Curtea de Conturi, despre platforma informatică a CNAS: Infrastructură depășită, capacitate de procesare și stocare reduse, lipsa specialiștilor IT, acces al unor „părți terțe neprecizate”

Platforma Informatică a Asigurărilor de Sănătate (PIAS) are o problemă sistemică generată de fragmentare, subfinanțare și lipsă de guvernanță tehnologică la nivelul CNAS, conform Raportului de audit realizat de Curtea de Conturi.

PIAS, esențială pentru digitalizarea serviciilor medicale și gestionarea fondurilor publice de sănătate, este afectată de deficiențe organizatorice, tehnice și manageriale, au constatat experții Curții.

Deşi costul total al platformei a depăşit 1,1 miliarde lei, disfuncţionalităţile frecvente, blocajele şi suprasolicitarea infrastructurii tehnice învechite au afectat negativ calitatea serviciilor oferite asiguraţilor şi activitatea furnizorilor, menționează raportul.

Infrastructura, depășită și neactualizată corespunzător

Infrastructura PIAS funcționează astăzi într-un regim de supraviețuire tehnologică, menținută prin reparații punctuale și mentenanță reactivă, nu prin investiții strategice.

Concepută inițial ca o platformă unitară menită să interconecteze toate componentele sistemului de asigurări de sănătate — de la medicii de familie și spitale, până la farmaciile și laboratoarele medicale din țară.
Însă, de la momentul implementării inițiale (în jurul anilor 2012–2014), infrastructura hardware și software a rămas aproape neschimbată, în pofida extinderii continue a volumului de date și a numărului de utilizatori.

Această stagnare tehnologică a făcut ca, în 2025, sistemul să opereze pe echipamente și arhitecturi IT depășite, fără scalabilitate și fără mecanisme moderne de securitate și redundanță.

PIAS gestionează cea mai mare bază de date din ţară, ce conţine peste 18 milioane de persoane potenţial beneficiare de servicii medicale şi medicamente, peste 70.000 de utilizatori reprezentând furnizori de servicii medicale şi medicamente precum şi utilizatori ai CNAS/CAS, peste 700.000 de servicii raportate şi validate zilnic, din care aproximativ 200.000 sunt prescripţii medicale, datele fiind structurate în peste 420.000 tabele în format Oracle.

De asemenea, numărul contractelor cu furnizorii de servicii medicale a crescut de la 21.530 în 2008, la 27.787 la momentul auditului.

Probleme tehnice identificate

Infrastructura învechită nu afectează doar performanța zilnică, ci are implicații directe asupra siguranței datelor medicale, existând un risc crescut de corupere a datelor, asupra capacității de analiză și încrederii în sistemul național.

Radiografia:

Servere și echipamente hardware vechi

• O parte din serverele PIAS sunt operaționale de peste 8–10 ani, fără modernizări semnificative;

• Componentele de stocare (SAN/NAS) funcționează la capacitate maximă sau chiar suprasolicitată, ceea ce duce la degradarea performanței;

• Nu există o infrastructură de tip cloud hibrid sau elastică, care să permită extinderea dinamică a resurselor în funcție de nevoile sistemului.

Lipsa redundanței și a planurilor de continuitate

• Multe dintre centrele de date ale CNAS nu sunt complet redundante (adică nu există întotdeauna o infrastructură de rezervă activă în caz de cădere);

• Sistemele de backup nu asigură întotdeauna restaurarea rapidă a serviciilor în caz de incident major;

• În unele perioade, disfuncționalitățile PIAS au paralizat complet activitatea furnizorilor medicali (consultații nevalidate, rețete necompensate, raportări blocate).

Arhitectură software rigidă

• PIAS este construită pe o arhitectură monolitică, cu dependințe complexe între module (SIUI, DES, CEAS etc.);

• Orice modificare într-un modul poate genera efecte neprevăzute în alte componente;

Capacitate insuficientă de procesare și stocare

• Creșterea volumului de date medicale (dosare electronice, servicii raportate, prescripții digitale etc.) a depășit parametrii inițiali de proiectare;

• În orele de vârf (dimineața, la validarea serviciilor), sistemul întâmpină blocaje și întârzieri mari în răspuns;

• Lipsa unui mecanism de echilibrare a sarcinii (load balancing) la nivel național duce la congestii în centrele principale de date.

Infrastructură de comunicații neuniformă

• Conectivitatea dintre CNAS și Casele Județene de Asigurări de Sănătate (CJAS) este neuniformă — unele case dispun de conexiuni rapide și stabile, altele funcționează cu viteze reduse și latențe mari;

• Lipsa unor protocoale unitare de securitate și criptare a traficului crește riscul incidentelor de securitate cibernetică.

