Președintele Casei Naționale de Asigurări de Sănătate (CNAS), Lucian Duță, a anunțat, astăzi, într-o conferință de presă extraordinară, că problemele la sistemul informatic al CNAS au fost rezolvate, baza de date nu a fost afectată, iar remedierea problemelor nu a presupus costuri suplimentare. Oficialul CNAS a fost flancat la conferință de către cei doi actori oficiali ai proiectului, Radu Enache, directorul general HP România (partener principal) și Irina Socol, director general SIVECO (integrator de proiect) dar și de către Sorin Mîndruțescu, directorul general al Oracle România, furnizorul software-ului de baze de date folosit la SIUI. De ce a atras acum atât de tare acest incident atenția mass media? Probabil că dacă președintele Băsescu nu ar fi fost prezent la lansarea sistemului din 20 decembrie 2010, defecțiunea apărută la 22 de zile de la evenimentul oficial ar fi fost trecută cu vederea de către media. Oricum, nici acum, cu tot tărăboiul, după 4 zile de inactivitate a CNAS în urma unui ordin de suspendare a activității caselor de asigurări de sănătate din țară, ca urmare a problemelor apărute în sistemul informatic, nici un cap al instituției de stat nu a căzut, nu există nici o sancțiune, de fapt nu s-a stabilit nici o vinovăție și nici pagube, deci nici vorbă de despăgubiri… Credeți că tot așa ar fi stat lucrurile dacă un incident similar ar fi apărut într-o altă țară din UE?
Recursul la istoria recentă…
Pe 20 decembrie 2010, oficialii CNAS anunțau lansarea „celui mai performant sistem informatic, S.I.U.I.". Necesitatea implementării acestui sistem electronic unic de evidențiere a „proceselor de business" era impusă de activitatea complexă a CNAS, de a prelucra raportările furnizorilor de servicii medicale, de medicamente și de dispozitive medicale pentru a le deconta eficient și corespunzător normelor de aplicare ale contractului-cadru. La evenimentul festiv al lansării SIUI au participat președintele Traian Băsescu, Nicolae Lucian Duță, președintele CNAS, dr. Raed Arafat, subsecretar de stat în cadrul Ministerului Sănătății și reprezentanți ai companiilor IT&C ce au dezvoltat acest proiect. Media IT&C nu a fost invitată la eveniment, preferată fiind media cu specific social. Profitând de ocazie, președintele Băsescu susținea că „informatizarea reprezintă una dintre principalele axe ale modernizării țării noastre, iar scopurile acesteia sunt acuratețea datelor și reducerea posibilității de fraudă a anumitor plăți". Președintele nu s-a abținut să lanseze și o diversiune despre „riscurile atacurilor cibernetice la siguranța națională, când s-a constatat că România are posibilitatea informatizării a aproximativ 58% din instituțiile publice, însă în acest moment, în realitate doar 12% din instituții beneficiază de astfel de sisteme". De unde știe președintele de aceste procente, nimeni nu poate să spună, pentru că nu există, dină informațiile noastre, nici un studiu asupra gradului de informatizare a instituțiilor de stat. Se spunea atunci că SIUI va elimina eventuale interpretări sau eschive de la respectarea normelor, iar serviciile medicale vor fi decontate corect, în baza contractelor încheiate de casele de asigurări de sănătate cu furnizorii. Proiectul de dezvoltare și implementare a SIUI a fost demarat înca din anul 2000, când Compaq câștiga această licitație, după care Compaq a fost cumpărată de către HP. Au urmat un lanț de amânări datorate carențelor legislative, schimbarea mai multpor guverne și regimuri politice, deceniu agitat pânăc când și limitele tehnologice s-au schimbat radical. Cu actualul sistem susține Nicolae Lucian Duță, președintele CNAS, "se oferă posibilitatea asigurării unui control proactiv în relația cu furnizorii și că aceasta crează platforma necesară asigurării funcționalităților cerute de Strategia e-Romania și de Strategia e-Sanatate, prin introducerea Cardului Național de Sănătate, a Fișei Electronice a Pacientului și a Prescripției Electronice". Versiunea centralizată a SIUI reprezintă cel mai mare sistem informatizat funcțional din România și asigură managementul serviciilor medicale pentru întreaga populație a României care este asigurată, un număr de peste 19 milioane de persoane.CNAS: Și cel mai performant sistem informatic din lume se poate defecta…
