Chronisz dane pacjentów. Ale czy na pewno skutecznie?


Jakie nowe metody stosują cyberprzestępcy? Jak się przed nimi bronić? Rozmowa z Jakubem Betka, Prezesem Zarządu Ogólnopolskiego Stowarzyszenia Ochrony Danych Osobowych w Sektorze Medycznym oraz inspektorem ochrony danych, konsultantem ds. cyberbezpieczeństwa.

W skrócie:

  • Liczba ataków hakerskich na podmioty z sektora medycznego wzrosła o 24%
  • W ostatnim czasie, bardzo często dochodzi do ataków typu DDoS
  • RODO w sektorze zdrowia jest nadal postrzegane przez pryzmat absurdalnych sytuacji
  • Dokumentacja zapewniająca zgodność z RODO”, często trafia do szuflady. Nie tędy droga
  • Trzeba na bieżąco analizować przypadki ataków hakerskich na inne jednostki

Jak wyglądają statystyki dotyczące ataków hakerów na placówki zdrowia?

Skalę ataków hakerskich na polskie placówki medyczne można podzielić na trzy etapy. Pierwszy to okres do 2020 roku, kiedy ataków było stosunkowo niewiele. Oczywiście takie ataki występowały, natomiast rok 2020 wszystko zmienił. Skutkiem pandemii COVID-19 była wzmożona cyfryzacja w sektorze medycznym, co zachęciło cyberprzestępców do coraz częstszych ataków. Ten stan trwał do 2022 roku i rozpoczęcia przez Rosję wojny z Ukrainą – od tego czasu skala cyberataków znacznie znaczenie wzrosła.

O ile?

Porównując pierwszy kwartał 2022 roku i pierwszy kwartał 2023 roku, obserwujemy wzrost ataków hakerskich na podmioty z sektora medycznego o 24%. Podmioty medyczne, które wdrożyły mechanizmy monitorowania swoich systemów teleinformatycznych, wprost wskazują, że do prób ataków dochodzi kilkadziesiąt, a często kilkaset razy dziennie.

Czy podmioty lecznicze dobrze chronią dane pacjentów?

Większość placówek na pewno sądzi, że dobrze chroni dane pacjentów. Pytanie, czy na pewno skutecznie? Ochrona danych i cyberbezpieczeństwo to ciągła walka z cyberprzestępcami. Dlatego do tematu ochrony danych pacjentów trzeba podchodzić jak do procesu ciągłego doskonalenia i poprawiania systemu. W ramach stowarzyszenia OSODO w Sektorze Medycznym, prowadzimy regularne spotkania, podczas których członkowie, czyli Inspektorzy Ochrony Danych, wskazują, gdzie widzą największe zagrożenia. To daje możliwość reakcji innym członkom w ich placówkach.

Co jest w takim razie najsłabszym ogniwem? Jak najczęściej dochodzi do wycieku danych?

Utrwaliło się stwierdzenie, że najsłabszym ogniwem w systemie bezpieczeństwa danych jest człowiek. Trudno nie zgodzić się z tym stwierdzeniem. Placówka medyczna, może dysponować najnowszymi rozwiązaniami technicznymi, ale bez odpowiedniej wiedzy i świadomości personelu nie będzie można ich w pełni wykorzystać. Bardzo często dochodzi do ataków typu DDoS (ang.: Distributed Denial of Service), które mają na celu zakłócenie lub całkowite wyłączenie danej usługi czy systemu. Ryzyko tego typu ataku można ograniczyć najlepiej poprzez wprowadzenie odpowiednich rozwiązań technicznych.

Czy oprócz DDoS są jeszcze jakieś inne, nowe metody działania cyberprzestępców?

Najwięcej w ostatnim czasie w zakresie cyfryzacji mówi się o sztucznej inteligencji. Po rozwiązania oparte na AI sięgają również cyberprzestępcy, wykorzystując je go szybszych i sprawniejszych ataków. Sztuczna inteligencja jest wykorzystywana do łamania haseł, w analizach najsłabszych punktów placówki, w zbieraniu informacji do przeprowadzenia ataków phishingowych oraz do tworzenia wiadomości phishingowych.

