V Univerzitetnem kliničnem centru (UKC) Ljubljana je mogoče praktično neovirano dostopati do informacijskega centra, v katerem se nahajajo zaupni podatki o pacientih in od katerega je odvisno nemoteno delovanje UKC Ljubljana. To je po naših informacijah ena od glavnih ugotovitev inšpekcijskega nadzora na UKC Ljubljana, ki so ga letos opravili inšpektorji vladnega urada za informacijsko varnost. Preverjali so, ali in kako so varovani prostori glavne stavbe kliničnega centra, v katerih so nameščeni ključni krmilni in nadzorni informacijski sistemi.
Ugotovitve inšpektorjev urada, ki ga je država ustanovila lani, so tako najvidnejši del ledene gore težav z informacijskimi sistemi, ki so se v UKC Ljubljana nabrali v zadnjih dveh desetletjih. V tem času so v UKC Ljubljana informacijske sisteme razvijali neučinkovito, od česar je imela očitno največ množica dobaviteljev programskih rešitev. V zadnjih 15 letih je UKC Ljubljana vodilo osem generalnih direktorjev: Darinka Miklavčič, Simon Vrhunec, Andrej Baričič, Brigita Čokl, Andraž Kopač, Aleš Šabeder, Teodor Žepič in Janez Poklukar. Od lani je na čelu bolnišnice Jože Golobič, ki so mu zdaj inšpektorji dali na voljo nekaj mesecev za odpravo nepravilnosti. Za komentar v petek ni bil dosegljiv.
Zaupni podatki za lesenimi vrati in šipo
Uradnih informacij o inšpekcijskem pregledu ni mogoče dobiti. Na uradu za informacijsko varnost, ki ga vodi Uroš Svete, so nam pojasnili, da še ni končan. Toda po naših informacijah so inšpektorji opozorili na tveganje nepooblaščenega vdora v informacijski center, ki bi moral biti najbolj varovan del stavbe, in pomanjkljive ukrepe pri zagotavljanju varnosti pred požari in poplavami.
V UKC Ljubljana se namreč informacijski center nahaja v kletnih prostorih, do katerih lahko obiskovalec pride skozi glavni vhod. Pred tem se mora zgolj vpisati v fizično knjigo. Nato ga pot vodi skozi lesena vrata, ki se zaklepajo z običajno ključavnico. Pred vstopom ni mehanizma dvojnega preverjanja verodostojnosti s kartičnim dostopom in šifro. Prav tako ne obstaja videonadzorni sistem, nihče pa vstopa fizično ne varuje. Poleg tega je na vratih steklo, skozi katerega je s hodnika vidna notranjost sobe.
Kot smo izvedeli, so na delno odstranjenem zaščitnem stropu v notranjosti vidne vodovodne in druge cevi, iz katerih je kapljala voda. To naj bi inšpektorji sklepali na podlagi krp in posod. Na stropu so nameščeni detektorji dima, v prostorih pa ročni gasilniki na ogljikov dioksid.
Na uradu za informacijsko varnost so potrdili, da so zavezancu, torej UKC Ljubljana, »ob ugotovljenih neskladjih oziroma nepravilnostih izrekli ukrepe za odpravo nepravilnosti in mu podali priporočila«.
Po naših informacijah morajo v UKC Ljubljana v naslednjih mesecih zagotoviti ustrezno fizično in tehnično varovanje informacijskega centra, pripraviti dodatne analize obvladovanja tveganj, načrte varnostnih ukrepov, načrte odzivanja na kibernetske incidente in druge dokumente, s katerimi bi zagotovili nemoteno delovanje bistvenih informacijskih sistemov in preprečili njihov morebitni izpad v primeru motenj oziroma napadov.
