Jak udoskonalić plan reagowania na incydenty bezpieczeństwa?

Stworzyłeś procedury opisujące sposób postępowania w przypadku incydentów bezpieczeństwa danych, ale chcesz mieć pewność, że w razie potrzeby zadziałają prawidłowo? Eksperci radzą przyjrzeć się bliżej trzem obszarom.

1. Poznaj swoją organizację

Zwłaszcza duże placówki medyczne, jak szpitale, mają złożoną strukturę organizacyjną. Przeciętny pracownik nie zawsze wie, kto jest odpowiedzialny za konserwację infrastruktury IT. Taka sytuacja ma często miejsce, gdy podmiot medyczny posiada kilka filii, a do tego występuje duża rotacja pracowników kontraktowych.

W przypadku cyberataku, czas odgrywa kluczową rolę. Jeżeli po wykryciu incydentu bezpieczeństwa pracownicy nie będą pewni, kogo należy powiadomić w pierwszej kolejności, czas potrzebny na reakcję wydłuży się, co może ostatecznie opóźnić opanowanie incydentu i złagodzenie jego skutków. Praktycznie na każdym biurku z komputerem wpiętym w sieć szpitalną albo przychodni musi znaleźć się kartka z informacją, kogo poinformować, gdy pojawią się problemy. Eksperci zalecają przygotowanie graficznego schematu postępowania, który objaśnia cały system bezpieczeństwa informacyjnego, uświadamiając jego priorytetowość.

2. Współpraca z zespołem prawnym

Niezależnie od tego, czy badamy nowo odkryty incydent, czy potencjalne naruszenie, dział prawny – wewnętrzny lub zewnętrzny – powinien być zaangażowany na każdym etapie postępowania. Przykładowo, gdy kierownictwo organizacji planuje zgłosić incydent bezpieczeństwa do organów rządowych, prawnicy określą formę i procedurę zgłoszenia, doradzą w kwestii zgłaszania incydentów bezpieczeństwa organom regulacyjnym, wezmą udział w wyjaśnianiu spraw z Urzędem Ochrony Danych Osobowych, będą reagować na upomnienia i kary a także kierować sprawami dotyczącymi naruszenia danych osobowych wnoszonymi przez pacjentów. Zespół prawny może również decydować, kiedy incydent zgłaszać organom regulacyjnym oraz kiedy i jak powiadomić osoby, których dotyczy wyciek danych.

Ponadto, liderzy ds. cyberbezpieczeństwa powinni aktywnie współpracować z pracownikami odpowiedzialnymi za komunikację, aby upewnić się, że komunikaty, zarówno wewnętrzne jak i zewnętrzne, są spójne i rzeczowe.

Jeżeli dojdzie do ataku cybernetycznego, trzeba od razu wdrożyć plan komunikacji kryzysowej – z jednej strony pracownicy powinni wiedzieć, jak się zachować, z drugiej – podmiot medyczny musi szybko opublikować oficjalne oświadczenie oraz na bieżąco odpowiadać na pytania od mediów. A te pojawiają się błyskawicznie, jak tylko informacja dotrze do dziennikarzy. Blokada informacyjna i milczenie wywołane paraliżem jest najgorszym scenariuszem. Gdy w relacjach medialnych zabraknie wyjaśnień kierownictwa, opinia publiczna może odnieść wrażenie, że placówka ignoruje lub bagatelizuje problem. Ponadto, pracownicy muszą wiedzieć, że nie wolno samodzielnie udzielać informacji lub odpowiadać na maile pacjentów proszących o np. przekazanie danych.

W sektorze ochrony zdrowia spory sądowe związane z naruszeniami danych są raczej rzadkością, ale czasem się zdarzają – zwłaszcza w przypadku głośnych spraw. Podobnie UODO rzadko nakłada kary pieniężne, a naruszenia kończą się jedynie na upomnieniach. Aby nie zaostrzać sytuacji, trzeba wykazać się dobrą wolą wyjaśnienia sprawy i szybko odpowiadać na zapytania UODO.

3. Komunikuj się strategicznie

Czy placówka ma wdrożone zasady i procedury dzielenia się informacjami na zewnątrz? Jeśli tak, to czy wszyscy pracownicy są ich świadomi? Komunikowanie polityk i procedur jest niezbędne, aby pracownicy wiedzieli, jak reagować. Do szpitala albo przychodni spływają różne zapytania dotyczące przykładowo udostępnienia niektórych informacji. Czasami wysyłane są one do osób na stanowiskach administracyjnych. Czy wiedzą, gdzie je dalej przekazywać?

Drugim celem strategicznej komunikacji jest transparentność i zasada „fair play”. Czy kiedy wystąpi zagrożenie, pracownicy przyznają się do niego, czy wręcz przeciwnie – będą próbowali je ukryć w obawie przed konsekwencjami personalnymi lub finansowymi? A co gorsza – próbując zapłacić okup z własnej kieszeni. Każda próba zatuszowania ataku ransomware może prowadzić do opóźnień reakcji ze strony działu IT i dalszego zainfekowania kolejnych urządzeń w sieci. W tym przypadku czas gra na niekorzyść ofiary cyberataku.

Z praktyki wynika, że szkolenia w zakresie bezpieczeństwa danych przeprowadzane są raz w roku a nawet rzadziej. To zdecydowanie za mało, bo cyberprzestępcy stosują coraz nowsze metody, zmienia się też polityka ochrony danych. Obowiązkowym elementem szkoleń są pozorowane phishingi, które pozwolą sprawdzić stopień gotowości personelu na zagrożenia. Podczas nich należy mierzyć i porównywać wskaźniki kliknięć na fałszywe wiadomości, aby monitorować postęp w czasie.

Pobierz raport na temat bezpieczeństwa danych i RODO w placówkach ochrony zdrowia >