Hakerzy korzystający ze sztucznej inteligencji są w stanie wygenerować wiadomość np. dyrektora szpitala do działu IT, używając w wiadomości stwierdzeń, powiedzeń, słów, szyku zdań, które zazwyczaj stosuje nadawca.

Trzeba także pamiętać, że sztuczna inteligencja jest coraz częściej wykorzystywana w ochronie zdrowia. Takie rozwiązania mają wspomóc personel medyczny w analizie i podejmowaniu decyzji. Jednak w przypadku wykorzystania AI, kwestia bezpieczeństwa danych zyskuje jeszcze bardziej na znaczeniu. Nie chodzi tutaj już o wycieki danych. Atak hakerski może bowiem polegać na nieautoryzowanej manipulacji danymi służącymi do nauki lub testowania algorytmu.

Skutkiem mogą być zafałszowane wyniki, które mogą prowadzić do błędnych analiz, błędnych decyzji, zastosowania błędnego leczenia, a w najgorszych przypadkach – nawet do śmierci pacjenta.

Wiele kwestii związanych z ochroną danych reguluje RODO, które obowiązuje w Polsce już od 6 lat. Czy w ochronie zdrowia jest ono przestrzegane?

Z RODO jest dokładnie jak z cyberbezpieczeństwem – zapewnienie zgodności z przepisami tego unijnego rozporządzenia to ciągły proces. Każda nowa usługa, nowy proces, nowy system informatyczny lub aparatura medyczna, może generować nowe ryzyko dla bezpieczeństwa danych pacjentów.

Mimo upływu 6 lat, w dalszym ciągu RODO w sektorze zdrowia jest postrzegane przez pryzmat absurdalnych sytuacji, do których dochodziło przy początkach jego stosowania. W niektórych jednostkach można nadal spotkać niepotrzebne zgody pacjentów na przetwarzanie ich danych osobowych w celu prowadzenia procesu leczenia.

Część placówek skupiła się na stworzeniu dokumentacji, która ma „zapewnić zgodność z RODO”. Po tym, jak zostały opracowane, często trafiały do szuflady, w której czekają na kontrolę. Niestety, nie tędy droga.

RODO opiera się na analizie ryzyka, czyli na analizie, która ma wykazać, jakie sytuacje mogą skutkować utratą bezpieczeństwa dla danych i jakie zabezpieczenia placówka wdrożyła lub wdroży, aby zmniejszyć skutki takich sytuacji lub prawdopodobieństwo ich wystąpienia. Taka analiza powinna być prowadzona cyklicznie, choćby ze względu na to, że zmieniają się metody działania cyberprzestępców.

Podmioty lecznicze z reguły nie mają dużych budżetów na ochronę danych. Jak mimo to zwiększyć poziom cyberbezpieczeństwa?

Bez wystarczających środków finansowych, cyberprzestępcy zawsze będą o krok przed placówkami medycznymi.

Można oczywiście zwiększać świadomość personelu. Takie szkolenia może, wręcz powinien, prowadzić Inspektor Ochrony Danych, który posiada odpowiednią wiedzę i cały czas ją aktualizuje. A to z kolei oznacza koszt dla placówki medycznej.

Innym aspektem bezpieczeństwa, który nie wymaga dużych nakładów finansowych, jest wyegzekwowania bezpieczeństwa danych u dostawców. Placówki medyczne coraz częściej korzystają z rozwiązań zewnętrznych (np. chmura, oprogramowanie medyczne, zdalny serwis aparatury medycznej), jednak nie stawiają przed dostawcami żadnych wymogów związanych z zapewnieniem bezpieczeństwa danych podczas korzystania z tych rozwiązań.

Polecam też uczyć się na cudzych błędach. Placówki powinny przeanalizować przypadki ataków hakerskich na inne jednostki, jak przykładowo ostatni głośny atak na Laboratoria ALAB, i sprawdzić, czy są gotowe na takie sytuacje. Jeżeli nie, to kolejnym krokiem jest wprowadzenie mechanizmów, które zminimalizują prawdopodobieństwo wystąpienia podobnego ataku „u Nas”. Jednak obawiam się, że bez wystarczających środków finansowych, placówki medyczne nie będą gotowe na coraz intensywniejszą wojnę w cyberprzestrzeni.