VIDEO SRI si STS vor pazi sistemul medical informatizat. Dar cine este Stapanul Inelelor sistemului medical romanesc, super-userul cu acces nelimitat in SIUI?
La mai bine de un deceniu de la inceperea proiectului de informatizare a sistemului medical romanesc, cercul se inchide in acest an. Practic, toate informatiile medicale ale poporului roman vor fi depozitate electronic. Informatiile din reteta electronica si dosarul medical electronic se varsa deja in SIUI, sistemul informatic al Casei Nationale de Asigurari de Sanatate (CNAS).
O uriasa cantitate de date administrata de oameni cu diferite nivele de acces si pazita de SRI si STS. Peste toti: super-userul sistemului. HotNews a discutat cu omul care detine cheile acestui tezaur informatic.
Pe langa informatiile individuale ale fiecarui pacient existente in SIUI, centralizarea datelor din sistem va oferi informatii despre tiparele de consum ale medicamentelor, obiceiurile comportamentale ale romanilor cand merg la medic sau identificarea mai rapida a fraudelor cu retete false sau alte escrocherii.
Exista insa un om care are cheia SIUI-ului, care are acces nelimitat la toate aceste informatii medicale? Pentru inceput raspunde Vasile Ciurchea, presedintele CNAS.
Vasile Ciurchea: Casa Nationala de Asigurari de Sanatate are cheia sistemului. Exista o singura baza de date care este a Casei Nationale. Medicii fac raportarea lunar in primele cinci zile ale lunii. Ei au o lista de asigurati si atunci cand fac raportari de servicii medicale, SIUI le valideaza sau nu serviciul.
V.M.: Cine supravegheaza si monitorizeaza datele din acest sistem imens?
Vasile Ciurchea: Sistemul, serverele si ori de cate ori cineva din sistem umbla in el si cauta date, se vede si stim cine este.
V.M.: Dar cine anume concret are cel mai mare nivel de acces in SIUI?
Vasile Ciurchea: Exista un director al Directiei Sisteme Informatice din Casa Nationala de Sanatate care are acces si doar el da accesul celor de la control sau de la audit care au nevoie de date din SIUI.
V.M.: Cum il cheama?
Vasile Ciurchea: Mihai Bejat.
V.M.: El devine asadar unul din cei mai puternici oameni din sistemul medical romanesc.
Vasile Ciurchea: Este un om extrem de serios si dedicat meseriei. Viseaza doar IT, nu stie sa interpreteze informatie medicala.
V.M.: Toate aceste date existente in sistem vor fi transparente? Vor putea fi cerute pe baza legii 544? De pilda voi putea solicita numarul retetelor prescrise in judetul Dolj pentru cutare medicament compensat?
Vasile Ciurchea: …… Cate retete s-au scris in judet se pot cere, dar nu stiu daca si pentru fiecare medicament in parte. Nu cred. Este o informatie pe care daca am da-o vom ajuta concurenta acelui medicament. S-au scris o mie de retete, dar ei stiu sigur ca au vandut 200, deci e clar ca 800 a vandut concurenta.
V.M.: Unde vor fi stocate datele din dosarele electronice de sanatate? Pe ce server?
Vasile Ciurchea: Pe serverul Casei.
V.M.: Securitatea acestui server e asigurata de cine?
Vasile Ciurchea: De organele abilitate.
V.M.: Mai concret?
Vasile Ciurchea: STS. SRI. Oricine incearca sa patrunda in sistem se vede si stim sigur cine este. Reteaua de transmitere a datelor e securizata. Ca sa te loghezi la dosarul unui pacient trebuie sa ai datele. Daca nu am datele dumneavoastra, nu ma pot loga la dosarul dumneavoastra.
V.M.: STS si SRI vor putea avea acces in sistem oricand fara nicio aprobare prealabila a Casei?
Vasile Ciurchea: SRI si STS nu cred ca au nevoie de o aprobare prealabila a Casei. Dar un angajat al SRI-ului sau al STS-ului nu poate intra in dosarul dumneavoastra. Ei au grija ca aceste date sa nu poata fi accesate de oricine, astfel ca un utilizator mai priceput de calculator sa nu poata ajunge in el. Ei sunt paznicii, pastratorii datelor din sistem.
V.M.: Iar domnul Mihai Bejat este cel care are acces la tot?
Vasile Ciurchea: Da, el are acces. Dar are nevoie de niste date ca sa se duca tintit in dosarul dumneavoastra. Mai mult, nu este medic. Pentru el datele scrise in dosar nu inseamna nimic.
V.M.: Nu vi se pare ciudat ca un sistem construit sa starpeasca frauda din sistemul medical a fost in buna parte dezvoltat de o companie al carei director este anchetat pentru frauda?
Vasile Ciurchea: Mi-e greu sa spun daca e ciudat sau nu. Ele sunt companiile care au castigat licitatiile si, odata castigata licitatia trebuia sa mergi mai departe. Nu as face un comentariu pentru ca nu ma pricep la acest aspect. Dar cand cineva castiga licitatia si nu semnezi contractul cu el, e deja o problema penala a ta.
Compania HP, cu subcontractant Siveco, s-a ocupat de SIUI si contractul este in derulare in faza de operare pana in 2021. Prescriptia electronica a fost integrata tot de HP, cu dezvoltator de soft tot Siveco. Pentru dosarul electronic de sanatate integratorul a fost UTI. Super-userul sistemului, Mihai Bejat, raspunde intrebarilor legate de securitatea SIUI.
V.M.: Unde sunt stocate fizic toate aceste date?
