Grupa naukowców z Collegium Medicum im. Ludwika Rydygiera w Bydgoszczy zbadała, czy ChatGPT jest w stanie zaliczyć egzamin certyfikacyjny z chorób wewnętrznych. Przetestowali go na 10 zestawach pytań z lat 2013-2017. Odsetek prawidłowych odpowiedzi wahał się od 47,5 proc. do 53,33 proc., podczas gdy do zaliczenia potrzeba 60 proc.

Czy ChatGPT może konkurować z lekarzami?

Od czasu publikacji dużego modelu językowego (LLM) jakim jest ChatGPT, naukowcy testują jego możliwości pod kątem zastosowań w medycynie. Kilka miesięcy od jego premiery, AI zaliczyła pierwszy sukces zdając amerykański egzamin licencyjny (United States Medical Licensing Exam, USMLE) odpowiadając popawnie na 60 proc. pytań. AI zdała też m.in. egzaminy z radiologii w USA i Kanadzie (Canadian Royal College i American Board of Radiology), Europejski Egzamin z Podstaw Kardiologii czy nawet egzamin medyczny w Arabii Saudyjskiej.

Osiągnięcia AI różnią się znacznie w zależności od dziedziny medycyny. Przeprowadzone analizy porównawcze pokazują na przykład, że ChatGPT odpowiada poprawnie na średnio 40 proc. pytań w testach z biomedycyny, podczas gdy na egzaminach z diabetologii jest w stanie zdobyć nawet 100 proc. punktów.

Jednak od czasu premiery ChatGPT zaczęły pojawiać się wyspecjalizowane modele trenowane na danych z litereatury medycznej. Przykładem jest Med-PaLM2 opracowany przez Google, który odpowiedział poprawnie już na 85 proc. pytań z amerykańskiego egzaminu licencyjnego (USMLE), podczas gdy ChatGPT tylko na 60 proc.

Oczywiście, zdanie egzaminu to zdecydowanie za mało, aby zostać lekarzem. Trzeba też wziąć pod uwagę, że w wielu testach odrzucano pytania, które zawierały obrazy, nagrania wideo czy audio, bo AI nie jest w stanie ich przeanalizować. We wspomnianym europejskim egzaminie z podstawowej kardiologii to aż 36 proc. wszystkich pytań.

AI gorsza o 20 proc. niż ludzie

Aby zostać specjalistą chorób wewnętrznych w Polsce wymagane jest ukończenie szkolenia specjalizacyjnego i zdanie egzaminu certyfikacyjnego. Egzamin składa się z dwóch elementów: testu wielokrotnego wyboru, który obejmuje 120 pytań z 5 możliwymi odpowiedziami (tylko jedna jest prawidłowa, trzeba odpowiedzieć poprawnie na min. 60 proc. pytań), oraz egzaminu ustnego, do którego można przystąpić po pomyślnym zdaniu testu pisemnego. Od 2023 r. kandydat może zostać zwolniony z egzaminu ustnego, jeśli uzyska wynik min. 75 proc. w teście pisemnym.

Badanie polskich naukowców jako pierwsze wzięło pod lupę możliwości ChatGPT w dziedzinie medycyny wewnętrznej. W symulacji uwzględniono pytania z 10 sesji egzaminacyjnych z lat 2013-2017. To łącznie 1191 pytań, po usunięciu tych, na które AI nie jest w stanie odpowiedzieć (np. zawierających obrazki).

Liczba uzyskanych poprawnych odpowiedzi przez ChatGPT w serii 10 egzaminach wahała się od 47,5 proc. do 53,33 proc. (mediana, 49,37 proc.). A to oznacza, że AI w żadnym z nich nie uzyskała wymaganego progu 60 proc. poprawnych odpowiedzi.

Naukowcy zestawili osiągnięcia AI z wynikami studentów. Okazało się, że byli oni średnio o ok. 20 proc. lepsi niż AI – poprawne odpowiedzi przyszłych lekarzy-ludzi wahały się od 65,21 proc. do 71,95 proc. (mediana, 69,92 proc.).

ChatGPT najlepiej radził sobie z krótkimi pytaniami. W przypadku ludzi, korelacja pomiędzy poprawnością odpowiedzi a długością pytania była znacznie mniejsza. Duże różnice występowały też w zalezności od dziedziny medycyny. Oto jakie wyniki uzyskał w podziale na specjalizacje:

• alergologia (71,43 proc.) – w tym przypadku zdałby egzamin,
• choroby zakaźne (55,26 proc.),
• endokrynologia (54,64 proc.),
• nefrologia (53,51 proc.),
• reumatologia (52,83 proc.),
• hematologia (51,51 proc.),
• gastroenterologia (50,97 proc.),
• pulmonologia (46,71 proc.)
• diabetologia (45,1 proc.),
• kardiologia (43,72 proc.).

Jak zaznaczają autorzy, AI nie może na razie konkurować z wiedzą wyszkolonych specjalistów medycznych w dziedzinie chorób wewnętrznych. Egzamin z medycyny obnaża fakt, że ChatGPT to model matematyczny nie potrafiący wnioskować. Przykładowo, w dłuższych pytaniach AI nie była w stanie rozpoznać kluczowych informacji popełniając błędy logiczne.

Dlaczego polski egzamin okazał się zbyt trudny dla ChatGPT?

Skąd takie różnice pomiędzy wynikami testów w USA a w Polsce? Możliwą przyczyną są różnice językowe. ChatGPT najlepiej czuje się w środowisku języka angielskiego, bo w tym języku jest większość danych, na których model jest trenowany. Do tego wykorzystano stary już model 3.5 zawierający informacje do września 2021 roku. Od tego czasu pojawił się model 4.0, a dane zostały zaktualizowane na stan do kwietnia 2023 roku. ChatGPT jest też modelem ogólnym żywiącym się danymi z internetu. O wiele większą wydajność mają specjalizowane modele dla medycyny jak Med-PaLM2.

– Jest mało prawdopodobne, aby sztuczna inteligencja była w stanie zastąpić pracowników służby zdrowia w najbliższej przyszłości, szczególnie w dziedzinie medycyny wewnętrznej. Nawet najbardziej wyrafinowane algorytmy i technologie wspomagane przez AI nie są w stanie diagnozować i leczyć chorób bez udziału człowieka – podkreślają autorzy badania.

Jednak AI może wspierać lekarzy w procesie opieki nad pacjentem, analizując duże zbiory danych, wychwytując niewidoczne dla człowieka korelacje w elektronicznej kartotece pacjenta. Zastosowanie sztucznej inteligencji jest nieuniknione w związku z kryzysem kadr medycznych.

Czytaj także: Parlament Europejski przyjął EU AI Act. Co przewiduje nowe prawo w medycynie?

Czasopismo OSOZ we współpracy z Siecią Lekarzy Innowatorów Naczelnej Izby Lekarskiej NIL IN prezentują nowy cykl o nowoczesnej ochronie zdrowia. Pokażemy najlepsze praktyki cyfryzacji i koncepcje organizacyjne, porozmawiamy z ekspertami i podpowiemy, jak wdrażać innowacje z korzyścią dla pacjentów oraz pracowników ochrony zdrowia.

