10 prostych porad dla lekarzy, jak chronić dane pacjentów

Według raportu Critical Insight „2022 Healthcare Data Breach Report”, liczba ataków cybernetycznych na małe placówki zdrowia systematycznie rośnie.
Według raportu Critical Insight „2022 Healthcare Data Breach Report”, liczba ataków cybernetycznych na małe placówki zdrowia systematycznie rośnie.

Choć media informują wyłącznie o atakach hakerów na duże szpitale, ofiarami cyberprzestępców padają też indywidualne praktyki lekarskie i małe podmioty. Jak samemu zadbać o dane pacjentów, gdy nie można liczyć na pomoc informatyka albo działu IT?

Małe praktyki ignorują zagrożenia, a hakerzy to wykorzystują

Według ostatnich danych, ponad 130 tys. lekarzy w Polsce wykonuje pracę w ramach indywidualnych praktyk lekarskich. Nie mają oni często ani zaplecza IT dbającego o bezpieczeństwo danych i systemów ochrony cybernetycznej, ani czasu na to, aby zajmować się informatyką. Często korzystają z tego samego komputera do prowadzenia kartotek pacjentów i czytania prywatnych maili, nie mają dużych budżetów na bezpieczeństwo danych.

Wielu lekarzy wychodzi z błędnego założenia, że hakerzy i tak nie interesują się małymi praktykami, bo duży okup można wyłudzić tylko od dużych podmiotów. Do tego chcą skupiać się na przyjmowaniu pacjentów, a nie na informatyce. Wiedzą o tym dobrze hakerzy – według raportu Critical Insight „2022 Healthcare Data Breach Report”, liczba ataków cybernetycznych na małe placówki zdrowia systematycznie rośnie. W 2022 roku jedna trzecia z nich dotyczyła szpitali, a 12% – małych praktyk lekarskich. W 2019 roku było to zaledwie 2%. Skąd aż 6-krotny wzrost?

Duże placówki nadrabiają zaległości w cyberbezpieczeństwie i hakerom coraz trudniej przełamać bariery bezpieczeństwa. Ale nadal łatwą ofiarą są małe jednostki nie posiadające nawet podstawowych zabezpieczeń, ale gromadzące cenne dane medyczne pacjentów. Jeśli przyczyną ataku był masowo wysyłany phishing (hakerzy wysyłają codziennie 3,4 mld maili z phishingiem), lekarze są skłonni dużo częściej zapłacić okup, aby szybko pozbyć się problemu i ewentualnych konsekwencji.

Co tydzień na świecie dochodzi do ok. 1800 ataków cybernetycznych na placówki zdrowia. W 2023 roku było ich o 74% więcej w stosunku do 2022 roku. I to coraz częściej ataki na małe gabinety lekarskie, które mają spore zaległości w kwestiach ochrony danych.
Co tydzień na świecie dochodzi do ok. 1800 ataków cybernetycznych na placówki zdrowia. W 2023 roku było ich o 74% więcej w stosunku do 2022 roku. I to coraz częściej ataki na małe gabinety lekarskie, które mają spore zaległości w kwestiach ochrony danych.

Ochrona wkomponowana w pracę

Czy można znaleźć kompromis pomiędzy wysokim poziomem bezpieczeństwa a minimalnym nakładem czasu? Tak, ale wymaga to takiego przygotowania, aby bezpieczeństwo było wbudowane domyślnie w procedury codziennej pracy. Warto poświęcić kilka dni w roku na cyberbezpieczeństwo, aby potem nie spędzać tygodni na usuwaniu skutków potencjalnego ataku i mierzyć się z konsekwencjami wizerunkowymi, prawnymi i finansowymi. Oto co radzą eksperci cyberbezpieczeństwa.

Oddziel dane prywatne od służbowych. Pierwsza i podstawowa zasada pozwalająca znacznie podwyższyć poziom cyberbezpieczeństwa to osobny komputer z zainstalowanym systemem gabinetowym. Bez dostępu do maili i możliwości przeglądania stron Internetowych. Jak wynika z analizy Deloitte, aż 91% wszystkich cyberataków zaczyna się od otwarcia wiadomości phishingowej, a według Europejskiej Agencji Cyberbezpieczeństwa, ataki z wykorzystaniem ransomare stanowią 54% wszystkich ataków hakerów na placówki ochrony zdrowia.

Archiwizuj dane. Nie od czasu do czasu na dysku zewnętrznym, ale w trybie ciągłym i najlepiej w chmurze danych. Zapytaj o takie rozwiązanie u dostawcy systemu gabinetowego. Koszt kilkuset złotych rocznie jest niewspółmiernie mały do posiadania bezpiecznej i aktualnej kopii zapasowej. Nawet jeśli twój komputer zostanie zablokowany przez złośliwe oprogramowanie, będziesz mógł szybko przywrócić wszystkie dane i oszczędzić sobie ogromnych kłopotów.

