Jak połączyć białko z krzemem? Podejście Comarch w tworzeniu (R)ewolucyjnych systemów dla sektora e-zdrowia
Sektor e-zdrowia nieustannie mierzy się z wyzwaniem pogodzenia innowacji technologicznych z kwestią bezpieczeństwa danych. Podczas ostatniej edycji Forum Innowacji Medycznych (FIM) mieliśmy okazję poznać najnowsze rozwiązania Comarch, które wspierają zarówno pacjentów, jak i personel medyczny, kładąc szczególny nacisk na cyberbezpieczeństwo. Aby zgłębić temat cyberbezpieczeństwa w e-zdrowiu, zaprosiliśmy do rozmowy Patryka Kozłowskiego, Starszego Specjalistę ds. Bezpieczeństwa IT w Comarch, który był także prelegentem siódmej edycji Forum.
W rozmowie z Patrykiem szukamy odpowiedzi na pytanie, jakie jest podejście Comarch do tworzenia systemów dla sektora e-zdrowia. Staramy się także odkryć, jak różne rozwiązania mogą współdziałać w kontekście bezpieczeństwa danych oraz jakie wyzwania i zmiany prawne stoją przed sektorem e-zdrowia obecnie oraz w nadchodzących latach. Podejmujemy również temat regionalnych platform wymiany danych medycznych, roli chmury w przechowywaniu informacji, a także wpływu sztucznej inteligencji na przyszłość telemedycyny.
Zachęcamy do zapoznania się z całym wywiadem, aby lepiej zrozumieć, w jaki sposób nowe technologie mogą odmienić opiekę zdrowotną, a jednocześnie zapewnić bezpieczeństwo pacjentów i ich danych.
Pod koniec września 2024 odbyła się kolejna edycja Forum Innowacji Medycznych. Była to doskonała okazja, by podkreślić (R)ewolucyjne podejście Comarch Healthcare do tworzenia systemów e-zdrowia. Które z innowacji uważasz za warte uwagi, szczególnie w kontekście cyberbezpieczeństwa?
Długo można by wymieniać innowacje, które pojawiły się na FIM-ie, gdyż w każdej z nich znajdziemy pierwiastek cyberbezpieczeństwa. Zacznijmy może od Regionalnych Platform wymiany danych medycznych, pod których znakiem minął ubiegły rok. Zawierają one szereg ciekawych zabezpieczeń, o których nie mogę powiedzieć, lecz z których jestem zadowolony. Druga sprawa – to ich przyjazna konstrukcja dla Pacjentów – rozwiązania te pozwalają Pacjentom na skorzystanie z logowania przy użyciu Krajowego Węzła Identyfikacji Elektronicznej – czyli bezpieczne logowanie poprzez np. mObywatela. Wiemy, że jedynie przez integrację naszych systemów z dostawcami usług bezpiecznych minimalizujemy ilość haseł wykorzystywanych przez użytkowników, więc minimalizujemy też prawdopodobieństwo zapomnienia takiego hasła.
Złożoność haseł i wymagania co do ich bezpieczeństwa to tylko jeden z elementów, na który zwracamy uwagę. Przez ponad dwa lata zachęcaliśmy naszych Klientów do włączenia dwuskładnikowego uwierzytelniania i rok 2024 (podobnie jak u kilku innych dostawców rozwiązań teleinformatycznych) był momentem ogłoszenia konieczności skorzystania z tych rozwiązań.
FIM to również czas prezentacji naszych rozwiązań w zakresie badań klinicznych, gdzie jeszcze bardziej musieliśmy zapewnić poufność i rozliczalność przetwarzanych danych. Była to również okazja, by omówić nasze rozwiązania telemedyczne, pokazać jak działają, ale też omówić, czemu są bezpieczne, szczególnie gdy wykorzystują rozwiązania chmurowe.
Od lat trwa dyskusja, czy chmura jest bezpieczna. Czy tak rzeczywiście jest i co decyduje o takim kierunku wykorzystania chmury w środowisku medycznym?
Poziom bezpieczeństwa rozwiązań chmurowych z roku na rok wzrasta i obecnie każdy z nas korzysta z chmury. Coraz chętniej wykorzystujemy chmurę do zastosowań związanych z medycyną i telemedycyną przede wszystkim przez jej wysoką dostępność. Wiele placówek posiadało chmurę jako bezpieczne miejsce przechowywania kopii zapasowych, które w przypadku awarii, czy cyberataku pozwalałoby odtworzyć stan systemu z pewną niedokładnością. Jako Comarch wielokrotnie również wspieraliśmy naszych Klientów w procesie odtworzenia się w infrastrukturze chmurowej po tego typu incydentach. Ci, którzy raz spróbowali chmury – pozostali w niej, widząc potencjał w optymalizacji kosztowej, przeniesieniu wymagań związanych z dostępnością, skalowalnością i bezpieczeństwem. Szczególnym obszarem zabezpieczeń chmurowych, na który warto zwrócić uwagę to aspekty bezpieczeństwa sieciowego.