Motivele

• Subfinanțarea constantă a bugetului IT – alocările anuale pentru întreținerea și modernizarea PIAS au fost mult sub necesar;

• Lipsa unei strategii IT multianuale la nivelul CNAS – investițiile s-au făcut fragmentat, prin proiecte izolate, fără o viziune integrată;

• Procese birocratice lente în achizițiile publice – fiecare actualizare tehnologică a fost întârziată de licitații, contestații sau lipsa aprobărilor;

• Absenta specialiștilor IT interni capabili să elaboreze specificații tehnice realiste și să evalueze soluțiile propuse de prestatori;

• Dependență excesivă de furnizorii externi – ceea ce a redus capacitatea instituției de a planifica și controla dezvoltările tehnologice.

Efectele asupra performanței sistemului

Timp de răspuns lent și perioade de nefuncționare frecvente ale PIAS, adică:

• Întârzieri în validarea serviciilor medicale și în eliberarea rețetelor compensate;

• Dificultăți majore pentru furnizorii medicali (care nu pot raporta la timp serviciile prestate);

• Costuri suplimentare cu mentenanța echipamentelor vechi și cu remedieri repetate în loc de investiții preventive.

În lipsa unei modernizări rapide, PIAS riscă:

• să devină tehnologic incompatibilă cu viitoarele sisteme naționale de e-Health;
• să nu mai poată susține extinderea serviciilor digitale (telemedicină, dosar medical extins etc.);
• să genereze pierderi economice și administrative prin blocaje recurente și costuri neprevăzute.

Probleme privind inventarul IT al CNAS și al structurilor teritoriale; nu există o listă a licențelor

Raportul arată că CNAS și casele județene de asigurări de sănătate (CJAS) nu dețin un inventar centralizat și actualizat al echipamentelor IT folosite pentru operarea Platformei Informatice a Asigurărilor de Sănătate (PIAS).
În multe cazuri, datele despre calculatoare, servere, imprimante, routere sau alte echipamente sunt ținute în tabele disparate, necorelate între instituții.

Din cauza achizițiilor realizate de-a lungul anilor prin proiecte separate, fără coordonare centrală, infrastructura IT este eterogenă și neuniformă. Astfel, în rețeaua CNAS coexistă echipamente de generații diferite, de la producători diferiți, cu configurații și sisteme de operare incompatibile.

Raportul semnalează și faptul că nu există o bază de date centrală privind licențele software utilizate în cadrul CNAS și al CJAS.

De multe ori, instituțiile nu știu exact:

• câte licențe de sisteme de operare sunt valide;
• câte aplicații sunt acoperite legal;
• câte versiuni de software sunt instalate efectiv pe stațiile de lucru.

Lipsa de personal IT specializat

Problema inventarului este agravată de deficitul masiv de specialiști IT, mai arată documentul:

• „Din totalul posturilor din Direcția Generală Tehnologia Informației (DGTI) — structura care gestionează PIAS — doar 56% din numărul total de posturi erau ocupate.”

• „Un număr semnificativ de posturi sunt ocupate de persoane care nu au studii corespunzătoare realizării atribuțiilor prevăzute pentru compartimentul IT — cum ar fi psihologi, filologi, medici, kinetoterapeuți, horticultori.”

• Între anii 2014 și 2024, Direcția Generală Tehnologia Informației (DGTI), a fost condusă cu caracter interimar, pe perioade de câte 6 luni, de către 9 persoane diferite.”

• Această rotație continuă a conducerii a împiedicat implementarea unei strategii coerente și a dus la o lipsă de viziune pe termen lung în domeniul digitalizării și mentenanței PIAS.

• „Lipsa unei înțelegeri aprofundate a cerințelor și a rolului esențial al unei structuri de guvernanță IT, alături de pregătirea IT limitată și absența atragerii de experți, au influențat negativ implicarea și asumarea responsabilităților de către organele de conducere ale CNAS.”

Risc major – acces al unor persoane terțe neprecizate

• „În cadrul sistemelor informatice gestionate de CNAS, s-a constatat existența unor accesări efectuate de părți terțe neprecizate, pentru care nu au fost identificate documente care să ateste autorizarea acestora. Situația este generată de lipsa unor proceduri unitare privind gestionarea conturilor de utilizator, precum și de absența unui mecanism centralizat de evidență și control al accesului.”

• „CNAS nu deține o bază de date completă a tuturor utilizatorilor externi (prestatori, subcontractanți, colaboratori), ceea ce face imposibilă verificarea periodică a drepturilor de acces și a activităților desfășurate de aceștia în cadrul PIAS.”

• „Au fost identificate situații în care prestatorii de servicii IT au avut acces direct la mediul de producție, fără o aprobare prealabilă documentată și fără o înregistrare completă în jurnalele de acces (loguri), fapt ce creează riscuri majore privind securitatea datelor cu caracter personal și integritatea sistemului informatic.”

(Citește și: CNAS nu reușește să angajeze experții IT de care are nevoie pentru Platforma de Sănătate)

****