Filiala din Romania a gigantului american Hewlett-Packard (HP) este urmarita penal de catre DNA pentru complicitate la abuz in serviciu si un prejudiciu de peste 16,8 milioane euro pentru ca ar fi vandut catre CNAS, la preturi supraevaluate, servicii de asistenta tehnica si instruire on-site pentru Sistemul Informatic Unic Integrat (SIUI) si pentru softul care asigura planificarea resurselor (ERP). Ce nu spune comunicatul DNA este ca de realizarea SIUI s-a ocupat HP (lider de consortiu si furnizorul hardware), impreuna cu Siveco (dezvoltatorul soft si al sistemului ERP), iar STS a asigurat comunicatiile speciale. Mai mult, SRI asigura securitatea cibernetica. In aceste conditii, apare firesc intrebarea - cum este posibil sa se ajunga la un asemenea prejudiciu?

Cine a realizat SIUIFoto: Captura CNAS

Potrivit procurorilor DNA, "in perioada 2007-2009, intre Casa Nationala de Asigurari de Sanatate (CNAS) si HP Romania S.R.L au fost incheiate mai multe acte aditionale la un contract de informatizare a institutiei, prin care au fost achizitionate servicii suplimentare de asistenta tehnica si instruire on-site pentru Sistemul Informatic Unic Integrat (SIUI) si pentru softul care asigura planificarea resurselor (ERP) la preturi supraevaluate, respectiv la valori de 804 euro/zi-om in cazul a doua dintre actele aditionale acte si de 760/zi-om, in cazul unui alt act aditional, dintre cele care fac obiectul prezentului dosar".

Procurorii mai sustin ca "aceste servicii au fost subcontractate ulterior de HP pana la prestatorii directi, la preturi din ce in ce mai mici, astfel incat pentru serviciile efectiv efectuate, prestatorii au incasat cel mult 200 de euro/zi-om.

Se estimeaza ca, prin contractarea, presupus nelegala, a serviciilor aditionale, a fost creat un prejudiciu de 16.847.405,96 euro inclusiv TVA (reprezentand diferenta intre valoarea serviciilor facturate de SC HP ROMANIA SRL si costul real al acestor servicii de 200 euro/zi-om), bani care ar fi fost platiti de CNAS in mod nelegal".

  • CNAS: La realizarea SIUI participa un consortiu format din: HP, Siveco si STS/SRI asigura securitatea cibernetica

Sistemul Informatic Unic Integrat (SIUI) asigura la nivel national decontarea serviciilor raportate de furnizorii de servicii medico-farmaceutice.

Pe site-ul CNAS gasim urmatoarea precizare legata de SIUI:

La realizarea Sistemului Informatic Unic Integrat lucreaza un consortiu format din:

  • Hewlett-Packard (HP) in calitate de integrator de sistem si furnizor de infrastructura informatica
  • Serviciul de Transmisiuni Speciale (STS) pentru servicii de telecomunicatii
  • SIVECO Romania care asigura proiectarea, dezvoltarea si instalarea aplicatiilor informatice

In plus, pe site-ul Siveco Romania se precizeaza urmatoarele despre SIUI:

La realizarea Sistemului Informatic Unic Integrat lucreaza un consortiu format din:

  • Hewlett-Packard in calitate de integrator de sistem si furnizor de infrastructura informatica - asigura infrastructura hardware la nivel national si international, livrata si functionala pentru 42 de locatii
  • SIVECO Romania asigura proiectarea, dezvoltarea si implementarea celor 28 de aplicatii SIUI  - Sistemul ERP - SIVECO Applications se afla in productie in majoritatea locatiilor judetene si asigura suportul informatic pentru eficientizarea si controlul activitatilor
  • Serviciul de Transmisiuni Speciale, furnizor al serviciilor de telecomunicatii la nivel national - Asigura Infrastructura WAN operationala pentru 42 locatii.

Mai mult, intr-un interviu realizat de HotNews.ro in luna ianuarie 2015 cu Vasile Ciurchea, la acel moment presedinte CNAS, si respectiv cu Mihai Bejat, director la Directia Tehnologia Informatiei din cadrul CNAS la data faptelor, si care acum sunt urmariti penal in acest dosar, se preciza si rolul STS si al SRI in buna functionare a acestui sistem.

Din pasajele din interviu pe care le redam mai jos, reiese ca toate datele care circula prin SIUI sunt stocate intr-un centru de date al STS si totul trece prin reteaua privata si securizata a STS. De asemenea, de securitatea cibernetica a SIUI se ocupa SRI.