Od wybuchu konfliktu za naszą wschodnią granicą nasiliły się ataki przeciążeniowe (DDoS) dla wielu usług. Rozwiązania chmurowe, integrujące wiele, drogich narzędzi pozwalają na skorzystanie z wydajnych rozwiązań, by nasz szpital, czy nasza placówka medyczna miała ciągły i stabilny dostęp do danych, niezależnie od aktywności atakujących. Co więcej, algorytmy Sztucznej Inteligencji, które coraz częściej wykorzystuje się w tej klasy rozwiązaniach, pozwalają przeciwdziałać takim próbom.
Dotknęliśmy zagadnienia Sztucznej Inteligencji. Czy cyfrowy lekarz jest przyszłością i kierunkiem, w którym zmierza nowoczesna telemedycyna?
Niektórzy badacze obszaru telemedycyny i technologii zdrowia wskazują przyszłościowo Sztuczną Inteligencję jako (póki co) wizję nowoczesnej medycyny. Sztuczna Inteligencja już teraz posiada ogromny zasób wiedzy, na podstawie której może (dla podanych przez nas objawów) wnioskować o schorzeniu, tak trochę podobnie, jak lekarz. Algorytmy Sztucznej Inteligencji już teraz są w stanie zdać egzaminy lekarskie, czy wyszukiwać i opisywać zmiany na obrazach medycznych. Musimy jednak zapanować nad procesem ich douczania i faktem, czy modele generatywne nie będą generowały informacji nieprawdziwych. Jak na razie modele nienadzorowane, szczególnie pod kątem dezinformacji stanowią spore wyzwanie w obszarze bezpieczeństwa, gdyż nie zawsze mamy pewność co do autentyczności danego stwierdzenia. Może modele „wytłumaczalne” – tzw. ExAI pozwolą na lepsze zrozumienie, dlaczego wykorzystany algorytm poszedł taką ścieżką, i połączą interfejs białkowy z interfejsem krzemowym (jak niektórzy mówią o styku decyzji ludzkich i tych wspomagaganych komputerowo).
W Comarch już od kilku lat wykorzystujemy modele sztucznej inteligencji do wspomagania oceny zmian kardiologicznych. Nasze rozwiązanie CMAP jest w stanie wskazać te przedziały czasowe, w których zidentyfikowano podejrzane rytmy pracy serca. Są one odpowiednio oznaczane i wskazywane lekarzom do dalszej analizy.
W tym roku nie sposób również zapomnieć o zmianach prawnych jakie nas czekają. Jak wpływają one na bezpieczeństwo?
Tak, mijające dziesięć miesięcy obfitowało w zmiany otoczenia prawnego, gdzie jako firma, ale też wytwórca certyfikowanych wyrobów medycznych musieliśmy się dostosować. Zmieniła się norma ISO 27001, która dodała kilka zabezpieczeń. Pojawiła się Dyrektywa NIS2, która ma za zadanie podnieść wspólny poziom cyberbezpieczeństwa w Unii Europejskiej przez większą kontrolę zabezpieczeń, wymianę informacji o podatnościach, ale i usystematyzowanie podejścia do bezpieczeństwa opierając je o analizy ryzyka. Prócz tego pojawił się AI Act, który ustanawia ramy dla rozwoju algorytmów sztucznej inteligencji i kierunków jej wykorzystania, co uważam za dobry dokument.
Przed nami, na horyzoncie pojawia się tez opracowanie ram bezpieczeństwa dla wspólnej europejskiej przestrzeni dla danych medycznych (EHDS), ale o tym opowiem może kolejnym razem.
----------------
Patryk Kozłowski - absolwent kierunku Informatyka w medycynie Wydziału Cybernetyki Wojskowej Akademii Technicznej. Pasjonat informatyki, mikro-robotyki i bezpieczeństwa informatycznego. Popularyzator wiedzy informatycznej. Audytor Systemu Zarządzania Bezpieczeństwem Informacji wg. PN-EN ISO/IEC 27001 oraz Inspektor Ochrony Danych Osobowych. Członek stowarzyszenia ISACA Warsaw Chapter.