Jak lepiej chronić dane medyczne? 20 wytycznych

Amerykański Departament Zdrowia i Usług Społecznych (The U.S. Department of Health & Human Services, DHHS) przygotował listę 20 wskazówek dotyczących bezpieczeństwa informacji, które mają pomóc szpitalom lepiej chronić wrażliwe dane pacjentów.

Zagrożenia cyberbezpieczeństwa są takie same na całym świecie, bo dla hakerów granice nie istnieją. Wirusy i złośliwe oprogramowanie ransomware mogą wniknąć do każdego systemu IT i komputera; wielu ataków nie jesteśmy świadomi, bo są udaremniane przez systemy antywirusowe lub wtedy, gdy zdecydujemy się usunąć podejrzany e-mail.

Zalecenia DHHS – choć opracowane w USA – także są uniwersalne i mogą znaleźć zastosowanie we wszystkich organizacjach opieki zdrowotnej. Uświadamiają przy okazji, że skuteczna polityka bezpieczeństwa opiera się na przewidywaniu potencjalnych zagrożeń, znajomości sposobów działania hakerów i aktywnej profilaktyce cyberzagrożeń.

Cyberprzestępcy stosują coraz to nowsze metody socjotechniczne, aby wykraść dane. Ich celem jest najczęściej wyłudzenie okupu albo kompromitacja wizerunku placówki. Czasami dane od razu trafiają do darknetu i to bez ostrzeżenia. Niezależnie od motywu, placówki ochrony zdrowia nie są bezbronne i mogą zbudować odporny system zabezpieczeń i reagowania na kryzysy bezpieczeństwa danych.

1. Stwórz kulturę bezpieczeństwa

Żadna polityka bezpieczeństwa nie będzie skuteczna, jeśli pracownicy nie będą chcieli przestrzegać najlepszych praktyk ochrony danych. Kierownictwo musi dawać dobry przykład i prowadzić szkolenia pracowników. Tak samo ważna jest zaufana kultura pracy – tylko od tego zależy, czy w przypadku błędu prowadzącego do wycieku danych, pracownicy poinformują o tym kierownictwo i w ten sposób można będzie szybko zareagować.

2. Chroń szczególnie urządzenia mobilne

Coraz częściej elektroniczna dokumentacja medyczna (EDM) jest gromadzona z pomocą urządzeń przenośnych, jak tablety czy telefony. Warto pamiętać, że są one bardziej narażone na kradzież i nieautoryzowany dostęp niż urządzenia stacjonarne.

3. Utrzymuj wysoką higienę cybernetyczną

Ustal twarde zasady polityki bezpieczeństwa i pilnuj, aby były przestrzegane. Nie zapomnij o takich często pomijanych szczegółach jak zmiana domyślnych haseł w komputerach i systemach albo dokładne czyszczenie danych z utylizowanych urządzeń.

4. Skonfiguruj zapory sieciowe

Polegaj na przeszkolonym personelu w zakresie konfiguracji zapór sieciowych, aby chronić systemy szpitalne przed atakami z zewnątrz. Zapory mogą być oparte na sprzęcie lub oprogramowaniu w zależności od wielkości systemu szpitalnego. Unikaj zatrudniania ekspertów bezpieczeństwa na pół etatu lub korzystania z usług osób o niezweryfikowanych kwalifikacjach.

5. Zainstaluj i konserwuj oprogramowanie antywirusowe

Dobre oprogramowanie antywirusowe to podstawa w każdym szpitalu. Musi ono być automatycznie aktualizowane, bo hakerzy często próbują wykorzystać istniejące luki bezpieczeństwa, które na bieżąco są łatane przez dostawców antywirusów.

6. Wykonuj kopie zapasowe danych

Regularne tworzenie kopii zapasowych danych i bezpieczne przechowywanie tych kopii jest kluczem do odzyskania sprawności po ataku hakerów. Zaleca się minimum dwie kopie przechowywane w różnych lokalizacjach, np. w chmurze danych i na zewnętrznym nośniku danych niepodłączonym do sieci komputerowej.

7. Kontroluj dostęp do chronionych informacji zdrowotnych

Przemyśl dokładnie, kto potrzebuje dostępu do dokumentacji pacjenta, ustal poziomy uprawnień dla poszczególnych grup pracowników. Stosuj audyty, aby na bieżąco kontrolować stan dostępu do danych. Nie zapomnij o usuwaniu uprawnień pracowników, którzy zakończyli pracę.

8. Używaj silnych haseł i zmieniaj je regularnie

Stosuj najlepsze praktyki bezpiecznych haseł, takie jak:

• Do każdego systemu używaj innego hasła;
• Regularnie zmieniaj hasła;
• Używaj skomplikowanych haseł, które nie są łatwe do odgadnięcia (litery, cyfry, znaki specjalne oraz odpowiednia długość);
• Używaj uwierzytelniania wieloczynnikowego, zawsze gdy to możliwe;
• Wprowadź możliwość łatwego resetowania haseł, gdy pracownik go nie pamięta. W ten sposób zapobiegasz zapisywaniu haseł na kartkach naklejanych na komputer czy zostawianych w szufladach.

9. Ogranicz dostęp do sieci

Sieci bezprzewodowe mogą być łatwe do skonfigurowania, ale są podatne na nieautoryzowany dostęp, jeśli nie używa się w nich szyfrowania. Najlepiej skonfiguruj wirtualną sieć prywatną, czyli VPN.

