdrowia:

• Koszty opracowania systemu IT (koszt rozbudowa aplikacji e-Gabinet+): 17 389 154,36 zł
• Zakup sprzętu na rzecz rozbudowy aplikacji e-Gabinet+: 54 669 838,77 zł

Drugim elementem kosztowym było wyposażenie placówek POZ w niezbędną infrastrukturę. Na ten cel wydano 94 508 768,98 zł. Trzecim składnikiem była promocja rozwiązania, która kosztowała 1 997 912,18. Koszty pośrednie wyniosły 3 728 691,11 zł.

Za pomocą e-Gabinet+ z NFZ nie rozlicza się żadna z 1301 placówek

Można by dyskutować, czy to dużo czy mało, gdyby nie inne informacje, uzyskane tym razem przez Polską Izbę Informatyki Medycznej. Wynika z nich, że trzy miesiące po udostępnieniu systemu aktywnie korzystało z niego 11 placówek z 1301 (0,84%), które otrzymały dotacje. Żadna z nich nie dokonała rozliczenia z NFZ za pomocą ministerialnego systemu, a razem biorąc wytworzyły symboliczne 371 dokumentów EDM. Paradoksalnie, celem projektu e-Gabinet+ była rozbudowa aplikacji gabinet.gov.pl o funkcjonalności wymiany elektronicznej dokumentacji medycznej (EDM) oraz rozliczeń z NFZ.

Jak to wytłumaczyć? Placówki aplikujące o środki wraz z systemem otrzymały dotację na sprzęt. Jednocześnie MZ dawało do zrozumienia, że placówka nie jest zobowiązana do korzystania z systemu, zwłaszcza widząc niskie zainteresowanie udziałem w projekcie (termin nadsyłania wniosków przedłużano kilka razy). Sugeruje to nawet tytuł tekstu na stronie MZ zachęcającego do składania wniosków: “Pieniądze na komputery dla POZ”.

To nie koniec wydatków, bo MZ musi teraz zapewnić utrzymanie systemu. W styczniu 2024 jego koszty wyniosły 16 912,50 zł. Pozostałe koszty od lutego do końca 2024 roku sumują się w 79 962,03 zł.

Wielkie nadzieje na przyspieszenie EDM i duże rozczarowanie

E-Gabinet+ to nic więcej jak rozbudowa serwisu gabinet.gov.pl o EDM i rozliczenia z Narodowym Funduszem Zdrowia za 17 milionów złotych. Jak podsumowuje Polska Izba Informatyki Medycznej “potwierdzają się obawy co do celowości tego przedsięwzięcia.” Jedynym plusem całego projektu jest doposażenie placówek w sprzęt informatyczny.

Systemu do końca bronił Piotr Węcławik, były Dyrektor Departamentu Innowacji w Ministerstwie Zdrowia, który podkreślał, że e-Gabinet+ został opracowany, aby rozwiązać problem opóźnień we wdrażaniu EDM. Projekt w całości był finansowany ze środków UE z Programu Operacyjnego Infrastruktura i Środowisko (REACT-EU).

Czytaj także: Dlaczego wszyscy krytykują ministerialny system e-Gabinet+?

W jaki sposób najczęściej dochodzi do wycieku danych? Co zrobić, gdy hakerzy zaatakują placówkę medyczną? Gdzie się szkolić i szukać wsparcia finansowego na inwestycje w cyberbezpieczeństwo? Na nasze pytania odpowiada Jeremi Olechnowicz, Kierownik Wydziału CSIRT w Centrum e-Zdrowia.

W skrócie:

• Można wyróżnić 7 słabości, które najczęściej wykorzystują hakerzy;
• Najsłabszym ogniwem w łańcuchu cyberbezpieczeństwa jest człowiek;
• Ochronę danych można wzmocnić bez dużych nakładów sięgając do rozwiązań open source;
• Gdy dojdzie do ataku, trzeba szybko poinformować min. CSIRT CeZ;
• NASK realizuje szkolenia Security Awareness dla POZ-tów;
• Wkrótce ruszy nowa edycja projektu „CyberSzpitale”;
• Zaleca się wieloskładnikowe logowanie MFA i system kopii zapasowych z kopią offline.

Jaka jest skala incydentów bezpieczeństwa danych w ochronie zdrowia w Polsce według danych, którymi dysponuje CeZ?

Bazując na analizach przeprowadzonych przez Centrum e-Zdrowia oraz dostępnych publicznie raportach branżowych – np. CERT PL – widzimy, że liczba ataków ciągle rośnie.

W roku 2023 miało miejsce ponad dwa razy więcej różnych incydentów niż rok wcześniej. Zakładam, że w tym roku tendencja wzrostowa się utrzyma. Tylko w styczniu Centrum e-Zdrowia zarejestrowało ponad 40 różnych incydentów w sektorze ochrony zdrowia, od prób phishingu, przez wycieki poświadczeń, aż po próby ataków na infrastrukturę podmiotów.

W jaki sposób najczęściej dochodzi do wycieku danych medycznych?

