Cyberbezpieczeństwo w placówkach medycznych i w szpitalach

Obecny krajobraz cyberniebezpieczeństwa realnie wpływa na pracę przedsiębiorstw, szczególnie tych, które przetwarzają dane osobowe swoich klientów, kontrahentów, petentów lub pacjentów. Branża medyczna jest szczególnie narażona na cyberataki, ponieważ szpitale i prywatne placówki przechowują krytyczne dane, takie jak: imiona i nazwiska, adresy, numery PESEL oraz historie leczenia pacjentów. Wyciek takich informacji może poskutkować tym, że cyberprzestępcy będą szantażować swoje ofiary w celu wyłudzenia okupu za skradzione dane.

Prawodawca doskonale zdaje sobie z tego sprawę, dlatego wprowadził bardzo restrykcyjne regulacje, które każdy szpital i każda placówka medyczna musi spełnić, aby uniknąć wysokiej kary w razie wystąpienia poważnego cyberincydentu. Dlatego w tym artykule przedstawimy, jakie obowiązki muszą wypełnić administratorzy systemu w szpitalach i placówkach medycznych, jakie czekają ich konsekwencje, co zrobić, gdy dojdzie do ataku, a także, w jaki sposób odpowiednio zadbać o cyberbezpieczeństwo sieci branży medycznej.

Obowiązek ochrony danych przez placówki medyczne i szpitale

W związku ze znaczącym postępem cyfryzacji w naszym kraju i digitalizacji dokumentacji w urzędach, spółkach i placówkach medycznych w ostatnich latach zrealizowano szereg projektów IT. W przypadku szpitali i przychodni były to między innymi systemy, które umożliwiały łatwy dostęp do wyników badań dla pacjentów i eRecepty. Nagły rozwój technologiczny spowodowany między innymi pandemią koronawirusa sprawił, że wiele placówek nie miało czasu na to, aby odpowiednio przygotować się do wdrożenia nowych systemów i zabezpieczyć swoich zasobów.

Cyberprzestępcy doskonale zdają sobie z tego sprawę, wobec tego bardzo często atakują szpitale. Dlatego w kolejnej części tego artykułu przeanalizujemy, w jaki sposób odpowiednio zadbać o cyberbezpieczeństwo swojej placówki medycznej, opisując najpierw jakie są aktualne regulacje prawne dotyczące szpitali.

Regulacje prawne dotyczące szpitali

W ostatnich latach polski rząd wprowadził wiele regulacji prawnych, które charakteryzują, w jaki sposób podmioty powinny podchodzić do zabezpieczania danych. Najważniejszą z nich jest ustawa z 5 lipca 2018 roku, która reguluje krajowy system cyberbezpieczeństwa. Bardzo ważnym dokumentem prawnym jest także rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. zwane Krajową Ramą Interoperacyjności, która charakteryzuje wymagania, jakie muszą zostać spełniać rejestry publiczne służące do wymiany danych.

Powyższe dokumenty regulują zasady, które muszą przestrzegać placówki medyczne podczas przechowywania i przetwarzania danych swoich pacjentów, pracowników i kontrahentów. Musimy także pamiętać o tym, że szpitale i placówki medyczne podlegają również pod ustawę RODO.

Konsekwencje nieodpowiedniego zabezpieczenia danych

Konsekwencje nieodpowiedniego zabezpieczenia danych w szpitalu i placówce medycznej możemy podzielić na dwie grupy, czyli finansowe i wizerunkowe. Konsekwencje finansowe, które wynikają z rażących błędów i zaniedbań w zabezpieczeniu zasobów mogą wynieść od 200 tysięcy złotych do nawet 1 miliona złotych z tytułu niezastosowania się do regulacji krajowego systemu cyberbezpieczeństwa. Oprócz tego karę na placówkę może nałożyć również GIODO, która może wynosić do 20 milionów euro lub 4% obrotu w przypadku firm prywatnych.

Konsekwencje wizerunkowe dla placówki, która padła ofiarą cyberataku, mogą być różne w zależności od tego, jakie dane zostały jej skradzione. Do najpowszechniejszych z nich należą:

• Utrata zaufania wśród pracowników, kontrahentów i pacjentów.
• Obowiązek poinformowania wszystkich potencjalnych ofiar o wycieku ich danych, ponieważ mogą one stać się kolejnymi celami cyberprzestępców.
• Roszczenia i procesy z pacjentami, którzy ucierpieli na skutek ataku.
• Skargi do Rzecznika Praw Pacjenta, które mogą skutkować indywidualną karą w wysokości do 50 tysięcy złotych.
• Możliwe kary indywidualne dla kadry szpitala.
• Bycie w centrum uwagi medialnej.

