Bezpieczeństwo informacji w placówkach medycznych... czy faktycznie jest tak ważne?

Wyobraź sobie, że jesteś rolnikiem, który wpadł pod kombajn i został ciężko poszkodowany, a śmigłowiec LPR nie może do Ciebie przylecieć… Wyobraź sobie, że jesteś pacjentem szpitala, który nagle gorzej się poczuł, ale nie możesz wezwać pomocy, bo przycisk alarmowy nie działa… Wyobraź sobie, że jesteś pielęgniarką na nocnym dyżurze i agresywny pacjent zaatakował cię w ciemnym zaułku szpitalnego korytarza, ale nie masz systemu wzywania pomocy i nikt nie wie, gdzie jesteś i co się z Tobą dzieje… Wyobraź sobie, że jesteś lekarzem, który trzyma w ramionach chore dziecko i nie jesteś w stanie mu pomóc, bo wszystkie jego dane medyczne zostały zaszyfrowane…

Takie historie to dziś nie science-fiction, ale smutna rzeczywistość niektórych placówek ochrony zdrowia. W dobie ogromnej inflacji, wszechobecnego cięcia kosztów i oglądania każdej złotówki przed jej wydaniem, nakłady na cyberbezpieczeństwo w ochronie zdrowia często uznawane są za zbędny wydatek. Wydaje się, że posiadane środki lepiej przecież przeznaczyć na zakup nowego sprzętu, wypłatę dodatków do pensji dla przemęczonego personelu, remont pomieszczeń - ale czy na pewno?

Wprowadzonych zostało już kilka istotnych z punktu widzenia pacjentów projektów teleinformatycznych takich jak e-recepta, e-skierowanie. To ułatwia funkcjonowanie pacjentów ale też zmusza do przywiązania większej wagi do cyberbezpieczeństwa.

Prawdopodobieństwo ataków hakerskich na podmioty ochrony zdrowia rośnie z każdym dniem. Nie wszyscy zarządzający szpitalami zdają sobie sprawę z konsekwencji, jakie może za sobą nieść cyberatak. Skutki to nie tylko straty finansowe, ale przede wszystkim zagrożenie życia i zdrowia pacjentów. Nie są to czarne scenariusze na przyszłość, ale rzeczywistość i doświadczenia niektórych placówek. Ofiarą hackerów padł już m.in. w 2022 roku Szpital w Pajęcznie oraz Instytut Centrum Zdrowia Matki Polki z Łodzi czy wspomniane przeze mnie na wstępie Lotnicze Pogotowie Ratunkowe wiosną 2021 r. W szpitalu w Dusseldorfie atak hakerski w 2020 r. doprowadził nawet do śmierci pacjentki.

Dziś placówki medyczne mogą otrzymać środki z NFZ na podniesienie poziomu bezpieczeństwa systemów teleinformatycznych. O środki mogą ubiegać się szpitale, które realizują świadczenia w ramach leczenia szpitalnego, rehabilitacji leczniczej, lecznictwa uzdrowiskowego oraz opieki psychiatrycznej i leczenia uzależnień. NFZ finansuje zakup i wdrożenie systemów teleinformatycznych oraz związanych z nimi usług, dotyczących podniesienia poziomu bezpieczeństwa w placówkach leczniczych (nie tylko obszaru informatycznego). Inwestycje mogą obejmować m.in. zakup: urządzeń, oprogramowania i usług, które zapobiegają, wykrywają lub zwalczają cyberataki; systemów kontroli dostępu; oprogramowania zabezpieczającego sieć i pocztę elektroniczną; szkolenia z cyberbezpieczeństwa dla kadry zarządzającej i pracowników oraz wykonanie audytu cyberbezpieczeństwa.

Zabezpieczenie infrastruktury IT w szpitalach i innych jednostkach ochrony zdrowia to dziś kluczowa kwestia, wiele z nich nie nadąża jednak za zmianami, jakie narzuca pomysłowość hakerów.  Do najczęstszych problemów, z jakimi borykają się jednostki ochrony zdrowia należą luki w aplikacjach i w architekturze sieci, m.in. brak skutecznego backupu, szyfrowania i anonimizacji danych czy brak aktualizacji oprogramowania, także wewnętrznego kodu urządzeń.  Sposobem na szybkie usunięcie tych i innych błędów, są regularne audyty i testy bezpieczeństwa. Pozwalają one wykryć nieprawidłowości i znaleźć sposób na ich skorygowanie. Poza tym bardzo ważne są też cykliczne szkolenia pracowników szpitali i innych placówek medycznych w zakresie bezpieczeństwa IT. Atak może wywołać prosty błąd ludzki – każdy kto ma kontakt z danymi pacjentów musi znać zagrożenia i rozumieć, czym jest cyberbezpieczeństwo.

