„Za 1200-1500 zł rocznie można zapobieć 90% ataków hakerów”

Kiedy duże szpitale nadrabiają zaległości w cyberbezpieczeństwie, między innymi dzięki środkom z KPO, małe, indywidualne praktyki lekarskie stają się łatwym łupem dla hakerów. Ale dobra ochrona danych to kwestia prostych zabezpieczeń za ok. 100-120 zł miesięcznie.

1400 zł – tyle biorą hakerzy za ukradzioną kartotekę medyczną pacjenta

Szacuje się, że 8 na 10 lekarzy doświadczyło próby ataku hakerskiego. Złamanie zabezpieczeń jest znacznie łatwiejsze niż w przypadku coraz lepiej chronionych dużych placówek, przy czym wartość danych i obietnica szybkiego zarobku – takie same albo większe. Lekarz, który przez lata pracował na zaufanie swoich pacjentów, może je stracić w ułamku sekundy. Hakerzy o tym dobrze wiedzą.

Nawet 1400 zł kosztuje w darknecie skradziona kartoteka medyczna. To znacznie więcej niż dane karty kredytowej, które można zdobyć już za 25 zł. Chętnych, żeby je kupić, nie brakuje, bo to łatwe narzędzie wywierania przez przestępców presji okupu na lekarzy. W przypadku ataku ransomware, w panice wiele osób woli przelać w bitkoinach kilka tysięcy złotych, aby szybko odblokować komputer. Według statystyk, robi to ok. 20–50% ofiar. Zapłata nie gwarantuje jednak, że haker nie wykradł dodatkowo danych; potem ktoś je kupi i w krótkim czasie pojawią się kolejne szantaże i groźby. Ataków phishinowych przybywa, a hakerzy coraz lepiej podszywają się pod NFZ i ZUS, aby przekonać do kliknięcia w zainfekowany link.

Brak zabezpieczeń przed hakerami to ryzykowna gra, która może źle się skończyć. A wystarczy nieco ponad 100 złotych miesięcznie, aby spać spokojniej.

Menedżer haseł dla całego gabinetu

Najczęstszą przyczyną włamania do komputera, a następnie do systemu gabinetowego, są słabe hasła. Eksperci zalecają stosowanie menedżerów haseł, które generują długie, unikalne hasła złożone z różnych kombinacji liter, cyfr i znaków specjalnych oraz przechowują je w zaszyfrowanej bazie. Menedżer haseł jest dostępny za darmo m.in. w przeglądarce internetowej Chrome od Google i Edge od Microsoft. Mają go też popularne systemy antywirusowe w wersjach premium, jak np. Avast. Użytkownik musi pamiętać tylko hasło główne do menedżera.

Dwuskładnikowe uwierzytelnianie

Nawet jeśli haker zdobędzie hasło, nie dostanie się do systemu zabezpieczonego tzw. 2FA, czyli metodą dwuetapowego uwierzytelniania. Logowanie trzeba wówczas potwierdzić kodem wysłanym na aplikację w telefonie. 2FA znacząco redukuje ryzyko skutecznego ataku i stało się standardem zabezpieczenia danych.

2FA można włączyć za darmo m.in. w poczcie internetowej. Jest też wymagane podczas logowania do platform ZUS i NFZ. Wspierają go np. bezpłatny Microsoft Authenticator albo Google Authenticator oraz niektóre aplikacje mobilne dla lekarzy i pielęgniarek.

Chmurowe kopie zapasowe z wersjonowaniem

Kiedy lekarz kliknie przez nieuwagę na link albo załącznik w wiadomości phishingowej, na komputerze zostanie zainstalowane złośliwe oprogramowanie ransomware. Szyfruje ono dane, a na ekranie pojawia się żądanie okupu. Komputer zostaje zablokowany. Jedynym wyjściem jest ponowna instalacja Windowsa, co oznacza utratę danych. W tym czarnym scenariuszu lekarz traci w jednej chwili dostęp do wszystkich kartotek swoich pacjentów, terminów, kontaktów – danych zbieranych przez kilka, kilkanaście lat.