Dobre praktyki e-zdrowia prosto ze środowiska lekarzy

Innowacje w medycynie to nie tylko nowe technologie e-zdrowia czy leki, ale także rewolucyjne podejścia do diagnostyki, terapii i opieki nad pacjentem szeroko wdrażane w polskich placówkach ochrony zdrowia. Wśród nich są innowacje poprawiające jakość opieki i usprawniające procesy administracyjne tworzone we współpracy z lekarzami i z myślą o wspomaganiu ich pracy. Skoro sprawdzają się u tych, którzy je opracowali, mogą też zainspirować innych do udoskonaleń.

W nowym cyklu NIL IN/OSOZ prezentujemy:

• Sprawdzone technologie e-zdrowia
• Najnowsze rozwiązania jak sztuczna inteligencja i robotyka
• Porady ekspertów NIL IN
• Innowacje procesowe i nowe koncepcje zarządzania
• Ramy systemowe i prawne wdrażania innowacji
• Osiągnięcia innowatorów

Odwiedzimy innowatorów oraz zaglądniemy do wnętrza technologii przyszłości i rewolucyjnych projektów badawczych, które wspomagają diagnozowanie i leczenie pacjentów oraz funkcjonowanie systemu ochrony zdrowia.

Radzimy jak wdrażać technologie, zarządzać i być innowacyjnym

W wywiadach z wiodącymi naukowcami, lekarzami i przedstawicielami branży medycznej poznamy kulisy ich pracy oraz inspirując wizje przyszłości medycyny. Dowiemy się, jakie wyzwania stoją przed innowatorami i jak je pokonują oraz nad jakimi rozwiązaniami pracują.

Skupimy się na aktualnych tematach, udanych wdrożeniach i wzorach do naśladowania, czyli tym, czym zajmujemy się w NIL IN – Sieci Lekarzy Innowatorów Naczelnej Izby Lekarskiej.

– Najlepsze innowacje powstają zawsze we współpracy. Nie chodzi tylko o stworzenie technologii, ale jej dopasowanie do rynku i oczekiwań użytkowania oraz wdrożenie w organizacji. NIL IN jest społecznością praktyków i pasjonatów, którzy zamiast stosować narzucane z góry rozwiązania, wpływają na ich kształt zgodnie z hasłem „innowacje dla lekarzy tworzone przez lekarzy” – mówi Artur Olesch, redaktor naczelny czasopisma OSOZ Polska.

Pierwszy artykuł dotyczy wyścigu o dane medyczne. Czy polska ochrona zdrowia jest gotowa na wykorzystanie potencjału danych? Czy regulacje prawne hamują czy wspierają przetwarzanie danych w placówkach ochrony zdrowia? O tym pisze dr Paweł Kaźmierczyk, uznany prawnik z obszaru LifeScience oraz członek Rady NIL IN. Premiera: 24 kwietnia 2024.

Dobre praktyki cyfryzacji ochrony zdrowia

Aby rozwiązania e-zdrowia i innowacje oferowały wartość dodaną dla ochrony zdrowia, muszą być współprojektowane w interdyscyplinarnych zespołach inżynierów, lekarzy i pacjentów. W nowym cyklu będziemy eksperymentować, odkrywać technologie i rozkładać na części składowe procesy digitalizacji, zadawać trudne pytania i inspirować do zmian.

Interesujesz się tematem innowacji w medycynie? Wypełnij formularz na www.nilin.org.pl i dołącz do społeczności NIL IN.

Czytaj także: Wszystko o e-zdrowiu w Polsce i na świecie. Czytaj archiwalne wydania OSOZ

W numerze 4/2024 OSOZ Statystyki m.in. pierwsze prognozy dla rynku farmaceutycznego 2024 oraz szczegółowa analiza sprzedaży środków wspomagających rzucanie palenia.

POBIERAM BEZPŁATNIE kwietniowe e-wydanie OSOZ Statystyki

W kwietniowym numerze OSOZ Statystyki:

• Jaki będzie rynek farmaceutyczny w 2024 roku? Pierwsze prognozy

W 2023 roku rynek farmaceutyczny rósł dynamicznie, ale tylko w segmencie leków na receptę. Ubyło ponad 200 aptek i punktów aptecznych i weszły w życie nowe regulacje związane m.in. z dużą nowelizacją ustawy refundacyjnej. W aspekcie prawnym jedną z najbardziej znaczących zmian była legislacja rozszerzająca program darmowych leków 65+/18–. A jaki był pierwszy miesiąc 2024 roku i co mówi o prognozach na cały rok?

W styczniu 2024 roku w stosunku do stycznia 2023 rynek farmaceutyczny urósł aż o 13,6% wartościowo (w cenach detalicznych dla pacjenta) i 4,1% ilościowo (w liczbie sprzedanych opakowań). Czytaj dalej >

• Najlepiej sprzedające się produkty
• Monitor epidemiologiczny (kwiecień 2024)
• Struktura dystrybucji leków

Prognozujemy, że w maju 2024 obrót w statystycznej aptece wyniesie 355 tys. zł. Będzie on o 37 tys. zł wyższy w stosunku do maja 2023. Za wzrost odpowiadają przede wszystkim większe niż rok temu szacowane koszty alergii.

• Sprzedaż leków na obniżenie cholesterolu

Aby rzucić palenie, Polacy często sięgają po środki antynikotynowe, np. plastry z nikotyną albo leki działające na receptory nikotynowe. Ich sprzedaż w aptekach od 2002 roku wzrosła pięciokrotnie i od 5 lat utrzymuje się na wyrównanym poziomie ok. 2,6 mln opakowań rocznie. Największy popyt występuje w styczniu, co jest efektem postanowień noworocznych (rekordowy był styczeń 2020 roku ze sprzedażą ponad 300 000 opakowań). Czytaj dalej >

Jak chronić dane medyczne? Pobierz poradnik dla placówek ochrony zdrowia >

Powoli idzie wdrażanie nowych zasad wystawiania e-recept rocznych, MZ kombinuje jak obejść weto Prezydenta w sprawie pigułki „dzień po”, są zapowiedzi zmian w wyliczaniu i poborze składki na ubezpieczenie zdrowotne. Podsumowanie najważniejszych wydarzeń na rynku zdrowia.

E-zdrowie

Ministerstwo Zdrowia przesunęło do 8 kwietnia termin przejściowy wdrożenia nowych zasad dla recept rocznych. Pierwotnie miał obowiązywać do końca marca. Nowość polega na tym, że to system P1 dostarczany przez CeZ oblicza ilość leku, środka spożywczego lub wyrobu medycznego przepisanego na recepcie rocznej, wydawanej pacjentowi w aptece. Mechanizm wymaga wystawienia przez lekarza e-recepty według nowego schematu zapisu informacji o dawkowaniu.

W aplikacji mObywatel pojawił się kolejny dokument – prawo wykonywania zawodu pielęgniarki/położnej. Z kolei w mojeIKP można już złożyć wniosek o EKUZ lub zastępujący do certyfikat. Proces wydania można na bieżąco sprawdzać bezpośrednio w aplikacji.

