Czy dobrze chronisz dane medyczne? [CHECKLISTA]


Zasada pareto sprawdza się także w cyberbezpieczeństwie: za 80% ochrony odpowiada 20% zabezpieczeń
Zasada Pareto sprawdza się także w cyberbezpieczeństwie: za 80% ochrony odpowiada 20% zabezpieczeń

Zaniedbania w bezpieczeństwie danych w ochronie zdrowia często wynikają z przekonania, że cyberbezpieczeństwo jest skomplikowane, drogie i czasochłonne. Nic bardziej mylnego, bo za 80% poziomu bezpieczeństwa odpowiada 20% bazowych zabezpieczeń.

Hakerzy rzadko kiedy atakują celowo. Raczej liczą na łut szczęścia

Ochrona danych zaczyna się od zrozumienia, że to wspólny wysiłek całej organizacji. Dział IT dba o zabezpieczenia techniczne, a pracownicy znający tricki cyberprzestępców zapewniają ochronę na pierwszej linii. Ich rola jest kluczowa, bo hakerzy rzadko kiedy celowo włamują się do systemu skrupulatnie wybranego szpitala. Na oku są tylko największe placówki, które ze względu na zasięg działania będą bardziej podatne na szantaż.

W pozostałych przypadkach hakerzy zarzucają na ślepo sieci, licząc, że wpadnie w nie przypadkowa ofiara. A dokładnie – wysyłają masowo wiadomości phishingowe i czekają, aż nieświadomy pracownik kliknie na zainfekowany załącznik albo link i tym samym otworzy szczelne bramy do danych.

Gdy tak się stanie, cyberprzestępcy błyskawicznie kradną dane i opcjonalnie blokują system. Jeszcze kilka lat temu kończyli na zablokowaniu komputera. Jednak odkąd coraz więcej podmiotów leczniczych tworzy kopie zapasowe pozwalające na szybkie przywrócenie ciągłości działania, zmienili swoją strategię. Teraz szantażują upublicznieniem wykradzionych danych pacjentów, licząc, że to skłoni podmiot do zapłaty okupu.

Bezpłatny poradnik "Bezpieczeństwo danych medycznych"

Ochrona danych musi zostać wszyta w kulturę organizacyjną

Większość skutecznych cyberataków wykorzystuje proste luki i karygodne zaniedbania w zabezpieczeniach technicznych albo niewiedzę pracowników na temat działania ransomware oraz phishingu. Problemem nie jest to, że szpitale i przychodnie nie mają zaawansowanych zabezpieczeń technicznych, ale niedociągnięcia w podstawowych kwestiach jak szkolenia personelu albo aktualizacje systemów.

Ochrona danych nie zawsze wymaga od razu zatrudniania ekspertów cyberbezpieczeństwa i dużych inwestycji finansowych. Małe placówki, które z reguły nie są na celowniku hakerów, powinny skupić się na prostych zasadach cyberhigieny, jak oddzielenie sieci do zadań prywatnych od sieci gromadzenia i przetwarzania danych pacjentów, nieinstalowania na komputerach do gromadzenia EDM innych systemów (przeglądarki internetowe, poczta e-mail), szkoleniach z cyberbezpieczeństwa (poprawa świadomości ochrony danych), logowanie wieloskładnikowe do krytycznych zasobów, kopie danych w czasie rzeczywistym.

Są to pasywne elementy bezpieczeństwa, czyli stałe zabezpieczenia zapewniające ochronę niezależnie od metod działania hakerów. Na wyższym poziomie znajduje się aktywne podejście obejmujące monitorowanie zagrożeń ze strony hakerów oraz zarządzanie ryzykiem.

