Що відбувається?

На початку червня 2022 року e-hellz розіслав у медичні центри листа про майбутнє відключення від e-hellz цілого ряду медичних інформаційних систем (класичний приклад blackmail з боку держави). У перелік жертв потрапив і DocDream, а в цілому там - 21 МІС (це більше половини всіх МІСів, що працюють з e-hellz...  ще 16 МІСів поки що залишаються підключеними). Списки жертв та “рекомендованих” МІСів наведено у файлах.

Формальним приводом стало те, що ці МІСи не оформили сертифікат КСЗІ. Реальний привід - це перерозподіл та консолідація ринку МІСів, що можна вдало поєднати на отриманні відкатів. Час для цього обрано не дуже вдало, але в цілому схема зрозуміла.

Що таке КСЗІ?

КСЗІ розшифровується як “комплексна система захисту інформації”. Закони та нормативні акти України вимагають захист інформації, що належить державі, а також інформації з обмеженим доступом, вимоги щодо захисту якої встановлені законом, у тому числі персональні дані.

Тобто, база даних пацієнтів, яку збирає та зберігає у себе державне підприємство “Електронне здоров’я” (воно ж “e-hellz”) дійсно має бути захищена (хоча б папірцем). Але до чого тут бази даних комерційних структур? Вони не належать державі, не містять державної таємниці тощо. Можна формально причепитися до захисту персональних даних, та це вже точно не зона відповідальності e-hellz…

Але e-hellz раптом почав вважати, що всі, хто надсилає дані пацієнтів, також мають отримати папірець про КСЗІ. Логіки тут мало, бо якщо продовжувати цей ланцюжок далі, то після медичних центрів сертифікати КСЗІ мають отримати всі виробники програмного забезпечення, які мають хоч якесь відношення до даних (наприклад, не можна на прохання пацієнта відправляти результати досліджень на email, бо Gmail не має КСЗІ… не можна друкувати результати на принтері, тому що драйвер принтера не має сертифіката КСЗІ… до речі, зберігати дані пацієнтів в будь-якій базі даних також не можна, бо у розробників баз даних теж відсутній КСЗІ). І взагалі захист персональних даних стосується не лише електронних носіїв інформації, але й паперових. Тому всі паперові медичні архіви у всіх медичних закладах, де юре, зберігаються незаконно (бо ці заклади не мають КСЗІ). Десь у цьому маразмі потрібно зупинитися, і наразі e-hellz вирішив перекласти частину відповідальності з себе на “постачальників медичних даних”.

Не будемо сперечатися з e-hellz про доцільнісь КСЗІ. Давайте просто подивимося, хто саме має отримувати сертифікат КСЗІ. За визначенням, КСЗІ - це організаційні (обов’язкові) та технічні (при необхідності) заходи для захисту інформації від розголошення, витоку та несанкціонованого доступу. До таких заходів відноситься:

• Фізична охорона об’єктів
• Служба захисту інформації
• Комплекс заходів для захисту від несанкціонованого доступу
• Інженерно-технічні засоби
• Регламентація дій користувачів
• Комплекс засобів криптографічного захисту
• Комплекс засобів блокування технічних каналів

Можливо, вже перший пункт трохи збив вас з пантелику. “Фізична охорона”? Що за… Такий дисонанс в думках виникає через популярний фейк, що розповсюджується деякими МІСами. Фейк звучить так: “Для роботи з e-hellz МІС має отримати сертифікат КСЗІ”.

Правда полягає в тому, что КСЗІ має будувати та організація, ЯКА ВОЛОДІЄ ДАНИМИ ПАЦІЄНТІВ, зберігає їх і розпоряджається ними. Захищати інформацію має той, хто її зберігає. Розробники МІС не володіють даними пацієнтів! Ці дані знаходяться у розпорядженні медичних центрів, які і повинні побудувати навколо даних “комплексну систему захисту інформації”. Тепер стає зрозуміло, до чого тут “фізична охорона об’єктів”, “інженерно-технічні засоби” та “регламент дій користувачів”: приміщення з сервером в медичному центрі має закриватися і не бути прохідним, а користувачів потрібно навчити елементарним правилам безпеки. Яке відношення до цього має розробник МІС? Ніякого!