Revenind în stricta actualitate, „în 15 ianuarie, SIUI a fost repus în funcțiune devansând termenul anunțat inițial, respectiv luni. Remedierea problemelor a fost făcută fără costuri suplimentare din 15 ianuarie, sistemul funcționând la parametri normali", anunța Duță. El susține însă că acest tip de defecțiuni ar mai putea apărea la un sistem atât de complex, „sunt probleme greu de anticipat la un sistem atât de complex, aproape printre cele mai mari din Europa", precizând în același timp că nu se pricepe să dea mai multe informații din cauza lipsei unei pregătiri tehnologice adecvate. Cert e că înainte de pornirea sistemului s-au executat peste 9.000 de testări. Duță a vrut să precizeze că o defecțiune la sistemul informatic de la Aeroportul Heathrow din Londra (unul dintre cele mai mari din Europa-n.r.) a durat 3 zile, nespecificând dacă acolo s-a folosit același tip de bază de date sau condiții similare de lucru, ori volume similare de informații. Oficialul CNAS informează că, în prezent, sunt 25.000 de furnizori de servicii care intră în sistem cu casele de asigurări de sănătate, iar capacitatea sistemului cuprinde 75.000 de furnizori, așadar sistemul lucrează acum la o treime din capacitatea sa totală. Potrivit șefului CNAS, din cauza incidenței ridicate a factorilor favorizanți ce pot determina în orice moment comportamente imprevizibile, soluțiile folosite în întreaga lume pentru managementul bazelor de date nu oferă garanții absolute în exploatare. De aceea, elemente imprevizibile în funcționarea sistemului informatic pot apărea și pe viitor. „Situația existentă consolidează oportunitatea de a dispune de un sistem informatic performant, capabil să monitorizeze și să supervizeze decontarea corectă a serviciilor medicale", a adăugat Duță. Acesta a subliniat că „CNAS își menține convingerea că scopul pentru care a fost creat sistemul - acela de a obține monitorizarea și eliminarea totală a pierderilor din sistemul asigurărilor sociale de sănătate - este unica soluție de luare a unor decizii corecte, într-un mod dinamic și în timp real, în folosul exclusiv al asiguratului". „Reafirmăm faptul că numai în acest fel vom putea introduce proiectele acestui an pentru completarea sferei de instrumente informatice destinate managementului asigurărilor sociale de sănătate: Cardul Național al Asigurărilor de Sănătate (CEAS), Prescripția Electronică și Fișa Electronică a Pacientului", a pretins șeful instituției. Să nu uităm că președintele CNAS, a emis, miercuri, 12 ianuarie, ordinul de suspendare a activității caselor de asigurări de sănătate din țară, ca urmare a problemelor apărute în sistemul informatic. Duță preciza că măsura a fost luată pentru organizarea ghișeelor și rezolvarea problemelor informatice. Deși termenul de reluare a activității fusese stabilit pentru luni, 17 ianuarie, SIUI și-a reluat funcționalitatea, sâmbătă, 15 ianuarie, în parametri pentru care a fost proiectat. Problema la SIUI a fost o eroare la programul ce administrează baza de date, dar care nu a afectat, modificat sau distrus informațiile specifice sistemului saniar, precizează directorul general al CNAS, dr. Dorin Ionescu. Mai mult, a spus oficialul CNAS, nu s-a pus niciodată problema unui atac informatic, cum s-a vehiculat în unele informații de presă.
