Ochrona danych to dobre procedury wokół pracowników

– Każdy ma prawo się pomylić i kliknąć w zainfekowany link. Decyduje to, co dzieje się później – mówi Patryk Kuchta, Data Privacy Manager w Medicover. Rozmawiamy o tym, jak stworzyć silny, wielowarstwowy system ochrony przed cyberatakami.

Jakie ataki hakerów najbardziej zagrażają danym medycznym?

Nie zaskoczę, jeśli powiem, że cały czas najbardziej powszechną próbą cyberataku jest stary, dobry, klasyczny phishing. Najpopularniejszy jest phishing mailowy, ale także ten przez komunikatory internetowe, z których pracownicy korzystają czasem prywatnie. Do tego dochodzi jeszcze coraz częściej stosowany phishing głosowy, czyli telefoniczny.

Niestety, jest on coraz bardziej wyrafinowany i przybiera coraz trudniejsze do rozpoznania formy. A wszystko dzięki AI. Do niedawna, pisane przez hakerów i masowo wysyłane wiadomości phishingowe, były stosunkowo łatwe do wykrycia. Zawierały błędy językowe, dziwne czcionki i podejrzane grafiki. Dzisiaj narzędzia oparte na sztucznej inteligencji są w stanie przygotować wiarygodne teksty w każdym języku, podszywające się pod różne instytucje. Trudno je odróżnić od prawdziwych wiadomości.

Drugą podatnością są luki w wykorzystywanym oprogramowaniu. Cyberprzestępcy cały czas monitorują dziury w systemach IT, by z ich pomocą dostać się do infrastruktury IT, zanim jeszcze producent wypuści odpowiednią łatkę, a użytkownik ją zainstaluje. Pomocne w monitorowaniu takich aktywności są narzędzia typu Cyberthreat Intelligence. Jak tylko zauważymy w raportach z monitoringu kampanii hakerskich, że jakiś system IT jest wykorzystywany w atakach, musimy tak szybko, jak to możliwe zainstalować łatkę.

Wspomniał Pan o wiadomościach phishingowych, które mogą być trudne do rozpoznania. Nie wszystkie zostaną odsiane jako SPAM. I wtedy ostatnim ogniwem obrony jest personel. I tu kłaniają się regularne szkolenia z cyberbezpieczeństwa.

Proponuję, aby nie nazywać tego szkoleniami, ale kampanią budowania świadomości i edukacją pracowników. Szkolenie za bardzo kojarzy się z jednorazowym wydarzeniem, czymś, co ma początek i koniec. W Medicover podchodzimy do wzmacniania cyberbezpieczeństwa jako do ciągłego procesu.

Oprócz tego, że organizujemy klasyczne szkolenia dla pracowników – wymagane przepisami prawa albo naszymi wewnętrznymi standardami – prowadzimy regularne treningi phishingowe. Korzystamy ze specjalnych platform generujących kontrolowane wiadomości phishingowe. Sprawdzamy reakcje pracowników: nie tylko to, czy klikają w niechciane linki lub załączniki, ale przede wszystkim to, czy zgłaszają phishing. Do tego publikujemy w intranecie aktualne materiały dotyczące bezpieczeństwa danych.

Zgłaszanie zagrożeń jest kluczowe. To, co często obserwujemy w zarządzaniu incydentami cyberbezpieczeństwa, to nie tyle fakt, że użytkownicy dają się złapać na phishing – bo świadomość jest coraz większa – ale to, że ignorują phishing. Dostają wiadomość, rozpoznają, że to phishing i ją kasują. Tymczasem takie wiadomości powinny być zgłaszane, bo dzięki temu wewnętrzny zespół IT jest w stanie skorelować informacje i wykryć, że przykładowo prowadzona jest kampania wymierzona w naszych pracowników. Wtedy możemy podnieść alarm i uruchomić dedykowaną kampanię informacyjną.

