חדשות

מחקר ישראלי: רופאים משתפים סיסמאות ושמות משתמש במערכות מידע רפואיות

מחקר משותף ישראלי-אמריקאי ראשון מסוגו מצא גישה חופשית ופרוצה בקרב רופאים למערכות רשומות רפואיות אלקטרוניות, בשל שימוש בשמות משתמש ובסיסמאות של אחרים

התחברות למערכת, שם משתמש וסיסמא (צילום: אילוסטרציה)

רוב הרופאים בישראל אינם שומרים על תקנות לשמירה על מידע חסוי לגבי מטופלים, משתמשים בסיסמאות של עמיתים ומאפשרים להם להשתמש ב"יוזרים" שלהם; כך עולה מתוצאות סקר שבדק את התנהלות הרופאים בנוגע להתחברות למערכת רשומות רפואיות אלקטרוניות (EMR).

המחקר בנושא, שכותרתו "שכיחות שיתוף הרשאות גישה לרשומות רפואיות אלקטרוניות", נעשה על-ידי חוקרים מישראל וארה"ב והתפרסם ב-Healthcare Informatics Research. זה המחקר הראשון שבדק את סוגית הגישה ל-EMR בקרב נותני שירות רפואי.

מערכות EMR מאחסנות מידע נרחב ורגיש מאוד על מטופלים, כולל מידע על מצב אישי, דמוגרפי וכלכלי. ארגוני בריאות משתמשים במערכות EMR, בין השאר, לחיוב, לקביעת תורים ולניהול מכשירים חיוניים תומכי חיים.

החוקרים אספו תשובות לסקר מ-299 בעלי מקצוע בתחום הרפואה, כולל רופאים מתמחים, סטודנטים לרפואה, סטז'רים ואחיות. צוות המחקר כלל חוקרים מאוניברסיטת בן-גוריון בנגב, מבית הספר לרפואה של אוניברסיטת הרווארד, מאוניברסיטת דיוק, מהמרכז הרפואי של האוניברסיטה העברית ו"הדסה" ומהמרכז הבינתחומי בהרצליה.

ד"ר פלורינה יוזפובסקי: "כוחה של מערכת אבטחת מידע נמדד בכוחה של החוליה החלשה ביותר בה. אפילו פירצה יחידה יכולה להפוך מערכת מידע ללא-יעילה"

כמעט שלושה רבעים (73%) מ-299 המשתתפים בסקר אמרו שהשתמשו בסיסמה של חבר אחר מהצוות הרפואי כדי לגשת למערכת EMR בעבודה. יותר מ-57% מהמשתתפים (177 מתוך 299) העריכו שהשתמשו בסיסמה של מישהו אחר 4.75 פעמים בממוצע.

בקבוצת הרופאים המתמחים, כל הנשאלים (100%) אמרו שקיבלו פעם אחת את הסיסמה של חבר צוות אחר, בהסכמתו. בקבוצת הסטודנטים והסטז'רים, 77% ו-83%, בהתאמה, השתמשו בהרשאות של מישהו אחר, משום שאמרו שהם "לא קיבלו שם משתמש".

באופן דומה, 56% מהסטודנטים וכמעט 70% מהסטז'רים השיבו כי לשם המשתמש שלהם אין הרשאות מתאימות כדי "למלא את חובותיי", ולכן הם נאלצו לבקש הרשאות גישה של מישהו אחר. רק מחצית מהאחיות שהשתתפו בסקר (57.5%) דיווחו שהשתמשו בסיסמה של מישהו אחר.

"כוחה של מערכת אבטחת מידע נמדד בכוחה של החוליה החלשה ביותר בה", אמרה ד"ר פלורינה יוזפובסקי, חוקרת בתחום הפסיכולוגיה ההתפתחותית באוניברסיטת בן-גוריון בנגב וחברה במרכז זלוטובסקי לחקר העצב מצוות המחקר. "אפילו פירצה יחידה יכולה להפוך מערכת מידע ללא-יעילה".

פריצה למידע פרטי של חולים – המוגן בארה"ב באמצעות החוק לניידות ביטוחי בריאות וחובת דין וחשבון על נתוניהם (HIPAA) ובאמצעות הקריטריונים של ארגון התקינה הבינלאומי (ISO) – יכולה להוביל לקנסות כבדים, אם תדווח. תקיפה של מערכת EMR יכולה להפריע מאוד להליכים רפואיים ולגרום לפגיעות ישירות בחולים, לדוגמה בשל שינוי במרשם או במכשיר רפואי.