Do udanego ataku prowadzi wiele różnych czynników, które zwykle muszą wystąpić razem. Rzadko jest tak, żeby udany atak był efektem pojedynczej słabości, choć to też jest możliwe.

Najczęściej obserwowane przez nas słabości, które wykorzystują hakerzy to:

• podatności i luki w systemach i urządzeniach,
• zbyt szeroko przyznane zdalne dostępy do organizacji,
• nadużycia i nadmiarowe uprawnienia kont użytkowników, np. kont administratorów domeny lub stacji roboczej,
• błędy w konfiguracji w infrastruktury,
• brak mechanizmów uwierzytelnienia dwuskładnikowego,
• ekspozycja zasobów organizacji do sieci publicznej,
• nieaktualne i podatne wersje elementów stron internetowych np.: CMS, wtyczki.

Przykładowo, atakujący wykorzystuje jedną z popularnych podatności na publicznie dostępną usługę, np. portal logowania do VPNa. Następnie uzyskuje dostęp do jednego z serwerów na peryferiach sieci, gdzie wykonuje tzw. eskalację uprawnień. Atakujący ma już podwyższone uprawnienia, które pozwalają na wykonanie wielu niebezpiecznych czynności. Może na przykład dalej przeczesywać sieć wewnętrzną organizacji. Finalnie atakujący uzyskuje dostęp np. do serwera plików lub baz systemów dokumentacji medycznej, które wykrada.

Media informują zazwyczaj tylko o dużych atakach hakerów. Czy małe, indywidualne praktyki lekarskie też mają się czego obawiać?

To, w jakim stopniu dany podmiot jest narażony na ryzyko, zależy m.in. od jego wielkości oraz od tego, jak oceniają je grupy atakujące. Duże, znane jednostki, o krytycznym znaczeniu dla systemu ochrony zdrowia, są oczywiście bardziej narażone na ataki, niż mniejsze placówki. Takie jednostki mogą paść ofiarą zarówno grup hakerskich nastawionych na zyski finansowe, jak i tzw. national state actors, czyli grup hakerów wspieranych przez obce rządy. Ich działania będą ukierunkowane na destabilizację ciągłości świadczenia usług, zniszczenia zasobów, manipulację danymi, czy też kradzież danych.

Nie oznacza to jednak, że mikro i małe podmioty nie są narażone na ataki. W takich placówkach względnie łatwo można ukraść login i hasło pojedynczym specjalistom np. poprzez masowe kampanie phishingowe oraz strony internetowe dystrybuujące złośliwy kod. Choć procentowa skuteczność takich kampanii jest śladowa to nakład pracy jest na tyle niski, że ta technika jest często stosowana.

Jakie są w takim razie minimalne zabezpieczenia techniczne i organizacyjne, które powinny być stosowane przez każdy podmiot leczniczy bez wyjątku?

Po pierwsze cyberbezpieczeństwo to system naczyń połączonych. Słabości lub braki pojedynczych elementów wpłyną na odporność całego systemu. Po drugie, cyberbezpieczeństwo to nie stan zero-jedynkowy. To proces ciągły wymagający weryfikacji i doskonalenia. Po trzecie, cyberbezpieczeństwo to nie kwestia zakupu kilku systemów lub urządzeń o dziwnych skrótach np. FW, AV, SMG, NAC, PAM czy DAM. Aby osiągnąć cel, jakim jest ochrona informacji przetwarzanych w organizacji, należy zaplanować kompleksową architekturę cyberbezpieczeństwa składającą się z elementów takich jak rozwiązania techniczne, organizacyjne, formalne, a także kompetencje specjalistów z różnych dziedzin. Na koniec elementy te należy połączyć w jeden sprawnie działający system.

Często pomijany jest fakt, że pierwszym ważnym krokiem jest świadomość o zagrożeniach oraz ich konsekwencjach. A więc znajomość aspektów Security Awareness wśród pracowników organizacji, w szczególności kierownictwa, na którym spoczywa obowiązek zapewnienia bezpieczeństwa przetwarzanych informacji.

Trudno jest jednoznacznie wybrać pojedyncze elementy, które powinny być stosowane bez wyjątku. Jest ich po prostu wiele, a cel można osiągnąć różnymi sposobami.

Niezmiennie najsłabszym ogniwem w łańcuchu cyberbezpieczeństwa jest człowiek. Dlatego to właśnie działania, które mają na celu zniwelowanie błędów i słabości ludzi są niezwykle istotne. Zaimplementowanie zasad cyberhigieny znacznie podnosi odporność organizacji na zagrożenia z cyberprzestrzeni, a inwestycja w kompetencje wsparcia IT na pewno się opłaci. Więcej szczegółów na temat architektury bezpieczeństwa poruszamy w opublikowanych na stronie ezdrowie.gov.pl rekomendacjach.

Oprócz cyberhigieny, co jeszcze można zrobić, aby wzmocnić ochronę danych bez ponoszenia dużych nakładów?

