To je rezultat večletnega IT kaosa v UKC Ljubljana

V UKC Ljubljana obstaja visoko tveganje uhajanja zaupnih podatkov o pacientih, so ugotovili inšpektorji urada za informacijsko varnost. Kdo je za to odgovoren?

Avtor: Primož Cirman / Tomaž Modic
ponedeljek, 29. 8. 2022, 05:55


ukc-ljubljana
Za porazno stanje na področju informatike v UKC Ljubljana je več krivcev.
STA

V Univerzitetnem kliničnem centru (UKC) Ljubljana, največji bolnišnici v državi, je mogoče praktično neovirano dostopati do informacijskega centra, v katerem se nahajajo zaupni podatki o pacientih in od katerega je odvisno nemoteno delovanje UKC Ljubljana. 

To je po naših informacijah ena od glavnih ugotovitev inšpekcijskega nadzora na UKC Ljubljana, ki so ga letos opravili inšpektorji vladnega urada za informacijsko varnost. Preverjali so, ali in kako so varovani prostori glavne stavbe kliničnega centra, v katerih so nameščeni ključni krmilni in nadzorni informacijski sistemi. 

Ugotovitve inšpektorjev urada, ki ga je država ustanovila lani, so tako najbolj viden del ledene gore problemov z informacijski sistemi, ki so se v UKC Ljubljana nabrali v zadnjih dveh desetletjih. V tem času so v UKC Ljubljana informacijske sisteme razvijali neučinkovito, od česar je imela očitno največ množica dobaviteljev programskih rešitev. V zadnjih 15 letih je UKC Ljubljana vodilo osem generalnih direktorjev: Darinka Miklavčič, Simon Vrhunec, Andrej Baričič, Brigita Čokl, Andraž Kopač, Aleš Šabeder, Teodor Žepič in Janez Poklukar.

jože golobič
Jože Golobič je v začetku lanskega leta prevzel vodenje UKC Ljubljana. Nasledil je Janeza Poklukarja, ki je postal minister za zdravje.
Bobo

Od lani je na čelu bolnišnice Jože Golobič, ki so mu zdaj inšpektorji dali na voljo nekaj mesecev za odpravo nepravilnosti. Za komentar v petek ni bil dosegljiv. 

Preberite še:
Plačnemu rekorderju v UKC Ljubljana v decembru 27.500 evrov

Zaupni podatki za lesenimi vrati in šipo

Uradnih informacij o inšpekcijskem pregledu ni mogoče dobiti. Na uradu za informacijsko varnost, ki ga vodi Uroš Svete, so nam pojasnili, da še ni končan. Toda po naših informacijah so inšpektorji opozorili na tveganje nepooblaščenega vdora v informacijski center, ki bi moral biti najbolj varovani del stavbe, in pomanjkljive ukrepe pri zagotavljanju varnosti pred požari in poplavami. 

V UKC Ljubljana se namreč informacijski center nahaja v kletnih prostorih, do katerih lahko obiskovalec pride skozi glavni vhod. Pred tem se mora zgolj vpisati v fizično knjigo. Nato ga pot vodi čez lesena vrata, ki se zaklepajo z navadno ključavnico. Pred vstopom ni mehanizma dvojnega preverjanja verodostojnosti s kartičnim dostopom in šifro. Prav tako ne obstaja videonadzorni sistem, nihče pa vstopa fizično ne varuje. Poleg tega je na vratih steklo, skozi katerega je s hodnika vidna notranjost sobe. 

Kot smo izvedeli, so na delno odstranjenem zaščitnem stropu v notranjosti vidne vodovodne in druge cevi, iz katerih je kapljala voda. To naj bi inšpektorji sklepali na podlagi krp in posod. Na stropu so nameščeni detektorji dima, v prostorih pa ročni gasilniki na CO2.

20210903-01080281
Uroš Svete, direktor urada vlade za informacijsko varnost
STA

Na uradu za informacijsko varnost so potrdili, da so zavezancu, torej UKC Ljubljana, "ob ugotovljenih neskladjih oziroma nepravilnostih izrekel ukrepe za odpravo nepravilnosti in mu podal priporočila". Po naših informacijah morajo v UKC Ljubljana v naslednjih mesecih zagotoviti ustrezno fizično in tehnično varovanje informacijskega centra, pripraviti dodatne analize obvladovanja tveganj, načrte varnostnih ukrepov, načrte odzivanja na kibernetske incidente in druge dokumente, s katerimi bi zagotovili nemoteno delovanje bistvenih informacijskih sistemov in preprečili njihov morebitni izpad v primeru motenj oziroma napadov.