In aceste conditii se naste firesc intrebarea: cum este posibil sa se ajunga la un asemenea prejudiciu?

  • Cine sunt directorii CNAS urmariti penal in dosarul DNA:

VASILE CIURCHEA, presedinte al Casei Nationale a Asigurarilor de Sanatate (CNAS) la data faptelor , respectiv februarie 2007 - ianuarie 2009,

VALERIU SIMION, vicepresedinte al CNAS la data faptelor ,

LEANA STOEA, director general adjunct al CNAS la data faptelor,

MIHAI BEJAT, director la Directia Tehnologia Informatiei din cadrul CNAS la data faptelor,

OVIDIU MUNTEANU, director la Directia Juridic si Contencios din cadrul director la Directia Juridic si Contencios din cadrul CNAS la data faptelor,

toti cei anterior mentionati pentru savarsirea infractiunii de abuz in serviciu daca functionarul a obtinut pentru sine sau pentru altul un folos necuvenit in forma continuata

IRINEL POPESCU, presedinte al Casei Nationale a Asigurarilor de Sanatate (CNAS) la data faptelor, respectiv ianuarie-decembrie 2009

CONSTANTIN MARIA MIHAELA, director general adjunct

MEDVES ISTVAN LUCIAN, director la Directia Tehnologia Informatiei

MIHAI LILIANA MARIA, director la Directia Juridic, Contencios si Acorduri Internationale toti cei anterior mentionati pentru savarsirea infractiunii de abuz in serviciu daca functionarul a obtinut pentru sine sau pentru altul un folos necuvenit

  • Actionarii HP Romania SRL sunt:

HEWLETT - PACKARD CENTRAL EASTERN EUROPEAN HOLDING GMBH (sediu social in Austria, 1120 VIENA, WIENERBERGSTRASSE, Nr. 41), cu 99.91% din actiuni, si

HEWLETT PACKARD GOUDA B.V. (sediu social in Olanda, 1187XR AMSTELVEEN, STARTBAAN 16), cu 0.09% din actiuni.

Redam mai jos pasaje din acest interviul HotNews.ro din luna ianuarie 2015 pe tema SIUI:

  • V.M.: Dar cine anume concret are cel mai mare nivel de acces in SIUI?

Vasile Ciurchea: Exista un director al Directiei Sisteme Informatice din Casa Nationala de Sanatate care are acces si doar el da accesul celor de la control sau de la audit care au nevoie de date din SIUI.

  • V.M.: Cum il cheama?

Vasile Ciurchea: Mihai Bejat.

  • V.M.: El devine asadar unul din cei mai puternici oameni din sistemul medical romanesc.

Vasile Ciurchea: Este un om extrem de serios si dedicat meseriei. Viseaza doar IT, nu stie sa interpreteze informatie medicala.

  • V.M.: Toate aceste date existente in sistem vor fi transparente? Vor putea fi cerute pe baza legii 544? De pilda voi putea solicita numarul retetelor prescrise in judetul Dolj pentru cutare medicament compensat?

Vasile Ciurchea: ...... Cate retete s-au scris in judet se pot cere, dar nu stiu daca si pentru fiecare medicament in parte. Nu cred. Este o informatie pe care daca am da-o vom ajuta concurenta acelui medicament. S-au scris o mie de retete, dar ei stiu sigur ca au vandut 200, deci e clar ca 800 a vandut concurenta.

  • V.M.: Unde vor fi stocate datele din dosarele electronice de sanatate? Pe ce server?

Vasile Ciurchea: Pe serverul Casei.

  • V.M.: Securitatea acestui server e asigurata de cine?

Vasile Ciurchea: De organele abilitate.

  • V.M.: Mai concret?

Vasile Ciurchea: STS. SRI. Oricine incearca sa patrunda in sistem se vede si stim sigur cine este. Reteaua de transmitere a datelor e securizata. Ca sa te loghezi la dosarul unui pacient trebuie sa ai datele. Daca nu am datele dumneavoastra, nu ma pot loga la dosarul dumneavoastra.

  • V.M.: STS si SRI vor putea avea acces in sistem oricand fara nicio aprobare prealabila a Casei?

Vasile Ciurchea: SRI si STS nu cred ca au nevoie de o aprobare prealabila a Casei. Dar un angajat al SRI-ului sau al STS-ului nu poate intra in dosarul dumneavoastra. Ei au grija ca aceste date sa nu poata fi accesate de oricine, astfel ca un utilizator mai priceput de calculator sa nu poata ajunge in el. Ei sunt paznicii, pastratorii datelor din sistem.

  • V.M.: Iar domnul Mihai Bejat este cel care are acces la tot?