Po pierwsze można skorzystać z wielu rozwiązań open source. Takie rozwiązanie będzie tańsze, jednak wymaga więcej czasu na implementację i wysokich kompetencji osób je wdrażających oraz integrujących. Systemy takie można zainstalować na bezpłatnych dystrybucjach systemów operacyjnych z rodziny Linux. Środowisko dla takich rozwiązań także można utworzyć z pomocą usług o otwartym kodzie.

Ważnym aspektem architektury bezpieczeństwa jest nie samo wdrożenie rozwiązania technicznego, ale jego prawidłowa konfiguracja oraz integracja z innymi narzędziami. Czyli implementacja różnych dobrych praktyk, także na rozwiązaniach opensource, może skutecznie zmniejszyć powierzchnię ataku. Dla przykładu błędnie wdrożony system klasy Firewall na brzegu infrastruktury nie zapewni bezpieczeństwa nawet jak będzie bardzo drogi, a wszystkie podatności zostaną załatane.

Wiele ataków dokonywanych jest przy wykorzystaniu jednej lub kilku znanych podatności. Monitorowanie doniesień o nowych podatnościach oraz wdrożenie skutecznego procesu szybkiego ich usuwania również zmniejsza ryzyko skutecznego ataku.

Ważne części architektury bezpieczeństwa organizacji to wewnętrzne polityki bezpieczeństwa teleinformatycznego, a w idealnych warunkach cały System Zarządzania Bezpieczeństwem Informacji (SZBI). Wdrożenie SZBI może nie być proste i tanie, ale można zaimplementować – dodatkowym nakładem pracy – okrojoną wersję takich polityk, procesów oraz procedur. Dostępnych jest wiele poradników, zaleceń oraz ostrzeżeń opracowywanych m.in. przez CSIRTy poziomu krajowego, np. CERT PL oraz przez sektorowy zespół cyberbezpieczeństwa CSIRT CEZ. Można wykorzystać te informacje w organizacji także w formie np. mailowych ostrzeżeń dla pracowników lub jako cykliczne przypomnienia dobrych praktyk z zakresu cyberhigieny.

To wymaga z kolei ciągłej aktualizacji wiedzy, bo hakerzy też doskonalą swoje strategie działania.

Atakujący będą zmieniali swoje metody wraz ze zmianami rozwiązań z zakresu zabezpieczeń. Cyberataki wciąż są bardzo dochodowe, więc grupy hakerskie na pewno nie zaprzestaną swojego procederu. Po drugie, pozyskane środki wykorzystują  na dalszy rozwój swoich zasobów oraz metod.

Ewoluująca technologia ma także wpływ na stosowane przez atakujących metody. Jedną z charakterystycznych zmian w ostatnich latach jest modyfikacja modelu biznesowego ataków ransomware. Kiedyś po prostu żądano okupu za odszyfrowanie. Rynek odpowiedział na to szerszym i skuteczniejszym wdrożeniem systemów kopii zapasowych. Hakerzy zaczęli więc nie tylko szyfrować dane, ale też je wykradać. Teraz żądają okupu za odszyfrowanie i niepublikowanie wykradzionych danych. Jest to tzw. Double Extortion. Metody te są rozwijane w celu wywarcia dodatkowej presji na atakowaną organizację czyli np. Triple lub Quadruple Extortion.

Oczywiście to tylko ułamek zmian, które zachodzą w metodach stosowanych przez hakerów. Ciekawa przyszłość czeka nas w kontekście wykorzystania AI w cyberbezpieczeństwie. Nie tylko rozwiązania bezpieczeństwa będą implementować AI. Hakerzy też się dostosowują i zaczynają korzystać ze wsparcia sztucznej inteligencji.

Co robić, gdy już doszło do ataku cybernetycznego w placówce medycznej?

Gdy już dojdzie do ataku, kluczowe jest jego rozpoznanie i podjęcie działań, które mogą zminimalizować/zniwelować skutki ataku. Na przykład, jeśli zauważymy masowe wyłączanie serwerów w sieci, warto rozpocząć izolowanie całych segmentów sieci, tak żeby złośliwy kod nie miał możliwości się rozprzestrzenić. Na tym etapie nie jest zalecane natomiast fizyczne odłączanie urządzeń od zasilania. Zalecany jest natomiast pilny kontakt telefoniczny do zespołów CSIRT w celu uzyskania szybkiego wsparcia poprzez zdalną konsultację. Takim zespołem jest m.in. CERT PL ulokowany w NASK oraz sektorowy zespół cyberbezpieczeństwa w Centrum e-Zdrowia – CSIRT CEZ.

Należy pamiętać też o obowiązkach wynikających z Ustawy o Krajowym Systemie Cyberbezpieczeństwa. Mowa o formalnym zgłoszeniu incydentu na dedykowanym formularzu. Formularz nie musi być w 100% wypełniony przy pierwszym zgłoszeniu. Zgłoszenie można zaktualizować w późniejszym czasie. Jeśli trwa incydent, zgłaszający może nie mieć kompletu informacji. Ważne jest natomiast jak najszybsze poinformowanie dedykowanych zespołów cyberbezpieczeństwa. W przypadku nieterminowego zgłoszenia podmiot może się narazić na kary finansowe.