Preberite še:
Tudi vodilni ortopedi UKC so se lažno "štempljali"

Informatika – "večna" težava UKC

Kdo je za to odgovoren? Že vrsto let je znano, da je informatika "večna" težava UKC Ljubljana. Največja zdravstvena institucija v državi tako iz uradno neznanih razlogov že dolgo časa nima enega, ampak dva poslovno-informacijska sistema, na ravni bolnišnične oskrbe pa kar pet, ki med sabo niso povezani. Vse to je posledica dolgoletnih napak v politiki razvoja informatike, ki se je kazala v tesnih odnosih z dobavitelji programskih rešitev, v nemalo primerih pa naj bi prešla tudi meje zakonitega.

Kdo je do sedaj vodil UKC Ljubljana

direktorji ukc ljubljana
V zadnjih trinajstih letih se je v UKC Ljubljana zamenjalo osem generalnih direktorjev.
UKC Ljubljana

Razdrobljeni in nedodelani informacijski sistemi, ki jih UKC Ljubljana uporablja vrsto let, pomenijo višje administrativne obremenitve za zaposlene, za paciente pa tveganje za zdravniške napake. Že leta 2016 je računsko sodišče ugotovilo, da UKC Ljubljana v obdobju med januarjem 2011 in majem 2016 "ni zagotavljal, da bi informacijska podpora učinkovito podpirala njegovo delovanje". "Zavod je imel razdrobljeno informacijsko okolje, ki so ga sestavljale številne, med seboj pogosto nepovezane informacijske rešitve," je navedlo računsko sodišče. 

Državni revizorji so že takrat opozarjali, da na tem področju v UKC Ljubljana vlada kaos. Nekatere informacijske rešitve so se celo podvajale ali pa jih je zavod začel uporabljati šele več let po nakupu. Ker so posamezne organizacijske enote uporabljale različne rešitve, zato zdravniki in drugi zaposleni praviloma niso mogli poiskati podatkov o preteklem zdravljenju svojih bolnikov v drugih enotah, razen če so te prejeli v papirni obliki.

Preberite še:
Rekordni dobički zdravstvenih domov, ki so bili zaprti za bolne

Kdo so največji dobavitelji UKC 

Vse to se je poznalo tudi na visokih stroških za informacijsko podporo, ki na letni ravni znašajo več milijonov evrov. V zadnjih dvajsetih letih je največ poslov za UKC Ljubljana, skoraj 14 milijonov evrov, opravila družba Unistar LC, ki jo je poslovnež Miran Boštic leta 2019 prodal italijanski skupini DBA. Med večjimi dobavitelji so še SRC Infonet (5,2 milijona evrov), List (pet milijonov evrov), NIL (pet milijonov evrov), Sicom (4,7 milijona evrov) in Marand (štiri milijone evrov). Poleg tega ogromno denarja konča pri družbah za faktoring, ki jim IT podjetja prodajo terjatve do UKC Ljubljana.

Pri nekaterih poslih so v UKC Ljubljana zaznali tudi nepravilnosti. Leta 2018 so Nacionalni preiskovalni urad (NPU) obvestili o sumu protipravnega ravnanja pri pripravi dokumentacije za razpise za nabavo informacijske tehnologije. Šlo je za najmanj dva razpisa. Pri obeh naj bi posamezniki iz notranjih služb merila in pogoje za izbiro priredili tako, da so ustrezala vnaprej izbranemu ponudniku. To naj bi bil Unistar LC, kjer so vse očitke takrat zanikali.

unistar ukc
V UKC Ljubljana so v dvajsetih letih pri družbi Unistar LC naročili že za skoraj 14 milijonov evrov informacijskih rešitev, kar je daleč največ med vsemi.
KPK

K reševanju kaosa, ki ga je razkril inšpekcijski pregled, zagotovo niso pomagale pogoste menjave na čelu UKC Ljubljana. Samo v zadnjih petih letih so se generalni direktorji zamenjali štirikrat. V tem času so se zamenjali tudi štirje pomočniki generalnega direktorja za informatiko, ki so odgovorni za to področje. Nazadnje je bil na ta položaj januarja lani, tik preden je Golobič nasledil poznejšega ministra za zdravje Poklukarja, imenovan Blaž Suhač.  

Kot je znano, je minister za zdravje Danijel Bešič Loredan prejšnji teden Golobiča javno pozval k odstopu. Njegovo vodenje je ocenil kot "izpod kritike", poziv pa utemeljil z zamudami pri izvajanju investicij in letošnjo izgubo. Golobič je poudaril, da razlogov za odstop ne vidi, ministrove očitke pa je zavrnil.

Preberite še:
Bolniki s covid-19 napolnili blagajne bolnišnic