Warto także pamiętać o tym, że to tylko kilka najpowszechniejszych konsekwencji nieodpowiedniego zabezpieczenia danych w szpitalach i placówkach medycznych. Wyciek danych tysięcy pacjentów i pracowników może nieść za sobą ryzyko, że staną się oni celem ataków phishingowych, w których cyberprzestępcy będą mogli w bardzo łatwy sposób podszywać się pod lekarzy lub innych pracowników medycznych, albo będą żądać pieniędzy za nieujawnienie historii leczenia wstydliwych schorzeń.

Jak odpowiednio zabezpieczyć dane medyczne?

Każdy administrator sieci w szpitalu lub placówce medycznej jest zobowiązany do tego, aby przestrzegać zasad cyberbezpieczeństwa i ustaw, które je regulują. Dzięki temu znacząco zminimalizuje ryzyko wystąpienia skutecznego cyberataku, a jeśli nawet szpital stanie się ofiarą cyberincydetu, to najprawdopodobniej uniknie odpowiedzialności karnej. Dlatego zespół Bitdefender postanowił stworzyć poradnik tego, w jaki sposób skutecznie zabezpieczyć dane medyczne.

Najważniejszym zadaniem administratora sieci jest wdrożenie systemu zarządzania bezpieczeństwem do infrastruktury sieciowej danej placówki. Podczas tego procesu należy zwrócić uwagę na wprowadzenie systemu oceny ryzyka wystąpienia cyberincydentów i zakup oraz wdrożenie infrastruktury, która pozwoli na utrzymanie systemu antytwirusowego, a także innych modułów niezbędnych dla zapewnienia bezpieczeństwa w placówce. Ponadto administrator musi zadbać o to, aby oprogramowanie było regularnie aktualizowane, jak również uniemożliwić dostęp do krytycznych zasobów dla osób nieupoważnionych. Warto także stworzyć procedury, które zostaną uruchomione w przypadku wykrycia ataku i regularnie ćwiczyć ich używanie oraz przeprowadzać audyt bezpieczeństwa co najmniej raz na dwa lata.

Kolejnym istotnym elementem systemu bezpieczeństwa w placówce medycznej jest zadbanie o odpowiednią komunikację z zewnętrznymi instytutami związanymi z cyberbezpieczeństwem. Warto wyznaczyć odpowiedniego pracownika, który będzie odpowiedzialny za kontakty z takimi zespołami w przypadku wykrycia ataku. Taka osoba powinna mieć także zawsze dostępne zastępstwo tak, by zapewnić gorącą linię 24/7.

Bardzo ważnym elementem zapewnienia skutecznej cyberochrony dla szpitala jest także zadbanie o wszelkie sprawy biurokratyczne. Administrator sieci powinien na bieżąco aktualizować dokumentację związaną z cyberbezpieczeństwem placówki. Ponadto warto, aby wdrożył odpowiednie regulacje, między innymi:

• Dokumentację Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).
• Regulaminy korzystania z poszczególnych sprzętów medycznych dla pracowników.
• Dokumenty o poufności danych dla pracowników i kontrahentów, którzy mogą mieć kontakt z poufnymi informacjami.

Administrator sieci powinien również stworzyć wewnętrzny zespół do spraw cyberbezpieczeństwa i zagwarantować odpowiednie warunki pracy. Pracownicy powinni mieć zapewniony dostęp do odseparowanego od innych oddziałów zabezpieczonego pomieszczenia, a także łatwy kontakt z wszystkimi innymi działami. Jeśli szpital postanowi zawrzeć umowę z zewnętrzną firmą informatyczną, to powinna niezwłocznie poinformować o tym CSIRT MON, CSIRT NASK, CSIRT GOV.

Oprócz powyżej wymienionych elementów stworzenia skutecznego systemu cyberbezpieczeństwa administrator powinien dbać o to, aby jego zespół przestrzegał podstawowych zasad cyberhigieny, czyli:

• Regularnie aktualizować wszystkie aplikacje.
• Nie klikać w podejrzane linki i wiadomości e-mail.
• Dbać o odpowiednie zabezpieczenie sieci Wi-Fi.
• Nałożyć filtry na niebezpieczne strony internetowe w wewnętrznej sieci firmowej.
• Wymuszać na pracownikach regularną zmianę haseł.

Warto także pamiętać o tym, że zdecydowana większość udanych ataków jest konsekwencją błędów ludzkich, dlatego administrator sieci powinien zadbać o to, aby przeprowadzać regularne szkolenia wszystkich pracowników placówki medycznej z zakresu podstawowych zasad cyberbezpieczeństwa.

Co zrobić, gdy dojdzie do ataku?