Gdzie szukać programów wsparcia na inwestycje w bezpieczeństwo danych?

Centrum e-Zdrowia oraz Ministerstwo Zdrowia propagują informacje o różnych projektach wśród podmiotów wykonujących działalność leczniczą, w szczególności wśród szpitali.

Największy tego typu projekt to „CyberSzpitale”. Jest on skierowany do szpitali w Polsce. Polega na refundacji inwestycji poniesionych przez tę grupę podmiotów na rzecz podniesienia poziomu cyberbezpieczeństwa. Pierwsza edycja zakończyła się w ubiegłym roku. Wkrótce, dzięki rządowemu wsparciu, ruszy kolejna edycja.

Poza wymienioną refundacją prowadzone są też różne przedsięwzięcia szkoleniowe. Jedno z nich to szkolenia Security Awareness realizowane przez NASK na rzecz podmiotów Podstawowej Opieki Zdrowotnej (POZ). Ministerstwo Cyfryzacji wraz z partnerami prowadzi teraz cykl szkoleń podnoszących kompetencje kadry IT w szpitalach. Szkolenia te już trwają. Na rok bieżący oraz kolejny przygotowywane są kolejne projekty szkoleniowe, o których Centrum e-Zdrowia oraz Ministerstwo Zdrowia będzie informować. Wśród nich znajdą się m.in. szkolenia Security Awareness dla kadry kierowniczej szpitali.

Jakie trzy bazowe inwestycje w bezpieczeństwo danych pozwalają znacznie poprawić ochronę danych w podmiotach medycznych?

Jak już wcześniej wspomniałem, architektura cyberbezpieczeństwa składa się z wielu elementów. Nie da się zbudować bezpiecznej infrastruktury bez zabezpieczeń technicznych: płatnych lub bezpłatnych. Każda organizacja ma już jakieś rozwiązania techniczne zaimplementowane – lepsze lub gorsze.

To, czego najczęściej brakuje, a znacząco podnosi odporność organizacji to:

• Szkolenia z Security Awareness dla całej kadry w organizacji wraz z cyklicznym przypomnieniem obowiązujących zasad bezpieczeństwa;
• Wieloskładnikowe logowanie MFA (multi factor authentication), które znacząco podniesie odporność kont na przejęcie dostępów;
• Prawidłowo zaimplementowany system kopii zapasowych z kopią offline, który – gdy zawiodą inne rozwiązania – pozwoli na odzyskanie ciągłości działania oraz utraconych danych.

Czytaj takż: Pobierz pełny raport “Cyberbezpieczeństwo w ochronie zdrowia”

Jak udaremnić atak hakerów, zapobiec wyciekowi danych lub zmniejszyć jego negatywne skutki? W nowym, bezpłatnym poradniku OSOZ znajdziesz porady ekspertów i esencję wiedzy z cyberbezpieczeństwa w ochronie zdrowia.

POBIERAM za darmo poradnik “Cyberbezpieczeństwo w Ochronie Zdrowia” (129 stron, PDF, 27 MB)

Jak chronić dane w podmiotach leczniczych?

Liczba cyberataków na placówki ochrony zdrowia rośnie z roku na roku. Ofiarą mogą paść duże podmioty posiadające działy IT i indywidualne praktyki lekarskie wyposażone jedynie w standardowe zabezpieczenia techniczne. Ale w walce z hakerami każda organizacja może zbudować wielowarstwowy, szczelny system ochrony.

Z analizy incydentów bezpieczeństwa danych w ochronie zdrowia wynika, że to wiedza pracowników i procedury są najskuteczniejszą metodą ochrony przez atakiem cyberprze­stępców i minimalizacji jego negatywnych efektów.

W praktyce bywa różnie – podmioty lecznicze gubią się w przepisach, a ochrona danych medycznych jest postrze­gana jako dodatkowe obciążenie i koszt. Nasz przewodnik udowadnia, że dobrze zorganizowany i systematycznie aktualizowany system bezpieczeństwa informacyjnego nie musi być skomplikowany, działa niezauważalnie w tle, a do tego wspiera długofalowo cyfrowe dojrzewanie podmiotu medycznego.

Wskazówki cyberbezpieczeństwa dla małych i dużych podmiotów

Poradnik bezpieczeństwa danych w ochronie zdrowia zawiera porady pozwalające zwiększyć poziom ochrony informacji, wywiady z ekspertami, najlepsze praktyki z Polski i zza granicy oraz pomysły dopasowane do możliwości każdego podmiotu leczniczego.

Dowiedz się jak:

• Spełnić wymagania RODO;
• Co radzi ekspert CSIRT CeZ;
• Chronić dane pacjentów przed nowymi zagrożeniami cybernetycznymi;
• Nie dać się nabrać na phishing i ataki ransomware;
• Zabezpieczyć bazy danych;
• Stosować zasady cyberpsychologii;
• Wdrażać AI bez obaw o ochronę danych;
• Uniknąć kar UODO.