Centrum e-Zdrowia otrzymało dofinansowanie z programu Fundusze Europejskie na Rozwój Cyfrowy 2021–2027 (FERC). Środki zostaną przeznaczone na rozwój systemu e-zdrowie (P1), Rejestru Podmiotów Wykonujących Działalność Leczniczą 2.0 (RPWDL 2.0) oraz Systemu Obsługi List Refundacyjnych (SOLR 2.0). Ponadto CeZ uruchomił Centralny Rejestr Osób Uprawnionych do Wykonywania Zawodu Medycznego (RIZM).

Kadry medyczne

W pierwszej połowie kwietnia nadal nie było przepisów do ustawy o innych zawodach medycznych, choć powinny wejść w życie w marcu. Wiele kwestii pozostaje więc zawieszonych.

MZ szykuje kolejną zmianę ustawy o ratownictwie medycznym. Planuje wprowadzić do niej wiele zmian. Jedną z najbardziej oczekiwanych przez środowisko jest o obowiązek wypłacania dodatków za pracę w porze nocy i święta dla członków zespołów ratownictwa medycznego. Projekt ma też m.in. określić, że jeden SOR zabezpieczy obszar nie większy niż obszar zamieszkały przez 200 tys. mieszkańców, pozwalający na dotarcie zespołu ratownictwa medycznego z miejsca zdarzenia do tego oddziału w czasie nie dłuższym niż 45 minut.

Inna ważna zmiana ma być taka, że lek wydawany z przepisu lekarza będzie mógł podać poszkodowanemu świadek zdarzenia. Chodzi o udzielanie pomocy np. osobom przewlekle chorym czy uczulonym.

Leki i apteki

Ukazał się projekt rozporządzenia Ministra Zdrowia w sprawie programu pilotażowego opieki farmaceuty sprawowanej nad pacjentem w zakresie zdrowia reprodukcyjnego. To reakcja na prezydenckie weto zniesienia recept na pigułkę dzień po.  W ramach tego pilotażu – na podstawie recepty farmaceutycznej – osoby niepełnoletnie będą mogły kupić pigułkę „dzień po”.  

– Pacjentka przychodzi do apteki i prosi o tabletkę antykoncepcji awaryjnej, magister farmacji przeprowadza krótki wywiad, w którym jest dużo elementów edukacyjnych dla młodszych dziewcząt, ale też kobiet dojrzałych, wypisuje receptę farmaceutyczną i sprzedaje lek. To wszystko jest usługą farmaceutyczną, która finansuje NFZ – stąd mówimy o konieczności podpisania umowy, żeby możliwe było finansowanie przez NFZ – tłumaczyła minister Leszczyna. Kontrowersyjnym zapisem jest to, że osoby nieletnie miałyby przyjąć tabletkę w obecności farmaceuty. Inny aspekt tej sprawy to np. rola położnych, które od lat starają się by MZ wydłużyło listę leków, które mogą ordynować. W rozwiązaniach dotyczących pigułki dzień po, w ogóle ich nie uwzględniono.

Finanse

Rząd ogłosił w marcu pierwsze informacje na temat obiecywanych zmian w wyliczaniu i poborze składki na ubezpieczenie zdrowotne. Niestety zmiany te mogą uszczuplić fundusze NFZ. Zmiana w składce to jeden ze 100 konkretów i elementów umowy koalicyjnej. To resort zdrowia będzie „gospodarzem” projektu, który te zmiany wprowadzi, choć dotyczy on głównie decyzji Ministra Finansów. Znaleźć się one mają bowiem w ustawie o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych. Minister Andrzej Domański zapewniał, że nastąpi uproszczenie zasad i obniżenie wysokości składki zdrowotnej, a skorzysta na niej zdecydowana większość przedsiębiorców.

MZ konsultuje kolejną wersję KPO, czyli Krajowego Planu Odbudowy, z którego Polska ma otrzymać także pieniądze na ochronę zdrowia. Widać przesunięcie części funduszu np. z Agencji Badań Medycznych na Państwowy Zakład Higieny. Mamy problem m.in. z realizacją wcześniej ustalonych tzw. kamieni milowych m.in. w zakresie zmian prawnych jakie zapowiadał rząd.

Sprawa finansowania szpitali i ich oddłużania nadal pozostaje nierozwiązana. NFZ zapłacił część nadwykonań. Projekt usankcjonować ma w systemie PRM motocykle ratunkowe. Pomimo, że zespoły ratownictwa medycznego (ZRM) są już teraz są wspierane przez motocykle, to ich status prawny, a także sposób ich finansowania, pozostaje nieuregulowany.

Ogólnopolski Związek Zawodowy Pielęgniarek i Położnych jest coraz bardziej zaniepokojony trybem prac nad obywatelskim projektem nowelizacji ustawy wynagrodzeniowej, wniesionym do Sejmu z inicjatywy środowiska pielęgniarskiego. A minister Izabela Leszczyna wprost mówi, że na większe podwyżki niż planowano, nie ma pieniędzy. Projekt co do zasady ma powiązać wynagrodzenia z kwalifikacjami posiadanymi, a nie wymaganymi. Dodatkowo jednak m.in. wyrównuje różnice płacowe pomiędzy poszczególnymi grupami zaszeregowania. 

Kadry

Nadal nie rozstrzygnięto konkursów na szefów inspekcji farmaceutycznej, sanitarnej ani na prezesa ABM. Joanna Głażewska zastąpiła na Dariusza Poznańskiego, wieloletniego dyrektora Departamentu Zdrowia Publicznego, który złożył rezygnację pod koniec marca. Do niedawna była wicedyrektorką tego departamentu. Jej zastępczynią jest obecnie Dagmara Korbasińska-Chwedczuk.

W trzecim konkursie wyłoniono w końcu prezesa Agencji Oceny Technologii Medycznych i Taryfikacji (AOTMiT). Został nim Daniel Rutkowski, dotychczasowy wiceprezes, a jeszcze wcześniej zastępca dyrektora Departamentu Świadczeń Opieki Zdrowotnej w Centrali Narodowego Funduszu Zdrowia. Daniel Rutkowski jest w Agencji od roku.

Nowe szefostwo ma też gliwicki oddział Narodowego Instytutu Onkologii im. Marii Skłodowskiej-Curie – Państwowego Instytutu Badawczego (NIO-PIB). Dr hab. Sławomir Blamek zastąpił na stanowisku dyrektora prof. Krzysztofa Składowskiego. Od stycznia nowe szefostwo ma także Narodowy Instytut Onkologii w Warszawie. Stanowisko dyrektora objęła dr Beata Jagielska,  zostając pierwszą kobietą na czele NIO. Zastąpiła prof. Jana Walewskiego, który był dyrektorem Instytutu od 2016 r. 

Prof. Tomasz Hryniewiecki odwołany został z funkcji konsultanta krajowego do spraw kardiologii, a także pełnomocnika ministra zdrowia ds. Narodowego Programu Chorób Układu Krążenia. Zmieniło się również kierownictwo Krajowej Rady do spraw Kardiologii. Jej nową przewodniczącą została prof. Janina Stępińska, dyrektorka Narodowego Instytutu Kardiologii, zastępując na tym stanowisku prof. Tomasza Hryniewieckiego.

Czytaj także: Relacja z panelu dyskusyjnego o start-upach medtech podczas SALMED 2024

Amerykańska Agencja ds. Leków i Żywności (FDA) dopuściła na rynek pierwsze urządzenie wykorzystujące AI do oceny znamion. Pozwala ono zwiększyć dokładność dotychczasowych metod diagnostycznych jak np. badania dermatoskopowego.

