Jak wykonać „crash test” bezpieczeństwa danych?

Dodano: 08.05.2025

3 na 4 placówki zdrowia nie posiadają zespołów ds. cyberbezpieczeństwa - wynika z badania Centrum e-Zdrowia
3 na 4 placówki zdrowia nie posiadają zespołów ds. cyberbezpieczeństwa – wynika z badania Centrum e-Zdrowia

Po marcowym ataku hakerów na Szpital MSWiA w Krakowie, Minister Zdrowia Izabela Leszczyna zapowiedziała testy bezpieczeństwa systemów informatycznych w placówkach zdrowia. Jak wyglądają „crash testy” infrastruktury bezpieczeństwa danych?

Przedstawiając rozstrzygnięcia trzech konkursów – na opiekę długoterminową, badania kliniczne oraz cyberbezpieczeństwo – Minister Zdrowia skomentowała cyberatak na krakowski szpital, dodając, że resort zdrowia analizuje, jakie zabezpieczenia w szpitalach są konieczne.

– Zwrócimy się do wszystkich szpitali o przeprowadzenie crash-testów i raportowanie do nas, na ile bezpieczeństwo (red.: danych) może być zagrożone – powiedziała Izabela Leszczyna.

Mówiąc o crash-testach, Minister nie sprecyzowała, o jakie testy chodzi. Można się domyślać, że o testy bezpieczeństwa danych. Tych jest kilka i pozwalają zidentyfikować słabe punkty w systemie ochrony danych.

Jakie są 3 priorytetowe obszary działań podmiotów medycznych w zakresie cyberbezpieczeństwa?
Jakie są 3 priorytetowe obszary działań podmiotów medycznych w zakresie cyberbezpieczeństwa? (źródło: CeZ)

Ocena podatności (analiza ryzyka)

To podstawowe narzędzie, którego celem jest wykrycie słabych punktów zabezpieczeń w infrastrukturze IT szpitala – takich, które mogą wykorzystać hakerzy, aby włamać się do sieci placówki. Ocena podatności wykonywana jest przez informatyków i obejmuje m.in. skanowanie sieci, testowanie sprzętu i systemów. Szpital musi na bieżąco kontrolować, czy posiadane oprogramowanie jest aktualne, a wszystkie systemy zabezpieczeń – np. zapora sieciowa – są odpowiednio skonfigurowane.

Testy penetracyjne

Kontrolowane hakowanie polega na przeprowadzeniu symulacji cyberataku w celu zidentyfikowania słabych punktów ochrony. Dobrze zrealizowane testy penetracyjne mogą otworzyć oczy na wcześniej przeoczone słabe ogniwa systemu zabezpieczeń. Przeprowadza je firma zewnętrzna lub pracownik szpitala. Testy penetracyjne powinny być realizowane nie tylko na systemach IT, ale także na procedurach ochrony danych oraz urządzeniach medycznych wpiętych w sieć szpitalną. Można sprawdzić, czy przykładowo pracownicy mogą potencjalnie nadużyć uprawnień dostępu do danych.

Audyty bezpieczeństwa baz danych

Celem każdego ataku hakerów jest baza danych z danymi pacjentów. Hakerzy starają się albo wykraść dane, albo je zaszyfrować, a coraz częściej wykonują obydwie operacje (tzw. podwójne wymuszenie). Ich celem rzadko kiedy jest sprzedaż danych na czarnym rynku, ale przede wszystkim szantaż i uzyskanie dużego okupu. Dlatego audyt bezpieczeństwa danych – wykonywany przez wyspecjalizowaną firmę – powinien być standardem w dużych placówkach, bo jest podstawą do dalszych inwestycji w cyberbezpieczeństwo. Audytorzy – specjaliści od bezpieczeństwa danych sprawdzają krok po krok każdy poziom ochrony danych, ale także procedury reagowania na incydenty bezpieczeństwa.

Jednym z elementów audytów bezpieczeństwa jest audyt zgodności z przepisami dotyczącymi ochrony danych, czyli RODO. To na ich podstawie budowane są strategie ograniczania ryzyka wystąpienia incydentów bezpieczeństwa danych.

Testy reagowania na incydenty

Celem jest sprawdzenie, czy plan reagowania na incydenty bezpieczeństwa danych jest aktualny i zapewnia szybkie odzyskanie danych po awarii i kontynuację działalności, czyli przyjęć, leczenia (z dostępem do krytycznych danych) i planowania wizyt pacjentów. W języku fachowym mówi się o tzw. ćwiczeniach TableTop. Uczestnicy w grupie osób decyzyjnych omawiają dokładnie plan reagowania, a obserwatorzy – eksperci ochrony danych – analizują stopień przygotowania. Oprócz tego sprawdzana jest zdolność do przywracania danych oraz znajomość procedur zgłaszania incydentów naruszenia danych przez pracowników.

Testy phishingowe

Zaledwie w okresie 4 lat, od 2020 do 2024 roku, liczba ataków typu ransomware na placówki zdrowia wzrosła siedmiokrotnie. Ransomware to złośliwe oprogramowanie, które zostaje zainstalowane na komputerze lub sieci placówki. Aby wprowadzić takiego wirusa do sieci szpitala, hakerzy często sięgają do phishingu. Polega on na zachęceniu użytkownika do kliknięcia w zainfekowany link albo załącznik, który powoduje instalację wirusa. W tym przypadku „crash-test” polega na przeprowadzeniu symulowanych ataków phishingowych. Na skrzynki poczty elektronicznej pracowników placówki medycznej wysyłana jest wiadomość z podejrzanego e-maila, w której prosi się o np. zainstalowanie nowej wersji systemu albo weryfikację konta. Taki mail powinien zawierać narzędzie trackingowe, aby wiadomo było, ilu pracowników kliknęło na link.

Czytaj także: Trendy cyberbezpieczeństwa w ochronie zdrowia 2025