E-book zawiera najbardziej aktualne wytyczne oraz wywiady z ekspertami:

• Jeremim Olechnowiczem, kierownikem wydziału CSIRT w Centrum e-Zdrowia.
• Jakubem Betka, Prezesem Zarządu Ogólnopolskiego Stowarzyszenia Ochrony Danych Osobowych w Sektorze Medycznym oraz inspektorem ochrony danych, konsultantem ds. cyberbezpieczeństwa.

Poradnik polecamy placówkom medycznym jako materiał do szkoleń oraz osobom, które indywidualnie chcą podnieść swoje kompetencje w zakresie ochrony danych.

SPIS TREŚCI:

RODO i cyberbezpieczeństwo. Co trzeba wiedzieć?

• Większość podmiotów leczniczych deklaruje, że chroni dane pacjentów. Ale czy skutecznie?
• Ochrona danych w modelu sera szwajcarskiego
• Powtórka z ROroDO
• Obowiązki Inspektora Ochrony Danych Osobowych
• Kary pieniężne za naruszenie RODO. Czy można oszacować ich wysokość?
• 20 zaleceń ochrony danych medycznych z USA
• Co to jest i jak wdrożyć strategię „zerowego zaufania”?

Nowe metody hakerów. Zaktualizuj politykę bezpieczeństwa danych

• Ekspert CSIRT CeZ: Cyberbezpieczeństwo to system naczyń połączonych
• Jak wzmocnić cyberbezpieczeństwo w roku 2024/2025?
• Co każdy lekarz może zrobić, aby lepiej chronić dane pacjentów?
• Bezpieczne logowanie do usług on-line

Rewolucja sztucznej inteligencji. Przygotuj się na narzędzia AI

• Przewodnik, jak wdrażać AI zgodnie z przepisami

Ludzie na pierwszej linii ochrony danych. Jak wzmocnić umiejętności cyfrowe personelu?

• Jak przeprowadzić onboarding IT nowych pracowników?
• Cyberpsychologia. Nowe narzędzie do walki z hakerami
• Phishing najczęstszą przyczyną kradzieży danych. Jak się bronić?
• Insider threats, czyli jak chronić dane przed zagrożeniami wewnętrznymi
• 6 zasad ochrony przed ransomware i reguła 3-2-1

Ciemne strony sztucznej inteligencji. Uwaga na fake newsy

• Raport: AI i dezinformacja na liście największych zagrożeń dla świata
• Nowe zagrożenia cybernetyczne oparte na sztucznej inteligencji
• Fake newsy tworzone przez AI zalewają internet.
• Infodemia jest śmiertelnie niebezpieczna

Trendy cyberbezpieczeństwa. Strategie liderów

• Kim jest i dlaczego placówki medyczne potrzebują CMIO/CDO?
• Dane w chmurze: bezpieczniej, wygodniej, perspektywicznie
• Chmura w aptekach. Automatyczna ochrona przed utratą danych

Zobacz: Bezpłatny webinar “Cyberbezpieczeństwo i RODO w ochronie zdrowia” (21 minut)

CeZ otrzymało wsparcie z Funduszy Europejskich na Rozwój Cyfrowy (FECR) 2021-2027. Zostaną przeznaczone na realizację projektów CeZ w latach 2024-2026.

W ramach 3 zaakceptowanych projektów, Centrum e-Zdrowia otrzyma dotację na rozwój:

• Platformy P1;
• Systemu Obsługi List Refundacyjnych (SOLR 2.0);
• Rejestru Podmiotów Wykonujących Działalność Leczniczą (RPWDL 2.0);

CeZ planuje prace nad następującymi funkcjonalnościami.

System P1:

• elektroniczna obsługa e-karty ciąży,
• e-karta zdrowia dziecka,
• e-zlecenia na badania laboratoryjne,
• udoskonalanie narzędzi wspierających profilaktykę zdrowotną,
• udoskonalanie narzędzi wspierających proces leczenia chorób rzadkich, w tym hemofilii.
• działania wpierające opiekę koordynowaną w onkologii.

SOLR 2.0:

• usprawnienie procesu składania wniosków o wpis na listę leków refundowanych i ustalenia ceny zbytu leków,
• usprawnienie opiniowania wniosków przez Komisję Negocjacyjna oraz Komisję Ekonomiczną,
• wsparcie procesu tworzenia listy leków refundacyjnych (obliczanie limitów, dopłat pacjentów do produktów leczniczych, tworzenie listy do publikacji wraz z pomocniczymi zestawieniami zmian),
• zapewnienie prowadzenia elektronicznej dokumentacji, w tym gromadzenie, udostępnianie i doręczanie dokumentów.
  

RPWDL 2.0:

• usprawnienie procesów biznesowych realizowanych przez System RPWDL,
• wdrożenie e-usług typu A2A, A2B na wysokim poziomie dojrzałości,
• udostępnianie szczegółowych informacji o podmiotach wykonujących działalność leczniczą, w zakresie objętym rejestrem
• umożliwienie wykorzystania danych z Systemu RPWDL przez inne systemy poprzez udostępnienie API.

