Zagrożeniem dla bezpieczeństwa danych medycznych nie są tylko hakerzy. Mogą nim być też pracownicy. Zapobieganie atakom przeprowadzanym od wewnątrz organizacji – czyli tzw. insider threats – jest wyjątkowo trudne. Jak stworzyć skuteczną strategię obrony?

Co to jest „insider threat”?

Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) definiuje zagrożenie wewnętrzne (ang.: insider threat) jako sytuację, gdy osoba z wewnątrz organizacji wykorzystuje swój autoryzowany dostęp, celowo lub nieumyślnie, aby wyrządzić szkodę w zasobach informacyjnych.

Najczęściej występującymi formami jest szpiegostwo, sabotaż, kradzież i cyberatak. Ale insder threats nie muszą być zamierzone i często wynikają z niewiedzy i błędów. To może być pomyłka w adresie e-mail i przypadkowe wysłanie dokumentacji medycznej do nieuprawnionej osoby, nieumyślne kliknięcie linka lub otwarcie załącznika w wiadomości phishingowej, niewłaściwa utylizacja dokumentów.

Czy placówki ochrony zdrowia są zagrożone?

Tak jak każda inna organizacja, także szpitale i przychodnie są narażone na wewnętrzne ataki. W ochronie zdrowia mogą one przybierać subtelne formy jak manipulacja danymi pacjenta w celu ukrycia błędu medycznego albo danymi rozliczeniowymi, aby uzyskać większą kwotę refundacji. Często wynikają z niewiedzy (wysyłanie dokumentacji pacjenta np. mailem lub klikanie na niezweryfikowane linki w wiadomościach e-mail).

Jeszcze innym szkodliwym działaniem jest użycie danych pacjenta do celów innych niż leczenie oraz przekazanie ich nieuprawnionej osobie. Klasycznym przykładem jest sytuacja, gdy znana lub popularna osoba przebywa w szpitalu i do mediów przedostają się informacje o jej stanie zdrowia, a nawet zdjęcia. Są one przekazywane przez tzw. insidera, czyli człowieka z wewnątrz organizacji.

W ochronie zdrowia zdecydowanie rzadziej dochodzi – ze względu na charakter gromadzonych danych – do kradzieży danych strategicznych i biznesowych w celach konkurencyjnych albo działania o charakterze szpiegowskim.

Rodzaje zagrożeń wewnętrznych

Pod względem czynnika intencyjności, amerykańska CISA wyodrębnia 5 typów zagrożeń wewnętrznych:

• Z zaniedbania. Pracownik naraża organizację na zagrożenie przez nieostrożność. Mimo znajomości zasad bezpieczeństwa IT, dana osoba je ignoruje, stwarzając ryzyko dla organizacji. Przykładem jest przekazanie innemu pracownikowi hasła dostępu do systemu IT, zapisywanie danych z kartoteki pacjenta na nośniku USB, ignorowanie komunikatów o konieczności zainstalowania nowych aktualizacji i poprawek zabezpieczeń.

• Przypadkowe. Osoba mająca dostęp do informacji poufnych omyłkowo powoduje niezamierzone ryzyko dla organizacji. Najczęstszym przykładem jest nieumyślne kliknięcie hiperłącza lub otwarcie załącznika w wiadomości phishingowej zawierającej złośliwe oprogramowanie.

• Intencjonalne. Zagrożenia celowe to działania podejmowane w celu zaszkodzenia organizacji dla osobistych korzyści lub działania z takich pobudek jak zemsta czy zazdrość. Na przykład, pracownik, który czuje się traktowany w nieodpowiedni sposób (brak awansu albo premii) lub zostaje zwolniony dopuszcza się kradzieży zastrzeżonych danych.

Choć nie można ich wykluczyć, w placówkach zdrowia rzadkością są dwa pozostałe typy zagrożeń, czyli zagrożenia w zmowie (jeden lub więcej insiderów współpracuje z zewnętrznym podmiotem) oraz zagrożenia ze strony osób trzecich (nie będących pracownikami organizacji, ale którym przyznano dostęp do np. sieci i systemów IT, jak przykładowo firmy serwisujące sprzęt).

Ile zaufania, a ile kontroli, aby chronić skutecznie dane?

Zagrożenia wewnętrzne są nieuniknionym skutkiem ubocznym tego, że organizacja ufa swoim pracownikom, udzielając im dostępu do danych niezbędnych do wykonywania pracy. Dlatego są o wiele trudniejsze do wykrycia i monitorowania niż ataki hakerów z zewnątrz, wymagające przełamania barier cyberbezpieczeństwa.

Podstawą minimalizacji insider threats jest opracowanie odpowiedniego programu profilaktycznego, podobnie jak organizacja powinna dysponować strategią ochrony danych przed hakerami. Od razu warto zaznaczyć, że celem nie jest stworzenie kultury kontroli i braku zaufania – takie podejście nie zmniejszy zagrożeń, a jedynie doprowadzi do erozji zaufania, toksycznej kultury organizacyjnej i w efekcie – pogorszenia morale pracowników i jakości obsługi pacjenta.

Strategia tłumienia zagrożeń wewnętrznych powinna uwzględniać takie elementy jak:

• Kontrola dostępu do danych. Polega ona na określeniu ról pracowników i na ich podstawie przypisaniu w systemach IT uprawnień do wglądu do danych. Obowiązującą jest zasada minimalnych uprawnień – na początek odblokowywany jest dostęp do tych funkcji i informacji, które są niezbędne do wykonywania zadań, a potem się je rozszerza w miarę potrzeb.
• Monitorowanie użytkowników. W systemach IT są to np. dzienniki logowania dostępne z pozycji administratora. O takiej możliwości kontroli higieny informatycznej powinni być poinformowani pracownicy. Należy także kontrolować nietypowe zachowania, jak pobieranie dużej ilości danych, podejrzanie częste logowania itd.
• Systematyczne sprawdzenie jakości wprowadzanych danych przez administratorów systemu IT, co jest elementem psychologicznym skłaniającym do zachowania higieny zapisu danych.
• Blokowanie potencjalnie niebezpiecznych zachowań, jak przykładowo portów USB (można to zrobić z poziomu administratora sprzętu).
• Szkolenie pracowników. Podnoszenie kompetencji cyfrowych i aktualizacja wiedzy z zakresu cyberbezpieczeństwa. System szkoleń powinien uwzględniać zagrożenia zewnętrzne i wewnętrzne.
• Opracowanie planów reagowania na incydenty. Scenariusze dochodzenia do źródła wewnętrznych wycieków danych, plan usuwania skutków oraz komunikacji kryzysowej.
• Stworzenie białej i czarnej listy. Określenie, co można robić na danym stanowisku pracy (np. tylko używanie systemu gabinetowego bez dostępu do internetu).
• Podnoszenie kwalifikacji osób odpowiedzialnych za monitorowanie i zapobieganie zagrożeniom wewnętrznym. W większości przypadków będzie to dział IT.
• Przygotowanie procedur onboardingu i offboardingu. Nowi pracownicy muszą znać zasady bezpiecznego przetwarzania danych i dostępu do zasobów informatycznych. Gdy pracownicy opuszczają miejsce pracy, należy na czas odbierać im dostęp do danych.
• Wprowadzenie systemu zgłaszania nieprawidłowości, przykładowo za pomocą anonimowych ankiet.
• Uruchomienie uwierzytelniania dwuskładnikowego dla krytycznych systemów, jak poczta e-mail, intranet, VPN itd.
• Przeprowadzanie wewnętrznych i zewnętrznych audytów zarządzania informacją. Pozwalają one testować wdrożone procedury i zabezpieczenia danych.
• Dokumentowanie wykrytych nieprawidłowości do celów dowodowych w przypadku naruszenia prawa oraz dla organów kontrolnych, jak np. Urząd Ochrony Danych Osobowych.

Najbardziej skrajne formy, jak badania psychologiczne, audyt życiorysu, kamery i wywiady środowiskowe stosowane są jedynie w organizacjach o strategicznym znaczeniu dla państwa narażonych na np. ryzyko szpiegostwa. Dlatego nie są stosowane w ochronie zdrowia..

Ufaj, ale sprawdzaj

Każda organizacja ochrony zdrowia musi bazować na wysokim zaufaniu do pracowników. Inaczej trudno sobie wyobrazić stworzenie pozytywnej i motywującej kultury pracy. Ale zaufanie nie wyklucza elementów kontroli, które nie są wymierzone przeciwko pracownikom, ale tworzone w trosce o dobro pacjentów, ochronę ich danych i prywatności. Tak jak w przypadku ochrony przed cyberprzestępcami, minimalizacja ryzyka ataków wewnętrznych wymaga stosowania wielowarstwowego systemu: nawet jeśli jedna warstwa zawiedzie, kolejna może zadziałać.

Czytaj także: Duży wyciek danych w laboratoriach ALAB. Wyniki 55 tys. pacjentów w internecie

Dave tłumaczy diagnozy i niezrozumiałe wyniki badań. W empatyczny sposób odpowie na każde pytanie chorego. Ale nie jest to lekarz, tylko system AI. Wywiad z Iradem Deutschem, współzałożycielem izraelskiej firmy Belong, która opracowała Dave’a – pierwszego na świecie onkologicznego trenera konwersacyjnego opartego na sztucznej inteligencji.

Jak działa Dave?

Dave został stworzony, aby odpowiadać w rzetelny sposób na pytania pacjentów oraz doradzać im. Naszego bota AI przeszkoliliśmy na zbiorach danych zawierających m.in. anonimowe zapisy rozmów pomiędzy pacjentami a lekarzami, dokumenty medyczne, wyniki leczenia raportowane przez chorych w aplikacji Belong’s Beating Cancer Together – największej na świecie sieci społecznościowej dla pacjentów chorych na raka. To łącznie miliardy punktów danych zebranych w okresie 7 lat.

Następnie – aby Dave stał się rozwiązaniem klasy medycznej – zastosowaliśmy tzw. podejście ARCH. Aakronim ten oznacza cztery podstawowe wyzwania, którym musi sprostać generatywna platforma sztucznej inteligencji, aby nadawała się do zastosowań w opiece zdrowotnej: Dokładność, Odpowiedzialność, Zgodność i Halucynacje.

Halucynacje, czyli zmyślone przez AI fakty, to największa przeszkoda do zastosowania dużych modeli językowych w medycynie. Jak poradziliście sobie z nimi?

Aby zniwelować halucynacje i skutecznie rozwiązać obawy dotyczące dokładności, Dave jest zasilany przez kilka silników LLM (red. duże modele językowe) współpracujących ze sobą. Mówiąc prościej, każdy model weryfikuje poprawność swojego kolegi, aby wykluczyć potencjalne błędy. Dodatkowo zaimplementowaliśmy warstwę „odpowiedzialnej sztucznej inteligencji” wykorzystującą szereg autorskich algorytmów. W efekcie uzyskaliśmy zgodność z rygorystycznymi przepisami i wymogami bezpieczeństwa i Dave uzyskał w Izraelu status platformy generatywnej sztucznej inteligencji klasy medycznej.

Halucynacje to jeden problem. Drugim jest to, że generatywna sztuczna inteligencja nie posiada pamięci długotrwałej – po zakończeniu czatu, bot zapomina, o czym była poprzednia rozmowa.

Podtrzymanie ciągłości rozmowy – która przecież musi obejmować całą podróż pacjenta składającą się z wielu punktów danych – było dużym wyzwaniem. Bez tego elementu trudno mówić o dobrym doświadczeniu pacjenta.

W przeciwieństwie do większości rozmów z publicznie dostępnymi rozwiązaniami sztucznej inteligencji, takimi jak ChatGPT i Bard, interakcje z Dave’em trwają czasami miesiące. Intymny i zaufany charakter tej relacji między użytkownikami a botem wymagał wyposażenia go w pamięć. Tak, aby pacjenci traktowali go jako przyjaciela znającego problemy i troski, któremu nie trzeba wyjaśniać history choroby od początku przy każdej rozmowie.

Mówiąc językiem technicznym, opracowaliśmy mechanizm, który dzieli długie rozmowy na mniejsze segmenty, umożliwiając modelowi językowemu przetwarzanie znacznych ilości danych podczas odpowiadania na zapytania. Do tego zastosowaliśmy tzw. „tagowanie kontekstowe” pozwalające Dave’owi odwoływać się tylko do istotnych fragmentów rozmów pacjenta podczas formułowania odpowiedzi.