Vasile Ciurchea: Da, el are acces. Dar are nevoie de niste date ca sa se duca tintit in dosarul dumneavoastra. Mai mult, nu este medic. Pentru el datele scrise in dosar nu inseamna nimic.

  • V.M.: Nu vi se pare ciudat ca un sistem construit sa starpeasca frauda din sistemul medical a fost in buna parte dezvoltat de o companie al carei director este anchetat pentru frauda?

Vasile Ciurchea: Mi-e greu sa spun daca e ciudat sau nu. Ele sunt companiile care au castigat licitatiile si, odata castigata licitatia trebuia sa mergi mai departe. Nu as face un comentariu pentru ca nu ma pricep la acest aspect. Dar cand cineva castiga licitatia si nu semnezi contractul cu el, e deja o problema penala a ta.

Compania HP, cu subcontractant Siveco, s-a ocupat de SIUI si contractul este in derulare in faza de operare pana in 2021. Prescriptia electronica a fost integrata tot de HP, cu dezvoltator de soft tot Siveco. Pentru dosarul electronic de sanatate integratorul a fost UTI. Super-userul sistemului, Mihai Bejat, raspunde intrebarilor legate de securitatea SIUI.

  • V.M.: Unde sunt stocate fizic toate aceste date?

Mihai Bejat: Datele stau pe o ferma de servere, intr-o singura locatie STS. Exista un data-center nou construit de STS si pus la dispozitia mai multor institutii publice. Locul e in Bucuresti, la Ciurel, langa Semanatoarea. Singurul transportator de date pentru noi tot STS-ul este si totul merge pe reteaua privata a STS-ului. Dumneavoastra veniti via Internet si cand mergeti din http in https, asta inseamna secure, va routeaza catre reteaua STS. Acolo nivelul de securitate este asigurat de STS si e cam greu sa treaca cineva de el.

  • V.M.: Cine sunt oamenii care au cel mai mare nivel de acces in SIUI? Am inteles ca unul dintre ei sunteti dumneavoastra.

Mihai Bejat: Depinde de nivel. La nivel de end-user, SIUI, reteta electronica, dosar electronic si cardul de sanatate, sunt doua categorii de utilizatori finali. Categoria interna, adica functionarii anagajati ai sistemului in casele de sanatate. Si furnizorii de servicii medicale si farmaceutice care au contract cu acest sistem. Dar daca discutam de nivelul de acces direct asupra datelor, atunci da, singurul loc de unde se poate accesa este biroul unde imi desfasor eu activitatea. Acesta este declarat ca incapere de securitate cu nivelele de securitate impuse de structurile de securitate ale statului. Din biroul presedintelui CNAS nu poti avea acest acces direct.

  • V.M.: Dar din birourile STS-ului poate fi accesat?

Mihai Bejat: Nu, nu exista asa ceva. Prin contract si verificabil, STS-ul are dreptul de a asigura doar curentul, climatizarea si monitorizarea video de acces in centrul de date. In rest nu au acces la nimic.

  • V.M.: Si SRI-ul?

Mihai Bejat: SRI-ul, prin proiectul CyberInt, ne asigura componenta aceasta ca daca exista o vulnerabilitate din exterior pe alte mijloace decat platforma informatica, via internet, de exemplu pe pagina web a Casei, sau pe serverul de mail al Casei, atunci ne avertizeaza. Ei nu vad datele.

  • V.M.: Presedintele CNAS, Vasile Ciurchea, tocmai a spus ca SRI-ul si STS-ul sunt paznicii sistemului...

Mihai Bejat: Da, da. SRI-ul se uita via internet, iar STS-ul ne asigura transportul de date pe retele criptate. De la noi de aici, din sediul central al CNAS, pana la Ciurel exista o ¬sarma¬, o fibra optica pentru a asigura transportul de date pentru end-user intre CNAS si servere. Iar de la Ciurel catre casele judetene de sanatate informatiile ajung prin retelele private ale STS-ului pana la oficiile judetene ale STS-ului. De la acele oficii judetene STS pana la Casa Judeteana exista o legatura stransa, privata, pe care nu o poate vedea nimeni.

  • V.M.: Si pe dumneavoastra cine va verifica?

Mihai Bejat: Oricand suntem supusi controlului organelor statului, Curtea de Conturi, Autoritatea privind datele cu caracter personal, SRI.

Nota: HotNews.ro a solicitat puncte de vedere atat din partea HP cat si Siveco in legatura cu aceste acuzatii si vom reveni cu raspunsuri imediat ce le vom primi. Oficialii STS contactati de HotNews.ro nu au dorit sa comenteze.