МІСи, що знаходяться “у хмарі”, тримають на своїх серверах бази даних пацієнтів. В клініках, що користуються такими МІСами, серверів з даними пацієнтів немає, тому будувати КСЗІ в такому разі вимушені самі МІСи. Вони зберігають інформацію, їм її і захищати. Загальне правило таке: хто володіє/розпоряджається сервером (і супутнім “залізом”), той і отримує сертифікат КСЗІ. Звідси й походження фейку: ті МІСи, які надають “хмарний сервіс”, витратили шалені кошти на отримання сертифікату КСЗІ, і почали розкручувати це, як “конкурентну перевагу”, якої насправді не існує. 

Частина розробників МІС, до складу яких входить і DocDream, встановлюють свої програми на серверах, що належать медичним центрам (це вважається більш надійним, безпечним та швидким варіантом). Тому ніякої необхідності в отриманні сертифікату КСЗІ у DocDream не було, бо DocDream не володіє даними пацієнтів, які потрібно було б захищати. Як і навіщо будувати стратегію захисту того, чого у тебе немає?

Частина медичних центрів, що придбали “серверну” МІС або розробляли власні програми для взаємодії з e-hellz (а серед таких є навіть державні заклади) самостійно проходили процедуру побудови КСЗІ та отримували відповідний сертифікат. Причина та сама: дані пацієнтів знаходяться на сервері клініки, і клініці потрібно його захищати за допомогою КСЗІ.

Так було до червня 2022 року, доки e-hellz не вирішив, що це не правильно.

План дій

Самостійна побудова КСЗІ та отримання відповідного сертифікату - процедура тривала (6-8 місяців) та недешева (500-600 тис.грн.). Тому DocDream пропонує наступний план дій.

1. Ми орендуємо сервер(и) в українському дата-центрі, який вже має сертифікат КСЗІ, що дозволяє працювати на таких серверах з даними пацієнтів та взаємодіяти з e-hellz.
2. Ми запускаємо процедуру по побудові КСЗІ та отриманню сертифіката для баз даних МІС DocDream, що можуть працювати на цих серверах. 
3. Ми переносимо вашу базу даних МІС DocDream з сервера клініки у цей дата-центр та налаштовуємо роботу для ваших користувачів.
4. Оскільки формальним володарем цих серверів буде DocDream, то з’являється предмет захисту. І ми зможемо отримати сертифікат по захисту цієї інформації. Саме таким чином отримали сертифікат КСЗІ всі інші МІСи.

Якщо ви хочете і надалі зберігати базу даних у медичному центрі, то вам доведеться будувати КСЗІ самостійно. При цьому, не має значення, як називається МІС, якою ви користуєтеся. Має значення лише те, де і хто володіє інформацією. Хто володіє - той і будує КСЗІ. 

Ми вже почали роботи по побудові КСЗІ для майбутніх серверів DocDream у дата-центрі. В якості підрядника, що буде допомагати нам в отриманні сертифікату, ми обрали ТОВ “Захист.юей” (договір підписано, авансовий платіж зроблено… якщо вони дозволять, можемо навіть надати тут посилання на договір). Ця компанія має досвід у проведенні таких робіт для деякий МІСів протягом останніх років, тому ми у надійних руках.

Як завжди у таких проектах, дві найсуттєвіші величини, це:

1. Час
2. Гроші

Час

У своєму зверненні e-hellz пише про намір відключити всі МІСи, що не можуть забезпечити КСЗІ, після 31.07.2022. Керівництву e-hellz відомо, що побудувати КСЗІ та отримати відповідний сертифікат за два місяці (червень-липень) - це абсолютно нереальне завдання. Середній термін такого проекту складає 6-8 місяців (власне, e-hellz і говорить про це відкритим текстом). Тобто, наміру вирішувати проблему конструктивним шляхом e-hellz не демонструє.

У нашому договорі з ТОВ “Захист.юей” передбачено три етапи реалізації проекту: 40 днів - 30 днів - 30 днів.