Jeśli chodzi o budowanie świadomości i kultury organizacyjnej, edukacja jest kluczowa. Ale nie oszukujmy się: edukacja bez odpowiednich zabezpieczeń technologicznych nie będzie w stanie sprostać współczesnym zagrożeniom. Dlatego konieczne jest budowanie wielowarstwowego ekosystemu bezpieczeństwa zawierającego m.in. zapory sieciowe, kontrolę ruchu w sieci placówki, zaawansowane narzędzia ochrony poczty, ochronę stacji końcowych, systemy klasy EDR (red.: Endpoint Detection and Response, narzędzia do wykrywania i reagowania na podejrzane aktywności na urządzeniach końcowych). Ochrona cybernetyczna jest ochroną wielowarstwową. Edukacja jest fundamentalna, ale musi być wsparta technologią.

Co zrobić, aby pracownicy nie bali się zgłaszać incydentów, również wtedy, gdy kliknęli w niebezpieczny link i myślą, że to ich wina?

To jest bardzo dobre pytanie i odpowiedź wcale nie jest prosta. Bardzo trudno jest zbudować kulturę organizacyjną w obszarze bezpieczeństwa, w której pracownicy wiedzą, że nawet jeśli kliknęli dziwny link nieumyślnie, to powinni to zgłosić. Oczywiście nie mówimy o sytuacjach, gdy ktoś celowo kliknie na wiadomość phishingową – to zupełnie inny problem.

W ramach prowadzonych kampanii edukacyjnych stosujemy wewnętrzny system walidacji. Każda symulacja phishingu jest podsumowywana, a pracownik dostaje informację zwrotną – jak mu poszło, jak często klikał w wiadomości phishingowe albo czy je zgłaszał, jak radził sobie z quizami dotyczącymi bezpieczeństwa. Oprócz szkoleń prowadzimy regularne krótkie quizy, oparte na bardzo konkretnych sytuacjach związanych z cyberzagrożeniami, z prostymi pytaniami i dwoma wariantami odpowiedzi. Często są one wsparte formą graficzną, np. komiksem, żeby lepiej dotrzeć do pracownika.

Podczas każdego szkolenia jasno podkreślam, że każdy ma prawo się pomylić. Po to zarządzamy ryzykiem. Każdy może mieć swój słabszy dzień albo chwilę nieuwagi. Błąd popełniony nieumyślnie nie jest podstawą do karania pracownika. Wręcz przeciwnie – sytuacje, w których ktoś zgłasza, że zrobił coś nie tak, traktujemy jako zachowanie pożądane. Konsekwencje mogą pojawić się wtedy, gdy ktoś wie, że zrobił coś źle, i świadomie tego nie zgłasza. W takim przypadku dochodzi do złamania procedur.

Rozmawialiśmy o wielowarstwowej ochronie złożonej z zabezpieczeń technicznych i organizacyjnych. Czy cyberbezpieczeństwo w ochronie zdrowia jest drogie?

I tak, i nie. Na pewno jest to koszt – nie da się tego zrobić zupełnie bezkosztowo. Trzeba jednak mierzyć siły na zamiary. Jeśli jesteśmy małą, jedno- czy kilkugabinetową placówką, prawdopodobieństwo ukierunkowanego ataku jest dużo mniejsze niż w przypadku dużej grupy kapitałowej działającej w ochronie zdrowia.

Nie każda placówka musi mieć etatowego specjalistę ds. cyberbezpieczeństwa. W mniejszych podmiotach często wystarczy dostęp do eksperta zewnętrznego, z którym można się konsultować. Dużą część bezpieczeństwa można też przenieść na usługodawcę. Coraz więcej usług IT jest świadczonych w modelu usługowym, bez konieczności utrzymywania własnej infrastruktury. Wtedy to dostawca odpowiada za jej zabezpieczenie.

Do tego dochodzi edukacja personelu, śledzenie portali branżowych, komunikatów CSIRT i zapisanie się do sektorowego CSIRT, aby otrzymywać ostrzeżenia o zagrożeniach. To wszystko można zrobić niskim kosztem lub bezkosztowo.

Czy cedowanie odpowiedzialności na zewnątrz to też wybór chmury zamiast serwera lokalnego?