FERC 2021-2027 jest kontynuacją Programu Operacyjnego Polska Cyfrowa 2014-2020, a jego łączny budżet wynosi 2 mld euro. Środki dla CeZ wpisują się w Priorytet II: Zaawansowane usługi cyfrowe – wysoka jakość i dostępność e-usług publicznych (budżet 478 mln EUR). Celem wsparcia jest tworzenie i rozwój zaawansowanych e-usług publicznych pozwalających w pełni na elektroniczne załatwienie spraw obywateli i przedsiębiorców, w tym budowa i modernizacja systemów informatycznych, np. rozwój elektronicznej dokumentacji medycznej i wymiany danych między podmiotami leczniczymi, wdrożenie innowacyjnych rozwiązań w ochronie zdrowia.

Czytaj także: 3 priorytety dla MZ i CeZ, aby zakończyć zastój w e-zdrowiu

Polskie start-upy medtech (technologii medycznych) rozwijają świetne innowacje dla ochrony zdrowia, ale brakuje im wsparcia. Gdy odbijają się o “innowacyjno-oporny” system publicznej ochrony zdrowia, emigrują za granicę. I tam często odnoszą sukces. O tym, jak poradzić sobie na trudnym rynku rozmawiali eksperci podczas debaty czasopisma OSOZ na SALMED 2024.

W skrócie:

• Podczas SALMED 2024 czasopismo OSOZ Polska i Naczelna Izba Lekarska – Sieć Lekarzy Innowatorów (NIL IN) zorganizowali wspólnie debatę “Start-upy medtech w Polsce 2024+”.
  
• Zaproszeni eksperci rozmawiali m.in. o tym, jak zdobyć finansowanie, współpracować ze szpitalami, znaleźć partnerów biznesowych i opracować konkurencyjne rozwiązanie.
  
• Minęły czasy, gdy wystarczyło mieć rozwiązanie oparte na sztucznej inteligencji, aby zwiększyć szanse na przekonanie inwestorów. Teraz liczy się strategia dopasowana do rynku, zamiast rozwiązań próbujących zmienić obecny system zdrowia.

Rynek zdrowia nie wchłania innowacji

Ministerstwo Zdrowia przez ostatnie 4 lata chwaliło się, że Polska dołączyła do liderów e-zdrowia w Europie za sprawą wdrożenia e-recepty, e-skierowań i takich projektów jak Elektroniczna Dokumentacja Medyczna (EDM) czy Internetowe Konto Pacjenta (iKP). Ale w tym czasie nie zrobiono nic, aby polski rynek zdrowia dopasować do nowych koncepcji opieki opartych na innowacjach cyfrowych.

Przykładowo, podczas gdy w Wielkiej Brytanii, Francji i Niemczech do systemu zdrowia wprowadzono tzw. cyfrowe terapie refundowane przez publicznego płatnika na podobnej zasadzie jak leki (np. aplikacje zdrowotne dla osób chorych przewlekle), poprzednie kierownictwo MZ jedynie uruchomiło symboliczną certyfikację aplikacji mobilnych. Wieloletnie zaniedbania spowodowały, że polski rynek zdrowia tkwi w starych strukturach, które nie są gotowe na nowe wyzwania: starzejące się społeczeństwo, rosnące potrzeby zdrowotne (popyt na usługi medyczne), zaostrzający się kryzys kadr medycznych, wzrost zachorowań na choroby cywilizacyjne i kosztów ich leczenia.

Fakty są alarmujące:

• Krajowe granty dla innowacyjnych firm medtech są skąpe;
• Polski system zdrowia jest nastawiony na ilość świadczeń medyczych, a nie jakość. To nie motywuje placówek medycznych do szukania technologii i rozwiązań pozwalających rozwijać takie koncepcje jak value-based healthcare;
• NFZ nie premiuje placówek medycznych za jakość, nie refunduje żadnych terapii cyfrowych;
• Polskie start-upy po wstępnym okresie finansowania w Polsce emigrują za granicę, gdzie rynek jest bardziej sprzyjający.

Start-upy mówią wprost: nawet jeśli aplikacja zostanie zatwierdzona jako wyrób medycznych i przejdzie fazę badań klinicznych – co kosztuje kilkaset tysięcy złotych i trwa kilka lat – publiczne placówki medyczne nie mają żadnych stymulatorów ze strony płatnika i systemu, aby ją wdrożyć. Wchłania je prywatna ochrona zdrowia, ale w tym przypadku skala jest zbyt mała, aby zapewnić długofalowy rozwój i rentowność.

Jak start-up może osiągnąć sukces w polskim systemie zdrowia?

– Prywatne szpitale są otwarte na innowacje, ale muszą to być rozwiązanie oferujące konkretną wartość dodaną do opieki nad pacjentem albo działaności operacyjnej placówki – podkreśliła podczas debaty Ewelina Barylska, Dyrektor Szpitala Salve Medica. Jakub Chwiećko, ekspert medtech, przyznał, że mimo trudnych warunków rynkowych, w Polsce nie brakuje pasjonatów, którzy mimo wszystko chcą coś zmienić w systemie. To często lekarze, którzy widzą niedoskonałości systemu i są zmotywowani, aby pomóc pacjentom. Chwiećko zachęcał do networkingu, od którego zaczyna się wiele wspólnych projektów.

