Realia szkoleń z ochrony danych: “Kilka minut i po sprawie”

70% placówek zdrowia finansuje cyberbezpieczeństwo z własnej kieszeni
70% placówek zdrowia finansuje cyberbezpieczeństwo z własnej kieszeni

Choć 81 proc. firm szkoli swoich pracowników z ochrony danych, to aż 60 proc. robi to tylko raz, na początku zatrudnienia – wynika z badania ChronPESEL.pl i Krajowego Rejestru Długów. W placówkach zdrowia sytuacja wygląda jeszcze gorzej.

Szpitale nie mają z czego sfinansować szkoleń z bezpieczeństwa danych

Z tego samego badania dowiadujemy się, że 20% firm w ogólne nie szkoli z cyberbezpieczeństwa. Z kolei z ankiety Centrum e-Zdrowia z 2023 r. wynika, że tylko połowa placówek zdrowia podejmuje działania w zakresie cyberbezpieczeństwa.

Deklaracje mogą jednak odbiegać od rzeczywistości. Szpitale i przychodnie działające pod presją kosztów nie mają pieniędzy na profesjonalne szkolenia. A takie, prowadzone przez eksperta bezpieczeństwa danych medycznych, kosztują kilka tysięcy złotych. Gdy w grę wchodzi duża placówka, jak szpital zatrudniający kilkudziesięciu pracowników, kwota może uróść do kilkudziesięciu tysięcy złotych. Efekt? Szkolenia z ochrony danych medycznych to kilka minut w ramach onboardingu nowego pracownika.

Tymczasem z tej samej ankiety CeZ wynika, że aż 70% placówek finansuje cyberbezpieczeństwo z własnej kieszeni; po środki z NFZ udało się sięgnąć 27% placówek. Szkolenia lub działania uświadamiające dla pracowników dotyczące bezpieczeństwa informacji i cyberbezpieczeństwa były wskazywane przez ankietowanych przez CeZ jako priorytetowe obszary działań.

Częstotliwość szkoleń z zakresu ochrony danych osobowych w firmach MŚP (źródło: chronpesel.pl)

Wszyscy liczą po cichu, że nie są atrakcyjnym celem dla hakerów

Problem w tym, że system, w którym funkcjonują placówki zdrowia, nie pomaga w działaniach na rzecz cyberbezpieczeństwa. W napiętym grafiku pracy brakuje czasu na regularne szkolenia, lekarze często pracują na kontraktach w kilku lokalizacjach, występuje duża rotacja kadr bo brakuje pracowników, a infrastruktura IT jest często przestarzała. Wydatki statystycznego szpitala na IT – według szacunków zagranicznych – sięgają ok. 4–5% budżetu. Placówki w dobrej sytuacji finansowej wydają z tego ok. 6–9% na cyberbezpieczeństwo. Nawet przy tak optymistycznej kalkulacji można szybko obliczyć, że to niewiele, biorąc pod uwagę np. zarobki ekspertów od cyberbezpieczeństwa. Informatycy są wysysani przez sektor prywatny, który oferuje o wiele lepsze warunki niż publiczny szpital.

Z drugiej strony oszczędzanie na bezpieczeństwie danych to jak balansowanie na cienkiej linie. Placówki medyczne przetwarzają ogromne ilości informacji, w tym dane osobowe, medyczne oraz finansowe pacjentów. Każde ich naruszenie może skutkować stratami finansowymi, chaosem organizacyjnym, trudnym do odbudowania uszczerbkiem na wizerunku oraz wysokimi karami. Przykładem jest grzywna w wysokości 1,5 mln zł nałożona przez UODO na jedną ze spółek medycznych w sierpniu 2024 roku. Powodem było złe zabezpieczenie danych, które doprowadziło do skutecznego ataku hakerskiego.

Ile kosztuje cyberbezpieczeństwo? Czasami nic

W większości przypadków to nie technologia, ale nieprzeszkolony personel medyczny jest najsłabszym ogniwem w łańcuchu ochrony danych. Dlatego priorytetową pozycją w budżecie na ochronę danych muszą być szkolenia.