Jak jednak przeprowadzić taki audyt, by nie był on jedynie „sztuką dla sztuki” lecz by rzeczywiście wskazywał potencjały do doskonalenia i dawał pełną wiedze o organizacji i jej bezpieczeństwie? Wynik audytu jest uzależniony od tego, co przyjmiemy jako punkt odniesienia. W przypadku chęci pozyskania refundacji, audyt w szpitalu czy innej placówce ochrony zdrowia powinien być przeprowadzany według wytycznych odpowiedniego Zarządzenia Prezesa NFZ.

Podobnie jak w medycynie, również w IT każdą poważną operację należy poprzeć odpowiednią i profesjonalną diagnozą. Audyt infrastruktury IT w szpitalu powinien zacząć się od zebrania informacji nt. stosowanych aktualnie zabezpieczeń, po czym powinno nastąpić badanie infrastruktury poprzez odpowiednie testy. Umożliwiają one sprawdzenie m.in. czy możliwy jest nieautoryzowany dostęp z zewnątrz do systemu czy bazy danych np. za pomocą symulowanego ataku na sieć bezprzewodową (testy zewnętrzne), a także kontrolę potencjalnie słabych punktów w konfiguracji urządzeń (testy wewnętrzne). Szczególną uwagę należy poświęcić właśnie urządzeniom podłączonym do wewnętrznej sieci szpitalnej, tworzącej „Internet Rzeczy” czyli IoT.  W takie rozwiązanie inwestuje coraz więcej jednostek, tym samym tworząc kolejne furtki, którymi hakerzy mogą dostać się do wrażliwych danych - tym bardziej, że tworzą oni specjalnie przygotowane do tego szkodliwe oprogramowanie malware jak Mirai czy Katana. Bardzo ważne jest weryfikowanie w tym momencie zachowania pracowników, ale o tym szerzej nieco później.

Następnie należy przeanalizować wyniki  i na ich podstawie opracować raport, który przedstawi wnioski z audytu  i propozycje obszarów niezbędnych do doskonalenia. Najczęściej zalecenia dotyczą m.in. nadawania i odbierania uprawnień w systemach, inwentaryzacji sprzętu, szyfrowania urządzeń, przeprowadzania analizy ryzyka czy podnoszenia świadomości wśród użytkowników.

Wpuszczając audytora do swojej organizacji, otwieramy przed nim wszystkie swoje „tajemnice”, dlatego niezwykle ważnym jest by nie kierować się tylko kryterium ceny, tylko świadomie wybierać osobę z doświadczeniem i rekomendacjami.  Audytorem powinna być osoba spełniająca wymagania opublikowane w rozporządzeniu Ministra Cyfryzacji z 12 października 2018r. (np. posiadająca certyfikat Audytora Wiodącego ISO 27001 akredytowany przez PCA).

Audyt bezpieczeństwa należy przeprowadzić na zakończenie realizacji projektu w terminie do końca października 2023 r. - będzie on podstawą refundacji wydatków. Po wykonanym audycie cyberbezpieczeństwa, zgodnie z KRI przynajmniej raz w roku należy badać system zarządzania bezpieczeństwem informacji.

Niezwykle ważnym aspektem, często pomijanym w procesie podnoszenia cyberbezpieczeństwa jest konieczność odpowiedniego przeszkolenia personelu. Powiedzenie, że to człowiek jest najsłabszym ogniwem nie straciło na aktualności, a w dzisiejszych czasach jest wręcz kluczowe dla prawidłowego działania każdego systemu. Oprócz zakupu systemów i oprogramowania, sprzętu, programów antywirusowych, które zapewniają prewencję i reakcję w razie zagrożenia konieczna jest także edukacja personelu w tym zakresie.  Nawet najlepsze zabezpieczenia będą nic nie warte jeśli zawiedzie czynnik ludzki. Sprawdzanie skrupulatności w stosowaniu zasad bezpieczeństwa, odporności na techniki manipulacyjne oraz sposobu reakcji w razie zagrożenia to absolutne minimum. Większość ataków typu ransomware zaczyna się od wysłania fałszywego maila z linkiem do szeregowego pracownika, dzięki któremu haker dostaje się do zasobów organizacji  - wystarczy, że jedna osoba kliknie… hakerzy najczęściej wykorzystują nasze naturalne obawy oraz kontekst sytuacyjny (np. często z wykorzystaniem hasła COVID). Tu liczy się efekt skali, dlatego każda, nawet najmniejsza organizacja jest narażona na atak.

TÜV NORD Polska
ul. Mickiewicza 29
40-085 Katowice

Tel.: +48 32 786 46 46
biuro@tuv-nord.pl