Якщо будемо рухатися без затримок, а всі державні комісії будуть регулярно та вчасно проводити засідання, то ми побудуємо КСЗІ та отримаємо сертифікат через 3-3,5 місяці (середина або кінець вересня). Тобто, є ризик, що весь серпень і, частково, вересень DocDream буде відключений від e-hellz. Ми сподіваємося, що якщо ми продемонструємо в e-hellz серйозність своїх намірів побудувати КСЗІ та покажемо прогрес у просуванні проекту, то терміни відключення DocDream відкладуть до моменту, доки не буде отримано сертифікат КСЗІ. Зрештою, два місяці, що залишаються до 31 липня, нічим не відрізняються від двох місяців після 31 липня, і цілком можна почекати завершення проекту (якщо тільки це не відверта корупція, де відключення є питанням принциповим).

Щойно у нас з’являться перші документи по проекту, ми будемо писати у e-hellz інформаційні листи з інформацією про стан проекту та з проханням перенести терміни відключення до закінчення проекту. Для клієнтів DocDream також будуть підготовлені шаблони листів з аналогічним проханням, але вже з боку медичних центрів. Якщо такі листи почнуть надходити у e-hellz не лише від DocDream, але і від керівників медичних закладів, це приверне увагу e-hellz до ситуації. Передчасне відключення DocDream неминуче призведе до недоречного у військовий час порушення бізнес-процесів обслуговування пацієнтів та фінансових втрат медичних закладів. І ми сподіваємося, що e-hellz прислухається до цього та перенесе дедлайн.

Якщо e-hellz “піде на принцип” і відключить DocDream від e-hellz після 31.07.2022, то далі є три сценарії розвитку подій:

1. Повністю відмовитися від роботи з DocDream і витратити декілька сотень тисяч на придбання іншої МІС, яку ще не відключили (і ще декілька місяців на перенавчання персоналу). Прямий аналог "Назло мамі відморожу вуха".
2. Відмовитися від роботи з e-hellz і продовжувати використовувати DocDream без можливості виписування лікарняних листів та рецептів. Теж не підходить.
3. Тимчасово (на 1,5-2 місяці) купити 2-3 робочих місця будь-якої найдешевшої МІС, що продовжує працювати з e-hellz, і дублювати в ній інформацію, необхідну для e-hellz, а “справжню медицину” продовжувати у DocDream. Після того, як DocDream побудує свій КСЗІ і буде підключений до e-hellz знову, можна буде продовжити взаємодію з e-hellz через DocDream.

Третій варіант видається найбільш поміркованим. Тобто, відключення DocDream від e-hellz не призводить до катастрофи, програма не стає “нелегальною”, ви можете користуватися нею, як і раніше, просто там тимчасово буде на одну функцію менше. Є легкий шлях обійти ці обмеження за допомогою використання цієї функції в іншій МІС (це ж саме відбувалося і раніше, коли у DocDream не було повного функціоналу роботи з e-hellz).

Гроші

Вартість проекту побудови КСЗІ вже сягнула позначки у 600 тис.грн. Можливо, це ще не остаточна сума, але більшість витрат вже врахована.

Ця сума буде розділена між медичними центрами, що користуються DocDream, пропорційно кількості придбаних ліцензій. Через деякий час ви отримаєте рахунок зі своєю часткою “податку на e-hellz”.

Ці кошти ми збираємо виключно з метою побудови КСЗІ для хмарного сервісу DocDream. Прибуток ТОВ “Докдрім” у цьому проекті = 0%. Якщо ми не зможемо зібрати всю суму вчасно від наших клієнтів, то проект затягнеться або взагалі зупиниться. Ми маємо тверді наміри довести це діло до кінця, але якщо виявиться, що клієнтам DocDream це не потрібно, то КСЗІ не буде побудовано. 

Альтернативою для медичного центру є побудова власної КСЗІ або придбання нової МІС (обидва варіанти виглядають набагато дорожчими, тривалішими та складнішими).

Що робити?

1. Продовжувати боротьбу за свій бізнес. Активно захищати свої інвестиції (а придбання DocDream - це саме інвестиція). Протистояти спробам надмірного контролю та тиску. Ви тепер знаєте, що таке КСЗІ і що далі робити. Ви бачите обличчя e-hellz і їх "внесок у перемогу". Не давайте себе обдурити!
2. Допомогти DocDream переконати керівництво e-hellz відтермінувати строк відключення DocDream до моменту побудови КСЗІ.
3. Вчасно фінансувати свою частку у цьому проекті.
4. Задавати запитання, писати пропозиції, проявляти активність. Не припиняйте лупати сю скалу!