تحلیلی بر انتشار اطلاعات وزیر بهداشت توسط یک پزشک / آیا امنیت اطلاعات در طرح نسخه نویسی الکترونیکی فاجعه است؟

اطلاعات فردی، هویتی و بیمه‌ای وزیر بهداشت توسط یک پزشک آنکولوژیست در شبکه‌های اجتماعی منتشر شده است. این اطلاعات از سامانه نسخه الکترونیک بیمه سلامت ایران واکشی شده و ادعا شده که چرا اطلاعات شخصی میلیون‌ها ایرانی حفاظت نمی‌شود؟ این در حالی است که قبلا کارت واکسن وزیر بهداشت منتشر شده بود. در متن منتشر شده توسط این پزشک، نتیجه گیری شده که با در دسترس قراردادن این اطلاعات، دل کلاهبرداران شاد می‌شود.

در این یادداشت کوتاه سعی می‌شود تحلیل شخصی از چیستی موضوع، چگونگی دسترسی و انتشار این اطلاعات و نهایتا چرایی انتشار این گونه موارد با دو رویکرد خوشبینانه و بدبینانه بیان شود.

۱. مسئله اصلی چیست؟

یک پزشک، کد ملی بیماری به نام دکتر عین الهی را در سامانه نسخه نویسی الکترونیکی وارد کرده و آن را به صورت عمومی منتشر کرده است. ایشان به عنوان یک پزشک معتمد اجازه دارد به داده‌های هر بیمار از جمله وزیر محترم بهداشت، مثل وضعیت تاهل و شماره موبایل و آدرس دسترسی داشته باشد، اما آیا ایشان اجازه انتشار و سوء استفاده اقتصادی و رسانه‌ای از اطلاعات بیمه شدگان را نیز دارد؟

سوال دیگر این است که کد ملی بیمار چگونه به دست ایشان رسیده است؟ قائدتا یا باید بیمار به ایشان مراجعه کرده باشد یا از جای دیگر می‌دانست که شماره ملی شخص چیست. در این مورد خاص، اطلاعات آقای دکتر عین الهی به واسطه انتشار کارت واکسیناسیون پیش از این منتشر شده بود.

نکته جالب این‌که طی سه رو اخیر و بعد از انتشار شماره ملی وزیر بهداشت، نزدیک به ۱۰۰ بار توسط ۴۴ نفر از پزشکان و داروخانه‌ها این اطلاعات از سامانه نسخه الکترونیک واکشی شد که یکی از این موارد توسط همین پزشک آنکولوژیست انجام شده که احتمالا یکی از دلایل را می‌توان کنجکاوی یا بهره برداری و سوء استفاده دانست.

سوال مهم بعدی این است که آیا کد ملی همه مردم در دسترس است؟ در تمام سامانه‌های عمومی مانند مراکز پلیس+۱۰ و بانک‌ها و دفاتر خدمات الکترونیک دولت و ادارات ثبت، اطلاعات بر اساس کد ملی وجود دارد و هزاران کاربر هم با نام کاربری و رمز عبور، به اطلاعات دسترسی دارند. سوال این‌جاست که آیا باید همه سامانه‌ها را به دلیل امکان واکشی اطلاعات و احیانا سوء استفاده کاربرانی که متعهد به حفظ اطلاعات مردم هستند تعطیل کنیم؟

بنابراین دسترسی به این اطلاعات برای ارائه خدمات به مردم ضروری است. به طور مثال، شماره موبایل بیماری که آزمایش او نیاز به تکرار دارد یا کسی که بیماری خاص دارد و برای مراقبت باید با او تماس گرفت، ضروری است. حتی ممکن است یک فروشگاه یا تعمیرگاه هم از افراد شماره موبایل بخواهند تا در سامانه خود ثبت کنند. افراد در اغلب موارد، به راحتی شماره تلفن همراه خود را ارائه کرده و در سامانه‌های مختلف ثبت می‌شود.

۲. چه راهکار‌های امنیتی برای مدیریت و حفظ اطلاعات تدارک دیده شده است؟

دسترسی برای کلیه پزشکان و داروخانه‌ها و موسسات طرف قرارداد سازمان‌های بیمه گر مانند سازمان بیمه سلامت و بیمه تامین اجتماعی به دلیل ارائه خدمات به بیمه شدگان فراهم شده است. قاعدتا کارشناسان این سازمان‌ها هم به خاطر شغل‌شان به برخی از اطلاعات دسترسی دارند. نکته این‌جاست که اتفاق جدیدی در زمینه دسترسی به اطلاعات نیفتاده و قبلا اطلاعات در قالب دفترچه بود و الان الکترونیکی شده است. ضمن اینکه فقط پزشک می‌تواند تنها و صرفا با استفاده از کد ملی دسترسی به این داده‌ها داشته باشد و سایر موسسات مانند داروخانه‌ها و آزمایشگاه‌ها باید کد رهگیری منحصر به فرد بیمه شده را در اختیار داشته باشند تا اجازه دسترسی به آن‌ها داده شود.

