Jak chronić dane pacjentów? 5-minutowy poradnik

Rośnie liczba ataków cybernetycznych na placówki ochrony zdrowia
Rośnie liczba ataków cybernetycznych na placówki ochrony zdrowia

Lekcje z cyberataku na Instytut Centrum Zdrowia Matki Polki (ICZMP): twórz bezpieczne kopie zapasowe, opracuj procedury reagowania na incydenty ochrony danych, chroń pocztę elektroniczną, przeprowadzaj regularne symulacje ataków phishingowych.

Jesteś na celowniku cyberprzestępców

Z raportu Fortified Health Security wynika, że tylko w pierwszej połowie 2022 roku w sektorze opieki zdrowotnej zanotowano 337 poważnych naruszeń bezpieczeństwa danych, które objęły aż 19 milionów kartotek pacjentów. Średni koszt naruszenia danych w służbie zdrowia wynosi obecnie 10,1 miliona USD/incydent – jak obliczyli autorzy raportu IBM „Cost of a Data Breach”.

Incydenty bezpieczeństwa danych w placówkach ochrony zdrowia (IV kw. 2021 – II. kw. 2022)
Incydenty bezpieczeństwa danych w placówkach ochrony zdrowia (IV kw. 2021 – II. kw. 2022)

W Polsce skala cyberataktów jest trudna do oszacowania, bo większość incydentów nadal nie jest zgłaszanych. Tylko najpoważniejsze z nich przedostają się do opinii publicznej. Oprócz ataku na ICZMP, przykładem jest paraliż SP ZOZ w Pajęcznie.

Konsekwencje skutecznego ataku hakerów są poważne. W ICZMP trzeba było odwołać zaplanowane procedury, a przywracanie funkcjonowania systemów IT trwało dwa tygodnie. W tym czasie, lekarze musieli przejść na papierową dokumentację. W innych przypadkach – gdy placówka nie tworzy odpowiednio chronionych kopii zapasowych – może nawet dojść do bezpowrotnej utraty danych pacjentów.

Największa luka bezpieczeństwa: brak wiedzy

Statystyki ataków cybernetycznych potwierdzają, że w większości przypadków to człowiek, a nie system, jest bramą pozwalającą wniknąć złośliwemu oprogramowaniu do systemu.

Można to sprawdzić przeprowadzając symulowany atak phishingowy. Na taki krok zdecydował się Centralny Szpital Kliniczny MSWiA w Warszawie. – To niezwykle podniosło poziom świadomości. Teraz wielokrotnie mamy taką sytuację, że wysyłamy prawdziwego maila z informacją i pracownicy IT otrzymują zwrotnie wiele maili ze zgłoszeniami o podejrzanej wiadomości – mówił podczas Forum Rynku Zdrowia zastępca dyrektora ds. teleinformatycznych i inżynierii medycznej CSK MSWiA.

Dodał on, że podczas symulacji ataku, rekordzista próbował zalogować się 80 razy na fałszywą stronę, która mogła być potencjalnie zainfekowana i której nie powinien otwierać. Taki test pozwala sprawdzić poziom świadomości i edukować personel

Z badania przeprowadzonego przez NFZ wynika, że niewiele ponad 13% dyrektorów szpitali odbyło szkolenia w zakresie cyberbezpieczeństwa. Z kolei w badaniu Centrum e-Zdrowia, aż 86% szpitali zadeklarowało potrzeby w zakresie podnoszenia bezpieczeństwa danych. Wśród priorytetów znalazły się:

  • zwiększenie ochrony danych osobowych i odporności na cyberataki,
  • poprawa ciągłości działania systemów informatycznych,
  • zwiększenie ochrony poczty elektronicznej,
  • poprawa stanu wiedzy o zagrożeniach informatycznych wśród pracowników i kierownictwa jednostki,
  • uświadomienie ryzyka związanego ze stosowaniem systemów informatycznych,
  • poprawa zarządzania ryzykiem w jednostce.

Systemy, dokumenty i procedury

Drugą po człowieku zaporą dla ataków hakerów jest odpowiedni sprzęt, oprogramowanie oraz zasady postępowania, czyli techniczne i organizacyjne środki bezpieczeństwa. Zakładając, że dokumentacja medyczna jest przechowywana w formie elektronicznej, ważne jest posiadanie odpowiedniego oprogramowania antywirusowego, zapory sieciowej, systemu haseł i autoryzacji.

Absolutną koniecznością są systemy do tworzenia kopii danych, aby w razie ataku można było szybko odtworzyć pełną bazę danych placówki i przywrócić normalne funkcjonowanie. Zalecanym modelem jest archiwizacja kopii w bezpiecznej chmurze danych. Wówczas backup bazy tworzy się automatycznie, a do tego znajduje się w innej lokalizacji.

Zdaniem Jarosława Olejnika, dyrektora w Centrali NFZ od lat zajmującego się bezpieczeństwem, w tym bezpieczeństwem informatycznym, menedżerowie szpitali muszą przede wszystkim inwestować w technologie ułatwiające monitorowanie bezpieczeństwa infrastruktury IT, identyfikowanie zagrożeń w środowisku IT oraz wykrywanie cyberzagrożeń. Wśród nich są takie rozwiązania informatyczne jak:

  • SIEM (Security Information and Event Management) – systemy zbierające oraz analizujące informacje o incydentach, błędach i podatnościach w czasie rzeczywistym;
  • EDR (Endpoint Detection and Response) – narzędzia służące wykrywaniu i reagowaniu na podejrzane aktywności w infrastrukturze IT;
  • IPS/IDS (Intrusion Prevention System/Intrusion Detection System) – technologia bezpieczeństwa sieciowego, która stale monitoruje ruch sieciowy pod kątem podejrzanej aktywności i podejmuje kroki w celu zapobiegania zagrożeniom.

Dodatkowo każdy podmiot musi spełnić obowiązki wynikające z RODO, w tym m.in. określić zasady bezpieczeństwa przetwarzania danych osobowych (polityka bezpieczeństwa), prowadzić regularne audyty bezpieczeństwa i analizę ryzyka zagrożeń cyberbezpieczeństwa.

Sporo wskazówek można też znaleźć w niedawno opublikowanym kodeksie postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych. Opracowany przez Porozumienie Zielonogórskie dokument został oficjalnie zatwierdzony przez UODO.

Pobierz bezpłatny raport o bezpieczeństwie danych i RODO w placówkach ochrony zdrowia