בעקבות זאת, חוק HIPAA דורש מארגוני הבריאות בארה"ב ליצור ולאכוף מדיניות אבטחה מקיפה, שתכלול הגדרות ברורות של תפקידו של כל עובד ושל הרשאות הגישה שלו. כמו כן, על הארגונים לספק דרך לאמת את זהותו של כל עובד, לשלוט בגישה שלו למידע הרלוונטי בלבד ולערוך ביקורת על עריכתו.

"על הצוות הרפואי להעניק טיפול יעיל ובזמן, תוך שמירה על חיסיון המטופלים," אמר החוקר הראשי בצוות, ד"ר אייל חסידים מהמרכז הרפואי של האוניברסיטה העברית ו"הדסה". "לפעמים זה יכול לגרום להתנגשות בין חובתם לבין מחויבותם לעמוד בתקנות האבטחה".

החוקרים הגישו כמה המלצות כמסקנות מעבודתם: ראשית, השגת הרשאות גישה צריכה להיות פחות קשה ולגזול פחות זמן. לדוגמה, בישראל הצוות הזוטר מחליף סבבים רפואיים על בסיס שבועי, ולכן לעיתים קרובות סטודנטים לרפואה, מתמחים ועובדים חדשים אחרים, נאלצים להשתמש בהרשאות של עובדים אחרים כדי למלא את חובותיהם בזמן שהם עוברים את תהליך ההרשמה הממושך והקפדני.

החוקרים ממליצים גם שבתי החולים שאין בהם מספיק עובדים, במיוחד בשעות תורנות, יעניקו גישה מורחבת למערכת EMR לעובדים פרא-רפואיים, לצוות זוטר, למתמחים ולסטודנטים. לדברי החוקרים, הבנה של דרישות הצוות הרפואי והרחבת הרשאות הגישה, יכולות להוביל למעשה לפחות שיתוף של סיסמאות ולהגנה טובה יותר על המידע הרפואי.

החוקרים ממליצים גם להוסיף אפשרות לכל תפקיד ב-EMR הרשאות מקסימליות להתחברות בודדת. כשהאפשרות הזאת תופעל, הרופא הבכיר ופקיד האבטחה של מידע רפואי מוגן (PHI), יקבלו התרעה על כך. הדבר יאפשר לצוות הזוטר לקבל החלטות דחופות ומצילות חיים תחת פיקוח רשמי רטרוספקטיבי, מבלי שיצטרכו להתחבר בחשאי ל-EMR.

החוקרים האחרים שהשתתפו במחקר היו: ד"ר צפניה קורח מבית הספר לרפואה של אוניברסיטת הרווארד; ד"ר רוני שרברק-חסידים וד"ר אלנה טומיידו מהמרכז הרפואי של האוניברסיטה העברית ו"הדסה"; ד"ר שחר אייל, מהמרכז הבינתחומי הרצליה וד"ר דן אריאלי מאוניברסיטת דיוק.

נושאים קשורים:  חדשות,  מערכת מידע,  EMR,  רשומות אלקטרוניות,  מחקר,  סייבר,  בטיחות מידע
תגובות
אנונימי/ת
27.09.2017, 22:09

בבית חולים גדול בצפון הארץ נהוג היה בעבר שסטודנטים בשנה שישית מטעם הפקולטה לרפואה הסמוכה לומדים במתכונת "מיני סטאז'" כולל ביצוע קבלות רפואיות. גם סודנטים בשנה 5-6 המועסקים כ"עוזרי רופא" מבצעים קבלות רפואיות. לצורך העניין ניתנו על ידי הטיוטור/הרופא התורן (מחוסר ברירה ומתוך כוונות טובות מאוד ) באותו בית חולים סיסמאות וקודי גישה לסטודנטים למערכת הנקראת "פרומתיאוס", לא צריך הרבה מחשבה או דמיון כדי להבין את המשמעויות הטיפוליות/המשפטיות גם כאשר 99% מהדברים מבוצעים מכוונה טובה ובתום לב. אבל ודאי הנושא טופל ועכשיו הכל בסדר...