آیا پزشک معالج و ارائه دهنده خدمت مانند داروخانه نباید به این اطلاعات دسترسی داشته باشد یا بهتر است اطلاعات را در سایت پنهان کنیم تا حتی پزشک مشاهده نکند؟ پاسخ به این سوال راحت نیست و ابعاد گسترده‌ای دارد. خیلی‌ها به این اطلاعات نیاز دارند و اساسا برای همین نیاز، اطلاعات در دسترس پزشک قرار گرفته است؛ بنابراین باید کاری کرد که مورد سوء استفاده قرار نگیرد و در این موضوع، پزشکی که اطلاعات بیمه شده را در فضای مجازی منتشر کرده، از این دسترسی که قانونی و برای درمان بیمار است، بدون مراجعه ایشان، سوء استفاده کرده است.

برای رعایت جوانب امنیتی و جلوگیری از سوء استفاده معمولا با تعریف نام کاربری و رمز عبور و ارسال رمز دوم با پیامک (رمز دو مرحله‌ای یا otp) آن را مدیریت می‌کنیم تا غیر از فرد مورد نظر و پزشک، شخصی به اطلاعات بیمار دسترسی نداشته باشد و در عین حال از کاربر و پزشک، تعهد عدم افشای اطلاعات و ارائه رمز به دیگران نیز اخذ می‌شود.‌

می‌توان تصور کرد که پزشک نام کاربری و رمز خود را به دیگری داده که این اقدام، غیر متعارف و غیرقانونی است و خود پزشک خواسته که با رمز دوم به علت سهولت کار نکند که در اینجا باید مسئولیت حقوقی آن را بپذیرد. به هر صورت پزشک باید یا سختی کار کردن با سامانه با استفاده از رمز دوم را بپذیرد یا مسئولیت در اختیار قرار دادن اطلاعات رمز را به دیگری، این راه حل حفظ اطلاعات مردم است که البته راهکار‌های دیگری را برای بهبود کاربری در برنامه داریم. در این مورد خاص پزشک خودش اطلاعات را منتشر کرده است که قطعا این اقدام غیرقانونی است.

۳. چرا این اطلاعات منتشر شده است؟

دلیل انتشار اطلاعات توسط این پزشک را از دو رویکرد خوش بینانه و بد بینانه می‌توان ارزیابی کرد.

در رویکرد خوشبینانه، پزشکی که اطلاعات را منتشر کرده، دغدغه مردم را داشته و نگران است که این سامانه باعث سوء استفاده کلاهبرداران و شیادان شود. باید از تذکری که در این زمینه داده می‌شود، به این نحو استفاده کرد که مواظب باشیم همه کاربران از رمز دو مرحله‌ای استفاده کرده و آن را برای آسانی کار برخی کاربران تعطیل نکنیم و سخت گیری بیشتری کنیم که پزشک دیگر نام کاربری و رمز عبور خود را به کسی ندهد. همچنان که رمز حساب‌های بانکی و رمز درب ورودی منازل و گاو صندوق خود را به کسی نمی‌دهند. ضمن اینکه با رویکرد دسترسی حداقل اطلاعات ضروری این اطلاعات با نظر بیمار در اختیار پزشک قرار گیرد که در سامانه بیمه سلامت این گونه طراحی شده است.

در رویکرد بدبینانه با در نظر گرفتن واقعیت تعارض منافع و مخالفت با طرح نسخه الکترونیک می‌توان گفت که در گذشته، دفترچه بیمه سلامت در ابعاد گسترده و با فراوانی تقریبی ۵۰۰ میلیون نسخه در سال در دسترس مردم و همه موسسات و مطب‌ها قرار داشت، به طوری که توان ردیابی و مدیریت هیچ مسئله‌ای وجود نداشت. در حال حاضر با اجرا و استقرار پروژه نسخه الکترونیکی می‌توانیم همه را رصد کنیم. این‌که هر بیمار چه خدمتی را از کجا و با چه مکانیزم و تعرفه‌ای دریافت کرده و از آن طرف، هر بیمار یا پزشک چه رفتار و اقدامی را در ارتباط با بیمه داشته است. بیمار می‌تواند نظر و شکایت را از موسسه در سامانه خدمات شهروندی بیمه سلامت اعلام کند. بر آن اساس می‌توان نظارت کرد و در نهایت کل فرآیند را بهبود داد.

به هر حال به نظر می‌رسد که منافع برخی افراد در حفظ وضع موجود است و اجرا نشدن پروژه نسخه الکترونیکی، به نفع برخی تمام می‌شود. با تمام این اوصاف، انتقاد از یک طرح در راستای بهبود عملکرد، پذیرفتنی است، اما این‌که انتقاد با چه رویکردی و در چه بستری مطرح شود، جای بحث و بررسی دارد.

وبگردی