Rak skóry należy do jednych z najbardziej agresywnych odmian nowotworów. Według danych Krajowego Rejestru Nowotworów, w 2020 roku na czerniaka w Polsce zachorowało ok. 3 300 osób (na całym świecie: 325 000 pacjentów). U ponad 10 000 zdiagnozowano inne nowotwory złośliwe skóry, jak raka podstawnokomórkowego i kolczystokomórkowego. Odsetek śmiertelności jest bardzo wysoki, sięgając 40–60 proc. u osób powyżej 70. roku życia. Jeśli jednak czerniak nie przekroczy grubości 1 mm, przeżycie jest bliskie 100%.

Algorytm do oceny znamion

Nowe, mieszczące się w dłoni urządzenie o nazwie DermaSensor służy do oceny zmian, które lekarze oznaczyli jako podejrzane. Wykorzystuje one technologię spektroskopii opartą na sztucznej inteligencji do oceny cech komórkowych i podskórnych zmian chorobowych. Algorytm AI został przeszkolony na danych ponad 4000 złośliwych i łagodnych zmian skórnych. Wynik badania dostępny jest natychmiast, dzięki czemu lekarz może przeprowadzić ocenę większej ilości zmian skórnych podczas jednego badania.

Z innowacji skorzystają lekarze podstawowej opieki zdrowotnej i dermatolodzy. Oferuje ona dokładniejszy sposób oceny pieprzyków pod kątem raka skóry niż zwykłe badanie pacjenta gołym okiem lub przez szkło powiększające. Wydając pozwolenia, FDA zaznaczyła jednak, że nie jest to rozwiązanie nadające się do screeningu raka skóry. Wynika to z faktu, że mowa o urządzeniu wysokiego ryzyka, gdzie błąd (np. klasyfikacja złośliwej zmiany jako łagodnej) może stanowić zagrożenie dla zdrowia i życia pacjenta. Dlatego urządzenie może pełnić tylko rolę pomocnika.

Jak AI diagnozuje raka skóry?

Całość wygląda jak mały telefon komórkowy z kamerą. Po zidentyfikowaniu potencjalnie złośliwej zmiany u pacjenta, lekarz dociska urządzenie do zmiany, aby ją przeskanować. Opatentowany algorytm analizuje dane spektralne i dostarcza ocenę w czasie rzeczywistym. Jeśli na ekranie pojawi się wynik „Zbadaj dalej”, specjalista powinien dokładnie przyjrzeć się zmianie. Z kolei komunikat „Monitoruj” sugeruje, że dalsza ocena nie jest konieczna. W takim przypadku wystarczy obserwacja podczas kolejnego badania przesiewowego.

Oprócz pomocy w wykrywaniu czerniaka, który jest najbardziej śmiertelną formą raka skóry, urządzenie może również oceniać znamiona pod kątem raka podstawnokomórkowego i płaskonabłonkowego.

Jak zaznacza producent urządzenia, dzięki AI dermatologia wkracza w erę medycyny predykcyjnej. Ocena wzrokowa jest niedoskonała, bo lekarz nie może zajrzeć pod skórę. Rozwój AI umożliwia tworzenie nowych metod diagnostycznych – na rynku istnieją już dermatologiczne aplikacje mobilne. Wystarczy zrobić zdjęcie pieprzyka, a system dokona wstępnej oceny i w razie konieczności połączy pacjenta z dermatologiem, aby pogłębić badanie. Jeszcze większą skuteczność screeningu będzie można uzyskać, gdy informacje gromadzone w elektronicznych kartotekach pacjentów poszerzone zostaną o dane DNA.

Zatwierdzenie przez FDA jest warunkowe – teraz agencja oczekuje przeprowadzenia dodatkowych testów walidacyjnych na pacjentach z szeroko reprezentatywnych grup demograficznych, w tym tych, którzy są mniej narażeni na raka skóry.

Czytaj także: EKG, pulsoksymetr, stetoskop i termometr w jednym. Oto BeamO

Jakie nowe metody stosują cyberprzestępcy? Jak się przed nimi bronić? Rozmowa z Jakubem Betka, Prezesem Zarządu Ogólnopolskiego Stowarzyszenia Ochrony Danych Osobowych w Sektorze Medycznym oraz inspektorem ochrony danych, konsultantem ds. cyberbezpieczeństwa.

W skrócie:

• Liczba ataków hakerskich na podmioty z sektora medycznego wzrosła o 24%
• W ostatnim czasie, bardzo często dochodzi do ataków typu DDoS
• RODO w sektorze zdrowia jest nadal postrzegane przez pryzmat absurdalnych sytuacji
• Dokumentacja zapewniająca zgodność z RODO”, często trafia do szuflady. Nie tędy droga
• Trzeba na bieżąco analizować przypadki ataków hakerskich na inne jednostki

Jak wyglądają statystyki dotyczące ataków hakerów na placówki zdrowia?

Skalę ataków hakerskich na polskie placówki medyczne można podzielić na trzy etapy. Pierwszy to okres do 2020 roku, kiedy ataków było stosunkowo niewiele. Oczywiście takie ataki występowały, natomiast rok 2020 wszystko zmienił. Skutkiem pandemii COVID-19 była wzmożona cyfryzacja w sektorze medycznym, co zachęciło cyberprzestępców do coraz częstszych ataków. Ten stan trwał do 2022 roku i rozpoczęcia przez Rosję wojny z Ukrainą – od tego czasu skala cyberataków znacznie znaczenie wzrosła.

O ile?

Porównując pierwszy kwartał 2022 roku i pierwszy kwartał 2023 roku, obserwujemy wzrost ataków hakerskich na podmioty z sektora medycznego o 24%. Podmioty medyczne, które wdrożyły mechanizmy monitorowania swoich systemów teleinformatycznych, wprost wskazują, że do prób ataków dochodzi kilkadziesiąt, a często kilkaset razy dziennie.

Czy podmioty lecznicze dobrze chronią dane pacjentów?

Większość placówek na pewno sądzi, że dobrze chroni dane pacjentów. Pytanie, czy na pewno skutecznie? Ochrona danych i cyberbezpieczeństwo to ciągła walka z cyberprzestępcami. Dlatego do tematu ochrony danych pacjentów trzeba podchodzić jak do procesu ciągłego doskonalenia i poprawiania systemu. W ramach stowarzyszenia OSODO w Sektorze Medycznym, prowadzimy regularne spotkania, podczas których członkowie, czyli Inspektorzy Ochrony Danych, wskazują, gdzie widzą największe zagrożenia. To daje możliwość reakcji innym członkom w ich placówkach.

Co jest w takim razie najsłabszym ogniwem? Jak najczęściej dochodzi do wycieku danych?

Utrwaliło się stwierdzenie, że najsłabszym ogniwem w systemie bezpieczeństwa danych jest człowiek. Trudno nie zgodzić się z tym stwierdzeniem. Placówka medyczna, może dysponować najnowszymi rozwiązaniami technicznymi, ale bez odpowiedniej wiedzy i świadomości personelu nie będzie można ich w pełni wykorzystać. Bardzo często dochodzi do ataków typu DDoS (ang.: Distributed Denial of Service), które mają na celu zakłócenie lub całkowite wyłączenie danej usługi czy systemu. Ryzyko tego typu ataku można ograniczyć najlepiej poprzez wprowadzenie odpowiednich rozwiązań technicznych.