HP își cere scuze pentru incidentul apărut
Incidentul din această săptămână, manifestat prin erori la nivelul sistemului de gestiune a bazelor de date, care a condus la blocarea funcționării sistemului SIUI, a fost tratat în regim de urgență maximă de către Hewlett-Packard și partenerul său, SIVECO România, precum și de centrul de suport și dezvoltare din SUA al furnizorului sistemului de gestiune a bazelor de date, a declarat Radu Enache, director general Hewlett-Packard România. Acesta a susținut că Hewlett-Packard, în calitate de integrator și contractor principal al SIUI, „își exprimă regretul pentru incidentul apărut în funcționarea sistemului SIUI". „Vreau să vă asigur de faptul că SIUI are o arhitectură robustă, folosind cele mai moderne platforme tehnologice de la Hewlett-Packard România și Oracle, aplicația fiind dezvoltată împreună cu SIVECO, cea mai mare casă de software din România. SIUI a fost supus la multiple teste și este în măsură să răspundă cerințelor de funcționare ale CNAS. Desigur, complexitatea acestuia poate conduce și în viitor la alte probleme tehnice, motiv pentru care, în prezent, sistemul se află într-o monitorizare suplimentară", a afirmat Radu Enache. Astfel, monitorizarea care se făcea înainte de incident la un interval de 24 de ore, acum se execută la fiecare minut, ne-au declarat specialiștii de la SIVECO.
SIVECO: Important este că nu s-au pierdut date
Irina Socol, directorul general al companiei SIVECO România, a susținut că „din punct de vedere informatic, SIUI este un sistem de o complexitate deosebită". „Baza de date și aplicațiile sunt definite de 9.744.630 de obiecte, dintre care aproximativ 5.000 sunt obiecte de interfață. Aplicațiile sistemului includ peste 1,5 milioane linii de cod. Raportările de servicii ale furnizorilor sunt evaluate cu peste 800 de reguli de validare. La rândul său, sistemul a fost validat funcțional prin parcurgerea a zeci de mii de cazuri de test. De-a lungul exploatării acestui sistem, așa cum s-a întâmplat și în versiunile anterioare, pot apărea incidente. Ele sunt de așteptat să apară în viața oricărui sistem informatic, dar sunt corectate rapid și nu afectează funcționarea de ansamblu a sistemului", a arătat Socol. Potrivit acesteia, în cursul incidentului apărut săptămâna aceasta, aplicațiile SIUI nu au fost afectate. „Nu au fost pierdute date, iar baza de înregistrări și-a păstrat consistența. Compania noastră a participat cu cei mai buni specialiști la rezolvarea problemelor. 80 de oameni lucrează direct, împreună cu beneficiarul, la casele județene de sănătate. Suntem în permanență pregătiți să facem față oricăror incidente - prin proceduri de lucru, mod de acțiune, back-up permanent și prin colaborarea permanentă cu partenerii de proiect - din zona hardware, software și comunicații", a afirmat Irina Socol.
Oracle: muncă patriotică pentru salvarea unui proiect național
La rândul său, Sorin Mîndruțescu, directorul general Oracle România, a declarat că „atât versiunile anterioare SIUI, cât și versiunea centralizată au funcționat și funcționează pe baze de date Oracle. Până în acest moment, nu avem cunoștiință de existența unei disfuncționalități în acest spectru. Nu am mai întâlnit în România o problemă care să genereze efecte de o asemenea amploare", a precizat Sorin Mândruțescu. Potrivit oficialului, imediat ce compania Oracle a fost notificată cu privire la existența unei probleme, adică marți, 11 ianuarie, s-a acționat prin oferirea de suport tehnic, conform pachetului standard prevăzut în contract, asigurând, însă, în același timp, disponibilitatea unei echipe tehnice la fața locului. „Pentru noi a contat, în primul rând, soluționarea problemei existente la client și am acționat ca un furnizor responsabil, pentru a oferi asistență în identificarea unei soluții rapide. Astfel, pentru a asigura continuitatea remedierii, independent de fusele orare, a fost formată, la nivel internațional, o grupă de specialiști din organizațiile globale de suport și de dezvoltare Oracle. Începând cu data de 11 ianuarie o echipă de suport locală a companiei Oracle România a fost prezentă în permanență la sediul CNAS, alături de echipele locale Hewlett-Packard și SIVECO România", subliniază directorul general al companiei Oracle România. În traducere liberă, specialiștii Oracle România, deși nu aveau atribuții contractuale în această direcție, au reușit în colaborare cu specialiștii Oracle din USA să remedieze acest incident după doar 4 ore de la stabilirea diagnosticului care a dus la căderea bazei de date. Așadar, au fost necesare 4 zile de diagnoză și apoi remedierea s-a executat în doar 4 ore. Printr-o colaborare în regim de criză, care putea fi anticipată dacă se împărțeau mai bine riscurile unui asemenea amplu proiect, s-a reușit salvarea unui proiect gigantic și repunerea în funcționare a mecanismului la CNAS.