To szereg skomplikowanych mechanizmów, którym zadaniem jest zagwarantowanie jakości rozmowy podobnej do rozmowy z człowiekiem.

Systemowi AI brakuje już tylko dostępu do elektronicznej dokumentacji medycznej, aby zapewnić jeszcze większą personalizację i porady dopasowane do historii choroby. Czy taka integracja jest w ogóle możliwa?

Pracujemy nad tym. Rozpoczęliśmy m.in. rozmowy z dostawcami usług medycznych.

Na chwilę obecną, użytkownicy mogą przesyłać fragmenty dokumentacji medycznej, jak wyniki badań laboratoryjnych i diagnostyki obrazowej (w tym CT, PET i RTG), raporty sekwencjonowania DNA i podsumowania wizyt lekarskich. Dave identyfikuje typ dokumentu przekazanego przez chorego i przedstawi uproszczone wyjaśnienie jego treści. Jest też w stanie odpowiedzieć na wszelkie pytania pacjenta odnoszące się do danych czy parametrów zdrowia.

Taką funkcjonalność cenią sobie pacjenci, którzy otrzymują często niezrozumiałe i napisane eksperckim językiem raporty. Teraz wystarczy je wczytać do systemy, a nasz bot AI wyjaśni ich znaczenie.

Jakie są dotychczasowe opinie chorych? Czy pacjenci chorzy na raka są gotowi na taki nowy model wsparcia udzielanego przez sztuczną inteligencję?

Dave jest już dostępny dla 500 000 osób, a opinie, które otrzymaliśmy, są w przeważającej mierze pozytywne. Chorzy cenią sobie dogłębne odpowiedzi na pytania i empatyczne interakcje oraz dostępność czatu 24 godziny na dobrę. Jeden z lekarzy kliniki Mount Sinai stwierdził nawet: „Gdybym nie wiedział, że Dave jest mentorem AI, byłbym przekonany, że jest lekarzem z doświadczeniem w zakresie różnych rodzajów nowotworów”.

Wspomniałeś o empatii. Czy to możliwe, aby AI była empatyczna, współczująca?

To wręcz fundamentalny element charakteru Dave’a. Pacjenci chorzy na raka przechodzą przez niezwykle trudny etap w swoim życiu i dlatego wymagają wyjątkowego podejścia. Nie wystarczy po prostu przedstawić im informacji; Dave przekazuje fakty, ale jednocześnie podkreśla ich pozytywne aspekty, gdy tylko jest to możliwe. Najważniejsze, aby system AI nie wprowadzał pacjentów w błąd, rozbudzając nieuzasadnioną nadzieję na wyzdrowienie.

Jedno z najczęściej zadawanych pytań przez pacjentów dotyczy szans przeżycia. Tutaj Dave podaje surowe fakty, tak samo jak lekarz, i wyjaśnia co kryje się za liczbami. Z jednej strony przedstawia pacjentom obiektywne statystyki, a z drugiej – podkreśla, że są one tworzone na podstawie średniej wyników pacjentów i nie obrazują indywidualnej sytuacji chorego. To ważne z etycznego punktu widzenia, bo każdy przypadek jest inny, a liczby nie są w stanie wyjaśnić wszystkiego.

Po co pacjentom taki chat AI? Do kogo kierujecie to rozwiązanie?

Każdego roku rośnie liczba diagnoz raka, a liczba lekarzy, w tym specjalistów onkologii, jest po prostu za mała, aby sprostać rosnącym potrzebom pacjentów. Rozwiązania generatywnej sztucznej inteligencji, takie jak Dave, mogą potencjalnie rozwiązać ten problem, automatyzując wiele rutynowych zadań i procesów, pozwalając pracownikom służby zdrowia skoncentrować się na najważniejszych aspektach opieki nad pacjentem. AI może edukować pacjentów, rozwiewać ich wątpliwości, tłumaczyć zawiłe kwestie medyczne, usprawnić planowanie wizyt czy po prostu dostarczać wsparcia.

Czytaj także: ChatGPT to największy eksperyment w dziejach ludzkości

Zespół Śląskiego Centrum Chorób Serca w Zabrzu opracował Zabrze Heart Failure Risk Score – narzędzie pozwalające oszacować ryzyko zgonu w okresie 12 miesięcy dla chorych z niewydolnością serca. Można już z niego korzystać on-line na stronie SCCS w Zabrzu.

Po co stworzono kalkulator?

Kalkulator pozwala lekarzom ocenić rokowania pacjentów z niewydolnością serca. To pierwsze tego typu narzędzie opracowane na podstawie danych leczenia polskich pacjentów. Jak mówi Prof. dr hab. Mariusz Gąsior, kierownik III Kliniki i Oddziału Klinicznego Kardiologii na Śląskim Uniwersytecie Medycznym oraz w SCCS w Zabrzu, kalkulator może być pomocny zarówno przy wypisie ze szpitala, jak i w leczeniu ambulatoryjnym. Można go stosować w stosunku do wszystkich chorych z niewydolnością serca, niezależnie od frakcji wyrzutowej lewej komory.

Jak to działa?

Opracowanie kalkulatora było możliwe dzięki metodom statystycznym (analiza danych populacyjnych). Do oszacowania ryzyka zgonu pacjenta wystarczy podać 8 parametrów, które łatwo zmierzyć. Są to:

• Wiek [lata]
• NYHA
• Frakcja wyrzutowa [%]
• HGB [g/dL]
• Limfocyty [x109/l]
• NT-proBNP [pg/ml]
• RDW CV [%]
• Sód [mmol/l]

Po ich wprowadzeniu, lekarz otrzymuje prognozę dla pacjenta, na podstawie której łatwiej dostosować intensywności opieki i leczenia. W przypadku wysokiego ryzyka, można m.in. zwiększyć częstotliwość wizyt kontrolnych.

Kalkulator dostępny jest na stronie https://www.sccs.pl/riskCalc/riskCalc.php.

Występowanie niewydolności serca

Według danych NFZ, w Polsce ok. 1 milion osób cierpi na niewydolność serca. Pomimo postępu w metodach diagnostyczno-terapeutycznych, śmiertelność w okresie 5 lat od rozpoznania wynosi 57% (w okresie 10-letnim to ok. 35%). Prof. dr hab. Piotr Rozentryt podkreśla, że identyfikacja osób zagrożonych zgonem staje się priorytetem, pozwalając zoptymalizować sposób leczenia.

