מחקר ישראלי חושף: רוב אנשי המקצוע בתחום הרפואה משתפים באופן בלתי ראוי הרשאות גישה והתחברות למערכת רשומות רפואיות אלקטרוניות - EMR
מאת
: מערכת Telecom News, 26.9.17, 13:51
פריצה למידע פרטי של חולים, שמוגן באמצעות החוק לניידות ביטוחי בריאות וחובת דין וחשבון על נתוניהם (HIPAA) ובאמצעות הקריטריונים של ארגון התקינה הבינלאומי (ISO), יכולה להוביל לקנסות כבדים, אם תדווח. תקיפה של מערכת EMR יכולה להפריע להליכים רפואיים ולגרום לפגיעות ישירות בחולים. כוחה של מערכת אבטחת מידע נמדד בכוחה של החוליה החלשה ביותר בה.
תקנות מחמירות לשמירה על מידע חסוי מוגן מקשות לעיתים קרובות על מטפלים לקבל את המידע, שהם זקוקים לו. בעקבות זאת, רוב חברי הצוות הרפואי, שהשתתפו בסקר, התחברו למערכת רשומות רפואיות אלקטרוניות (
EMR) באמצעות סיסמה, שנתן להם חבר אחר בצוות הרפואי, באופן לא ראוי.
המחקר, "שכיחות שיתוף הרשאות גישה לרשומות רפואיות אלקטרוניות", שהתפרסם ב-
Healthcare Informatics Research, הוא המחקר הראשון, שבודק גישה ל-
EMR בקרב נותני שירות רפואי. מערכות
EMR מאחסנות מידע נרחב ורגיש מאוד על מטופלים, כולל מידע על מצב אישי, דמוגרפי וכלכלי. גם ארגוני בריאות משתמשים במערכות
EMR לחיוב, לקביעת תורים ולניהול מכשירים חיוניים תומכי חיים.
החוקרים אספו תשובות לסקר מ-299 בעלי מקצוע בתחום הרפואה, כולל רופאים מתמחים, סטודנטים לרפואה, סטאז'רים ואחיות. צוות המחקר כלל חוקרים מאוניברסיטת בן-גוריון בנגב, מבית הספר לרפואה של אוניברסיטת הרווארד, מאוניברסיטת דיוק, מהמרכז הרפואי של האוניברסיטה העברית ו"הדסה" ומהמרכז הבינתחומי בהרצליה.
73% מ-299 המשתתפים טענו, שהשתמשו בסיסמה של חבר אחר בצוות הרפואי כדי לגשת למערכת
EMR בעבודה. 57% מהמשתתפים העריכו, שהשתמשו בסיסמה של מישהו אחר 4.75 פעמים בממוצע.
בקבוצת הרופאים המתמחים, אמרו כולם (100%), שקיבלו פעם אחת את הסיסמה של חבר צוות אחר, בהסכמתו. בקבוצת הסטודנטים והסטאז'רים, 77% ו-83% (בהתאמה) השתמשו בהרשאות של מישהו אחר, משום שאמרו, שהם "לא קיבלו שם משתמש".
באופן דומה, 56% מהסטודנטים ו-70% מהסטאז'רים השיבו, שלשם המשתמש שלהם אין הרשאות מתאימות כדי "למלא את חובותיי", ולכן הם נאלצו לבקש את הרשאות הגישה של מישהו אחר. 57.5% מהאחיות שהשתתפו בסקר, דיווחו, שהשתמשו בסיסמה של מישהו אחר.
פריצה למידע פרטי של חולים, שמוגן באמצעות החוק לניידות ביטוחי בריאות וחובת דין וחשבון על נתוניהם (
HIPAA) ובאמצעות הקריטריונים של ארגון התקינה הבינלאומי (
ISO), יכולה להוביל לקנסות כבדים, אם תדווח. תקיפה של מערכת
EMR יכולה להפריע מאוד להליכים רפואיים ולגרום לפגיעות ישירות בחולים, לדוגמה בשל שינוי במרשם או במכשיר רפואי.
בעקבות זאת, חוק
HIPAA דורש מארגוני בריאות ליצור ולאכוף מדיניות אבטחה מקיפה, שתכלול הגדרות ברורות של תפקידו של כל עובד ושל הרשאות הגישה שלו. כמו כן, על הארגונים לספק דרך לאמת את זהותו של כל עובד, לשלוט בגישה שלו למידע הרלוונטי בלבד ולערוך ביקורת על עריכתו.
ד"ר
פלורינה יוזפובסקי, חוקרת בתחום הפסיכולוגיה ההתפתחותית באוניברסיטת בן-גוריון בנגב וחברה במרכז זלוטובסקי לחקר העצב: "כוחה של מערכת אבטחת מידע נמדד בכוחה של החוליה החלשה ביותר בה. אפילו פרצה יחידה יכולה להפוך מערכת מידע ללא-יעילה".
ד"ר
אייל חסידים מהמרכז הרפואי של האוניברסיטה העברית ו"הדסה והחוקר הראשי: "על הצוות הרפואי להעניק טיפול יעיל ובזמן, תוך שמירה על חיסיון המטופלים. לפעמים זה יכול לגרום להתנגשות בין חובתם לבין מחויבותם לעמוד בתקנות האבטחה".
החוקרים מציעים כמה המלצות: ראשית, השגת הרשאות גישה צריכה להיות פחות קשה ולגזול פחות זמן. לדוגמה, בישראל הצוות הזוטר מחליף סבבים רפואיים על בסיס שבועי, ולכן לעיתים קרובות סטודנטים לרפואה, מתמחים ועובדים חדשים אחרים נאלצים להשתמש בהרשאות של עובדים אחרים כדי למלא את חובותיהם בזמן שהם עוברים את תהליך ההרשמה הממושך והקפדני.
החוקרים ממליצים, שבתי חולים, שאין בהם מספיק עובדים, במיוחד בשעות תורנות, יעבירו משימות אדמיניסטרטיביות ויעניקו גישה מורחבת למערכת
EMR לעובדים פרא-רפואיים, לצוות זוטר, למתמחים ולסטודנטים. סביר יותר שהאחיות, שבדרך כלל חובותיהן מוגדרות יותר, תהיינה בעלות הרשאות ה-
,EMR שהן צריכות. הבנה של דרישות הצוות הרפואי והרחבת הרשאות הגישה יכולות להוביל למעשה לפחות שיתוף של סיסמאות ולהגנה טובה יותר על המידע הרפואי.
לבסוף, החוקרים ממליצים להוסיף אפשרות לכל תפקיד ב-
EMR המעניקה הרשאות מקסימליות להתחברות בודדת. כשהאפשרות הזו תופעל, הרופא הבכיר ופקיד האבטחה של מידע רפואי מוגן (
PHI) יקבלו התרעה על כך. זה יאפשר לצוות הזוטר לקבל החלטות דחופות ומצילות חיים תחת פיקוח רשמי רטרוספקטיבי, מבלי שיצטרכו להתחבר בחשאי ל-
EMR.
החוקרים האחרים שהשתתפו במחקר היו: ד"ר
אייל חסידים, מהמרכז הרפואי של האוניברסיטה העברית ו"הדסה"; ד"ר
צפניה קורח, מבית הספר לרפואה של אוניברסיטת הרווארד
; ד"ר
רוני שרברק-חסידים וד"ר
אלנה טומיידו, מהמרכז הרפואי של האוניברסיטה העברית ו"הדסה"; ד"ר
שחר אייל, מהמרכז הבינתחומי הרצליה; וד"ר
דן אריאלי, מאוניברסיטת דיוק.