Andrzej Sokołowski: Cyberataki na szpitale – skuteczne metody ochrony danych pacjentów

Zanim odpowiem na Pani pytanie, chciałbym odnieść się do danych dotyczących liczby ataków – zdecydowanie nie ma takich analiz czy raportów na poziomie ogólnopolskim. Podawane przez różne źródła, w tym instytucje zajmujące się cyberochroną dane, zdecydowanie nie odzwierciedlają faktycznej sytuacji w placówkach ochrony zdrowia. Po pierwsze dlatego, że zarówno publiczne, jak i prywatne szpitale i przychodnie rzadko zgłaszają ataki hakerskie – przede wszystkim z powodu odpowiedzialności karnej, jaka jest przewidziana w przypadku niewłaściwego zabezpieczenia danych pacjentów, również w sytuacji, gdy dojdzie do kradzieży tych danych. Kara dla placówki medycznej może wynieść 100 tys. zł, a dla placówki prywatnej – nawet milion złotych.

Jest jeszcze druga istotna kwestia – placówka medyczna, która doświadczyła ataku hakerskiegoi zgłosiła ten fakt, traci wizerunek instytucji zaufania publicznego. Niezmiernie trudno odbudować dobrą opinię o szpitalu, gdy dane medyczne i inne dane pacjentów nie były właściwie zabezpieczone i znalazły się w rękach hakerów.

Trzecia kwestia to brak sprawozdawczości w zakresie incydentów bezpieczeństwa, czyli cyberataków na placówki medyczne. Dlatego wielu dyrektorów i prezesów szpitali, mimo doświadczenia ataku hakerskiego, woli nie zgłaszać tych informacji, dla dobra swojej placówki i własnego personelu. Tyle tylko że to „dobro” nie jest tym, co faktycznie ma pozytywny wpływ na działalność placówki. Wręcz przeciwnie – przysłowiowe „zamiatanie pod dywan” nigdy nikomu nie przyniosło chluby i w konsekwencji przyczyniało się, w krótszym lub dłuższym okresie, do większych problemów, zresztą nie tylko w obszarze cyberbezpieczeństwa.

Wracając jednak do Pani pytania – przede wszystkim wspieramy naszych członków przez przekazywanie informacji na temat aktualnej sytuacji w zakresie cyberbezpieczeństwa, w tym oczywiście zagrożeń. Przygotowujemy publikacje, dajemy możliwość wyboru najlepszych – dla danej placówki – rozwiązań w zakresie wsparcia informatycznego. Wybór zależy od stopnia „zamożności”, czyli finansowych możliwości wydania czasem nawet 2 lub 3 mln zł na system bezpieczeństwa. Osobiście znam placówki, których kierownictwo zdecydowało o takiej inwestycji, jednak – warto podkreślić – jest to inwestycja, która, niestety, nie zwróci się, ani teraz, ani tym bardziej za kilka kolejnych lat.

Poza tym zarządzający placówkami medycznymi powinni koncentrować się na prowadzeniu działalności diagnostycznej i leczniczej, inwestując w nowoczesny sprzęt medyczny, niekoniecznie finansując coraz bardziej innowacyjne rozwiązania informatyczne, przeciwdziałające atakom lub minimalizującym ich skutki. Dlatego proponujemy zainteresowanym członkom OSSP udział we wspólnym przedsięwzięciu, którym jest wspólna ochrona, przez całą dobę, zasobów danych placówek medycznych, prowadzona przez wyspecjalizowaną jednostkę zewnętrzną. Korzyści takiego rozwiązania są szerokie – przede wszystkim niski, jednostkowy koszt takiej ochrony dla każdego szpitala, uczestnika przedsięwzięcia, i wysoki poziom ochrony. Specjaliści od cyberbezpieczeństwa, pracujący na trzy zmiany, przez cały czas prowadzą monitoring zabezpieczeń i w sytuacji potencjalnego zagrożenia natychmiast podejmują stosowne działania. Wybór odpowiedniego systemu poprzedziły spotkania zarządu z informatykami, specjalistami od cyberbezpieczeństwa, zewnętrznymi ekspertami, w tym wojska, policji oraz z firmami. Zakup systemu to kwota 2,5–3 mln zł, natomiast ochrona jest przeznaczona dla wszystkich 180 szpitali – członków naszego stowarzyszenia.

Dyrektywa wprowadza wyższe standardy zabezpieczeń, co oznacza, że szpitale będą zmuszone do osiągnięcia odpowiedniego poziomu ochrony zasobów danych. Wśród wielu wymagań jest m.in. wprowadzenie systemu zarządzania ryzykiem oraz aktywnego planu awaryjnego na wypadek cyber­ataku w placówce medycznej. Konieczny jest również system szybkiego odzyskiwania danych po incydentach bezpieczeństwa, co zmusi szpitale do tworzenia kopii zapasowych. Wreszcie – istotne będzie testowanie procesów reagowania na ataki.