Według Światowej Federacji Serca, ok. 37 mln osób na świecie ma niezdiagnozowaną niewydolność serca. Częstotliwość występowania choroby szasowna jest na ok. 711 osób na 100 000 mieszkańców, w Polsce plasuje się powyżej średniej globalnej. Od

Najnowsze technologie kontroli choroby

Choć powoli, to poprawia się także przeżywalność pacjentów dzięki m.in. technologiom monitoringu. Jedną z nich jest wszczepialny system monitorowania niewydolności serca – urządzenie, które monitoruje zmiany ciśnienia krwi w tętnicy płucnej. Lekarz wykorzysta te informacje w celu dostosowania planu leczenia lub leków, aby zapobiec pogorszeniu się stanu chorego. System zmniejsza liczbę ponownych przyjęć do szpitala i poprawia jakość życia pacjentów z niewydolnością serca.

Jedno z najnowszych badań naukowych zaprezentowanych podczas ostatniej konferencji American Health Associaton sugeruje, że potencjalne pogorszenie się stanu zdrowia pacjentów można nawet wykryć analizując głos pacjenta z pomocą specjalnie wytrenowanych algorytmów.

Czytaj także: Zdrowie monitorują osoby, które nie muszą tego robić – wynika z badania naukowców.

Nowe badanie opublikowane w Annals of Internal Medicine potwierdza, że wizyty telemedyczne nie generują znacząco większej liczby ponownych wizyt pacjentów niż wizyty w gabinecie lekarskim.

Na czym polegało badanie?

Badanie przeprowadzone przez Kaiser Permanente (USA) jest kolejnym argumentem, że popularne od czasu pandemii COVID-19 wizyty zdalne można realizować bez obaw o bezpieczeństwo pacjentów. Badacze wzięli pod lupę 1,5 miliona dorosłych pacjentów ubezpieczonych w systemie zdrowia Kaiser Permanente oraz porównali leczenie i wizyty kontrolne w ramach telemedycyny w POZ (wizyty wideo i telefoniczne) z osobistymi wizytami w gabinecie. Spośród 2 357 598 przeanalizowanych wizyt, ponad połowa (50,8%) odbyła się na odległość.

Wyniki

Liczba leków przepisanych była niższa w przypadku wizyt wideo i telefonicznych (38,4% i 34,6%) w porównaniu do wizyt osobistych (46,8%). Wprawdzie wizyty kontrolne w ciągu siedmiu dni od wizyty pierwotnej (powracający pacjenci) były rzadsze w przypadku wizyt osobistych (1,3%) w porównaniu do wizyt wideo (6,2%) i telefonicznych (7,6%), ich skala dla telemedycyny nie jest wysoka. Na bardzo niskim poziomie w porównaniu z wizytami w gabinecie był wskaźnik hospitalizacji po udzieleniu porady. Jednak w tym przypadku powodem może być to, że pacjenci korzystający z usług wirtualnej opieki konsultują z pomocą tego kanału mniej pilne i łagodniejsze przypadki. Gdy problem jest poważniejszy, udają się osobiście do lekarza.

Wnioski

Telemedycyna jest wygodną opcją dla pacjentów podstawowej opieki zdrowotnej. Ostatnie dane pokazują, że prawie połowa pacjentów w POZ i ponad 50% w opiece psychologicznej i psychiatrycznej w USA korzysta z wizyt wirtualnych. Wyniki porównano także z podobnymi badania w poprzednich latach, nie zauważając znaczących zmian. Jak podkreślają naukowcy z Wydziału Badań Kaiser Permanente, telemedycyna odpowiada na potrzeby pacjentów i dobrze sprawdza się w rutynowej opiece.

Efektywność telemedycyny – i to we wszystkich specjalizacjach medycznych – potwierdza wiele innych badań. Usługi medyczne na odległość zwiększają dostęp do świadczeń medycznych, a ich jakość jest porównywalna z sytuacją, gdy lekarz przyjmuje chorego w gabinecie. Mitem jest, że to gorsza forma opieki, bo lekarz może przeoczyć niektóre szczegóły, które zauważyłby widząc pacjenta przez sobą.

Czytaj także: 14 technologii, które zmieniają medycynę

Ministerstwo Cyfryzacji udostępniło narzędzie pozwalające każdej osobie sprawdzić, czy jej dane osobowe zostały upublicznione w internecie – ma to związek z kradzieżą przez hakerów wyników badań laboratoryjnych 55 000 pacjentów z ALAB Laboratoria.

Przypomnijmy, że hakerzy opublikowali dane ok. 55 000 pacjentów, którzy wykonywali badania laboratoryjne w ALAB Laboratoria w okresie 2017-2023. Do sieci trafiły wrażliwe dane personalne, w tym wyniki badań, imię i nazwisko pacjenta, PESEL, adres zamieszkania, data urodzenia.

O tej sprawie piszemy tutaj. Do ataku miało dość 19 listopada 2023 roku. Hakerzy grożą udostępnieniem jeszcze większej ilości danych, jeśli nie otrzymają okupu do końca grudnia 2023 roku.

Na stronie https://bezpiecznedane.gov.pl, Ministerstwo Cyfryzacji przygotowano narzędzie, które pozwala zweryfikować każdej osobie, czy wyciek dotyczy także jej danych. Zaleca się systematyczną weryfikację, bo hakerzy zapowiedzieli stopniową publikację kolejnych partii danych.

Jeśli Twoje dane wyciekły, zalecane są cztery kroki:

• zastrzeżenie numeru PESEL w serwisie mobywatel.gov.pl,
• zachowanie ostrożności przy podawaniu danych osobowych innym osobom,
• zachowanie czujności w stosunku do maili, telefonów i wiadomości SMS z nieznanego źródła/nadawcy (cyberprzestępcy mogą chcieć te dane wykorzystać),
• założenie konta w systemie informacji kredytowej i gospodarczej co pozwoli monitorować aktywność kredytową.

