Incydent był wynikiem nieodpowiedzialnego zachowania jednego z pracowników. Kliknięcie nieznanego linku otrzymanego pocztą elektroniczną stało się powodem poważnych problemów w całej placówce. Przede wszystkim odczuli je pacjenci, bo część zabiegów musiała zostać przesunięta na inny, bliżej nieokreślony w momencie zaistnienia sytuacji kryzysowej, termin. Incydent częściowo sparaliżował pracę wszystkich pracowników, zarówno medycznych, jak i administracyjnych. O zdarzeniu poinformowaliśmy od razu wszystkie urzędy i agencje, zgodnie z obowiązującymi procedurami. Otrzymaliśmy wszelką niezbędną pomoc i wsparcie. W toku przeprowadzonych audytów okazało się, że nie doszło do kradzieży danych osobowych. To była naprawdę dobra wiadomość.
Prof. Iwona Maroszyńska: Skuteczne metody zapobiegania cyberzagrożeniom w praktyce

Obecnie, gdy cyberzagrożenia ewoluują z dnia na dzień, konieczność ciągłego aktualizowania wiedzy i umiejętności w zakresie cyberbezpieczeństwa staje się kluczowa. Dowiedz się, dlaczego warto doceniać codzienną pracę specjalistów IT, jak skutecznie przekuć doświadczenia wynikające z cyberataków na trwałe korzyści dla organizacji, oraz jakie są korzenie, a także zalety kultury „zerowego zaufania”.
ICZMP to jeden z największych publicznych szpitali w Polsce. Jest jednak także jednym z najbardziej doświadczonych, jeżeli chodzi o zagadnienia związane z cyberbezpieczeństwem. Jak doszło do ataku hakerów w październiku 2022 roku?
Jak dalece dokumentacja tradycyjna, czyli prowadzona w formie papierowej, okazała się przydatna w procesie odtwarzania danych, ale przede wszystkim – zapewnienia bieżącej obsługi pacjentów?
Dokumentacja papierowa, na której przejście zmuszeni zostaliśmy przez incydent, pomogła nam w ogromnym stopniu przywrócić szpital do funkcjonowania, ale także – pokonać trudności, które dotykały w dużym stopniu samych pacjentów. W zakresie diagnostyki obrazowej zmuszeni jednak zostaliśmy do przekierowania na badania do innych placówek – na szczęście po dwóch dniach udało się przywrócić pracownie do pracy w niepełnym zakresie, bo bez możliwości archiwizowania badań obrazowych.
Paradoksalnie, zgromadzone jakiś czas wcześniej druki w formie papierowej związane z realizacją bieżących świadczeń skserowano i dostarczono do poszczególnych klinik, co w dużym stopniu wsparło możliwość udzielania usług medycznych pacjentom szpitala.
Dzięki prowadzeniu jeszcze przed atakiem monitorowania ruchu pacjentów w formie elektronicznej i tradycyjnej, papierowej, udało się uzyskać kontakt z oczekującymi na zabiegi oraz korzystającymi z usług przychodni przyszpitalnej. W poradniach odbywały się wizyty planowe i nie było konieczności ich odwoływania. Teoretycznie nie powinniśmy mieć podwójnego systemu związanego z planowaniem ruchu pacjentów. Praktycznie jednak ten fakt uratował nas – nie waham się tego stwierdzić – przed całkowitym paraliżem działalności placówki.
Częstą przyczyną cyberataków na placówki ochrony zdrowia są błędy ludzkie, wynikające głównie z niefrasobliwości i niewiedzy w korzystaniu z poczty elektronicznej. Czy audyty, które zrealizowały zewnętrzne instytucje kontrolujące, potwierdziły, że to jeden z pracowników kliknął niebezpieczny link? Jakie konsekwencje spotkały tego pracownika?
