Jak wzmocnić ochronę danych medycznych w 2024 roku?

Codziennie rejestuje się ok. 250 ataków hakerów na podmioty medyczne.
Codziennie rejestuje się ok. 250 ataków hakerów na podmioty medyczne.

91% szpitali w Polsce „zgłasza zapotrzebowanie” w zakresie cyberbezpieczeństwa – wynika z badania Centrum e-Zdrowia. Tymczasem w 2024 czekają je nowe wyzwania cybernetyczne wynikające ze zmiany strategii hakerów i nowych metod ataków.

W szpitalach jest lepiej, POZ-ty dalej nieprzygotowane

Badanie CeZ przeprowadzone w 2023 roku sugeruje, że placówki skupiają się obecnie na poprawie odporności na cyberataki (25,8%), zwiększeniu ochrony danych osobowych (24,3%), poprawie ciągłości działania systemów informatycznych (16,9%) oraz szerzeniu wiedzy o zagrożeniach informatycznych wśród pracowników/kierownictwa jednostki (14%).

Niepokojąca jest jednak odpowiedź na pytanie o aktywne dbanie o bezpieczeństwo danych: tylko połowa ankietowanych placówek (51,5%) zadeklarowała, że już wcześniej (przed badaniem) podejmowała działania w zakresie cyberbezpieczeństwa. Z tego większość to szpitale (94%), a największe zaniedbania są w placówkach AOS i POZ. Badanie nie wskazuje powodów, ale można się jedynie domyślać, że jak zawsze chodzi o pieniądze oraz samą świadomość problemu.

Priorytety ochrony danych w ochronie zdrowia (źródło: Centrum e-Zdrowia.)
Źródło: Centrum e-Zdrowia.

W 70% przypadków, inwestycje w cyberbieczeństwo są finansowane ze środków własnych. Do własnych budżetów muszą sięgać najczęściej ambulatoryjne placówki medyczne, w przeciwieństwie do szpitali, gdzie aż 75% funduszy pochodzi ze wsparcia NFZ. Tylko w co 40-stej placówce udało się znaleźć pieniądze z funduszy UE lub ze środków publicznych, np. od podmiotów tworzących.

Jeśli pieniądze już są, to trafiają na monitorowanie bezpieczeństwa teleinformatycznego podmiotu (51,1% ankietowanych) i szkolenia dla pracowników z bezpieczeństwa informacji i cyberbezpieczeństwa (47,3%).

Można z dużą pewnością przyjąć, że rzeczywista ochrona danych jest na gorszym niż deklarowanym poziomie. Menedżerowie placówek medycznych powtarzają od lat, że nie mają pieniędzy na cyberbezpieczeństwo i nie stać ich na zatrudnienie deficytowych i drogich ekspertów, których i tak wchłaniają inne branże.

Więcej ataków na małe, nieprzygotowane placówki

Tymczasem statystyki za rok 2023 pokazują, że nie słabnie intensywność ataków na placówki ochrony zdrowia. W Polsce wystarczy wspomnieć o głośnej kradzieży danych w Laboratoriach ALAB. W 2021 roku polskie szpitale i przychodnie zgłosiły 13 ataków hakerów, a w 2022 roku było już ich 43. Faktyczna liczba jest kilkukrotnie większa, bo wiele podmiotów woli ukryć naruszenie bezpieczeństwa danych w obawie przed konsekwencjami.

Na całym świecie, codziennie rejestuje się ok. 250 ataków hakerów na podmioty medyczne. Według badania Check Point Research, w I półroczu 2023 r. liczba ataków na opiekę zdrowotną na świecie wzrosła o 18 proc. Z kolei według raportu IBM i Ponemon Institute z lipca 2023 r., naruszenia cyberbezpieczeństwa kosztowały organizacje opieki zdrowotnej średnio 10,1 miliona dolarów na incydent. W 2023 roku można zaobserwować zmianę taktyki hakerów. Ponieważ duże szpitale wzmocniły w ostatnich latach poziom bezpieczeństwa danych – co też wynika z ankiety CeZ – ofiarą coraz częściej stają się mniejsze placówki.

Spooning, czyli maile prawie jak z NFZ

Sektor zdrowia musi się też przygotować na zwiększoną liczbę cyberataków przeprowadzanych z pomocą sztucznej inteligencji. Wśród nich są personalizowane wiadomości phishingowe wykorzystujące nieuwagę pracowników ochrony zdrowia, czy adaptacyjne złośliwe oprogramowanie wymagające nowych zabezpieczeń. Hakerzy sięgają do coraz bardziej wyrafinowanych technik socjo-technicznych, w czym pomaga im AI.

A to oznacza jedno: nawet te placówki, które mają już politykę bezpieczeństwa informacyjnego, muszą ją zaktualizować m.in. o element aktywnego przewidywania i zapobiegania nowym rodzajom ryzyka cybernetycznego. Drugi ważny element strategii na 2024 to wzmocnienie zarządzania ryzykiem stron trzecich. Każda umowa outsourcingowa, która wymaga wymiany/powierzenia danych, powinna być solidnie przygotowana pod względem cyberbezpieczeństwa. Oprócz wstępnej oceny, należy zaplanować systematyczne przeglądy poziomu bezpieczeństwa. Tak samo ważne są regularne szkolenia pracowników informujące o potencjalnych zagrożeniach związanych z interakcjami z podmiotami zewnętrznymi.

Pracownicy powinni być na bieżąco z nowymi taktykami ataków. Przykładem jest np. spoofing e-mail albo telefoniczny, gdy oszust podszywa się pod podmiot lub osobę. Największy atak tego rodzaju miał miejsce w marcu 2023 roku. Placówki medyczne otrzymały wówczas maila wyglądającego jak informacja z NFZ, o tytule „Nowe oprogramowanie SZOI” albo „Aktualizacja systemu SZOI”. Wiadomości zostały wysłane z adresów bardzo podobnych do oficjalnych, np. informatycy@szoi-nfz.pl albo szoi@nfz-centrala.pl. Na pierwszy rzut oka mail trudno było odróżnić od prawdziwych komunikatów rozsyłanych przez NFZ. Pracownicy muszą wiedzieć, jak weryfikować maile, prośby o poufne informacje albo wezwania do zalogowania się do platform IT. W 2023 roku to właśnie phishing był najczęstszą przyczyną wycieku danych.

Nie można też zapominać o klasycznych zabezpieczeniach jak silne i regularnie zmieniane hasła, wykonywanie w czasie rzeczywistym kopii bezpieczeństwa, aktualizacja oprogramowania, zarządzanie dostępem do danych przez pracowników oraz minimalizacja zagrożeń wewnętrznych.

Wraz z tym jak szpitale stają się smart, integrując ze sobą urządzenia w ramach jednej infrastruktury IT, uwagi wymagają zagrożenia w ramach tzw. internetu rzeczy. Pierwsze statystyki za rok 2023 sugerują, że liczba ataków nie była drastycznie większa w porównaniu z rokiem 2022. Za to miały one o wiele bardziej katastrofalne skutki dla placówek medycznych. Zwiększyła się też liczba danych, które wyciekły, poszkodowanych osób oraz kwoty okupu.

Czytaj także: Insider threats, czyli jak chronić dane przed pracownikami