To ważne, bo dane wykradzione przez hakerów mogą posłużyć m.in. do zaciągnięcia kredytu przez nieuprawnione osoby, wyłudzenia środków tytułem ubezpieczenia, uzyskania dostępu do świadczeń zdrowotnych przysługującym pacjentom, których dane wyciekły, czy zarejestrowania przedpłaconej karty telefonicznej (pre-paid) i wykorzystanie jej do celów przestępczych.

Firma potwierdza atak hakerów

W opublikowanym komunikacie ALAB Laboratoria informuje, że zgłosiła incydent naruszenia danych do Prezesa Urzędu Ochrony Danych Osobowych oraz złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa do policyjnego Centralnego Biura Zwalczania Cyberprzestępczości.

Administrator danych ALAB ocenił ryzyko jako „wysokie”. Jednocześnie spółka wdrożyła procedury audytu bezpieczeństwa danych osobowych i uruchomiła monitoring sieci pod kątem możliwego upublicznienia wykradzionych danych.

Czytaj także: Pobierz bezpłatny poradnik na temat bezpieczeństwa danych medycznych

Terapie cyfrowe to aplikacje mobilne o potwierdzonej badaniami klinicznymi skuteczności. Mogą pełnić zadania profilaktyczne albo pomagać zarządzać zdrowiem osobom chorym przewlekle. Mówi się o nich jako o nowej formie leków („terapie cyfrowe”), dlatego coraz więcej krajów wprowadza je do systemu zdrowia refundując ich stosowanie. A w Polsce? Czterech absolwentów studiów SGH-WUM MBA w Ochronie Zdrowia napisało pracę, która może posłużyć jako strategia wykorzystania pełnego potencjału mobilnych aplikacji zdrowotnych.

Po co aplikacje zdrowotne?

Digitalizacja jest szansą dla systemów ochrony zdrowia na całym świecie uginających się pod naporem rosnących kosztów, chorób przewlekłych, starzejącego się społeczeństwa, niedoborem personelu medycznego. Zwłaszcza po pandemii COVID-19 nikt nie ma już wątpliwości, że dotychczasowa polityka zdrowotna rozmija się nowymi wyzwaniami i wymaga pilnej zmiany.

Coraz więcej dowodów sugeruje, że nowe technologie odegrają kluczową rolę w procesie transformacji ochrony zdrowia. Wśród nich – mobilne aplikacje zdrowotne zapewniające pacjentom dostęp do informacji, motywujące do zmiany stylu życia, oferujące łatwy dostęp do usług zdrowotnych, zwiększające zaangażowania pacjenta w dbanie o własne zdrowie, pełniące rolę osobistego trenera.

Oprócz korzyści zdrowotnych, wprowadzenie aplikacji zdrowotnych do publicznego systemu zdrowia może stać się iskrą dla gospodarki, pobudzając rozwój rynku startupów medycznych w Polsce. Te, w obliczu braku perspektyw finansowania, obecnie emigrują ze swoimi rozwiązaniami za granicę. W efekcie może się okazać, że za kilka lat będziemy musieli korzystać z rozwiązań Made in USA albo China.

Adaptacja terapii cyfrowych wymaga ich refundacji

W Polsce dotychczasowe inicjatywy w zakresie zdrowia mobilnego skupiają się na rozwoju aplikacji mojeIKP, oferującej dostęp do danych pacjentów i niektórych usług zdrowotnych. Tymczasem w próżni regulacyjnej funkcjonuje tysiące innych aplikacji dedykowanych zapobieganiu i terapii chorób przewlekłych: cukrzycy, depresji, otyłości, chorobom układu krążenia, przewlekłym bólom kręgosłupa. Odpowiednio zaimplementowane w systemie zdrowia, mogłyby stać się nową formą leków.

Choć Ministerstwo Zdrowia zapowiadało od dawna certyfikację aplikacji zdrowotnych, pomysł zredukowano do wprowadzonego 31 marca 2023 r. przyznawania tytułu Aplikacja Certyfikowana Ministerstwa Zdrowia. Takie rozwiązanie wprawdzie podkreśla rosnącą rolę terapii cyfrowych, ale jest dalekie od ich pełnego włączenia do publicznego systemu zdrowia.

A wbrew pozorom wyzwanie legislacyjne nie jest duże. Aplikacje zdrowotne – zgodnie z przepisami europejskimi – można już kwalifikować jako wyroby medyczne z wykorzystaniem klas bezpieczeństwa. Co więcej, tego typu przepisy i systemy walidacji oraz refundacji aplikacji działają już z powodzeniem w kilku krajach europejskich – wystarczy się tylko na nich oprzeć. Przykładowo, w Belgii, Francji czy Niemczech w ich ocenie uwzględnia się m.in. bezpieczeństwo stosowania, ochronę danych, korzyści kliniczne, wpływ na system ochrony zdrowia, interoperacyjność, ocenę funkcjonalności rozwiązania dla pacjentów oraz klinicystów.

Kto powinien się tym zająć?

Po pierwsze, nowe już Ministerstwo Zdrowia musi stworzyć odpowiednie regulacje prawne włączające aplikacje do koszyka usług gwarantowanych. Po drugie, należy przygotować kryteria oceny i zaplanować całą ścieżkę oceny. To zadanie dla Agencji Oceny Technologii Medycznych i Taryfikacji (AOTMiT), która odpowiada za walidację interwencji zdrowotnych, posiadając wiedzę i kompetencje, aby przeanalizować np. dowody kliniczne w zakresie skuteczności rozwiązania e-zdrowia.

Po trzecie, należy opracować procedurę refundacyjną. Pacjent, który otrzymuje od lekarza aplikację, nie wykupuje jej w aptece jak leki, ale pobiera na telefon i aktywuje specjalnym kodem. Ten mógłby być np. przesyłany przez Narodowy Fundusz Zdrowia. Oprócz tego, NFZ powinien być zaangażowany w proces negocjacji cenowych (wystarczy, aby odbywały się raz w roku).

Po czwarte, konieczne jest stworzenie komórki, przykładowo przy Centrum e-Zdrowia, odpowiedzialnej za wdrożenie projektu: szkolenia, akcje informacyjne, przygotowanie przewodników dla dostawców aplikacji mobilnych, spotkania ze startupami i instrukcje dla pracowników ochrony zdrowia. Dobrym partnerem w tym zadaniu mogłaby być Sieć Lekarzy Innowatorów NIL-IN przy Naczelnej Izbie Lekarskiej.