Bartosz Borucki, założyciel start-upu Smarter Diagnostics, zwrócił uwagę, aby dobrze zwalidować dopasowanie rozwiązania do rynku (market-product fit), aby nie okazało się na późniejszym etapie, że innowacja rozmija się z systemem refundacji albo kłóci się z ramami działania placówek medycznych. Albo że po prostu nie potrzebują jej końcowi użytkownicy, czyli lekarze i pacjenci. Nikoletta Magdalena Buczek, Innovation Manager w Instytucie Matki i Dziecka w Warszawie przekonywała szpitale do utworzenia działu innowacji. Taka komórka organizacyjna jest wsparciem dla dyrekcji i działu IT w wyborze wartościowych rozwiązań i pozwala przygotować placówkę leczniczą na np. innowacje AI, które są już tylko kwestią czasu w ochronie zdrowia.

Łukasz Mańkowski, Partner Zarządzający w Aligo.VC wymienił błędy start-upów, w tym m.in. nieuzasadnione ambicje walki z obecnymi zasadami gry w systemie zdrowia. Lepiej zaakceptować ograniczenia i rozwijać pomysł w granicach systemu jaki mamy, zamiast mieć nadzieję na reformy otwierające start-upom drzwi do publicznej ochrony zdrowia. Przemek Grzywa, współzałożyciel Revolve Healthcare mówił o certyfkacji oprogramowania jako wyrób medyczny i gromadzeniu dowodów klinicznych. To długi i kosztowny proces, ale konieczny dla firm rozwijających rozwiązania AI dla ochrony zdrowia w związku z wchodzącym w życie EU AI Act.

Najważniejsze wnioski z debaty:

• Nie ma przełomowych technologii i pomysłów, ale przełomowe zespoły, które mają zasoby, energię i pomysły, jak wprowadzić rozwiązanie na rynek;
• Jak dotąd żaden startup medtech nie zmienił systemu opieki zdrowotnej. Rozwijaj się kreatywnie w ramach określonych parametrów rynkowych, zamiast mieć nadzieję, że się zmienią;
• Żadna innowacja nie rośnie w odosobnieniu, ale poprzez współpracę z podmiotami ochrony zdrowia i współtworzenie z pracownikami ochrony zdrowia oraz pacjentami;
• Rozwój startupu medtech w Polsce to nadal zajęcie dla pasjonatów. Aby przetrwać na rynku, trzeba mieć silną motywację, stworzyć dobry zespół i przygotować się na kilka lat trudnej pracy. Lekarzom zakładającym własne startupy zazwyczaj trudno pogodzić pracę kliniczną z rolą przedsiębiorcy;
• Dobrze sprawdź dopasowanie “produkt-rynek“, aby nie rozwijać rozwiązania z góry skazanego na porażkę;
• Skoncentruj się na priorytetach: generowaniu wartości (dowody kliniczne, certyfikacja) i organicznym wzroście, zaczynając od małych wdrożeń;
• Nie podążaj za trendami, bo w nich konkurencja jest największa.

Więcej wskazówek dla innowatorów i młodych startupów medtech można znaleźć w raporcie NIL-IN “Przychodzi pomysł do lekarza, czyli rola lekarza w ekosystemie startupów medycznych” pod patronatem czasopisma OSOZ. Kliknij tutaj, aby przejść do raportu.

Czytaj także: Co dalej z certyfikacją mobilnych aplikacji zdrowotnych? MZ zapowiada zmiany

Statystyczny lekarz codziennie wystawia kilkadziesiąt e-recept, co sumuje się w kilkadziesiąt minut pracy. Dobre systemy gabinetowe pozwalają usprawnić ten element pracy m.in. pomagając szybko zapisać dawkowanie oraz weryfikując dostępność leków w pobliskich aptekach.

7 funkcji w systemach gabinetowych, które pomagają w wystawianiu e-recept:

• Pełne informacje o lekach,
• Weryfikacja dostępności leków,
• Baza zamienników leków,
• Alerty o wycofaniu leku z obrotu przez Głównego Inspektora Farmaceutycznego,
• Produkty komplementarne w terapii,
• Ostrzeżenia dotyczące stosowania leków,
• Szybkie tworzenie zapisu dawkowania.

Czy lek jest dostępny w aptece? Aktualna informacja dla lekarza

Funkcje wspierające lekarzy w wystawianiu recept przedstawimy na bazie systemów gabinetowych KAMSOFT S.A. Pierwszą z nich jest TurboBLOZ, który na bieżąco sprawdza dostępność leków w ponad 10800 aptek i w czytelny sposób, za pomocą kolorowych wskaźników, informuje o jego dostępności.

