Przed hakerami można się bronić. Podpowiadamy, w jaki sposób

Jakie są słabe punkty bezpieczeństwa danych w placówkach ochrony zdrowia? Jak zapobiec atakowi cyberprzestępców? Co zrobić, gdy hakerzy wykradli dane albo zablokowali systrem? Przeczytam poniższe wskazówki i wzmocnij ochronę przed cyberatakami.

Pobierz bezpłatny raport “Bezpieczeństwo danych i RODO w placówkach ochrony zdrowia” wraz z dostępem do 20-minutowego webinaru >

Bezpieczeństwo cybernetyczne w służbie zdrowia

Cyberbezpieczeństwo i ochrona informacji są kluczowe do normalnego funkcjonowania każdej organizacji, także szpitala, przychodni, apteki, gabinetu lekarskiego, laboratorium, pogotowia ratunkowego itd. Organizacje opieki zdrowotnej posiadają różnego rodzaju specjalistyczne systemy informatyczne, takie jak systemy EHR, e-recepty, rozwiązania IT wspomagające zarządzanie oraz podejmowanie decyzji klinicznych, systemy informacji radiologicznej (PACS/RIS) oraz systemy zleceń lekarskich.

Ale to nie wszystkie elementy infrastruktury wymagające ochrony cybernetycznej. Pod uwagę należy wziąć dziesiątki, a nieraz setki urządzeń: inteligentne windy, inteligentne systemy ogrzewania, wentylacji i klimatyzacji, pompy infuzyjne, urządzenia do zdalnego monitorowania pacjentów, aplikacje do komunikacji z pacjentem czy umożliwiające dostęp do kartoteki medycznej. To tylko niektóre przykłady, które pokazują jak długa jest lista zasobów narażonych na cyberataki.

Poczta elektroniczna

Poczta elektroniczna jest podstawowym środkiem komunikacji w placówkach służby zdrowia, ale i najsłabszym ogniwem systemu bezpieczeństwa danych. Użytkownicy przechowują w skrzynkach pocztowych cenne informacje, takie jak informacje finansowe, dane o pacjentach, ustalenia z kontrahentami. Z czasem ich pojemność rośnie – dla cyberprzestępców, maile nagromadzone na przestrzeni kilku lat mogą okazać się cennym łupem. Dlatego bezpieczeństwo poczty elektronicznej jest priorytetowym elementem bezpieczeństwa cybernetycznego w ochronie zdrowia, bo większość cyberataków wykorzystuje maile. Przykładem jest phishing. Nieświadomi użytkownicy mogą kliknąć w przygotowany przez hakerów link lub otworzyć załącznik w wiadomości phishingowej i zainfekować wirusem system komputerowy.

Bardzo często złośliwe oprogramowanie rozprzestrzenia się poprzez sieć komputerową na inne komputery. Wiadomość phishingowa może również wymagać od odbiorcy podania poufnych lub zastrzeżonych informacji. Phishing jest nadal skuteczny – szacuje się, że nawet 20–30% przesyłanych przez hakerów wiadomości jest otwieranych. Są one coraz lepiej przygotowane, aby nie wzbudzać podejrzeń ofiary. Ale regularne szkolenia z zakresu bezpieczeństwa są skutecznym sposobem udaremniania prób phishingu.

Phishing polega na podszywaniu
się pod zaufanych nadawców.
Celem jest nakłonienie adresata
do otwarcia załącznika, podania
danych logowania lub kliknięcia
w link, w wyniku czego system
IT zostaje zainfekowany.

Sprzęt

Nieuprawniony dostęp do komputera lub urządzenia może doprowadzić do jego zniszczenia lub modyfikacji. Jednym z przykładów jest pozostawienie laptopa bez nadzoru podczas podróży lub pracy albo zignorowanie konieczności wylogowania się oddalając się od sprzętu. To otwarte drzwi dla przestępców chcących przeprowadzić atak typu „evil maid” – urządzenie zostaje zmodyfikowane w niewykrywalny sposób, tak aby cyberprzestępca mógł uzyskać do niego później dostęp, np. poprzez zainstalowanie keyloggera w celu zapisania poufnych informacji, takich jak dane uwierzytelniające. Także skorzystanie z pendrive od obcej osoby może skończyć się wczytaniem złośliwego oprogramowania.