Po piąte, należy opracować dostępną finansowo dla startupów ścieżkę badań klinicznych. Ta obowiązująca dla leków – na którą mogą sobie pozwolić duże koncerny farmaceutyczne – jest niedopasowana do działalności młodych, innowacyjnych firm. Tu z kolei do gry może wejść Agencja Badań Medycznych (ABM) mająca odpowiednie kompetencje w obszarze badań klinicznych oraz ekspertyzę w zakresie rozwiązań cyfrowych. ABM mogłaby wspierać i dofinansowywać badania kliniczne w ramach np. partnerstwa publiczno–prywatnego.

Zadomowienie się aplikacji zajmie lata

Włączenie aplikacji do systemu zdrowia to zadanie na długie lata, na co wskazują doświadczenia innych krajów. Przykładowo, w ciągu dwóch lat, od września 2020 r. do września 2022 r., ubezpieczyciele zdrowotni w Niemczech wypisali 164 000 recept na wprowadzone tam w 2019 roku terapie cyfrowe (DiGA). Dla porównania, lekarze co roku wystawiają tam około 450 milionów recept na leki. A to oznacza, że recepty na DiGA stanowią 0,02 procent wszystkich recept.

Ministerstwo Zdrowia i NFZ nie muszą się więc obawiać o to, że nowe rozwiązanie będzie kosztowne dla systemu. Zanim środowisko lekarskie i pacjenci oswoją się z aplikacjami na receptę, minie kilka lat. Ale będzie to dobry czas, aby dopracować rozwiązanie, które jest przyszłością ochrony zdrowia. Same szkolenia i przekonywanie lekarzy do tego, że aplikacje to nowa, ale skuteczna forma leczenia, jest ogromnym wyzwaniem. Im wcześniej zaczniemy edukować, tym szybciej pojawią się pierwsze korzyści w postaci np. lepszego zarządzania chorobami przewlekłymi i dopasowania systemu do globalnych wyzwań społeczno-demograficznych.

Trzeba się też liczyć, że taka nowość może budzić opór, bo na pierwszy rzut oka może wydawać się ekstrawagancka. Aby przekonać społeczeństwo do terapii cyfrowych, potrzebna będzie dobra strategia medialna opracowana przez MZ i Centrum e-Zdrowia.

To da się zrobić, ale potrzebna jest odwaga i współpraca

Autorzy pracy, którzy przeanalizowali rynek i trendy oraz podobne rozwiązania w innych krajach, nie mają wątpliwości, że globalne doświadczenia z włączania aplikacji zdrowotnych do opieki nad pacjentem w systemie ochrony zdrowia są pozytywne. Kraje takie jak Niemcy, Francja i Belgia zdecydowały się na uruchomienie dedykowanej ścieżki refundacyjnej. Jednak skuteczne włączenie terapii cyfrowych do opieki nad pacjentem wymaga edukacji i finansowania, stworzenia odpowiedniej infrastruktury.

Z pracy absolwentów studiów SGH-WUM MBA w ochronie zdrowia „Propozycja włączania aplikacji zdrowotnych do opieki nad pacjentem, w celu ograniczania konsekwencji występowania chorób przewlekłych” wynika, że pilotażowy model włączania aplikacji zdrowotnych do opieki nad pacjentem, czyli „Aplikacja Certyfikowana MZ” wymaga dopracowania – brakuje kampanii informacyjnej, finansowania, jasnych kryteriów oceny, programów edukacyjnych. Sama certyfikacja nie wystarczy, aby aplikacje mobilne stały się nową, cyfrową formą terapii, uzupełniającą terapie lekowe.

Obroniona z wyróżnieniem praca Katarzyny Jagieły, Anny Lech, Katarzyny Szymańskiej i Rafała Wójcika wskazuje na kilka kroków milowych niezbędnych, aby aplikacje zdrowotne stały się nowym, trwałym elementem opieki nad pacjentami:

• ocena aplikacji zdrowotnych poprzez Agencję Oceny Technologii Medycznych i Taryfikacji;
• finansowanie (refundacja przez NFZ), które umożliwiałoby wspieranie długofalowego rozwoju aplikacji zdrowotnych oraz ich utrzymanie;
• wsparcie twórców aplikacji w gromadzeniu dowodów w zakresie skuteczności (przeprowadzeniu badania klinicznego) lub też dowodu pozytywnego wpływu na system opieki zdrowotnej;
• opracowanie strategii kontinuum opieki nad pacjentem bazującej na wymianie danych z różnych punktów systemu zdrowia, w tym aplikacji mobilnych;
• kompleksowy program szkoleniowy w zakresie aplikacji zdrowotnych skierowany do środowiska medycznego oraz edukacja pacjentów;
• działania edukacyjne w zakresie znaczenia profilaktyki i wiedzy cyfrowej już od szkoły podstawowej;
• system zachęt motywujących do stosowania aplikacji, z uwzględnieniem potrzeb różnych grup społecznych oraz opracowania kompleksowej strategii działań promocyjno–komunikacyjnych.

Praca opublikowana została on-line (link do pobrania poniżej).

Pobierz bezpłatnie pełną pracę opisującą włączenie aplikacji mobilnych do opieki nad pacjentem

Cyberprzestępcy zamieścili w internecie wyniki badań pacjentów i umowy jednej z największych sieci laboratoryjnych w Polsce – ALAB Laboratoria. Grożą publikacją kolejnych.

Jako pierwszy informację o ataku zamieścił portal Zaufana Trzecia Strona.

Hakerzy udostępnili w sieci 50 tys. wyników badań pacjentów, którzy w ALAB wykonywali badania od 2017 do 2023 roku. Pojawiły się one na blogu mało znanej grupy ransomware RA World.

Dane obejmują 110 000 plików (łącznie 5GB) z wynikami pacjentów oznaczonych datami wykonania badania. W każdym pliku jest wynik badania zapisany jako skan (wersja PDF) i w formie XML – czyli to łącznie 55 tys. badań. Oznacza to, że w wyciek dotyczy danych medycznych (wyniki badań laboratoryjnych) oraz personalnych (PESEL, imię i nazwisko, adres), w tym danych podmiotu zlecającego.

