Електронната несигурност в НЗОК

Служителите на фонда няма как да осъществяват мониторинг над информационна свързаност на системите, налице са и условия за заобикаляне на правилата за смяна на паролите

НЗОК борави не само с огромен обществен финансов ресурс - вече над 5 млд. евро на година, който трябва да контролира, но тя акумулира и изключително чувствителни данни. На практика фондът управлява личната медицинска информация на всеки един здравноосигурен пациент. Поради тази причина сигурността на съхранение и обмен на данните е от изключително значение за НЗОК. Без това да е гарантирано, няма как да се осъществява правилното разходване на обществените средства за здравеопазване, нито да се гарантира личната сигурност на българските пациенти. Затова и въпросът, който се повдигна в Надзорния съвет на фонда този месец е от изключително значение. За съжаление изводите от доклада на проф. Мавров по тази тема не са обнадеждващи.

Мрежова и информационна сигурност

Според анализа на подуправителя на касата в момента електронната сигурност е в риск. Една от причините за това е, че мрежовата и информационна свързаност на системите на НЗОК е възложена изцяло и единствено на държаваната фирма „Информационно обслужване" (ИО), а служителите на фонда няма как да осъществяват мониторинг. Заради това докладването на киберинциденти например се забавя необосновано с по 7 дни от възникването на случаите, което компрометира смисъла на наблюдението и възпрепятства адеквтаната намеса в подобни моменти.

Освен това са налице условия за заобикаляне на правилата и политиката за смяна на пароли. Всичко това води до риск от изтегляне на информация, въвеждане на данни и компрометиране на работата на служители на НЗОК. Доказателство за това е и конкретен инцидент с акаунта на подуправителя на касата. Оказва се, че лично той е имал случай с неоторизирана смяна на парола и достъпване на служебния му компютър и директория от страна на служител на „Информационно обслужване" с ниво - старши администратор информационни системи с офис в Плевен. Случаят не само е повдигнал въпроси в НЗОК, но е показал и редица пропуски и нарушения в сигурността, става ясно от доклада за Надзорния съвет на фонда.

Инцидентът показва, че има нарушение на правилата за мрежова и информационно сигурност на НЗОК, както и на защитата на личните данни. Напрактика касата няма осигурени гаранции за защитеност на системите, нито пък има право на одит над работата на ИО или да поиска такъв от трета независима страна. Всичко това е предпоставка за компрометиране на управлението на мрежовата и информационна сигурност, се заключва в доклада.

Работата по план-графика

От анализа става ясно, че има проблеми и с реализацията на план-графика към договора, по който работи ИО с НЗОК. Част от него е осигуряването на резервен център за данните на НЗОК, за който не са предвидени средства. От доклада става ясно, че обществената поръчка за тази цел е обявена преди да е съгласувана заявката за изпълнение на проекта. Въпреки че НЗОК не е уведомена за търга, той е бил публикуван в ЦАИС и е стигнал дори до избор на изпълнител. Напрактика, въпреки предприетите своевременно действия от страна на НЗОК за иницииране на подготовката на заявките и координация на проекта, процедурата е била публикувана с различни параметри от утвърдените от Надзорния съвет на НЗОК. Това поведение създава сериозен риск от възникване на неблагоприятни последици за здравната каса, включително налагане на финансови санкции по ЗЕУ, се казва в доклада.

И още въпроси

Подуправителят на НЗОК повдига въпроси и за друг договор с ИО, който засяга създаването на основен и резервен център за данните на фонда. Въпреки че за тях касата е платила на външни консултанти, препоръките им не са били изцяло приложени. 

Също така се оказва, че при изграждането на основния център от ИО е направена платформа с 4 процесора, вместо с 44. Оттам се оказва, че не е ясно и доколко ефективно е изпълнението, защото заложените средства за 44 процесора са били 8 млн. лв. с ДДС, а реализацията на 4-те процесора е за 1.9 млн. лв. с ДДС. И към момента няма анализ защо е намален броя на процесорите десетократно, което оставя без отговор въпроса - доколко удачно е била промяната.

Без осигурено финансиране се оказва, че е друг проект за тази година „Осигуряване на комуникационна свързаност основна и резервна за нуждите на НЗОК за срок от 3 години". В план-графика първоначално този проект е остойностен от ИО за 2 100 000 лв. без ДДС за срок от 3 години. Досега обаче НЗОК е заплащала 376 000 лв. без ДДС пак за 3 години, при това с включена доставка на интернет, става ясно от доклада на проф. Мавров. Едва след разговори с експертите от дирекция ИТСЗОП и изпращане на съществуващия договор, ИО посочва нова стойност на проекта, а именно 200 640 евро без ДДС. Така за проекта може да бъде осигурено финансиране и вече има одобрена заявка за изпълнение от МЕУ, пише проф. Мавров.

Относно авторството

От доклада му става ясно още, че не една и две от реализираните подобрения в електронната отчетност и контрол в НЗОК са по идея на хората във фонда. Напредък в електронизацията има, но тук е много важно да се отбележи, че основна заслуга за това имат служителите на НЗОК, които не само са инициатор на въвеждането на тези електронни услуги, но и подробно са описали бизнес процесите и контролите, които следва да бъдат програмно реализирани, подчертава проф. Мавров. Сред конкретните дейности, за които говори пък, влизат въвеждането на електронни договори в НЗОК. На тяхна база се констатираха над 700 виртуални легла в болниците, след което са били предложени и реализирани множество подобрения и контроли. Едно от тях е предложението за въвеждането на електронните договори, с което се елиминира човешка грешка.

Проверката към информационната система на БОВЛ за статуса на отпуснатите опаковки лекарства се прави по правила, които са разработени и предоставени на ИО също от експертите на НЗОК. Подготовката и реализирането на проекта за изпращене на СМС-и и Вайбър известия на пациентите за ползвани лекасртва или помощни средства по каса, също по инициатива на експертите на НЗОК.

В заключение

„Информационно обслужване" има редица заслуги за електронизацията и подобряването на работата на системите в държавното управление, в т.ч. и в сектор здравеопазване, но управлението на рамковия договор с НЗОК следва да се осъществява в дух на взаимно уважение на мненията, реален диалог, прозрачност и партньорство с отчитане на обратната връзка с бенефициента, се казва в доклада на проф. Мавров. Той ще бъде обсъден от надзорниците, а след това се очаква да стане ясно дали и какви мерки ще се вземат за подобряване информационната сигурност на фонда.