Oprogramowanie

Nieaktualne systemy to takie, które nie są już wspierane przez producenta. Mogą obejmować aplikacje, systemy operacyjne, systemy IT. Taka praktyka niestety nie należy do rzadkości. Powodem zaniedbań i stosowania starych systemów są najczęściej wysokie koszty ich aktualizacji lub wymiany. Gdy system IT przestaje być  wspierany przez producenta, nie są do niego wczytywane poprawki (łatki) bezpieczeństwa. Hakerzy dokładnie znają luki w systemach operacyjnych i chętnie je wykorzystują, bo to wręcz otwarte drzwi do przeprowadzenia ataku. Przykładem jest niewspierany od lat Windows XP, który jednak nadal jest zainstalowany w wielu placówkach ochrony zdrowia.

Oprócz tego, nierzetelni dostawcy systemów IT mogą wycofywać systemy ze sprzedaży. Zdarzają się też przypadki, że szpitale lub przychodnie korzystają z systemów do rozliczeń z NFZ stworzonych kilka, kilkanaście lat temu przez małe firmy, które już nie istnieją. Są to bomby z opóźnionym zapłonem i należy je wyeliminować tak szybko, jak to możliwe. Trzeba też wspomnieć o niebezpiecznej praktyce wyłączania aktualizacji systemów operacyjnych albo odkładaniu ich na później. To także igranie z bezpieczeństwem danych.

Podmioty sektora opieki zdrowotnej

Pacjenci

Pacjenci muszą wiedzieć, jak bezpiecznie komunikować się z podmiotami świadczącymi usługi medycznej. Jeśli w rachubę wchodzi kontakt wirtualny – czy to za pośrednictwem platformy telezdrowia, e-wizyt lekarskich, wiadomości SMS, czatu, czy w inny sposób – powinni poznać podstawowe zasady ochrony prywatności i bezpieczeństwa.

Personel medyczny i administracyjny

Pracownicy muszą być świadomi aktualnych zagrożeń i dokładnie znać instrukcje postępowania w przypadku incydentów związanych z bezpieczeństwem. Przykładowo, powinni wiedzieć, z kim należy się kontaktować w przypadku problemów.

Mówi się, że to pracownicy są „oczami i uszami” dla zespołu ds. bezpieczeństwa cybernetycznego. To oni najczęściej jako pierwsi zauważają podejrzane maile albo braki w zabezpieczeniach.

Menedżerowie

Coraz więcej większych podmiotów medycznych zatrudnia szefów ds. bezpieczeństwa informacji (CISO), których zadaniem jest tworzenie i realizacją strategii bezpieczeństwa cybernetycznego (red.: nie mylić z CISA – Certyfikowanym Audytorem Systemów Informatycznych).

CISO to osoba na stanowisku kierowniczym, która w idealnym przypadku znajduje się na tym samym poziomie hierarchii organizacyjnej, co inni członkowie kadry zarządzającej, jak dyrektor finansowy, dyrektor ds. informacji itd. Ma to duże znaczenie, bo im większe zaangażowanie na poziomie kierowniczym, tym większy stopień akceptacji odgórnej dla programu bezpieczeństwa cybernetycznego organizacji.

Ok. 20–30% wiadomości phishingowych jest otwieranych. Poziom docelowy, czyli 0%, jest trudny do osiągnięcia, gdyż cyberprzestępcy doskonalą swoje metody i trudno rozróżnić wiadomości zaufanie od skorumpowanych.

Ransomware i inne złośliwe oprogramowanie

Oprogramowanie typu ransomware stanowi największe zagrożenie dla poufności, integralności i dostępności informacji. Kiedy komputer lub urządzenie zostają zainfekowane przez ransomware, dane są szyfrowane, dostęp do nich zostaje zablokowany, a cyberprzestępcy żądają okupu.

Można powiedzieć, że w tym przypadku dane są przetrzymywane w charakterze zakładnika. W zamian za ich „uwolnienie”, przestępcy żądają wpłaty pieniężnej – coraz częściej w bitcoinach, które gwarantują im anonimowość. Zapłacenie okupu nie gwarantuje jednak, że placówka medyczna odzyska dane, a system zostanie odblokowany. Zapłata jest operacją ryzykowną, dodatkowo zachęcającą hakerów do kontynuowania ataków.

Oprócz ransomware, istnieje wiele innych rodzajów szkodliwego oprogramowania. Należą do nich programy wykradające dane uwierzytelniające, za pomocą których cyberprzestępcy uzyskują dostęp do nazw użytkowników oraz haseł, a także programy niszczące dane, w przypadku których całe dyski twarde mogą zostać nieodwracalnie wykasowane. Wówczas – jeżeli placówka nie ma kopii zapasowej – danych nie można odzyskać.