Z oświadczenia hakerów wynika, że firma nie chciała „współpracować” i zapłacić okupu. Zagrozili także, że 31 grudnia opublikują wszystkie wykradzione dane – których pojemność to łącznie 246GB – jeśli firma nie dokona wpłaty. Przeliczając pojemność pliku na liczbę wyników (plik z 55 000 wyników ma 5GB) wynika, że może chodzić nawet o 2,7 mln wyników.

Portal informuje także, że w chwili pisania tekstu, czyli 27 listopada o godz. 00:08, pliki udostępnione przez hakerów pobrało już 30 osób. Oprócz tego w internecie pojawił się plik z umowami zawieranymi przez firmę.

Czytaj także: 6 zasad ochrony przed ransomware, które trzeba znać.

Polacy kupują coraz mniej multiwitamin: w 2012 roku sprzedano ich w aptekach 8,1 mln opakowań, a w 2022 roku – 4,8 mln, prawie dwa razy mniej. I nic nie wskazuje na zatrzymanie malejącego trendu.

Więcej danych na infografice w listopadowym wydaniu OSOZ Polska. Kliknij, aby go pobrać za darmo

Co zawiera nasza analiza?

Multiwitaminy to preparaty zawierające w składzie kompleks witamin oraz składników mineralnych. Na rynku dostępne są w różnych formach, jako tabletki, żelki, lizaki, syropy itd. Wiele z nich dedykowanych jest konkretnej grupie osób, jak np. multiwitaminy dla kobiet w ciąży, dla dzieci, czy dla osób w podeszłym wieku.

Oferta multiwitamin jest szeroka – na rynku aptecznym w 2022 roku zarejestrowanych było 197 produktów z tej grupy. Ponieważ w większości są to suplementy diety, a nie leki, można je też kupić w sklepach i marketach, nie tylko w aptekach. Autorska analiza OSOZ opiera się na danych z aptek i obejmuje ostatnie 20 latach.

Rynek w pigułce

Polacy coraz rzadziej kupują multiwitaminy w aptekach. W okresie ostatnich 20 lat sprzedaż malała z roku na rok, z wyjątkiem lat 2006-2008. Dużo wolniej maleje jednak wartość sprzedaży, bo producenci rekompensują malejący popyt rosnącymi cenami. I tak gdy w okresie 2012-2022 liczba sprzedanych opakowań spadła o 40%, wpływy z sprzedaży zmalały o 33%.

Na malejący trend wpływa kilka czynników. Dużą część klientów przejęły markety i drogerie, które także sprzedają suplementy diety, a do takich zaliczają się witaminy. Nie bez znaczenia są mody dietetyczne – wszystko wskazuje na to, że magia kolorowych tabletek prysnęła, a Polacy zmienili na lepsze nawyki żywieniowe odkładając na bok suplementację multiwitamin. Choć nie witamin – nasze analizy pokazują, że nadal chętnie sięgamy po witaminę D, B12, C, żelazo itd. Suplementacja stała się więc bardziej celowana, wybieramy witaminy i mikroelementy dobrane do konkretnych potrzeb.

Ale w skali globalnej sprzedaż multiwitamin rośnie. Według Statista, przychody na rynku witamin i minerałów wyniosą w 2023 roku ok 28,59 mld USD, a największym rynkiem zbytu będą Chiny. W latach 2023–2028 rynek będzie rósł rocznie o 6,32%. Choć podczas pandemii COVID-19 popyt na witaminy wyraźnie wzrósł. Ale nie w polskich aptekach : w 2018 roku sprzedaż wyniosła 7,4 mln opakowań, a w pierwszym pandemicznym roku 2020 – 6,8 mln (z naszej innej analizy wynika jednak, że mocno wzrosła sprzedaż środków z witaminą D).

Zmieniają się też trendy – klienci wybierają częściej wysokiej jakości, organiczne produkty. Jeszcze do niedawna sprzedaż multiwitamin oznaczała pewny zysk, bo wejście na mało regulowany rynek było proste, a popyt wysoki. Nic dziwnego, że w 2015 roku w ofercie aptek było 505 różnych preparatów w tej kategorii. Jednak po gwałtownych spadkach sprzedaży obecnie to już tylko 197 pozycji asortymentowych.

Trendy przyszłości

Trend spadkowy sprzedaży multiwitamin będzie utrzymywał się także w najbliższych latach, zarówno na ilości i wartości sprzedaży. Według prognoz opartych na danych historycznych, w 2023 roku nastąpi dalszy spadek ilości sprzedaży o 13,69%, a w 2024 roku – o 9,40%. A to oznacza, że w 2024 roku sprzedaż spadnie poniżej kolejnej granicy 4 mln opakowań i wyniesie dokładnie 3,78 mln opakowań.

Średnia cena nadal będzie wzrastać. W 2023 roku bardzo duży o ok. 10 %. A to spowoduje, że średnia cena za opakowanie multiwitaminami trzeba zapłacić średnio 30,69 zł.

Podsumowanie

Multiwitaminy wydają się być idealnymi produktami aptecznymi. Producenci zapewniają, że dostarczają one organizmowi niezbędne do prawidłowego funkcjonowania witaminy i minerały, a także uzupełniają ich niedobór. W samych tylko aptekach ilość sprzedaży multiwitamin w 2002 roku wynosiła ponad 14,5 mln opakowań. Z roku na rok sprzedaż apteczna spadała, rosła za to średnia cena za pojedyncze opakowanie.

W minionym roku sprzedaż w aptekach wynosiła prawie 5 mln opakowań i była znacznie niższa niż dwie dekady wcześniej. Jednak nie można zapominać, że multiwitaminy dostępne są również w sklepach, marketach, czy dyskontach. Dlatego całkowita sprzedaż prawdopodobnie jest znacznie wyższa. Pozostaje pytanie: czy wysoka do 2009 roku sprzedaż multiwitamin w aptekach zmalała, ponieważ Polacy zaczęli je coraz częściej kupować w marketach, czy maleje ogólny popyt, także w marketach?

Z ogólnych analiz danych można domniemać, że rosnąca sieć dyskontów w Polsce na pewno po części przejęła zakupy apteczne. Ale z drugiej strony popyt na multiwitaminy maleje, co wiąże się z rosnącą świadomością w zakresie zdrowego odżywiania się, regulacjami rynkowymi i naukowymi doniesieniami sugerującymi, że nie przynoszą one żadnych korzyści osobom, które dbają o zrównoważoną dietę.