Czy oprócz DDoS są jeszcze jakieś inne, nowe metody działania cyberprzestępców?

Najwięcej w ostatnim czasie w zakresie cyfryzacji mówi się o sztucznej inteligencji. Po rozwiązania oparte na AI sięgają również cyberprzestępcy, wykorzystując je go szybszych i sprawniejszych ataków. Sztuczna inteligencja jest wykorzystywana do łamania haseł, w analizach najsłabszych punktów placówki, w zbieraniu informacji do przeprowadzenia ataków phishingowych oraz do tworzenia wiadomości phishingowych.

Hakerzy korzystający ze sztucznej inteligencji są w stanie wygenerować wiadomość np. dyrektora szpitala do działu IT, używając w wiadomości stwierdzeń, powiedzeń, słów, szyku zdań, które zazwyczaj stosuje nadawca.

Trzeba także pamiętać, że sztuczna inteligencja jest coraz częściej wykorzystywana w ochronie zdrowia. Takie rozwiązania mają wspomóc personel medyczny w analizie i podejmowaniu decyzji. Jednak w przypadku wykorzystania AI, kwestia bezpieczeństwa danych zyskuje jeszcze bardziej na znaczeniu. Nie chodzi tutaj już o wycieki danych. Atak hakerski może bowiem polegać na nieautoryzowanej manipulacji danymi służącymi do nauki lub testowania algorytmu.

Skutkiem mogą być zafałszowane wyniki, które mogą prowadzić do błędnych analiz, błędnych decyzji, zastosowania błędnego leczenia, a w najgorszych przypadkach – nawet do śmierci pacjenta.

Wiele kwestii związanych z ochroną danych reguluje RODO, które obowiązuje w Polsce już od 6 lat. Czy w ochronie zdrowia jest ono przestrzegane?

Z RODO jest dokładnie jak z cyberbezpieczeństwem – zapewnienie zgodności z przepisami tego unijnego rozporządzenia to ciągły proces. Każda nowa usługa, nowy proces, nowy system informatyczny lub aparatura medyczna, może generować nowe ryzyko dla bezpieczeństwa danych pacjentów.

Mimo upływu 6 lat, w dalszym ciągu RODO w sektorze zdrowia jest postrzegane przez pryzmat absurdalnych sytuacji, do których dochodziło przy początkach jego stosowania. W niektórych jednostkach można nadal spotkać niepotrzebne zgody pacjentów na przetwarzanie ich danych osobowych w celu prowadzenia procesu leczenia.

Część placówek skupiła się na stworzeniu dokumentacji, która ma „zapewnić zgodność z RODO”. Po tym, jak zostały opracowane, często trafiały do szuflady, w której czekają na kontrolę. Niestety, nie tędy droga.

RODO opiera się na analizie ryzyka, czyli na analizie, która ma wykazać, jakie sytuacje mogą skutkować utratą bezpieczeństwa dla danych i jakie zabezpieczenia placówka wdrożyła lub wdroży, aby zmniejszyć skutki takich sytuacji lub prawdopodobieństwo ich wystąpienia. Taka analiza powinna być prowadzona cyklicznie, choćby ze względu na to, że zmieniają się metody działania cyberprzestępców.

Podmioty lecznicze z reguły nie mają dużych budżetów na ochronę danych. Jak mimo to zwiększyć poziom cyberbezpieczeństwa?

Bez wystarczających środków finansowych, cyberprzestępcy zawsze będą o krok przed placówkami medycznymi.

Można oczywiście zwiększać świadomość personelu. Takie szkolenia może, wręcz powinien, prowadzić Inspektor Ochrony Danych, który posiada odpowiednią wiedzę i cały czas ją aktualizuje. A to z kolei oznacza koszt dla placówki medycznej.

Innym aspektem bezpieczeństwa, który nie wymaga dużych nakładów finansowych, jest wyegzekwowania bezpieczeństwa danych u dostawców. Placówki medyczne coraz częściej korzystają z rozwiązań zewnętrznych (np. chmura, oprogramowanie medyczne, zdalny serwis aparatury medycznej), jednak nie stawiają przed dostawcami żadnych wymogów związanych z zapewnieniem bezpieczeństwa danych podczas korzystania z tych rozwiązań.

Polecam też uczyć się na cudzych błędach. Placówki powinny przeanalizować przypadki ataków hakerskich na inne jednostki, jak przykładowo ostatni głośny atak na Laboratoria ALAB, i sprawdzić, czy są gotowe na takie sytuacje. Jeżeli nie, to kolejnym krokiem jest wprowadzenie mechanizmów, które zminimalizują prawdopodobieństwo wystąpienia podobnego ataku „u Nas”. Jednak obawiam się, że bez wystarczających środków finansowych, placówki medyczne nie będą gotowe na coraz intensywniejszą wojnę w cyberprzestrzeni.

Czytaj takż: Pobierz raport “Cyberbezpieczeństwo w ochronie zdrowia”

Światowa Organizacja Zdrowia oddała do użytku nowego cyfrowego bota zdrowotnego. S.A.R.A.H wykorzystuje generatywną sztuczną inteligencję, aby udzielać precyzyjnych i empatycznych odpowiedzi na pytania dotyczące zdrowia.

Awatary pozwalają zwiększać dostęp do wiedzy medycznej

Pierwsza wersja bota została upubliczniona w 2022 roku, tuż przed Mistrzostwami Świata w Piłce Nożnej w Katarze 2022. Wówczas nazywała się Florence i miała przede wszystkim informować o pandemii COVID-19, szczepieniach oraz podpowiadać, jak rzucić palenie papierosów, dobrze się odżywiać i prowadzić zdrowszy tryb życia. Światowa Organizacja Zdrowia określiła Florence „pierwszym na świecie cyfrowym pracownikiem ochrony zdrowia.”

Od tego czasu na rynku pojawiły się systemy generatywej sztucznej inteligencji, jak ChatGPT, które pozwoliły udoskonalić płynność rozmowy z botami AI. Inteligentny asystent zdrowia S.A.R.A.H (albo Sarah) – który miał swoją premierę przed Światowym Dniem Zdrowia w kwietniu br. – też już korzysta z technologii dużych modeli językowych (LLM). Jest dostępny 24 godziny na dobę i może porozumiewać się w 8 językach: angielskim, hebrajskim, chińskim, francuskim, rosyjskim, hiszpańskim, hindi i portuagalskim.

Przyszłość zdrowia jest cyfrowa

Cyfrowy promotor zdrowia WHO został wytrenowany pod kątem udzielania wiarygodnych informacji zdrowotnych. Sarah potrafi wytłumaczyć m.in. czynniki ryzyka groźnych chorób niezakaźnych jak rak, choroby serca i płuc oraz cukrzyca. Ma także promować zdrowy tryb życia, pomagać w rzucaniu palenia, motywować do aktywności fizycznej i zdrowej diety.