Pozițiile extinse ale părților implicate în incidentul informatic de la CNAS
Irina Socol, director general SIVECO:
SIUI, probabil printre cele mai mari sisteme informatice din Europa, după Anglia și Polonia
Sistemul Informatic Unic Integrat este printre cele mai mari sisteme informatice din Europa, poate doar cel din Anglia și Polonia să îl depășească, progamul conținând sute de milioane de înregistrări, susține directorul general al SIVECO România, Irina Socol. Baza de date stocată în SIUI are un volum total de 4,5 TeraBytes. Este un volum uriaș, un TeraByte are o mie de miliarde de unitățati elementare de informații, a explicat, Irina Socol. Datele deja stocate în bază conțin sute de milioane de înregistrări. „Este vorba despre 9.802.636 de internări, 116.334.091 de rețete, 14.423.441 de certificate medicale, 3.980.122 de documente financiare primare, 13.499.633 de milioane note contabile, 6.728.377 de milioane de plăți, 2.981.721 de facturi primite pentru furnizorii de servicii medicale, cu 4.352.711 de poziții, 1.093.432 de mijloace fixe și altele", adaugă oficialul SIVECO. „Referitor la furnizorii de servicii medicale și farmaceutice, în sistem sunt gestionate 41.572 de contracte în derulare, 48.008 de medici, 17.871.110 de raportări angajatori pentru concedii medicale, 283.806 de raportări de medicină de familie, 1.066.662 de facturi pentru furnizori de servicii medicale, 907.762 de raportări servicii medicale și 65.298.755 de operațiuni în cont pentru evidența contribuabililor", declară Irina Socol. Din punct de vedere informatic, SIUI este un sistem de o complexitate deosebită. „Baza de date și aplicațiile sunt definite de 9.744.630 de obiecte, dintre care aproximativ 5.000 sunt obiecte de interfață. Aplicațiile sistemului includ peste 1,5 milioane linii de cod. Raportările de servicii ale furnizorilor sunt evaluate cu peste 800 de reguli de validare. La rândul său, sistemul a fost validat funcțional prin parcurgerea a zeci de mii de cazuri de test", conchide directorul general SIVECO.