Czy dobrze chronisz dane medyczne? [CHECKLISTA]

  • Zarządzanie ryzykiem. Czy znasz wszystkie punkty końcowe zbierania danych? Czy są one odpowiednio chronione? Czy przeprowadziłeś ocenę ryzyka dotyczącą zasobów IT i ustaliłeś priorytety ochrony? Czy wdrożyłeś zabezpieczenia adekwatne do przeprowadzonej analizy ryzyka?
  • RODO i audyty. Czy pracownicy znają i stosują zasady ochrony danych pacjentów? Czy przeprowadzane są audyty RODO i wewnętrzne/zewnętrzne audyty bezpieczeństwa? Czy wdrożono kodeksy postępowania RODO zatwierdzone przez UODO?
  • Kontrola dostępu do danych. Czy dane pacjentów są dobrze chronione przed dostępem osób nieuprawnionych? Czy personel stosuje silne, systematycznie zmieniane hasła? Czy odpowiednio nadano role w systemie IT, aby zarządzać dostępem do danych? Czy są one regularnie aktualizowane?
  • Ustawienia prywatności. Czy komputery, na których gromadzona jest EDM, mają włączone autowylogowywanie się? Czy zablokowano porty USB? Czy lokalizacja komputerów i opcje blokowania ekranu zapewniają prywatność danych?
  • Ochrona sprzętu i zasobów. Czy serwery oraz komputery są odpowiednio chronione? Czy stosowane są systemy monitoringu zagrożeń, oprogramowanie antywirusowe i filtry antyspamowe? Czy dane są szyfrowane? Czy lekarze pracujący zdalnie łączą się z bazą danych poprzez VPN (wirtualną sieć prywatną)?
  • Procedury. Czy wdrożono zarządzanie dostawcami? Czy monitorujesz dostawców i usługodawców pod względem przestrzegania praktyk bezpieczeństwa? Czy umowy z dostawcami zawierają klauzule bezpieczeństwa danych?
  • Zarządzanie bezpieczeństwem sieciowym. Czy sieć placówki medycznej została podzielona na część obsługującą wrażliwe dane i systemy (system elektronicznej dokumentacji medycznej) i inne zadania (np. korzystanie ze stron internetowych przez pracowników, sieć WiFi dla pacjentów)? Czy dostęp pracowników do skrzynki e-mail jest bezpieczny?
  • Szkolenia pracowników. Czy istnieje plan szkoleń z cyberbezpieczeństwa? Czy przygotowano instrukcje onboardingu dla nowych pracowników z uwzględnieniem zasad ochrony danych? Czy pracownicy są regularnie informowani o nowych rodzajach zagrożeń? Czy pracownicy są świadomi swojej roli w systemie cyberbezpieczeństwa? Czy prowadzone są kontrolowane testy bezpieczeństwa?
  • Monitoring ataków cybernetycznych. Czy posiadasz rozwiązanie techniczne do monitoringu ataków hakerskich? Czy w razie ataku zostaniesz o nim poinformowany, aby móc niezwłocznie zareagować? Czy monitorujesz ruch sieciowy i niebezpieczne zachowania użytkowników?
  • Usuwanie luk w systemie bezpieczeństwa. Czy istnieje procedura regularnego sprawdzania, czy oprogramowanie i sprzęt są zaktualizowane do najnowszych wersji? Czy otrzymujesz informacje o nowych łatkach bezpieczeństwa w systemach IT i sprzęcie?
  • Reagowanie na incydenty. Czy posiadasz procedurę na wypadek ataku hakerów? Czy organizacja ćwiczy regularnie scenariusze ataków i usuwania ich skutków? Czy wiesz jak powstrzymać lub wyeliminować zagrożenie, odzyskać sprawność działania organizacji i przyjęć pacjentów? Czy pracownicy wiedzą, co robić w przypadku wykrycia zagrożenia?
  • Plan komunikacji. Czy istnieje plan komunikacji z pracownikami w razie skutecznego ataku cybernetycznego? Czy istnieją procedury komunikacji z pacjentami? Czy pracownicy wiedzą jak bezpiecznie kontynuować opiekę nad pacjentem w przypadku incydentów cybernetycznych?
  • Wiedza o zagrożeniach. Czy znasz aktualne ostrzeżenia instytucji odpowiedzialnych za bezpieczeństwo danych, jak np. NASK. Czy wiesz, gdzie zgłosić atak hakerski i wyciek danych? Czy gromadzisz informacje o udanych atakach i na ich podstawie zwiększasz własne kompetencje? Inwestycje w ochronę techniczną.
  • Inwestycje w podnoszenie cyberbezpieczeństwa. Czy placówka medyczna ma wydzielony budżet celowy na ochronę danych? Czy monitorowane są aktualne oferty szkoleń dla ochrony zdrowia oraz programy dofinansowania cyberbezpieczeństwa?