Warto zadbać o współpracę ze specjalistycznymi firmami zewnętrznymi, najlepiej w większym gronie placówek medycznych – co spowoduje zmniejszenie kosztów stworzenia i obsługi systemu ochrony – i wykorzystać możliwości, jakie stwarzają dostępne źródła finansowania zewnętrznego.

Faktycznie, był konkurs na dotacje, z przeznaczeniem na informatyzację i zabezpieczenie szpitali przed cyber­atakami. Niestety, mimo sporych możliwości wsparcia niewiele jednostek efektywnie skorzystało z tej szansy. Główną przyczyną niepowodzenia konkursu były nieprecyzyjne wytyczne. Okazało się bowiem, że większość szpitali wykorzystała przyznane fundusze na wypełnienie luki technologicznej, związanej z dotychczasowym brakiem sprzętu, takiego jak np. wymiana komputerów i oprogramowania, nowa sieć LAN i WiFi, a nawet modernizacja zasilania awaryjnego.

Po ostrej krytyce programu ze strony m.in. OSSP zmieniono zasady przyznawania środków, w tym doprecyzowano wytyczne w kolejnym naborze konkursowym. Potrzebne są m.in. odmiejscowione, codziennie tworzone kopie danych, zapewniające optymalne bezpieczeństwo. Czekamy na kolejny zapowiadany na początku roku nabór, jednak dochodzą do nas niepokojące informacje, że pieniędzy z NFZ na cyberbezpieczeństwo dla szpitali nie będzie.

W zasadzie wszyscy odpowiedzialni na szczeblu rządowym i samorządowym za ochronę zdrowia na to liczą. Miejmy nadzieję, że tak się stanie.

Zdecydowanie konieczne jest współdziałanie wielu uczestników systemu ochrony zdrowia – od resortu zdrowia zaczynając, na pracownikach szpitali kończąc. Publikacje, które wydajemy, wskazują, że staramy się przybliżać zagadnienia cyberzagrożeń nie tylko dyrektorom szpitali, lecz także decydentom. Przykładowo – namawiamy, jako OSSP, władze ministerialne, aby rozbudować strukturę zarządzania kryzysowego. To jeden z elementów wdrażania dyrektywy NIS2. Proponujemy również stworzenie jednolitego systemu kopii zapasowych dla wszystkich szpitali w Polsce. Podejmujemy poza tym próby tworzenia sztabów kryzysowych na wypadek cyberataku – chodzi o to, by zaangażować jak najwięcej osób, których doświadczenie w zakresie cyberbezpieczeństwa może, w sytuacji incydentu, pomóc szybko i optymalnie przywrócić system do normalnej pracy. Aby było to możliwe, jeszcze raz podkreślę wagę kopii bezpieczeństwa wykonywanych zgodnie z rekomendacjami Centrum e-Zdrowia.

Chodzi o ograniczenie ilości danych w systemie, bo nie wszystkie muszą się w nim znajdować. Poza tym – zabezpieczenie wszystkich wejść USB – by zmniejszyć ryzyko utraty danych z powodu niefrasobliwości personelu wspierającego. Podam przykład – kilka kolorowych pendrive’ów podrzucono do rejestracji jednej z przychodni. Jedna z pracownic zainteresowała się potencjalną zawartością tego, miłego dla oka, urządzenia. Zaspokojenie ciekawości wiązało się z unieruchomieniem systemu pracy placówki, bo na pendrivie był specjalnie spreparowany wirus. Hakerzy bez problemu weszli w posiadanie danych medycznych i osobowych pacjentów.

Istotnym elementem cyfrowej higieny jest także konieczność stałego odświeżania sprzętu informatycznego, a także ograniczenie ilości wyjść na zewnątrz. Bo nie każdy pracownik placówki medycznej musi mieć możliwość nieograniczonego dostępu do Internetu.

Nie, ale spodziewałem się, że tak będzie. To nie pierwszy raz, gdy inicjujemy jako OSSP propozycje działań, próbując zainteresować nimi resort zdrowia. Chodziło nam o wskazanie potrzeby zdefiniowania wspólnych i bezpiecznych standardów komunikacji między systemami informatycznymi podmiotów medycznych. Nasze pismo to także zaproszenie do otwartej, transparentnej dyskusji instytucji odpowiedzialnych za funkcjonowanie polskiego systemu opieki zdrowotnej z krajowym środowiskiem medycznym. Pewne mechanizmy, zanim znajdą zastosowanie w całym systemie, moglibyśmy szybko przetestować pilotażowo w ograniczonym gronie szpitali prywatnych. Mimo wszystko liczymy na odzew minister, zresztą nie tylko w tej sprawie.