Prezentując bota, dyrektor generalny WHO, dr Tedros Adhanom Ghebreyesus, powiedział, że przyszłość zdrowia jest cyfrowa, a Sarah pokazuje, jak AI może być wykorzystywana w celu poprawy dostępu do informacji zdrowotnych w interaktywny sposób. WHO od kilku lat wspiera cyfryzację ochrony zdrowia, rozwój telemedycyny i innych rozwiązań e-zdrowia, aby ułatwić korzystanie z usług medycznych bez względu na miejsce zamieszkania i sytuację ekonomiczną.

Dzięki temu, że bot korzysta z generatywnej AI, zwiększyła się dokładność i zakres udzielanych w czasie rzeczywistym odpowiedzi. Rozmowy stały się bardziej spersonalizowane i empatyczne, a komunikacja z botem jeszcze bardziej przypomina rozmowę z drugim człowiekiem.

Aby stworzyć cyfrowego promotora zdrowia, WHO nawiązała współpracę z Soul Machines, firmą zajmującą się rozwojem sztucznej inteligencji. Z porad Sarah może skorzystać każdy, wystarczy wejść na stronę internetową z botem.

Aby rozpocząć czat z Sarah, kliknij tutaj.

Blog OSOZ uruchamia nowy newsletter. Raz w miesiącu otrzymasz briefing e-zdrowia, dostęp do bonusowych treści oraz zaproszenia na webinary w ramach Klubu OSOZ.

Korzyści z newslettera OSOZ:

• Tylko jeden e-mail w miesiącu
• Powiadomienie o nowym wydaniu czasopisma OSOZ do pobrania
• Briefing e-zdrowia: najważniejsze newsy i zmiany prawne
• Bonusowe teksty i raporty
• Zaproszenie na bezpłatne konferencje i szkolenia
• Wkrótce: Klub Cyfrowej Medycyny z webinarami i wywiadami na żywo

Dla kogo? Newsletter OSOZ kierujemy do wszystkich pracowników ochrony zdrowia, w tym menedżerów, personelu medycznego i administracyjnego, farmaceutów, studentów, pasjonatów innowacji i nowych technologii, przedstawicieli instytucji rynku zdrowia oraz firm zainteresowanych e-zdrowiem.

Jak często? Newsletter otrzymasz na podany w formularzu adres e-mail tylko raz w miesiącu w formie treściwego podsumowania, które przeczytasz w 1-2 minuty. Wyjątkiem od tej reguły są pilne i ważne informacje jak np. raporty specjalne, zapowiedzi szkoleń itd.

Bezpieczeństwo Twoich danych. Nasz newsletter tworzymy korzystając z bezpiecznych narzędzi zgodnych z RODO. W każdej chwili możesz z niego zrezygnować.

Społeczność e-zdrowia. Bądź na bieżąco z informacjami na temat cyfryzacji ochrony zdrowia w Polsce oraz weź udział w webinarach i szkoleniach. Jako pierwszy dowiesz się o tym, co ważne w e-zdrowiu.

Zapisz się do newslettera OSOZ

Na jaw wychodzą kolejne szczegóły kontrowersyjnego systemu e-Gabinet+ oferowanego przez MZ poprzedniej kadencji. Teraz okazuje się, że korzysta z niego aktywnie zaledwie 11 placówek spośród 1301 uczestniczących w projekcie. Żadna nie rozliczyła się z NFZ z pomocą systemu.

Na co poszły 172 miliony na e-zdrowie?

Po zmianach kadrowych w Departamencie Innowacji Ministerstwa Zdrowia, czasopismo OSOZ otrzymało informację dotyczącą kosztów rozwoju aplikacji e-Gabinet+ dostępnej na stronie gabinet.gov.pl.

Do końca roku 2023, e-Gabinet+ został udostępniony 1301 placówkom POZ uczestniczącym w projekcie (czyli 5,7% wszystkich przychodni w Polsce, których jest 22600). Łączna wysokość wydatków kwalifikowanych poniesionych w projekcie wyniosła 172 294 365,40 zł. Kwota ta obejmuje trzy składniki. Pierwszy to rozbudowa centralnego narzędzia o funkcjonalności e-usług i integrację z systemem e-zdrowia:

• Koszty opracowania systemu IT (koszt rozbudowa aplikacji e-Gabinet+): 17 389 154,36 zł
• Zakup sprzętu na rzecz rozbudowy aplikacji e-Gabinet+: 54 669 838,77 zł

Drugim elementem kosztowym było wyposażenie placówek POZ w niezbędną infrastrukturę. Na ten cel wydano 94 508 768,98 zł. Trzecim składnikiem była promocja rozwiązania, która kosztowała 1 997 912,18. Koszty pośrednie wyniosły 3 728 691,11 zł.

Za pomocą e-Gabinet+ z NFZ nie rozlicza się żadna z 1301 placówek

Można by dyskutować, czy to dużo czy mało, gdyby nie inne informacje, uzyskane tym razem przez Polską Izbę Informatyki Medycznej. Wynika z nich, że trzy miesiące po udostępnieniu systemu aktywnie korzystało z niego 11 placówek z 1301 (0,84%), które otrzymały dotacje. Żadna z nich nie dokonała rozliczenia z NFZ za pomocą ministerialnego systemu, a razem biorąc wytworzyły symboliczne 371 dokumentów EDM. Paradoksalnie, celem projektu e-Gabinet+ była rozbudowa aplikacji gabinet.gov.pl o funkcjonalności wymiany elektronicznej dokumentacji medycznej (EDM) oraz rozliczeń z NFZ.

Jak to wytłumaczyć? Placówki aplikujące o środki wraz z systemem otrzymały dotację na sprzęt. Jednocześnie MZ dawało do zrozumienia, że placówka nie jest zobowiązana do korzystania z systemu, zwłaszcza widząc niskie zainteresowanie udziałem w projekcie (termin nadsyłania wniosków przedłużano kilka razy). Sugeruje to nawet tytuł tekstu na stronie MZ zachęcającego do składania wniosków: „Pieniądze na komputery dla POZ”.

To nie koniec wydatków, bo MZ musi teraz zapewnić utrzymanie systemu. W styczniu 2024 jego koszty wyniosły 16 912,50 zł. Pozostałe koszty od lutego do końca 2024 roku sumują się w 79 962,03 zł.

Wielkie nadzieje na przyspieszenie EDM i duże rozczarowanie

E-Gabinet+ to nic więcej jak rozbudowa serwisu gabinet.gov.pl o EDM i rozliczenia z Narodowym Funduszem Zdrowia za 17 milionów złotych. Jak podsumowuje Polska Izba Informatyki Medycznej „potwierdzają się obawy co do celowości tego przedsięwzięcia.” Jedynym plusem całego projektu jest doposażenie placówek w sprzęt informatyczny.

Systemu do końca bronił Piotr Węcławik, były Dyrektor Departamentu Innowacji w Ministerstwie Zdrowia, który podkreślał, że e-Gabinet+ został opracowany, aby rozwiązać problem opóźnień we wdrażaniu EDM. Projekt w całości był finansowany ze środków UE z Programu Operacyjnego Infrastruktura i Środowisko (REACT-EU).

Czytaj także: Dlaczego wszyscy krytykują ministerialny system e-Gabinet+?

