“Informatycy na pół etatu, brak kopii zapasowych”

Czy polskie placówki medyczne są przygotowane na cyberataki? Jakie niedociągnięcia są największym grzechem? I co robi Ministerstwo Zdrowia w związku z rosnącą liczbą incydentów cyberbezpieczeństwa? Na pytania odpowiada Piotr Węcławik, Dyrektor Departamentu Innowacji w Ministerstwie Zdrowia.

Jak ocenia Pan stan cyberbezpieczeństwa w placówkach ochrony zdrowia?

Cyberbezpieczeństwo stało się ostatnio modnym stwierdzeniem, formalnie wprowadzonym ustawą z 2018 r. o krajowym systemie cyberbezpieczeństwa (KSC). Natomiast wymagania dotyczące wdrażania systemów zarządzania bezpieczeństwem informacji (SZBI) wynikają już z rozporządzenia z 2012 r. w sprawie Krajowych Ram Interoperacyjności (KRI).

Są różnice między bezpieczeństwem procesowym (KRI) a technicznym (KSC). KRI nakłada wymagania wdrażania SZBI na szerokie grono podmiotów leczniczych, od SPZOZ po spółki. Według badań Centrum e-Zdrowia (CeZ) z 2016 r. 82% szpitali i 56% deklarowało, że ma wdrożoną wewnętrzną politykę bezpieczeństwa informacji.

W 2022 r. CeZ przeprowadził kolejne badanie – placówki ochrony zdrowia oceniły własne poziomy bezpieczeństwa komputerowego, niedociągnięcia i potrzeby w związku z reagowaniem na incydenty. Zgodnie z raportem, w ponad połowie podmiotów zidentyfikowano potrzeby w zakresie cyberbezpieczeństwa. Główne potrzeby badanych placówek to wzrost odporności na cyberataki oraz zwiększenie ochrony danych osobowych. Placówki wskazały również priorytety w działaniach na rzecz poprawy bezpieczeństwa systemów informatycznych. Najczęściej wskazywanymi obszarami były monitorowanie bezpieczeństwa teleinformatycznego podmiotu oraz szacowanie ryzyka związanego z zagrożeniami bezpieczeństwa informacji.

Minister Zdrowia, jako tzw. organ właściwy ds. cyberbezpieczeństwa, w swoim sektorze ma około 250 Operatorów Usług Kluczowych (OUK). OUK, ze względu na stan epidemii, dopiero teraz kończą wdrażać wymagania określone ustawą KSC. Finałem wdrożenia jest przeprowadzenie audytu. Analiza z audytu planowana jest na koniec roku. Da ona bardziej ostry obraz stanu cyberbezpieczeństwa kluczowych podmiotów.

Patrząc na liczbę incydentów cyberbezpieczeństwa w ostatnich latach widać, że placówki stają coraz częściej ofiarami ataków hakerskich.

W roku 2022 odnotowaliśmy kilka poważnych ataków ransomware. Żaden z nich nie doprowadził do wstrzymania udzielania świadczeń zdrowotnych przez podmioty lecznicze.

Jednak w czasie odtwarzania systemów, przy wsparciu ekspertów z CeZ, dostęp do danych medycznych był utrudniony. Przed tego typu atakami można się zabezpieczyć. Jeśli jednak wszystkie zabezpieczenia zawiodą, ostatnią deską ratunku jest skuteczna kopia zapasowa. I tu apel do kierowników podmiotów leczniczych: zadbajcie o skuteczną kopię zapasową, zweryfikujcie czy służby IT te zadania wykonują poprawnie. Może w tym pomóc Rekomendacja MZ dotycząca wykonywania kopii zapasowych.

Na które z cyberzagrożeń placówki powinny zwracać szczególną uwagę?

Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) publikuje coroczny raport. Pierwsze trzy punkty z tego raportu to ransomware, złośliwe oprogramowanie i ataki socjotechniczne.

Finalnie te trzy typy zagrożeń są często wykorzystywane do żądania okupu. Metodami socjotechnicznymi pracownik podmiotu leczniczego jest namawiany do wykonania pewnych działań, np. kliknięcia w link, który powoduje zainstalowanie na komputerze złośliwego oprogramowania. W ten sposób cyberprzestępcy zyskują dostęp do wewnętrznego środowiska IT ofiary, rozpoczynają rekonesans, lokalizację kopii zapasowych i inicjują atak typu ransomware, szyfrując dane oraz niewłaściwie wykonane kopie zapasowe.