Informatika, »večna« težava UKC
Kdo je za to odgovoren? Že več let je znano, da je informatika »večna« težava UKC Ljubljana. Največja zdravstvena institucija v državi tako iz uradno neznanih razlogov že dolgo časa nima enega, ampak dva poslovno-informacijska sistema, na ravni bolnišnične oskrbe pa kar pet, ki med seboj niso povezani. Vse to je posledica dolgoletnih napak v politiki razvoja informatike, ki se je kazala v tesnih odnosih z dobavitelji programskih rešitev, v nemalo primerih pa naj bi prešla tudi meje zakonitega.
Razdrobljeni in nedodelani informacijski sistemi, ki jih UKC Ljubljana uporablja več let, pomenijo višje administrativne obremenitve za zaposlene, za paciente pa tveganje za zdravniške napake. Že leta 2016 je računsko sodišče ugotovilo, da UKC Ljubljana v obdobju med januarjem 2011 in majem 2016 »ni zagotavljal, da bi informacijska podpora učinkovito podpirala njegovo delovanje«. »Zavod je imel razdrobljeno informacijsko okolje, ki so ga sestavljale številne, med seboj pogosto nepovezane informacijske rešitve,« je navedlo računsko sodišče.
Državni revizorji so že takrat opozarjali, da na tem področju v UKC Ljubljana vlada kaos. Nekatere informacijske rešitve so se celo podvajale ali pa jih je zavod začel uporabljati šele več let po nakupu. Ker so posamezne organizacijske enote uporabljale različne rešitve, zato zdravniki in drugi zaposleni praviloma niso mogli poiskati podatkov o preteklem zdravljenju svojih bolnikov v drugih enotah, razen če so te prejeli v papirni obliki.
Kdo so največji dobavitelji UKC
Vse to se je poznalo tudi na visokih stroških za informacijsko podporo, ki na letni ravni znašajo več milijonov evrov. V zadnjih dvajsetih letih je največ poslov za UKC Ljubljana, skoraj 14 milijonov evrov, opravila družba Unistar LC, ki jo je poslovnež Miran Boštic leta 2019 prodal italijanski skupini DBA. Med večjimi dobavitelji so še SRC Infonet (5,2 milijona evrov), List (pet milijonov evrov), NIL (pet milijonov evrov), Sicom (4,7 milijona evrov) in Marand (štiri milijone evrov). Poleg tega ogromno denarja konča pri družbah za faktoring, ki jim IT-podjetja prodajo terjatve do UKC Ljubljana.
Pri nekaterih poslih so v UKC Ljubljana zaznali tudi nepravilnosti. Leta 2018 so Nacionalni preiskovalni urad (NPU) obvestili o sumu protipravnega ravnanja pri pripravi dokumentacije za razpise za nabavo informacijske tehnologije. Šlo je za najmanj dva razpisa. Pri obeh naj bi posamezniki iz notranjih služb merila in pogoje za izbiro priredili tako, da so ustrezala vnaprej izbranemu ponudniku. To naj bi bil Unistar LC, kjer so vse očitke takrat zanikali.
K reševanju kaosa, ki ga je razkril inšpekcijski pregled, zagotovo niso pomagale pogoste menjave na čelu UKC Ljubljana. Samo v zadnjih petih letih so se generalni direktorji zamenjali štirikrat. V tem času so se zamenjali tudi štirje pomočniki generalnega direktorja za informatiko, ki so odgovorni za to področje. Nazadnje je bil na ta položaj januarja lani, tik preden je Golobič nasledil poznejšega ministra za zdravje Poklukarja, imenovan Blaž Suhač.
Kot je znano, je minister za zdravje Danijel Bešič Loredan prejšnji teden Golobiča javno pozval k odstopu. Njegovo vodenje je ocenil kot »izpod kritike«, poziv pa utemeljil z zamudami pri izvajanju investicij in letošnjo izgubo. Golobič je poudaril, da razlogov za odstop ne vidi, ministrove očitke pa je zavrnil.
Ugotovitve inšpektorjev so le najvidnejši del ledene gore problemov z informacijskimi sistemi, ki so se v tej bolnišnici nabrali v zadnjih dveh desetletjih.