W jaki sposób najczęściej dochodzi do wycieku danych? Co zrobić, gdy hakerzy zaatakują placówkę medyczną? Gdzie się szkolić i szukać wsparcia finansowego na inwestycje w cyberbezpieczeństwo? Na nasze pytania odpowiada Jeremi Olechnowicz, Kierownik Wydziału CSIRT w Centrum e-Zdrowia.

W skrócie:

• Można wyróżnić 7 słabości, które najczęściej wykorzystują hakerzy;
• Najsłabszym ogniwem w łańcuchu cyberbezpieczeństwa jest człowiek;
• Ochronę danych można wzmocnić bez dużych nakładów sięgając do rozwiązań open source;
• Gdy dojdzie do ataku, trzeba szybko poinformować min. CSIRT CeZ;
• NASK realizuje szkolenia Security Awareness dla POZ-tów;
• Wkrótce ruszy nowa edycja projektu „CyberSzpitale”;
• Zaleca się wieloskładnikowe logowanie MFA i system kopii zapasowych z kopią offline.

Jaka jest skala incydentów bezpieczeństwa danych w ochronie zdrowia w Polsce według danych, którymi dysponuje CeZ?

Bazując na analizach przeprowadzonych przez Centrum e-Zdrowia oraz dostępnych publicznie raportach branżowych – np. CERT PL – widzimy, że liczba ataków ciągle rośnie.

W roku 2023 miało miejsce ponad dwa razy więcej różnych incydentów niż rok wcześniej. Zakładam, że w tym roku tendencja wzrostowa się utrzyma. Tylko w styczniu Centrum e-Zdrowia zarejestrowało ponad 40 różnych incydentów w sektorze ochrony zdrowia, od prób phishingu, przez wycieki poświadczeń, aż po próby ataków na infrastrukturę podmiotów.

W jaki sposób najczęściej dochodzi do wycieku danych medycznych?

Do udanego ataku prowadzi wiele różnych czynników, które zwykle muszą wystąpić razem. Rzadko jest tak, żeby udany atak był efektem pojedynczej słabości, choć to też jest możliwe.

Najczęściej obserwowane przez nas słabości, które wykorzystują hakerzy to:

• podatności i luki w systemach i urządzeniach,
• zbyt szeroko przyznane zdalne dostępy do organizacji,
• nadużycia i nadmiarowe uprawnienia kont użytkowników, np. kont administratorów domeny lub stacji roboczej,
• błędy w konfiguracji w infrastruktury,
• brak mechanizmów uwierzytelnienia dwuskładnikowego,
• ekspozycja zasobów organizacji do sieci publicznej,
• nieaktualne i podatne wersje elementów stron internetowych np.: CMS, wtyczki.

Przykładowo, atakujący wykorzystuje jedną z popularnych podatności na publicznie dostępną usługę, np. portal logowania do VPNa. Następnie uzyskuje dostęp do jednego z serwerów na peryferiach sieci, gdzie wykonuje tzw. eskalację uprawnień. Atakujący ma już podwyższone uprawnienia, które pozwalają na wykonanie wielu niebezpiecznych czynności. Może na przykład dalej przeczesywać sieć wewnętrzną organizacji. Finalnie atakujący uzyskuje dostęp np. do serwera plików lub baz systemów dokumentacji medycznej, które wykrada.

Media informują zazwyczaj tylko o dużych atakach hakerów. Czy małe, indywidualne praktyki lekarskie też mają się czego obawiać?

To, w jakim stopniu dany podmiot jest narażony na ryzyko, zależy m.in. od jego wielkości oraz od tego, jak oceniają je grupy atakujące. Duże, znane jednostki, o krytycznym znaczeniu dla systemu ochrony zdrowia, są oczywiście bardziej narażone na ataki, niż mniejsze placówki. Takie jednostki mogą paść ofiarą zarówno grup hakerskich nastawionych na zyski finansowe, jak i tzw. national state actors, czyli grup hakerów wspieranych przez obce rządy. Ich działania będą ukierunkowane na destabilizację ciągłości świadczenia usług, zniszczenia zasobów, manipulację danymi, czy też kradzież danych.

Nie oznacza to jednak, że mikro i małe podmioty nie są narażone na ataki. W takich placówkach względnie łatwo można ukraść login i hasło pojedynczym specjalistom np. poprzez masowe kampanie phishingowe oraz strony internetowe dystrybuujące złośliwy kod. Choć procentowa skuteczność takich kampanii jest śladowa to nakład pracy jest na tyle niski, że ta technika jest często stosowana.

Jakie są w takim razie minimalne zabezpieczenia techniczne i organizacyjne, które powinny być stosowane przez każdy podmiot leczniczy bez wyjątku?

Po pierwsze cyberbezpieczeństwo to system naczyń połączonych. Słabości lub braki pojedynczych elementów wpłyną na odporność całego systemu. Po drugie, cyberbezpieczeństwo to nie stan zero-jedynkowy. To proces ciągły wymagający weryfikacji i doskonalenia. Po trzecie, cyberbezpieczeństwo to nie kwestia zakupu kilku systemów lub urządzeń o dziwnych skrótach np. FW, AV, SMG, NAC, PAM czy DAM. Aby osiągnąć cel, jakim jest ochrona informacji przetwarzanych w organizacji, należy zaplanować kompleksową architekturę cyberbezpieczeństwa składającą się z elementów takich jak rozwiązania techniczne, organizacyjne, formalne, a także kompetencje specjalistów z różnych dziedzin. Na koniec elementy te należy połączyć w jeden sprawnie działający system.

Często pomijany jest fakt, że pierwszym ważnym krokiem jest świadomość o zagrożeniach oraz ich konsekwencjach. A więc znajomość aspektów Security Awareness wśród pracowników organizacji, w szczególności kierownictwa, na którym spoczywa obowiązek zapewnienia bezpieczeństwa przetwarzanych informacji.

Trudno jest jednoznacznie wybrać pojedyncze elementy, które powinny być stosowane bez wyjątku. Jest ich po prostu wiele, a cel można osiągnąć różnymi sposobami.

Niezmiennie najsłabszym ogniwem w łańcuchu cyberbezpieczeństwa jest człowiek. Dlatego to właśnie działania, które mają na celu zniwelowanie błędów i słabości ludzi są niezwykle istotne. Zaimplementowanie zasad cyberhigieny znacznie podnosi odporność organizacji na zagrożenia z cyberprzestrzeni, a inwestycja w kompetencje wsparcia IT na pewno się opłaci. Więcej szczegółów na temat architektury bezpieczeństwa poruszamy w opublikowanych na stronie ezdrowie.gov.pl rekomendacjach.

Oprócz cyberhigieny, co jeszcze można zrobić, aby wzmocnić ochronę danych bez ponoszenia dużych nakładów?

Po pierwsze można skorzystać z wielu rozwiązań open source. Takie rozwiązanie będzie tańsze, jednak wymaga więcej czasu na implementację i wysokich kompetencji osób je wdrażających oraz integrujących. Systemy takie można zainstalować na bezpłatnych dystrybucjach systemów operacyjnych z rodziny Linux. Środowisko dla takich rozwiązań także można utworzyć z pomocą usług o otwartym kodzie.