Atak typu ransomware można porównać do współczesnego terroryzmu: przestępca przychodzi do ciebie, zabiera ci dane oraz kopie zapasowe danych i zamyka w twoim budynku w pokoju, do którego wymienia zamki i mówi, że odda ci klucz do tego pokoju jak zapłacisz 1 mln EUR okupu, a ty nie masz żadnej możliwości otworzenia tego pokoju. Ransomware to najpoważniejsze zagrożenie dla polskiego systemu ochrony zdrowia. Dlatego podkreślam wagę skutecznych kopii zapasowych, trzymanych w odizolowanym środowisku, w innej lokalizacji, np. na taśmach magnetycznych wyniesionych z serwerowni. Jest to ostatnia deska ratunku.

Drugim zagrożeniem są sami pracownicy podmiotów leczniczych. Tak, pracownicy i ich nieodpowiedzialne zachowanie. Pomijam wspomniane wcześniej ataki socjotechniczne, bo tu człowiek jest manipulowany i jeżeli nie wykaże się czujnością, to nawet nieświadomie staje sią ofiarą. Jednak zdarzają się sytuacje, w których pracownicy przez swoją bezmyślność powodują zagrożenia. Dlatego kluczowe są szkolenia, nie tylko pracowników IT, ale przede wszystkim pracowników medycznych oraz kadry zarządzającej. Tak, kadry zarządzającej, bo przykład idzie z góry, a tylko świadomy menadżer może podejmować trafne decyzje.

Jakie wnioski nasuwają się Panu z dostępnych zgłoszeń incydentów bezpieczeństwa danych?

Mam świadomość, że nie wszystkie incydenty docierają do murów na Miodowej, ale kilka kluczowych wniosków można wysnuć.

Pierwszy dotyczy kompetencji. Pracownicy IT w podmiotach leczniczych często są zrównywani z pracownikami technicznym. Dla kadry zarządzającej taki pracownik jest od wymiany myszek i od tego, żeby komputer działał. To jest błędne podejście. W czasach cyfrowej transformacji, budowy szeroko pojętego e-zdrowia, informacja w postaci cyfrowej jest niezbędna. Szef IT powinien być kluczowym współpracownikiem dyrektora podmiotu, jeśli nie wręcz członkiem ścisłego kierownictwa.

W szpitalach, w których wystąpiły incydenty, pracownicy IT byli zatrudnieni na przykład na pół etatu. Taki wymiar czasu pracy nie pozwala na zarządzanie IT. W większych szpitalach jest to czasem jeden administrator i kilku pracowników helpdesku. Tak nie można budować systemu e-zdrowia z prawdziwego zdarzenia, wspierającego pracowników medycznych, dającego narzędzie do zarządzania podmiotem. Nie wspomnę już o budowaniu cyberbezpieczeństwa.

Trzeba także rozróżnić kompetencje pracowników IT, a jest z nimi jak z lekarzami – każdy ma swoją specjalizację. Nie oczekujmy od pracownika helpdesku, który do perfekcji opanował skuteczne zarządzanie dziesiątkami lub setkami komputerów, aby znał się na administrowaniu systemem HIS lub wdrażaniu systemów SIEM.

Drugi wniosek to – powtórzę po raz kolejny – skuteczne kopie zapasowe.

Co jeszcze radziłby Pan placówkom ochrony zdrowia?

Cyberbezpieczeństwo powinno być dziś jednym z najważniejszych priorytetów dla zarządzających placówkami. Stanowi ono olbrzymie ryzyko związane z ciągłością działania podmiotu leczniczego, a co za tym idzie – bezpieczeństwem pacjentów. Istotne jest podejmowanie wszelkiego rodzaju działań prowadzących do jego minimalizowania.

Ważnym elementem w tym zakresie jest edukowanie personelu medycznego i administracyjnego. Pracownicy powinni mieć poczucie, jak istotny jest wpływ zagrożeń cybernetycznych na funkcjonowanie jednostek ochrony zdrowia, a tym samym zachowywać ostrożność, by chronić pacjentów. Ważne jest też docenienie pracowników IT. Na mapie podmiotów, które wyróżniają się dojrzałością systemów informacyjnych, pracownicy IT są kluczowym partnerem dyrektorów w zarządzaniu. W dłuższej perspektywie podobne wnioski będziemy mogli wysnuć w stosunku do dojrzałości cyberbezpieczeństwa. No i uśmiecham się, bo znów chciałem powiedzieć o kopiach zapasowych.

A co konkretnie robi Ministerstwo Zdrowia w tym temacie?

W ubiegłym roku Minister Zdrowia utworzył Wydział Bezpieczeństwa Teleinformatycznego, który ma dwa zadania – zapewnienie bezpieczeństwa urzędu, a przede wszystkim pełnienie roli tzw. organu właściwego w rozumieniu KSC.

To drugie zadanie jest największym wyzwaniem, bo jak to często bywa, MZ może prosić podmioty lecznicze o wykonanie pewnych działań, w tym przypadku zapewnienie cyberbezpieczeństwa, ale nakazać może tylko to, co jest w ustawie KSC. Więc zachęcamy do działania, ale wspieramy także w realizacji.