Czytaj także: Sprzedaż witaminy D w 2022 roku osiągnęła rekordowy poziom.

Na zlecenie Ministerstwa Edukacji i Nauki (MEiN) utworzono Centrum Innowacji dla Medycyny Cyfrowej (CIdMC). Nowa jednostka w strukturze Ośrodka Przetwarzania Informacji (OPI) ma m.in. rozwijać technologie cyfrowe dla ochrony zdrowia oraz integrować środowiska badawcze.

Punkt ciężkości: rozwój sztucznej inteligencji

– W ramach naszych prac badawczo-rozwojowych stawiamy na rozwój medycyny cyfrowej i zastosowanie metod sztucznej inteligencji w dążeniu do poprawy jakości i efektywności opieki zdrowotnej – mówi dr inż. Piotr Sobecki, kierownik Centrum Innowacji dla Medycyny Cyfrowej. Ośrodek będzie działał w bliskiej współpracy z partnerami, w tym z renomowanymi instytucjami akademickimi i medycznymi, wiodącymi ośrodkami badawczymi, firmami technologicznymi oraz organizacjami branżowymi i rządowymi. Jak podkreśla dr Sobecki, wizją centrum jest wsparcie transformacji cyfrowej ochrony zdrowia w Polsce.

Centrum powstało we współpracy z Agencją Badań Medycznych (ABM).

AI w diagnozie raka prostaty

Pierwszym realizowanym przedsięwzięciem jest budowa platformy cyfrowej opartej na narzędziach sztucznej inteligencji do diagnozy raka prostaty. Projekt „Radiologia wzmacniana AI wykrywanie, raportowanie i podejmowanie decyzji klinicznych w diagnostyce raka prostaty” (AI4AR) jest finansowany przez Narodowe Centrum Badań i Rozwoju (NCBiR) w kwocie 7 347 082,50 zł. W części medycznej projektu ekspertów Ośrodka Przetwarzania Informacji – Państwowego Instytutu Badawczego będą wspierać lekarze z Dolnośląskiego Centrum Onkologii.

Prace badawcze mają na celu stworzenie nowoczesnego narzędzia do analizy wyników badań, które usprwni komunikację między radiologami a klinicystami. Efektem będzie także stworzenie referencyjnej bazy danych obrazowych mpMRI prostaty, obejmującej szeroki zakres pełni przypisanych przypadków wraz z kompletną dokumentacją medyczną.

Centrum szuka zespołów badawczych

Aby rozpocząć współpracę z Centrum, zespół badawczy musi najpierw wysłać formularz zgłoszenia oraz przygotować 15-minutową prezentację przedstawiając profil badawczy zespołu i jego dokonania. W przypadku pozytywnej opinii, zawierane jest porozumienie współpracy. Swoje projekty mogą zgłaszać zespoły badawcze i eksperci pracujący dla:

• instytucji medycznych i akademickich
• firm technologicznych
• organizacji non-profit
• instytucji rządowych
• agencji regulacyjnych
• organizacji branżowych i innych zainteresowanych rozwojem medycyny.

Zakwalifikowane zespoły badawcze zyskają dostęp do aktualnej wiedzy, szkoleń i doradztwa. Łatwiej będą mogły tworzyć konsorcja, partnerstwa badawcze i ubiegać się o fundusze. 

Czytaj także: Dr Tomasz Zieliński odznaczony tytułem „Przyjaciela e-Zdrowia”

Po tym jak amerykańskie kliniki jako pierwsze zaczęły stosować generatywną sztuczną inteligencję do tworzenia elektronicznej dokumentacji medycznej, dołączają placówki z innych krajów. W Japonii, AI pomaga klinikom i szpitalom podsumowywać długie wywiady z pacjentami.

Jak to działa?

Narzędzie udostępnił startup Ubie oferujący elektroniczne kwestionariusze medyczne. Przed wizytą w klinice, chory – za pomocą elektronicznego formularza – udziela odpowiedzi na 20–30 pytań związanych z objawami i stylem życia. Następnie duży model językowy (LLM) analizuje wprowadzone dane, automatycznie podsumowuje najważniejsze informacje, na końcu przedstawiając zwięzły raport lekarzowi. Cały proces trwa kilka sekund.

Aby zagwarantować wiarygodność podsumowań, system wyposażono w warstwę bezpieczeństwa polegającą na wiernym odwoływaniu się do oryginalnego tekstu z wywiadu. Takie rozwiązanie ma zapobiec halucynacji, kiedy AI wymyśla sobie informacje pasujące do wzorca tekstu. Wynikające z błędów AI zafałszowania mogłyby zagrozić bezpieczeństwu pacjenta.

Z funkcji podsumowań korzysta obecnie 1500 pracowników służby zdrowia w ponad 47 prefekturach Japonii. Innowacja powstała we współpracy z lekarzami, a ambicją startupu Ubie jest opracowanie kolejnych bezpiecznych narzędzi generatywnej sztucznej inteligencji dla opieki zdrowotnej.

Dlaczego to ważne?

Przejrzenie wszystkich odpowiedzi z wywiadu i ich synteza zajmuje lekarzom bardzo dużo czasu. Do tego muszą oni przeczytać całość wywiadu, nawet jeśli niektóre z odpowiedzi nie są istotne z punktu widzenia końcowej diagnozy. Jest to proces na tyle prosty, że można go powierzyć AI. Krótki, napisany zrozumiałym językiem raport obejmuje najważniejsze informacje, a w razie wątpliwości lekarz może sięgnąć do oryginalnych treści. Według Ubie, funkcja poprawia komunikację z pacjentem oraz pozwala zredukować czas potrzebny na czynności administracyjne.

Trend Generatywna sztuczna inteligencja na dobre weszła do ochrony zdrowia. Wykorzystują ją największe firmy technologiczne z USA oferujące systemy elektronicznej dokumentacji medycznej. Systemy tego typu są też popularne w Azji, a oprócz tworzenia EDM stosuje się je do np. tłumaczenia żargonu medycznego pacjentom. Bardziej powściągliwe są europejskie systemy zdrowia. Powodem są restrykcyjne przepisy dotyczące danych osobowych.

Czytaj także: Dzięki wirtualnej rzeczywistości, lekarz rozpozna emocje pacjenta podczas telewizyty