Ważnym aspektem architektury bezpieczeństwa jest nie samo wdrożenie rozwiązania technicznego, ale jego prawidłowa konfiguracja oraz integracja z innymi narzędziami. Czyli implementacja różnych dobrych praktyk, także na rozwiązaniach opensource, może skutecznie zmniejszyć powierzchnię ataku. Dla przykładu błędnie wdrożony system klasy Firewall na brzegu infrastruktury nie zapewni bezpieczeństwa nawet jak będzie bardzo drogi, a wszystkie podatności zostaną załatane.

Wiele ataków dokonywanych jest przy wykorzystaniu jednej lub kilku znanych podatności. Monitorowanie doniesień o nowych podatnościach oraz wdrożenie skutecznego procesu szybkiego ich usuwania również zmniejsza ryzyko skutecznego ataku.

Ważne części architektury bezpieczeństwa organizacji to wewnętrzne polityki bezpieczeństwa teleinformatycznego, a w idealnych warunkach cały System Zarządzania Bezpieczeństwem Informacji (SZBI). Wdrożenie SZBI może nie być proste i tanie, ale można zaimplementować – dodatkowym nakładem pracy – okrojoną wersję takich polityk, procesów oraz procedur. Dostępnych jest wiele poradników, zaleceń oraz ostrzeżeń opracowywanych m.in. przez CSIRTy poziomu krajowego, np. CERT PL oraz przez sektorowy zespół cyberbezpieczeństwa CSIRT CEZ. Można wykorzystać te informacje w organizacji także w formie np. mailowych ostrzeżeń dla pracowników lub jako cykliczne przypomnienia dobrych praktyk z zakresu cyberhigieny.

To wymaga z kolei ciągłej aktualizacji wiedzy, bo hakerzy też doskonalą swoje strategie działania.

Atakujący będą zmieniali swoje metody wraz ze zmianami rozwiązań z zakresu zabezpieczeń. Cyberataki wciąż są bardzo dochodowe, więc grupy hakerskie na pewno nie zaprzestaną swojego procederu. Po drugie, pozyskane środki wykorzystują  na dalszy rozwój swoich zasobów oraz metod.

Ewoluująca technologia ma także wpływ na stosowane przez atakujących metody. Jedną z charakterystycznych zmian w ostatnich latach jest modyfikacja modelu biznesowego ataków ransomware. Kiedyś po prostu żądano okupu za odszyfrowanie. Rynek odpowiedział na to szerszym i skuteczniejszym wdrożeniem systemów kopii zapasowych. Hakerzy zaczęli więc nie tylko szyfrować dane, ale też je wykradać. Teraz żądają okupu za odszyfrowanie i niepublikowanie wykradzionych danych. Jest to tzw. Double Extortion. Metody te są rozwijane w celu wywarcia dodatkowej presji na atakowaną organizację czyli np. Triple lub Quadruple Extortion.

Oczywiście to tylko ułamek zmian, które zachodzą w metodach stosowanych przez hakerów. Ciekawa przyszłość czeka nas w kontekście wykorzystania AI w cyberbezpieczeństwie. Nie tylko rozwiązania bezpieczeństwa będą implementować AI. Hakerzy też się dostosowują i zaczynają korzystać ze wsparcia sztucznej inteligencji.

Co robić, gdy już doszło do ataku cybernetycznego w placówce medycznej?

Gdy już dojdzie do ataku, kluczowe jest jego rozpoznanie i podjęcie działań, które mogą zminimalizować/zniwelować skutki ataku. Na przykład, jeśli zauważymy masowe wyłączanie serwerów w sieci, warto rozpocząć izolowanie całych segmentów sieci, tak żeby złośliwy kod nie miał możliwości się rozprzestrzenić. Na tym etapie nie jest zalecane natomiast fizyczne odłączanie urządzeń od zasilania. Zalecany jest natomiast pilny kontakt telefoniczny do zespołów CSIRT w celu uzyskania szybkiego wsparcia poprzez zdalną konsultację. Takim zespołem jest m.in. CERT PL ulokowany w NASK oraz sektorowy zespół cyberbezpieczeństwa w Centrum e-Zdrowia – CSIRT CEZ.

Należy pamiętać też o obowiązkach wynikających z Ustawy o Krajowym Systemie Cyberbezpieczeństwa. Mowa o formalnym zgłoszeniu incydentu na dedykowanym formularzu. Formularz nie musi być w 100% wypełniony przy pierwszym zgłoszeniu. Zgłoszenie można zaktualizować w późniejszym czasie. Jeśli trwa incydent, zgłaszający może nie mieć kompletu informacji. Ważne jest natomiast jak najszybsze poinformowanie dedykowanych zespołów cyberbezpieczeństwa. W przypadku nieterminowego zgłoszenia podmiot może się narazić na kary finansowe.

Gdzie szukać programów wsparcia na inwestycje w bezpieczeństwo danych?

Centrum e-Zdrowia oraz Ministerstwo Zdrowia propagują informacje o różnych projektach wśród podmiotów wykonujących działalność leczniczą, w szczególności wśród szpitali.

Największy tego typu projekt to „CyberSzpitale”. Jest on skierowany do szpitali w Polsce. Polega na refundacji inwestycji poniesionych przez tę grupę podmiotów na rzecz podniesienia poziomu cyberbezpieczeństwa. Pierwsza edycja zakończyła się w ubiegłym roku. Wkrótce, dzięki rządowemu wsparciu, ruszy kolejna edycja.

Poza wymienioną refundacją prowadzone są też różne przedsięwzięcia szkoleniowe. Jedno z nich to szkolenia Security Awareness realizowane przez NASK na rzecz podmiotów Podstawowej Opieki Zdrowotnej (POZ). Ministerstwo Cyfryzacji wraz z partnerami prowadzi teraz cykl szkoleń podnoszących kompetencje kadry IT w szpitalach. Szkolenia te już trwają. Na rok bieżący oraz kolejny przygotowywane są kolejne projekty szkoleniowe, o których Centrum e-Zdrowia oraz Ministerstwo Zdrowia będzie informować. Wśród nich znajdą się m.in. szkolenia Security Awareness dla kadry kierowniczej szpitali.

Jakie trzy bazowe inwestycje w bezpieczeństwo danych pozwalają znacznie poprawić ochronę danych w podmiotach medycznych?

Jak już wcześniej wspomniałem, architektura cyberbezpieczeństwa składa się z wielu elementów. Nie da się zbudować bezpiecznej infrastruktury bez zabezpieczeń technicznych: płatnych lub bezpłatnych. Każda organizacja ma już jakieś rozwiązania techniczne zaimplementowane – lepsze lub gorsze.

To, czego najczęściej brakuje, a znacząco podnosi odporność organizacji to:

• Szkolenia z Security Awareness dla całej kadry w organizacji wraz z cyklicznym przypomnieniem obowiązujących zasad bezpieczeństwa;
• Wieloskładnikowe logowanie MFA (multi factor authentication), które znacząco podniesie odporność kont na przejęcie dostępów;
• Prawidłowo zaimplementowany system kopii zapasowych z kopią offline, który – gdy zawiodą inne rozwiązania – pozwoli na odzyskanie ciągłości działania oraz utraconych danych.

Czytaj takż: Pobierz pełny raport „Cyberbezpieczeństwo w ochronie zdrowia”