Dostrzegając wagę problemu, wspólnie z NFZ ogłosiliśmy projekt wsparcia cyberbezpieczeństwa dla podmiotów, które zostały najciężej doświadczone podczas epidemii COVID-19, czyli szpitali. Zgodnie z jego założeniami, placówki otrzymają nawet 900 tys. zł dofinansowania.

Wspólnie z KPRM i NASK prowadzimy także szkolenia dla POZ. Planujemy kolejne dla szpitali, tym razem wspólnie z CeZ. Staramy się także o uzyskaniu budżetu na wieloletnie wsparcie podmiotów leczniczych w podnoszeniu cyberbezpieczeństwa. Mamy np. pewne wnioski o alokacje w ramach funduszy unijnych. Staramy się także powołać tzw. CSIRT sektorowy, docelowo w CeZ. To duże przedsięwzięcie formalno–organizacyjne.

No i zadaniem ciągłym jest monitorowanie realizacji ustawy KSC przez OUK. Mamy zaplanowane audyty, bo jak wiadomo kontrola jest najwyższą formą zaufania. I tu ciekawostka, ustawa KSC przewiduje nakładanie kar za nieprzestrzeganie wymagań także na kierowników podmiotów leczniczych – maksymalnie 200% miesięcznego wynagrodzenia! To jest dość nowa konstrukcja w polskim systemie prawnym.

Statystyki sugerują, że jedynie niewielka część cyberataków jest zgłaszana. Ukrywane są te mniejsze, gdzie nie doszło do zauważalnych szkód. Podmioty medyczne boją się konsekwencji.

Dla szpitali, którym wydano decyzje o uznaniu za OUK, ustawa KSC określa szereg obowiązków, w tym zasady obsługi incydentów. Jest wśród nich obowiązek zgłaszania incydentu poważnego w ciągu 24 godzin od jego wykrycia.

Także pozostałe podmioty powinny zgłaszać działania podejmowane przez hakerów, takie jak bezprawne uzyskane informacji, niszczenie, uszkadzanie, usuwanie lub utrudnianie dostępu do danych, zakłócanie prac systemów komputerowych, wytwarzanie określonych programów komputerowych – ponieważ stanowią one przestępstwa uregulowane w Kodeksie karnym.

CERT Polska prowadzony przez NASK swoją historią sięga połowy lat 90-tych. Od tamtego czasu aż do dziś, już pod szyldem CSIRT NASK, przyjmuje zgłoszenia o incydentach. Jednak wciąż brakuje świadomości społecznej o wadze tych zgłoszeń. Jednostkowe zgłoszenie może wydawać się pozbawione sensu, ale to jednostkowe zgłoszenie w połączeniu z innymi podobnymi buduje mapę sytuacyjną, pokazuje stan zagrożeń cyberprzestrzeni, a w grupie umożliwia także bardziej skuteczne ściganie przestępstw.

Niezgłoszenie incydentu cyberbezpieczeństwa może rodzić konsekwencje dla OUK, ale największymi są te wynikające z RODO – większość incydentów jest związana z potencjalnym lub faktycznym wyciekiem danych osobowych. O konsekwencjach wynikających z RODO nie trzeba dużo mówić. Zgłaszajmy incydenty do CSIRT NASK. To pomoże lepiej reagować i planować dalsze działania.

Czy prowadzony w MZ rejestr incydentów i zdarzeń bezpieczeństwa powinien być dostępny publicznie, pełniąc rolę ostrzegawczą dla innych podmiotów?

Każdy podmiot powinien prowadzić swój rejestr incydentów, umożliwiać każdemu pracownikowi ich zgłaszanie, a te o odpowiedniej wadze – przekazywać do właściwych służb.

Rejestr wewnętrzny nie powinien być publiczny, bo mógłby pokazywać podatność podmiotu na to, co może być dla niego niebezpieczne. Jednak statystki już tak i sektor ochrony zdrowia jest w rocznych raportach o stanie cyberbezpieczeństwa publikowanych przez NASK.

Jakie są Pana priorytety w zakresie cyberbezpieczeństwa na 2023 rok?

Doprowadzenie do końca projektów realizowanych przez szpitale w zakresie podniesienia poziomu cyberbezpieczeństwa, a także uzyskanie dalszego finansowania. Dużym wyzwaniem będzie weryfikacja raportów z audytów prowadzonych przez OUK, wyciagnięcie z nich wniosków oraz zaplanowanie dalszych działań, w tym audytów wybranych OUK. Ważne jest też powołanie CSIRT CeZ. Jeżeli to zrealizujemy, będzie to bardzo udany rok.

Pobierz bezpłatnie pełne wydanie magazynu OSOZ Polska z tym i innymi wywiadami