Jak to działa? Wybierając dany lek na receptę, lekarz widzi na ekranie informację o szacunkowej podaży: zielony kolor oznacza, że produkt leczniczy jest powszechnie dostępny, żółty informuje o ograniczonej podaży, a czerwony o trudnościach z dostępnością. Funkcjonalność wyposażona jest także w wykresy obrazujące trendy w czasie, na podstawie których lekarz może oszacować ryzyko potencjalnych braków produktu.

Informacja o zamiennikach leków

Kiedy okaże się, że dany lek jest niedostępny, lekarz ma szybki dostęp do precyzyjnie dopasowanych zamienników bez konieczności „przeklikiwania” systemu czy szukania informacji w internecie. TurboBLOZ zaproponuje zamiennik, czyli produkt o takim samym składzie, dawce i postaci. Oczywiście to nie system ostatecznie decyduje o tym, jaki lek zostanie zaordynowany, ale lekarz w oparciu o swoją profesjonalną wiedzę i doświadczenie.

Bieżąca wiedza o statusie produktu leczniczego

Ostrzeżenia w TurboBLOZ informują lekarza o tym, czy dany produkt został wycofany z obrotu lub czy może nie być dostępny w przyszłości w aptekach. Dzięki tym informacjom lekarz ma wiedzę na temat statusu produktu i na jej podstawie może uporządkować swój podręczny receptariusz usuwając produkty już nieaktualne i wyrejestrowane.

ComboBLOZ podpowie produkty uzupełniające terapię

Dzięki poszerzeniu TurboBLOZ o funkcjonalność ComboBLOZ, lekarz może szczególnie zadbać o bezpieczeństwo farmakoterapii pacjenta. ComboBLOZ zaproponuje produkt uzupełniający terapię – taka sytuacja może dotyczyć m.in. antybiotyków z propozycją terapii uzupełniającej w postaci probiotyku. Wówczas, jeśli lekarz chce zaordynować równocześnie produkt podstawowy (wyszukiwany) i produkt uzupełniający, jednym kliknięciem w wiersz wyświetlający oba produkty jako Combo doda je na receptę.

Czytelne i kompletne informacje o lekach

Z poziomu okna e-Recepty lekarz ma dostęp do najważniejszych informacji dotyczących wybranego produktu w jednym miejscu. Nowa karta BLOZ to zbiór najważniejszych danych o produkcie takich jak: czytelna i kompletna tabela uprawnień z informacją o wskazaniach i dopłacie pacjenta oraz informacje o danych historycznych i zmianach dotyczących produktu w wybranej dacie.

Dawkomat ułatwia zapis dawkowania leków

DAWKOMAT to kolejne z rozwiązań KAMSOFT, które wspiera lekarza w procesie wystawiania recepty. Lekarze korzystający z tej funkcjonalności mogą tworzyć zapis dawkowania szybciej i czytelniej, bo część danych związanych z dawkowaniem uzupełnia się automatycznie informacjami pochodzącymi z bazy KS-BLOZ. Już niedługo Dawkomat umożliwi zapis cyklicznego dawkowania leku oraz schematów dawkowania uwzględniających przerwę w terapii.

Dawkomat wspiera komunikację pomiędzy lekarzem, farmaceutą i pacjentem

Co ważne, uzupełniony i czytelny zapis dawkowania leku trafia do pacjenta w aplikacji VisiMed, a także SMS-em zawierającym kod e-Recepty, informację o sposobie dawkowania i nazwami leków (powiadomienia OSOZ). Pacjent, który otrzyma takie powiadomienie o e-Recepcie będzie mógł sprawdzić interakcje oraz dostępność leku w serwisie KtoMaLek.pl.

Alerty bezpieczeństwa PHARMINDEX zwiększają bezpieczeństwo w zakresie ordynowanych leków

Lekarze pracujący na systemach medycznych KAMSOFT (KS-SOMED, KS-PPS i Mediporta) mają dostęp do dodatkowej wiedzy o leku podczas wystawiania recepty. Jest on dostępna w postaci tzw. alertów bezpieczeństwa. Dzięki temu, już na etapie wypisania e-Recepty lekarz otrzymuje informacje dotyczące bezpieczeństwa stosowania leków: przez kobiety w ciąży i kobiety karmiące piersią, wpływu leków na sprawność psychomotoryczną i prowadzenie pojazdów, wpływu leków na ośrodkowy układ nerwowy oraz interakcji leków z alkoholem.

Systemy medyczne KAMSOFT efektywnie wspierają lekarzy podczas wystawianie e-Recepty Systemy gabinetowe KAMSOFT są ciągle rozwijane, nie tylko pod kątem funkcjonalności zgodnych z wymogami Ministerstwa Zdrowia, ale także w celu zapewnienia ergonomii i poprawy komfortu oraz szybkości pracy. Za pośrednictwem zaprezentowanych powyżej funkcjonalności lekarz uzyska merytoryczne wsparcie przy ordynacji leków, skróci czas wypisywania e-Recepty co pozwoli na  poświęcenie pacjentowi więcej czasu podczas wizyty.

Czytaj także: Terminarz+. Jak analizować przepływ pacjentów i wykorzystać dostępne dane?