10. Kontroluj dostęp fizyczny do danych

Wraz z postępującą cyfryzacją, większość incydentów bezpieczeństwa dotyczy danych w formie elektronicznej. Ale to nie oznacza, że można zignorować zagrożenia fizyczne. Przenośne urządzenia powinny być przechowywane w bezpiecznych miejscach, do których mają dostęp tylko uprawnione osoby. Polityka bezpieczeństwa powinna ograniczać ich użycie poza placówkami. Dostęp do pomieszczeń placówek należy tak zorganizować, aby mogli się po nich poruszać tylko pracownicy. Przy każdym odejściu od stacji roboczej, należy wylogować się z systemu.

11. Prowadź regularne szkolenia personelu

Pracownicy są najsłabszym ogniwem w systemie bezpieczeństwie informacji. Dlatego muszą oni znać i rozumieć aktualnie stosowane protokoły bezpieczeństwa oraz być świadomi konsekwencji ich nieprzestrzegania.

Oceń poziom wiedzy swoich pracowników i opracuj programy szkoleniowe, które wypełnią zidentyfikowane luki.

12. Realizuj kontrole wykorzystania danych

Wykorzystaj narzędzia do wykrywania i klasyfikacji danych, aby zidentyfikować wrażliwe dane dotyczące zdrowia, monitorować dostęp do nich i chronić je. Tego typu systemy kontroli wykorzystania danych mogą np. uniemożliwić pracownikom wysyłanie danych wrażliwych pocztą elektroniczną, umieszczanie na nieautoryzowanych stronach lub kopiowanie na urządzeniach pamięci masowej.

13. Monitoruj dostęp do danych

Śledzenie, którzy użytkownicy mają dostęp do danych i zasobów opieki zdrowotnej, pomaga zidentyfikować wrażliwe punkty systemu informacji i wdrożyć działania ochronne. Monitorowanie umożliwia tworzenie ścieżek audytu, dzięki czemu łatwiej jest wykryć nieautoryzowane punkty dostępu.

14. Szyfruj dane

Szyfruj dane, aby utrudnić – a najlepiej uniemożliwić – hackerom odczytanie danych nawet w przypadku udanego naruszenia. Określ, jakie dane mają być szyfrowane i jakimi metodami. W przypadku korzystania z rozwiązań chmurowych, szyfrowanie danych powinien zagwarantować dostawca rozwiązania. Ponieważ dane medyczne są danymi wrażliwymi, moc kryptograficzna powinna być na bardzo wysokim poziomie.

15. Minimalizuj ryzyko związane z urządzeniami podłączonymi do sieci

Urządzenia służące do gromadzenia EDM to nie jedyny podatny na cyberzagrożenia element sieci szpitalnych. Nie można zapomnieć o urządzeniach medycznych, kamerach bezpieczeństwa i sprzęcie biurowym włączonych w sieć. Oferują one punkty dostępu, które ostatecznie mogą prowadzić do danych pacjentów. Utrzymuj tego typu urządzenia w oddzielnych sieciach i monitoruj je pod kątem nieautoryzowanego dostępu.

16. Przeprowadzaj regularne oceny ryzyka

Oceny ryzyka pomogą zrozumieć podatności organizacji na zagrożenia. Tylko wtedy można przewidzieć problemy z bezpieczeństwem i odpowiednio zabezpieczyć systemy szpitalne. Przykładem jest symulacja ataków hakerów (np. wysyłka maili z podejrzanymi załącznikami) albo kontrolowana blokada komputerów z wyświetleniem informacji o wirusie.

17. Oceniaj bezpieczeństwo partnerów biznesowych

Opieka zdrowotna opiera się na dzieleniu się informacjami. Upewnij się, że systemy szpitalne są chronione przed nieautoryzowanym dostępem w przypadku wymiany danych z partnerami biznesowymi. Tego zresztą wymaga RODO.

18. Aktualizuj oprogramowanie systemowe, części białej i szarej

Przestarzałe oprogramowanie jest bardziej podatne na ataki. Przykładowo, hakerzy często atakują starsze wersje systemów, które nie mają najnowszych łatek bezpieczeństwa. Dotyczy to przede wszystkim systemu operacyjnego, ale również systemów szpitalnych, zarówno w części administracyjnej (np. terminarze wizyt), jak i klinicznej (EDM).

19. Stwórz plan odzyskiwania danych

Atak cybernetyczny jest tylko kwestią czasu. Pytanie brzmi nie „czy”, ale „kiedy”. System bezpieczeństwa powinien mieć strukturę warstwową – nawet jeśli jedna z nich zawiedzie, potencjalny atak może zostać powstrzymany na kolejnym poziomie. Jednak nawet przy najwyższej staranności, czasami hackerom udaje się zyskać dostęp do danych. Wówczas ratunkiem są kopie bezpieczeństwa i plan przywracania systemów szpitala do normalnego funkcjonowania oraz ochrona przed kolejnym atakiem. Nieprzygotowanym placówkom grozi m.in. paraliż pracy i konieczność odwołania wizyt.

20. Ustal zasady zdalnego dostępu do informacji

W ochronie zdrowia praca zdalna jest rzadkością, ale nie wyjątkiem. To może być lekarz sprawdzający po godzinach pracy dane pacjenta lub pracownik uzupełniający informacje rozliczeniowe. Dostęp do danych poza kontrolowanym środowiskiem placówki medycznej wiąże się zawsze z dużym ryzykiem. Polityka bezpieczeństwa musi określać, kto może mieć wgląd do danych z urządzeń zewnętrznych oraz w jakich sytuacjach. Tego typu urządzenia muszą spełniać określone warunki, np. mieć odpowiednie zabezpieczenia.

Czytaj także: 6 zasad ochrony przed ransomware