Sorin Mîndruțescu, director general Oracle România:
Baza de date de la SIUI nu a fost implementată de Oracle
„Bazele de date Oracle sunt cele mai bune produse de acest tip din lume conform mai multor analiști din industrie, fiind sunt utilizate cu success de către o mulțime de organizații mari și mici din toată lumea. Sunt greu de găsit în lume sau în Romania domenii în care organizații cu sisteme mature și complexe care să nu utilizeze baza de date Oracle: sistem bancar, telecom, apărare, energie etc. În același timp, Oracle oferă un portofoliu complet de servicii de suport pentru clienți, pe întreaga durata de viață a soluțiilor oferite. Produsele Oracle sunt extrem de complexe - anual Oracle investește anual aproximativ 3,5 miliarde de dolari în R&D, în spatele dezvoltării unui astfel de produs stau 28.000 de oameni și se lucrează 3-5 ani pentru livrarea unei noi versiuni de software. Licențele Oracle sunt însoțite, la cerere, de suport tehnic standard ce acționeaza în mod reactiv la apariția unei probleme tehnice. Pe lângă acestea, Oracle oferă pachete de servicii și personal tehnic de înaltă specializare pentru adiministrarea și mentenanța proactivă a soluțiilor complexe Oracle. Menționăm că atât versiunile anterioare SIUI, cât și cea prezentă au funcționat și funcționează pe baze de date Oracle și, până în acest moment, nu avem cunoștiință ca ar fi existat disfuncționalități din acest spectru" a precizat Sorin Mîndruțescu. Acesta a subliniat că „nu am mai întâlnit în Romania o problema tehnică care să genereze efecte de asemenea amploare". Istoricul acestei intervenții este amplu: marți, 11.01.2011, la ora 10:06, s-a raportat către organizația globală de suport Oracle apariția unei probleme tehnice care impacta funcționarea corectă a bazei de date SIUI. Această problemă afecta sistemul SIUI care a fost ulterior oprit până la remedierea problemei, conform oficialului Oracle. „Imediat ce compania Oracle a fost notificată cu privire la existența unei probleme, am acționat prin oferirea de suport tehnic, conform pachetului standard prevăzut în contract, însă în același timp am asigurat și disponibilitatea unei echipe la fața locului, cu toate că aceste servicii nu erau acoperite și reglementate de contractul în vigoare. Pentru noi a contat, în primul rând, soluționarea problemei existente la client și am acționat ca furnizor responsabil, pentru a ne oferi asistența în identificarea unei soluții rapide", subliniază Mîndruțescu. „În acest moment, sistemul este funcțional în întregime. Totuși, trebuie remarcat faptul că sistemele de o asemenea amploare sunt compuse întotdeauna din mai multe componente precum aplicații, software, rețea, hardware, comunicații, iar cauzele problemelor ce pot să apară sunt diverse. Integrarea tuturor acestor componente este o activitate complexa în sine", a conchis oficialul Oracle România.
În loc de concluzii, cine gestionează managementul riscului?
Trebuie apreciat, în primul rând, profesionalismul actorilor angajați în acest proiect pentru remedierea daunelor unui proiect informatic de o asemenea amploare. Atât HP, SIVECO cât și Oracle au lucrat în tandem pentru a rezolva o situație de criză și au și reușit.. Mai apoi, trebuie să și învățăm ceva din aceste derapaje pe care ni le oferă realitatea, viața... Specialiștii celulei de criză de la HP, SIVECO, CNAS, STS și chiar Oracle România dar și USA, au lucrat contra cronometru, chiar dacă ultima companie nu e parte directă în contractul CNAS privind SIUI. Contractorul principal este HP România și SIVECO (integrator) dar și STS, ca furnizor de comunicații și gazdă a serverului central SIUI localizat în data center-ul STS, însă angajații de la Oracle au lucrat cot la cot cu partenerii pentru remedierea bug-ului apărut pe 11 ianuarie. Este evident că implementarea bazei de date și celelate operațiuni adiacente nu au fost realizate de către compania Oracle, ci de către contractori, Mîndruțescu susținând că „nu se poate ști cu adevărat care ar fi fost situația dacă Oracle ar fi gestionat de la început propriul produs în acest proiect complex". Mai mult Oracle recomandă de regulă ca la proiecte de asemenea dimensiune, clienții să contracteze și serviciile de implementare și suport specializat și personalizat, însă în acest caz nu a fost vorba de asemenea servicii. Rămâne ca o întrebare retorică, pusă de noi, pe viitor cine va gestiona baza de date de la CNAS, în eventualitatea preîntâmpinării unui alt incident de proporții? Ar fi foarte normal ca specialiștii HP și SIVECO să solicite măcar acum, după această experiență, ca Oracle să asigure contractual funcționalitatea acestei baze de date și să fie parte din acest proiect cu implicații la scară națională. Riscul unui proiect de o asemenea dimensiune trebuie împărțit, credem noi, între mai mulți jucători de primă mână, costurile unor servicii de implementare și mentenață fiind infinit mai ieftine în comparație cu importanța funcționării sistemului național.