Jednorazowa instrukcja bezpieczeństwa danych przekazana podczas zatrudnienia nowego lekarza albo pielęgniarki (onboarding cyberbezpieczeństwa) to za mało, aby mieć pewność, że pracownicy wiedzą, jak nie dać się nabrać na ataki typu phishing albo ransomware.

To nie muszą być od razu drogie szkolenia wykupowane u firm zewnętrznych. Istnieje wiele innych sposobów podnoszenia kompetencji cyberbezpieczeństwa. Wśród najciekawszych i bezpłatnych, ale rzadko wykorzystywanych, są:

  • Szkolenia prowadzone przez organizacje ochrony zdrowia jak NFZ, Naczelną Izbę Lekarską, Centrum e-Zdrowia, Polską Federację Szpitali, UODO oraz CISRT;
  • Webinary i poradniki oferowane przez dostawców programowania IT;
  • Kodeksy postępowania RODO.

W dużych placówkach zdrowia można poszukać osoby zainteresowane tematami związanymi z cyfryzacją i bezpieczeństwem danych oraz zaangażować je do prowadzenia cyklicznych szkoleń aktualizujących wiedzę w zakresie nowych technik hakerów oraz przepisów.

W miarę prostym i także bezkosztowym działaniem są symulacje ataków phishinowych. Dział IT przygotowuje i wysyła z podejrzanie wyglądającego konta e-mail wiadomość zachęcającą do przejścia na stronę internetową albo kliknięcia w załącznik. Następnie bada się, ilu pracowników kliknęło w niezweryfikowany mail, i na tej podstawie realizowane są szkolenia.

Można też przygotować testy cyberbezpieczeństwa, które jednak nie powinny być elementem oceny pracownika, ale okazją do sprawdzenia własnej wiedzy i aktualizacji informacji. Takie krótkie, trwające 10 minut ankiety można prowadzić on-line raz w miesiącu.

Pracownicy powinni też mieć łatwy dostęp do wsparcia techniczego, gdy dzieje się coś podejrzanego albo nie wiedzą, czy można zaufać otrzymanej wiadomości. Nawet najlepsze zabezpieczenia techniczne nie zawsze są w stanie odsiać podejrzane e-maile i oznaczyć je jako SPAM.

Brakuje nawet podstaw ochrony danych

Tak samo jak wielu właścicieli firm z sektora MŚP lekceważy zagrożenie ze strony hakerów, sprawa dotyczy placówek ochrony zdrowia.

– Uważają, że nie są atrakcyjnym celem ataków. Często też nie wiedzą, że to człowiek jest najsłabszym ogniwem w starciu z cyberprzestępcami. W efekcie, jeśli nawet stosowane są silne zabezpieczenia, to w wyniku jakiegokolwiek braku szkoleń zatrudnianego personelu znacznie zwiększają ryzyko błędu ludzkiego, który może zakończyć się kradzieżą lub wyciekiem danych – ostrzega Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl. Szkolenia nie muszą kosztować dużo, wystarczy przygotować politykę bezpieczeństwa danych, która uwzględni różne ich formy i będzie pilnowała ich cyklicznej realizacji.

Niecała połowa podmiotów zgłasza incydenty cyberbezpieczeństwa
Według badania serwisu ChronPESEL.pl i Krajowego Rejestru Długów pod patronatem Urzędu Ochrony Danych Osobowych, zaledwie 42 proc. respondentów deklaruje, że w razie kradzieży danych zgłosiłoby ten fakt do Urzędu Ochrony Danych Osobowych. Pomimo że zgodnie z przepisami przedsiębiorcy jako administratorzy mają taki obowiązek, jeżeli istnieje prawdopodobieństwo (wyższe niż małe) szkodliwego wpływu na osoby, których dane dotyczą. Jeśli go nie dotrzymają, a istnieje ryzyko np. tzw. kradzieży tożsamości dla osób, których dane wykradziono, to administratorzy narażają się na wysokie kary ze strony Prezesa UODO. Może to oznaczać, że niemal co druga firma raczej będzie starała się zbagatelizować skutki utraty lub ukryć kradzież danych.

Czytaj także: Pobierz bezpłatny poradnik bezpieczeństwa danych w placówkach medycznych (129 stron)