Szyfruj dane (VPN). Lekarze pracujący mobilnie czasami korzystają z sieci publicznych, a to wiąże się z dużym ryzykiem dla bezpieczeństwa danych. Aby go zminimalizować, szyfruj dane z pomocą wirtualnej sieci prywatnej (tzw. VPN). Ceny VPN-ów zaczynają się już od ok. 10–15 zł miesięcznie i to dobra inwestycja w bezpieczeństwo danych.

Przestudiuj kodeks RODO dla małych placówek medycznych. RODO może kojarzyć się z niejasnymi przepisami i dziwnymi wytycznymi. Jak praktycznie stosować zasady ochrony danych osobowych w placówkach ochrony zdrowia tłumaczy „Kodeks postępowania dotyczący ochrony danych osobowych przetwarzanych w małych placówkach medycznych” opracowany przez Federację Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie. Na 109 stronach znajdziesz najważniejsze wytyczne.

Stosuj silne hasła. Silne hasło to takie, którego nie jesteś w stanie zapamiętać, składające się z kombinacji znaków specjalnych, dużych i małych liter oraz cyfr (minimum 8). Dobre hasło powinno chronić oprogramowanie gabinetowe, ale także sieć WiFi w miejscu wykonywania pracy. Hasło zmieniaj koniecznie przynajmniej raz w miesiącu. Nie trzymaj kartek z hasłem w portfelu albo przy komputerze. Możesz skorzystać z systemów zarządzania hasłami.

Nie oszczędzaj na oprogramowaniu. Ustaw automatyczną aktualizację systemu operacyjnego i nie zwlekaj z uruchomieniem update’u, jeśli komputer tego wymaga. Na bieżąco aktualizuj system gabinetowy. Zainstaluj i aktualizuj oprogramowanie antywirusowe. To samo dotyczy smartfonu, jeśli korzystasz na nim z mobilnych aplikacji gabinetowych np. do obsługi pacjentów czy gromadzenia danych w EDM.

Zastanów się, czy nie skorzystać z outsourcingu IT. Jeśli nie chcesz sobie zawracać głowy sprawą cyberbezpieczeństwa, skorzystaj z usług firm, które się tym zajmują. Zapytaj firmę-dostawcę systemu gabinetowego, czy oferuje takie usługi lub sprawdź oferty outsourcingu IT. Za wygodę trzeba jednak zapłacić – ceny zaczynają się ok. 500 zł miesięcznie i zależą od liczby komputerów.

Chroń swój komputer jak portfel. Nawet najsilniejsze hasła nie pomogą, gdy złodzieje ukradną twój komputer z danymi. Pamiętaj także, aby nigdy nie instalować oprogramowania z niezaufanych źródeł albo podłączać nieznanych nośników pamięci. Ta stara metoda dalej dobrze działa i według nowych danych, w pierwszym półroczu 2023 roku aż trzykrotnie zwiększyła się liczba ataków z pomocą złośliwego oprogramowania dystrybuowanego na nośnikach pamięci USB. Następnym razem gdy znajdziesz atrakcyjnie wyglądający dysk USB albo dostaniesz go od nieznajomej osoby, dla pewności zrezygnuj z prezentu. Jego otwarcie może cię drogo kosztować.

Rozważ ubezpieczenie od ryzyk cybernetycznych, jeśli chcesz dmuchać na zimne. Ale najpierw spełnij powyższe warunki. Nie jest tanie, a do tego udział własny najczęściej wynosi kilka tysięcy złotych. Należy je traktować opcjonalnie. W przypadku ataku hakerów ubezpieczeni mogą liczyć najczęściej na przywrócenie danych i pracy systemów informatycznych (o ile mają kopię zapasową), pomoc prawną w zakresie roszczeń odszkodowawczych, pokrycie kosztów roszczeń i kosztów związanych z naprawą, a nawet wsparcie PR, jeśli reputacja firmy została naruszona w wyniku incydentu. Dostępne w Polsce ubezpieczenia raczej kierowane są do dużych placówek medycznych

Aktualizuj swoją wiedzę. Hakerzy stosują coraz bardziej wyrafinowane metody działania. Umiejętności dotyczące ochrony danych stają się częścią zawodu lekarza, odkąd praca w ochronie zdrowia to praca na danych.

Pobierz raport i zobacz webinar „Bezpieczeństwo danych i RODO”