Istotnie, w toku postępowania wyjaśniającego, w formie audytu, udało się ustalić, że to jeden z pracowników wykonał niebezpieczną operację w systemie elektronicznym. Niestety w czasie, którego dotyczy zdarzenie, nie obowiązywały rygorystyczne procedury, które nakładałyby na osobę, narażającą placówkę na cyberatak, konkretne kary.
ICZMP jest pracodawcą dla prawie 2,5 tysiąca osób. To ogromna odpowiedzialność i wyzwanie, by zapewnić wysoki poziom cyberbezpieczeństwa przez np. organizację szkoleń. Jakie działania podejmuje dyrekcja placówki, by pracownicy byli nie tylko świadomi zagrożeń, ale przede wszystkim – odpowiedzialności ciążącej na każdym lekarzu i przedstawicielach administracji szpitala, mających dostęp do systemu elektronicznego szpitala?
Najważniejsze są okresowe szkolenia wszystkich pracowników, niezależnie od pełnionych funkcji, ale także coroczne kursy online z zakresu cyberbezpieczeństwa, ze szczególnym uwzględnieniem phishingu. Istotnym elementem uświadamiania zagrożeń jest regularne wysyłanie fałszywych wiadomości phishingowych z działu IT – celem tego działania jest utrzymanie czujności pracowników. Jeżeli pracownik trzykrotnie powtórzy kliknięcie linku, może spodziewać się konsekwencji finansowych, z naganą włącznie. Poza tym oznaczane są wiadomości e-mailowe pochodzące spoza szpitala, z informacją o potencjalnym ryzyku wynikającym z otwarcia wiadomości. Konieczne jest stałe odnawianie haseł, które muszą być silne. Dodatkowo kontrolowany jest dostęp do Internetu. Mamy również blokadę dostępu urządzeń przenośnych do komputerów pracujących w sieci. W przypadku bezczynności następuje automatyczne wylogowanie z systemu.
Blisko 2 lata temu szpital ICZMP doznał poważnego ataku hakerskiego, spowodowanego przez kliknięcie nieznanego linku przez jednego z pracowników. To zdarzenie sparaliżowało częściowo pracę placówki i zmusiło do przesunięcia niektórych zabiegów. Szpital szybko zgłosił incydent odpowiednim urzędom, otrzymując niezbędną pomoc. Audyty po ataku potwierdziły, że nie doszło do kradzieży danych osobowych.
Cyberatak na ICZMP okazał się nie tylko ogromnym wyzwaniem, angażującym wiele instytucji nadzorujących, kierownictwo i personel szpitala. Ile czasu było potrzeba, by placówka powróciła do pełnej sprawności, czyli gotowości do realizacji świadczeń medycznych w pełnej skali tak jak przed cyberatakiem?
W praktyce było to kilka tygodni, jednak dużym wyzwaniem, przede wszystkim natury psychologicznej, były kontrole i audyty wielu instytucji. Zdecydowanie najszybciej do normalnej pracy powrócił dział administracji, apteka szpitalna praktycznie była jedynym miejscem na terenie szpitala, którego nie dotknął atak cyberprzestępców.
Jak ocenia Pani współpracę z pracownikami szpitala w czasie procesu przywracania pełnej funkcjonalności szpitala? Zapewne ich udziałem był również ogromny stres i niepewność, ale może również okazało się, że praca zespołowa w sytuacji kryzysu może mieć istotne znaczenie?
Współpraca była modelowa – pojawiła się chęć wzajemnego wspierania się w sytuacji kryzysowej, którą bez wątpienia stał się ten incydent, ale także podejmowanie działań na rzecz rozwiązywania problemów, których nie brakowało. Z taką sytuacją mieliśmy bowiem do czynienia pierwszy raz, na ogromną skalę. Konsekwencje incydentu dotknęły wszystkich pracowników, bez wyjątku.