Mihai Bejat: Datele stau pe o ferma de servere, intr-o singura locatie STS. Exista un data-center nou construit de STS si pus la dispozitia mai multor institutii publice. Locul e in Bucuresti, la Ciurel, langa Semanatoarea. Singurul transportator de date pentru noi tot STS-ul este si totul merge pe reteaua privata a STS-ului. Dumneavoastra veniti via Internet si cand mergeti din http in https, asta inseamna secure, va routeaza catre reteaua STS. Acolo nivelul de securitate este asigurat de STS si e cam greu sa treaca cineva de el.
V.M.: Cine sunt oamenii care au cel mai mare nivel de acces in SIUI? Am inteles ca unul dintre ei sunteti dumneavoastra.
Mihai Bejat: Depinde de nivel. La nivel de end-user, SIUI, reteta electronica, dosar electronic si cardul de sanatate, sunt doua categorii de utilizatori finali. Categoria interna, adica functionarii anagajati ai sistemului in casele de sanatate. Si furnizorii de servicii medicale si farmaceutice care au contract cu acest sistem. Dar daca discutam de nivelul de acces direct asupra datelor, atunci da, singurul loc de unde se poate accesa este biroul unde imi desfasor eu activitatea. Acesta este declarat ca incapere de securitate cu nivelele de securitate impuse de structurile de securitate ale statului. Din biroul presedintelui CNAS nu poti avea acest acces direct.
V.M.: Dar din birourile STS-ului poate fi accesat?
Mihai Bejat: Nu, nu exista asa ceva. Prin contract si verificabil, STS-ul are dreptul de a asigura doar curentul, climatizarea si monitorizarea video de acces in centrul de date. In rest nu au acces la nimic.
V.M.: Si SRI-ul?
Mihai Bejat: SRI-ul, prin proiectul CyberInt, ne asigura componenta aceasta ca daca exista o vulnerabilitate din exterior pe alte mijloace decat platforma informatica, via internet, de exemplu pe pagina web a Casei, sau pe serverul de mail al Casei, atunci ne avertizeaza. Ei nu vad datele.
V.M.: Presedintele CNAS, Vasile Ciurchea, tocmai a spus ca SRI-ul si STS-ul sunt paznicii sistemului…
Mihai Bejat: Da, da. SRI-ul se uita via internet, iar STS-ul ne asigura transportul de date pe retele criptate. De la noi de aici, din sediul central al CNAS, pana la Ciurel exista o “sarma”, o fibra optica pentru a asigura transportul de date pentru end-user intre CNAS si servere. Iar de la Ciurel catre casele judetene de sanatate informatiile ajung prin retelele private ale STS-ului pana la oficiile judetene ale STS-ului. De la acele oficii judetene STS pana la Casa Judeteana exista o legatura stransa, privata, pe care nu o poate vedea nimeni.
V.M.: Si pe dumneavoastra cine va verifica?
Mihai Bejat: Oricand suntem supusi controlului organelor statului, Curtea de Conturi, Autoritatea privind datele cu caracter personal, SRI.
V.M.: Deci dumneavoastra sunteti stapanul inelelor.
Mihai Bejat: Nu-mi place sa raspund la astfel de glume. Dar da, de acord. Prin creditul care mi-a fost acordat de catre structurile de securitate ale statului am dreptul sa gestionez aceste platforme informatice la nivel hardware si componenta date tocmai pentru a asigura garantia ca cel care presteaza serviciul versus cel care primeste serviciul sunt identificati prin date pasaportale si decontul se face conform regulilor stabilite prin lege.
V.M.: In afara de dumneavoastra cine mai are acces ridicat la SIUI?
Mihai Bejat: Pe nivelul de interfata exista trei niveluri de acces. End-userul pe zona de business, adica zona de contractare spitale, zona de contractare medici de familie sunt functionarii din CNAS sau casele judetene. In spatele acestora sunt cei din serviciul IT din CNAS sau casele judetene care dau roluri de administratori primilor. Apoi serviciul IT al Casei Nationale care poate da roluri tuturor celor mai devreme amintiti. Si un super-user care poate ingradi drepturile tuturor celor pomeniti.
V.M.: Ati avut nevoie de certificat ORNISS?
Mihai Bejat: Da, fara discutie. Mi-a fost acordata certificare ORNISS.
V.M.: Ce facultate ati absolvit?
Mihai Bejat: Nu e niciun secret: matematica. Dar nu inteleg legatura cu SIUI-ul.
V.M.: Pur si simplu vrem sa stim cine sunteti.
Mihai Bejat: Sunt un tip suspicios si probabil ca asta e unul din motivele pentru care, dupa verificarile de rigoare, mi se acorda credit. Cinstit: nu am incredere in nimeni, nu stiu ce se intampla in stanga, in dreapta. Si vizavi de platforma informatica nu sunt relevante lucrurile acestea.
V.M.: Cand ati inceput sa lucrati la aceasta platforma?
Mihai Bejat: Sunt vechi in sistem. Singurul meu obiectiv a fost sa dezvoltam regulile matematice pe reguli de business. Eu vin de la Casa Judeteana de Sanatate din Prahova. Pasionat de mult timp de IT m-am angajat acolo, am colaborat permanent cu directia IT a Casei Nationale pana ce s-a luat decizia sa ma mut de la Prahova aici. Am facut parte de-a lungul timpului din echipele de constructie a sistemului. In 2001-2003 nu eram inca implicat in proiectul SIUI, dar din 2006 pana astazi, cu o sincopa cand am fost la Casa de Asigurari de Sanatate a armatei (OPSNAJ), tot timpul am fost prezent aici pe diverse functii. Nu intotdeauna am detinut o functie de conducere, nici nu tin neaparat la o functie de conducere. Ma consider o dactilografa avansata in domeniul IT.
Mihai Bejat demonstreaza cum se activeaza un card electronic de sanatate: „30 de secunde, atat dureaza” (datele introduse sunt pentru un card-test, fara date reale).