Jedynym ratunkiem jest kopia zapasowa na innym nośniku danych, a najlepiej w innej lokalizacji, bo dane można stracić też w wyniku np. poważnej awarii komputera, pożaru, kradzieży itd. Najwygodniejszą i nie wymagającą żadnych dodatkowych czynności (oprócz jednorazowej konfiguracji) jest kopia danych w chmurze. Taki backup jest coraz tańszy. Przykładowo, w systemie KS-PPS firmy KAMSOFT kosztuje ok. 600 zł netto rocznie za jeden serwer. Systemy gabinetowe mają też inne opcje bezpieczeństwa danych, np. moduł ułatwiający spełnienie wymagań RODO (cena także ok. 600 zł za pierwszy rok).

Szyfrowanie dysków i urządzeń mobilnych

System Windows 10 lub 11 Pro oraz macOS oferują wbudowane szyfrowanie dysku, tzw. BitLocker (Windows) oraz FileVault (Apple). Jego aktywacja jest bezpłatna.

Po co szyfrować dyski? Jeśli urządzenie zostanie skradzione lub zgubione, dostęp do danych pacjentów – w przypadku lokalnej bazy danych – będzie znacznie utrudniony. Szyfrowanie jest też kluczowe w kontekście RODO. W przypadku urządzeń mobilnych, jak smartfon albo tablet, szyfrowanie najczęściej aktywowane jest automatycznie, np. poprzez FaceID (rozpoznawanie twarzy) lub TouchID (odcisk palca).

Szkolenie z cyberbezpieczeństwa i phishingu

Lekarze regularnie uczestniczą w konferencjach oraz szkoleniach, aby zaktualizować swoją wiedzę medyczną. Warto je uzupełnić o przynajmniej jedno szkolenie rocznie na temat bezpieczeństwa danych. Te organizowane przez Akademię Centrum e-Zdrowia są bezpłatne. Aby być na bieżąco, polecamy newsletter ezdrowie.gov.pl. Dużo dostawców IT organizuje też własne kursy albo webinary on-line, za które nie trzeba płacić.

Powyższe opcje powinny wystarczyć, aby być na bieżąco z cyberzagrożeniami. Zainteresowani wiedzą na poziomie zaawansowanym łatwo znajdą szkolenia z cyberbezpieczeństwa za ok. 200–1000 zł od osoby. Te z NIS2, które choć nie dotyczą gabinetów lekarskich, mogą się przydać, kosztują od 2000 zł w górę.

Antywirus i firewall

Kiedyś to komputery Apple uchodziły za dużo bezpieczniejsze niż Windows, ale najnowsze wersje systemu firmy Microsoft też mają bardzo dobre zabezpieczenia przed wirusami. Ochrona zdrowia wymaga aktualnego systemu operacyjnego, bo hakerzy często wykorzystują luki w zabezpieczeniach w nieaktualnym oprogramowaniu. Dlatego pod żadnym pozorem nie można wyłączać automatycznych aktualizacji systemów operacyjnych. Update trzeba przeprowadzić natychmiast po tym, jak na ekranie pojawi się informacja o nowej wersji i prośba o restart komputera.

W systemie iOS oraz w usłudze Windows 365 dane są gromadzone w chmurze (tylko dane systemowe i tworzone przez użytkownika pliki, teksty i obrazy, ale nie baza danych systemu gabinetowego), co ułatwia ich odzyskanie po awarii lub blokadzie systemu przez cyberprzestępców.

Antywirus nadal warto mieć, gdy w grę wchodzą dane medyczne. Programy takie jak Avast, Norton 360 czy Bitdefender, oprócz firewalla mają też wbudowane narzędzia rozpoznawania zagrożeń w czasie rzeczywistym (np. podczas odwiedzania stron www), zarządzania hasłami, wykonywania skanowania dysków albo konserwacji komputera. Roczna licencja kosztuje ok. 150–250 zł.

Na koniec jeszcze jedna rada: na komputerze z systemem gabinetowym nie powinno się instalować żadnych innych programów albo, co gorsza, korzystać z prywatnej poczty, odwiedzać prywatnie strony internetowe, robić zakupy online. To idealne okazje dla hakerów, aby wykraść nasze dane.

Czytaj także: 5 sposobów, jak uniknąć milionowych kar UODO