Doceniliśmy znaczenie pracy działu IT jako partnera, który powinien efektywnie współpracować ze wszystkimi jednostkami szpitala, zapewniając bezpieczną, codzienną pracę, która umożliwia realizację świadczeń, natomiast w dłuższej perspektywie – rozwój sektora medycznego.
Czy trudne doświadczenia związane z atakiem hakerskim na ICZMP udało się zamienić w korzyści?
Zdecydowanie tak. Mamy oprogramowanie antywirusowe we wszystkich jednostkach, a konfiguracja struktury sieciowej została przeprowadzona zgodnie z zaleceniami audytu. Dodatkowo ruch jednostek wymagających połączenia z siecią jest ograniczony. Poza tym – otrzymaliśmy 600 tys. zł, w ramach konkursu NFZ na wdrożenie konkretnych działań z zakresu cyberbezpieczeństwa.
To, czego nauczył nas incydent, to postrzeganie każdej wiadomości e-mailowej lub linku internetowego jako potencjalnego zagrożenia. Jesteśmy dziś zwolennikami kultury „zerowego zaufania”. Naszym zdaniem, jako kierownictwa instytutu, im mniejsze zaufanie, tym większa szansa na uniknięcie lub ograniczenie ryzyka problemów, jakie stały się naszym udziałem. Mogę dziś z dumą podkreślić, że problemy faktycznie udało nam się zamienić w korzyści, a negatywne doświadczenia przekuć w dobrą praktykę, którą chętnie się dzielimy.
Co chciałaby Pani przekazać innym kierującym placówkami medycznymi w Polsce, na podstawie Pani doświadczeń w obszarze cyberbezpieczeństwa, jako zarządzającej jednym z największych szpitali w naszym kraju?
Trzeba aktywnie śledzić najnowsze trendy szkoleniowe w zakresie cyberbezpieczeństwa, stale uczestniczyć w szkoleniach i konferencjach z tego zakresu. To konieczność w sytuacji wysokiego ryzyka ataku hakerskiego – każda z naszych placówek, którymi kierujemy, może stać się w każdej chwili atakiem cyberprzestępców. Nawet najlepsze systemy IT mogą okazać się niewystarczająco zabezpieczone przed cyberzagrożeniem. Trzeba pamiętać, że prawdopodobieństwo ataku jest nieuniknione, pozostaje tylko pytanie, kiedy on nastąpi. Warto zdać sobie także sprawę z faktu, że obecnie nie dysponujemy metodami w stu procentach skutecznymi, które zapewnią optymalny poziom bezpieczeństwa placówki medycznej w zakresie cyberochrony. Dopiero gdy nastąpi atak, specjaliści mają szansę znaleźć rozwiązanie i opracować najlepsze możliwe zabezpieczenia. Mam ulubione stwierdzenie – najpierw musi być wirus, żeby na niego była szczepionka.
PROF. IWONA MAROSZYŃSKA
Od kwietnia 2021 roku dyrektor Instytutu Centrum Zdrowia Matki Polki w Łodzi. Absolwentka Wydziału Lekarskiego Akademii Medycznej w Łodzi. Początkowo pracowała na oddziale wcześniaków, później była kolejno asystentem, starszym asystentem, zastępcą ordynatora i p.o. kierownika Kliniki Neonatologii ICZMP. Od 2008 roku kieruje Kliniką Intensywnej Terapii i Wad Wrodzonych Noworodków i Niemowląt. W ICZMP została specjalistą I i II stopnia z pediatrii oraz II stopnia z neonatologii. Obroniła też pracę doktorską i pracę na stopień doktora habilitowanego nauk medycznych. W ramach instytutu współorganizowała systemy opieki nad wcześniakami i noworodkami wymagającymi intensywnej terapii oraz transportu medycznego dla noworodków w Łódzkiem. Jest autorką i współautorką kilkudziesięciu publikacji naukowych.






/Zarządzanie w Ochronie Zdrowia
/Zarządzanie w Ochronie Zdrowia