Jeśli cyberprzestępca zdoła przejść przez zabezpieczenia Twojej placówki medycznej pierwszym krokiem, jaki powinien podjąć zespół do spraw cyberbezpieczeństwa, jest zgłoszenie tego incydentu w ciągu maksymalnie 24 godzin do CERT Polska. Oprócz tego należy powiadomić Policję oraz UODO. Warto także skonsultować się z prawnikiem, który będzie reprezentował placówkę w tej konkretniej sprawie. Nie można popadać w panikę. Należy logicznie myśleć i wykorzystać możliwości techniczne, które mogą zminimalizować skutki cyberataku.

Jak wybrać odpowiedni system antywirusowy dla szpitala?

Placówki medyczne i szpitale przetwarzają krytyczne dane, dlatego do ich zabezpieczenia należy używać najskuteczniejszych systemów antywirusowych dostępnych na rynku. Poniżej przedstawiamy funkcje, elementy i moduły, które powinno zawierać odpowiednie oprogramowanie dla szpitala:

• Skuteczny silnik antywirusowy, który regularnie zdobywa wyróżnienia w testach przeprowadzanych przez niezależne instytuty badawcze, takie jak AV-TEST i AV Comparatives.
• Moduły ochrony przed ransomware.
• Moduły łagodzenia skutków Ransomware.
• Analiza ryzyka, czyli moduł, który wykrywa niebezpieczne zachowania pracowników, które mogą zostać wykorzystane przez cyberprzestępców.
• Moduł antyphishingowy.
• Technologia uczenia maszynowego.
• Technologia EDR.

Przykładem systemu antywirusowego, które spełnia powyższe funkcje jest Bitdefender GravityZone Business Security Enterprise. Oprogramowanie to zostało wyposażone między innymi w moduł HyperDetect, który blokuje ataki typu stealth i dzięki uczeniu maszynowemu wykrywa wciąż nieznane jeszcze ataki. Sandbox Analyzer, która wykrywa podejrzane pliki i sprawdza ich bezpieczeństwo w odseparowanym, bezpiecznym środowisku. Zawiera również innowacyjną technologię EDR. Ponadto systemy Bitdefender GravityZone mają możliwość instalowania konsoli w chmurze, dzięki czemu nie obciążają zbytnio zasobów.

Administrator sieci powinien rozważyć także zakup dodatkowych warstw ochronnych. Przykładem skutecznej technologii, która może odciążyć zespół do spraw cyberbezpieczeństwa, jest EDR i XDR. Bitdefender GravityZone XDR obserwuje i wykrywa ataki w środowisku organizacji. Dzięki temu urządzenia fizyczne, wirtualne oraz środowiska chmurowe wykorzystywane przez placówki medyczne będą bezpieczne.

Technologia XDR ujednolica wykrywanie punktów końcowych istotnych dla bezpieczeństwa z telemetrią ze źródeł innych niż punkty końcowe, takimi jak widoczność sieci, bezpieczeństwo poczty e-mail, zarządzanie tożsamością i dostępem, bezpieczeństwo w chmurze i nie tylko. Innymi słowy, usprawnia architekturę cyberbezpieczeństwa, optymalizując wykrywanie zagrożeń, badanie incydentów i reagowanie. XDR zmniejsza także presję na operacje związane z bezpieczeństwem, co jest kluczowym wyzwaniem dla większości organizacji.

Czy warto inwestować w cyberbezpieczeństwo?

Dynamicznie zmieniający się krajobraz niebezpieczeństw w sieci i coraz częstsze relacje z ataków na firmy, przedsiębiorstwa oraz placówki medyczne sprawia, że odpowiedź na to pytanie jest prosta. Zawsze warto inwestować w cyberbezpieczeństwo niezależnie od tego, w jakiej branży działa dana placówka. Nikt, kto zakupił drogi sprzęt, który jest niezbędny do wykonywania pracy, nie pozostawi go bez zamknięcia drzwi, gdy zapada noc.

Podobny sposób myślenia powinniśmy mieć o cyberbezpieczeństwie. Wprawni hakerzy mogą nie tylko wykraść cenne dane, czego konsekwencją mogą być olbrzymie kary finansowe i długie procesy sądowe z poszkodowanymi, lecz także może bezpowrotnie zniszczyć drogie urządzenia medyczne. Wszystkie te argumenty wskazują na to, że inwestowanie w cyberbezpieczeństwo jest aktualnie niezbędnym elementem prowadzenia nowoczesnej placówki medycznej. Szczególnie że aktualnie można ubiegać się o dofinansowanie na zakup, wdrożenie i rozwój systemów teleinformatycznych oraz szkoleń podnoszących poziom i świadomość cyberbezpieczeństwa.

O dotację można ubiegać się do 31 października 2023 roku i może ona wynosić do 900 tysięcy złotych. Inwestycje mogą obejmować między innymi: zakup systemu kopii zapasowych, zakup firewall, zakup systemu EDR i zakup systemu bezpieczeństwa. Więcej informacji na temat warunków otrzymania dotacji mogą Państwo znaleźć tutaj (link).