CeZ: 72% podmiotów nie ma zespołu ds. cyberbezpieczeństwa

Wyniki badania poziomu cyberbezpieczeństwa w placówkach ochrony zdrowia, dane na temat ataków hakerów na sektor zdrowia, nowa platforma e-learningowa CeZ CSIRT – o czym mówiono na konferencji „Perspektywy e-zdrowia” zorganizowanej 10 grudnia 2024 r. przez Centrum e-Zdrowia?

Podwoi się liczba elektronicznych dokumentów w EDM

– Poziom cyfryzacji polskiego systemu ochrony zdrowia oceniany jest bardzo wysoko – zajęliśmy piąte miejsce w Unii Europejskiej. Jednak pogłębienie cyfryzacji oznacza nie tylko wzrost korzyści, ale również wzrost zagrożeń. Około 15-20% cyberataków to ataki na ochronę zdrowia. A my jesteśmy w takim położeniu geopolitycznym, że dla nas zagadnienia bezpieczeństwa danych stają się coraz ważniejsze – mówił Wojciech Demediuk, Dyrektor Departamentu e-Zdrowia w Ministerstwie Zdrowia.

Zwrócił on uwagę na rosnące zagrożenia związane z ochroną danych wrażliwych oraz koniecznością zapewniania nieprzerwanej działalności systemów e-zdrowia. Zapowiedział też, że liczba dokumentów medycznych obsługiwanych przez Centrum e-Zdrowia wzrośnie z 9 do 18 w ciągu najbliższych 18 miesięcy. A to dodatkowo wymaga podniesienia poziomu cyberbezpieczeństwa infrastruktury centralnej oraz placówek ochrony zdrowia.

CeZ prezentuje wyniki badań cyberbezpieczeństwa

Dr Małgorzata Olszewska, dyrektor Centrum e-Zdrowia, zaprezentowała wstępne wyniki 8. edycji „Badanie stopnia informatyzacji podmiotów wykonujących działalność leczniczą”, w której wzięło udział ponad 11000 placówek. Wynika z niego, że 72% placówek nie posiada dedykowanych zespołów ds. cyberbezpieczeństwa, a tylko 14% współpracuje z zewnętrznymi ekspertami w tej dziedzinie. Działania z zakresu cyberbezpieczeństwa podejmuje jedynie 48% placówek zdrowia.

– Zagrożenia rosną, a sektor ochrony zdrowia nie jest w pełni przygotowany, by im sprostać – podkreślała Olszewska. Do początku grudnia 2024 roku odnotowano 707 incydentów w ochronie zdrowia, co stanowi wzrost o ponad 74% w porównaniu z 2023 rokiem. W stosunku do roku 2021 wzrost jest aż 6-krotny.

Podczas konferencji zaprezentowano nowy zespół CSIRT CeZ (Computer Security Incident Response Team) po reorganizacji. Dr Tomasz Jeruzalski, Dyrektor Pionu Eksploatacji Systemów Teleinformatycznych Centrum e-Zdrowia, podkreślał, że tylko w tygodniu poprzedzającym konferencję, zespół obsłużył już 26 incydentów. Działania CSIRT obejmują monitorowanie podatności, szkolenia oraz wdrażanie standardów bezpieczeństwa. Dodatkowo, zespół uruchomił darmową usługę zdalnej weryfikacji podatności systemów placówek zdrowia.

Nowa platforma e-learningowa i poszerzone kompetencje CeZ CSIRT

Centrum e-Zdrowia pracuje też nad nową platformą e-learningową, która ma na celu podnoszenie świadomości i wiedzy pracowników ochrony zdrowia w zakresie cyberzagrożeń. Jej uruchomienie jest planowane na 2025 rok.

W 2024 roku Centrum e-Zdrowia przeszkoliło 434 kierowników placówek ochrony zdrowia oraz ponad 10 000 pracowników w zakresie podstaw cyberhigieny. Platforma pozwoli dotrzeć z wiedzą z zakresu ochrony danych osobowych do wszystkich placówek zdrowia.

– Podstawowym wyzwaniem jest budowa świadomości i kompetencji, bez których trudno efektywnie przeciwdziałać cyberzagrożeniom – zaznaczył Jeruzalski.

Konsekwencje ataku hakerów mogą być bardzo dotkliwe i kosztować nawet życie pacjentów. Statystycznie, cyberatak w ochronie zdrowia wiąże się z kosztami usuwania skutków sięgającymi 10 mln USD. Sebastian Bukowski, Dyrektor Departamentu Bezpieczeństwa Teleinformatycznego CeZ przedstawił statystyki Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA): 42% wszystkich ataków na sektor ochrony zdrowia dokonywanych jest z pomocą złośliwego oprogramowania ransomware. Na drugim miejscu są wycieki danych (32%).

Według Bukowskiego, obecnie brakuje wystarczających regulacji i inwestycji w zakresie cyberbezpieczeństwa w porównaniu z bardziej uregulowanymi branżami, jak sektor finansowy. Dodał, że kiedy w życie wejdzie nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa, implementująca dyrektywę NIS 2, CSIRT CeZ obejmie swoim działaniem 2000 placówek, których będzie dotyczyło nowe prawo.

Często ułatwiamy życie hakerom

Profesor Agnieszka Gryszczyńska, Dyrektor Departamentu ds. Cyberprzestępczości i Informatyzacji w Prokuraturze Krajowej zwróciła uwagę na konsekwencje ataków ransomware typu triple extortion („potrójne wymuszenie”), które nie tylko szyfrują dane, ale również grożą ich ujawnieniem i atakami na osoby, których dane zostały skradzione.

– Dane są najpierw kradzione, następnie szyfrowane, a ostatecznie wykorzystywane do szantażu lub sprzedaży na forach cyberprzestępczych. Przestępcy coraz częściej celują w konta lekarzy, co umożliwia im dostęp do systemów gabinetowych i wystawianie fałszywych recept, często na leki opioidowe. Dane wykradzione z takich kont trafiają na czarny rynek, gdzie są monetyzowane, co powoduje znaczne straty finansowe i wizerunkowe dla placówek medycznych – mówiła Prof. Gryszczyńska.

W ciągu ostatnich dwóch lat odnotowano w Polsce dwie duże kradzieże danych z podmiotów medycznych, które obejmowały zarówno dane pacjentów, jak i personelu medycznego. Skutki takich wycieków są wieloaspektowe – od kradzieży tożsamości po wykorzystanie danych w przestępczym procederze, takim jak rejestracja kart SIM czy dostęp do systemów medycznych. Szczególnym problemem są dane medyczne, które są bardzo wrażliwe i trudne do ochrony. Powołała się na przykład wycieku danych sieci laboratoriów ALAB.

Gryszczyńska zwróciła uwagę na konieczność edukacji w zakresie bezpieczeństwa, w tym korzystania z dwuskładnikowego uwierzytelniania oraz szybkiego raportowania incydentów. Błyskawiczna reakcja na incydenty może zapobiec dalszej eskalacji i publikacji wykradzionych danych, co pokazały ostatnie sukcesy w działaniach prokuratury i służb.

Podczas konferencji podpisano porozumienie o współpracy między Centrum e-Zdrowia a NASK, Dowództwem Komponentu Wojsk Obrony Cyberprzestrzeni oraz Centralnym Biurem Zwalczania Cyberprzestępczości.

Pobierz bezpłatny, 129-stronicowy poradnik bezpieczeństwa danych w placówkach ochrony zdrowia