Oczywiście, że tak. Chmura może być bardzo opłacalna, także pod względem bezpieczeństwa. Odpowiedzialności prawnej nie da się przenieść na dostawcę, ale można się nią w dużym stopniu podzielić, jeśli zadbamy o odpowiednie umowy, certyfikaty i analizę ryzyka. Dla mniejszych podmiotów chmura bywa bardzo rozsądnym rozwiązaniem.

Parlament i Senat przyjęły już ustawę o Krajowym Systemie Cyberbezpieczeństwa adaptującą dyrektywę NIS2. Prezydent ją podpisał, ale jednocześnie skierował do Trybunału Konstytucyjnego. Czy Medicover już przygotowuje się na obowiązki z niej wynikające?

Nie tylko się przygotowujemy, ale w niektórych podmiotach już wdrożyliśmy wymagania wynikające z NIS2. Proszę pamiętać, że działamy również na rynkach zagranicznych, jak w Rumunii czy Niemczech, gdzie NIS2 już obowiązuje. Wiemy od dawna, które podmioty w naszej grupie będą objęte nowymi przepisami, a dzięki centralizacji standardów bezpieczeństwa łatwiej jest nam nimi zarządzać. Od 2014 roku funkcjonujemy w oparciu o system zarządzania bezpieczeństwem informacji zgodny z ISO 27001 i te standardy przenosimy na kolejne spółki.

Jak wygląda typowy dzień pracy osoby, która odpowiada za bezpieczeństwo danych?

Bardzo rzadko ma on swój wyraźny początek i koniec. Oczywiście są pewne godziny pracy, w których intensywność i dyspozycyjność są największe, ale cyberprzestępcy nie patrzą ani na zegarek, ani na kalendarz. W sytuacji, w której pojawia się poważny incydent lub naruszenie bezpieczeństwa, inne zadania schodzą na dalszy plan i wszystkie ręce są na pokładzie, żeby zająć się tym, co jest w danym momencie najważniejsze.

Na co dzień odpowiadam również za tzw. governance w obszarze cyberbezpieczeństwa. Sprawdzam, jak wyglądamy pod kątem wskaźników bezpieczeństwa, ponieważ bardzo wiele obszarów monitorujemy na bieżąco. Analizuję, czy w którymś miejscu nie trzeba podjąć dodatkowych działań, z kimś się skontaktować albo zainicjować konkretną akcję.

Regularnie sprawdzam też, jak przebiegają projekty z zakresu cyberbezpieczeństwa, jak wdrażanie nowych standardów, technologii czy rozwiązań. Bardzo często trafiają do nas również umowy, wnioski i projekty do zaopiniowania, więc dużą częścią mojej pracy jest decydowanie i planowanie, w jaki sposób dany projekt lub system wdrożyć tak, aby był bezpieczny i zgodny z obowiązującymi wymaganiami.

Istotnym elementem mojej pracy jest także monitorowanie zmian, w szczególności legislacyjnych. Zajmuję się formalną i prawną stroną bezpieczeństwa informacji, a w ostatnich miesiącach – zwłaszcza na poziomie unijnym – zmian w przepisach jest bardzo dużo. To wymaga stałej uwagi.

Jeśli dzień jest spokojny i nie ma żadnych „pożarów”, staram się wygospodarować czas na przeglądanie komunikatów z instytucji branżowych, portali i źródeł, które subskrybuję, żeby sprawdzić, czy nie pojawiły się nowe zagrożenia, ostrzeżenia albo informacje, które mogłyby wymagać naszej reakcji w Medicover.

Ma Pan jedną główną dewizę dotyczącą cyberbezpieczeństwa?

Tak. Edukacja i budowanie świadomości wśród pracowników. Wierzę, że bezpieczeństwem trzeba pracowników zarazić. Jeśli zrozumieją, że bezpieczeństwo ich chroni, a nie tylko utrudnia pracę, to naturalnie będą je stosować. Chodzi o budowanie kultury bezpieczeństwa wokół pracownika.

Czytaj także: AI pomaga hakerom kraść dane. Ale można się obronić