Phishing

Najczęściej spotykaną formą phishingu są wiadomości e-mail, chociaż może być on również realizowany za pośrednictwem stron internetowych, mediów społecznościowych, wiadomości tekstowych, połączeń głosowych itp. Jak je rozpoznać? W dużej części wiadomości phishingowych – ale nie jest to regułą – znajdują się błędy ortograficzne i gramatyczne. Teksty są tłumaczone automatycznie, więc mogą brzmieć nienaturalnie. Obietnice są zbyt piękne, aby były prawdziwe (np. duży spadek, wygrana, karta rabatowa, nagroda). Często używa się języka mającego na celu stworzenie poczucia pilności. Wysyłane są z domen podszywających się pod znane instytucje. Przykładowo, phishingowe maile żądające pilnego zalogowania się na stronę banku wysyłane są z adresów łudząco przypominających te prawdziwe – różnić się mogą jedną literą.

Oszust internetowy może też wysłać wiadomość typu spear-phishing do konkretnego pracownika czy wydziału. Personalizacja wiadomości spear-phishingowowych powoduje, że mają one zazwyczaj wyższy współczynnik kliknięć niż ogólne wiadomości phishingowe.

Podobnie jak spear-phishing, wiadomości typu whaling są również dostosowane do odbiorcy. Whaling ma miejsce wtedy, gdy oszust internetowy celuje w „grubą rybę” (tj. osobę na stanowisku kierowniczym wyższego szczebla, np. dyrektora generalnego, dyrektora finansowego, dyrektora ds. informatyki itp.). Przykładowo, oszuści internetowi mogą wysłać wiadomość e-mail do dyrektora finansowego, aby przekonać go do przelania środków na konto bankowe udające konto kontrahenta. Podobnie jak w przypadku innych rodzajów phishingu, celem jest taktowne wyłudzenie informacji nie wzbudzające podejrzeń u ofiary.

Istnieją również inne formy phishingu, takie jak między innymi phishing SMS-owy (zwany również SMiShingiem). Polega na tym, że oszust internetowy wysyła wiadomość do celu za pośrednictwem SMSa lub komunikatora (np. WhatsApp) na telefon komórkowy. To może być informacja o nieodebranej przesyłce albo konieczności zalogowania się na konto e-mail/konto bankowe celem weryfikacji danych.

Na bieżąco wykonywana kopia zapasowa powinna być przechowywana poza siecią placówki, najlepiej w innej lokalizacji np. chmurze danych. Pozwoli ona odtworzyć stan baz danych sprzed ataku i szybko przywrócić płynność działania.

Oceny ryzyka

Ocena ryzyka to podstawa każdego programu bezpieczeństwa cybernetycznego w ochronie zdrowia. Przed podjęciem jakichkolwiek działań, należy najpierw ocenić ryzyko incydentów związanych z bezpieczeństwem danych. Ryzyko musi być oszacowane na podstawie takich czynników, jak prawdopodobieństwo wystąpienia, wpływ na organizację, priorytetyzacja ryzyka. Oceny ryzyka powinny być przeprowadzane regularnie, co najmniej raz w roku.

Kontrole bezpieczeństwa

W idealnej sytuacji każda organizacja opieki zdrowotnej powinna wdrożyć mechanizmy kontroli bezpieczeństwa. Pomogą one w zapewnieniu obrony w taki sposób, aby w przypadku awarii jednego systemu, mógł go zastąpić inny. Przykładowo, wirus może przedostać się przez zaporę sieciową placówki, ale może zostać zablokowany przez program antywirusowy.

Zasadą numer jeden, która powinna stać się priorytetem każdego podmiotu medycznego, jest opracowanie wielowarstwowego system ochrony. Jeżeli zawiedzie jeden element, atak może powtrzymać inna bariera. Nie wszystkim incydentom związanym z bezpieczeństwem można zapobiec. Wówczas do gry wkracza plan działania kryzysowego (plan ciągłości działania). Dzięki niemu, dział IT będzie mógł przywrócić sprawność sprzętu, odzyskać dane (z kopii zapasowych) i przywrócić ciągłość działania systemów IT.

Więcej o cyberbezpieczeństwie w ochronie zdrowia – czytaj nowe wydanie magazynu OSOZ Polska >