Ze względu na charakter działalności szpitali, związany z ratowaniem zdrowia i życia, a także dane wrażliwe, znajdujące się na serwerach, bezpieczeństwo teleinformatyczne, utrzymanie ciągłości pracy, a także ochrona przed wirusami i cyberprzestępcami jest kluczowa. Początek roku pokazał, że nikt na rynku ochrony zdrowia nie może czuć się bezpiecznie, nawet Lotnicze Pogotowie Ratunkowe.
„Wybaczcie nasze piątkowe milczenie, ale toczymy walkę z niewidzialnym wrogiem, który próbował zagrozić naszemu wykonywaniu misji #latamybyratowac. Powoli się podnosimy i zapewniamy, że nasi Pacjenci mogą czuć się bezpiecznie” – napisał w lutym 2022 roku w mediach społecznościowych Zespół Lotniczego Pogotowia Ratunkowego.
Był to atak typu ransomware. Jest to zaszyfrowanie danych na dyskach komputerowych. Co więcej, hakerzy za odszyfrowanie danych zażądali okupu w wysokości 390 tys. dolarów.
– Od chwili cyberataku na Lotnicze Pogotowie Ratunkowe ani jeden dyżur nie został zawieszony, wszystkie wezwania do misji ratunkowych i transportów międzyszpitalnych są na bieżąco realizowane – przekazał w komunikacie dyrektor LPR prof. Robert Gałązkowski.
W komunikacie zaznaczono, że w związku z atakiem nie odwołano żadnej akcji ratowników.
Potrzeba systemowych działań
W zakresie informatyzacji i bezpieczeństwa prowadzona jest intensywna współpraca Ministerstwa Zdrowia z Centrum e-Zdrowia, w celu wyposażenia szpitali w wiedzę oraz infrastrukturę, umożliwiającą im skuteczną ochronę przed utratą danych medycznych.
– Gwałtowny rozwój i upowszechnienie usług e-zdrowia sprawiły, że podmioty lecznicze, szczególnie szpitale, na równi z bankami czy instytucjami państwowymi i samorządowymi, stały się potencjalnym obiektem ataków hakerskich. Naszym wspólnym celem jest podniesienie poziomu ochrony danych medycznych i zwiększenie odporności szpitali na te zagrożenia – powiedział podczas konferencji CyberGOV, która odbyła się w dniach 25-27 maja w Warszawie, Roman Łożyński, dyrektor Pionu Eksploatacji i Bezpieczeństwa Systemów Teleinformatycznych w CeZ.
W maju tego roku Centrum wydało rekomendacje dotyczące cyberbezpieczeństwa w szpitalach. To zbiór opisów funkcjonalnych, który celem jest ułatwienie tworzenia i doskonalenia systemów bezpieczeństwa informacji w placówkach ochrony zdrowia. Dane gromadzone w systemach to dane wrażliwe – zawierają informacje o stanie zdrowia pacjentów, a także dane osobowe. Takie dane podlegają szczególnej ochronie zgodnie z Ustawą o ochronie danych osobowych.
Centrum od kilku lat monitoruje także bezpieczeństwo teleinformatyczne w ochronie zdrowia.
– Jako instytucja zajmująca się rozwiązaniami IT dla zdrowia, zarządzająca bazami danych, jesteśmy szczególnie wyczuleni na kwestie cyberbezpieczeństwa. Z naszych informacji dotyczących stopnia dojrzałości w zakresie cyberbezpieczeństwa w szpitalach na terenie całego kraju wynika, że aktualny poziom zabezpieczeń można uznać za dobry w ponad jednej trzeciej szpitali, a średni w ok. 62% placówek – mówi dyr. Departamentu Komunikacji w CeZ Piotr Olewiński. – Jedynie nieliczne szpitale wymagają wzmożonej uwagi w tym zakresie. Wsparcie szpitali w kwestiach dalszej poprawy stanu cyberbezpieczeństwa jest realizowane m.in. w ramach wspólnego programu Ministerstwa Zdrowia z Ministerstwem Cyfryzacji przy wsparciu Narodowego Funduszu Zdrowia oraz Centrum e-Zdrowia.
Pula środków jest ograniczona
Na finansowanie działań w celu podniesienia poziomu bezpieczeństwa systemów teleinformatycznych świadczeniodawców w 2022 r. zabezpieczonych jest 500 mln zł. Płatnikiem jest Narodowy Fundusz Zdrowia. Do tej pory złożono 591 wniosków i zawarto 518 umów o wartości ponad 222 mln zł.
– Planujemy podpisywanie umów, aż do wyczerpania pełnej puli środków. W celu maksymalnego wykorzystania środków oraz umożliwienia skorzystania z dofinansowania jak największej liczbie placówek szpitalnych, Ministerstwo Zdrowia wprowadziło aktualizację decyzji, umożliwiając uzyskanie środków obejmujących dofinansowanie świadczeniodawcom, prowadzącym szpital albo szpitale i posiadającym umowę lub umowy o udzielanie świadczeń opieki zdrowotnej zawarte z NFZ, co daje możliwość uzyskania dofinansowania na każdy prowadzony szpital – mówi Jarosław Olejnik, dyrektor Biura Bezpieczeństwa Informacji i Ciągłości Działania w Centrali NFZ.
Najczęściej zadawane pytania i odpowiedzi NFZ publikuje w bazie wiedzy projektu, udostępnionej wszystkim zainteresowanym.
– Pytania, które otrzymujemy obejmują szereg zagadnień, np. pytań czysto technicznych o to, czy konkretne rozwiązanie będzie finansowane w projekcie – dodaje Jarosław Olejnik. – Inne dotyczą zasad oceny inwestycji świadczeniodawców i wymagań co do audytu końcowego, będącego podstawą do wypłaty środków.
W co zatem inwestować?
Potrzeby w obszarze teleinformatyki i bezpieczeństwa są nadal olbrzymie.
– Szczególną uwagę należy zwrócić na niskie nasycenie systemami SIEM, EDR, IPS/IDS, jako podstawowymi w zakresie ochrony przed atakiem. Oczekiwane nasycenie powinno osiągnąć poziom 85% – 100% – dodaje Jarosław Olejnik z NFZ. – Na pewno należy rozważyć wprowadzenie podwójnego uwierzytelniania. Braki w tym zakresie znacznie podnoszą ryzyko wycieku danych.
Trudna sytuacja jest w zakresie pozyskiwania wykwalifikowanych specjalistów i inżynierów cyberbezpieczeństwa. Szpitalom trudno konkurować wynagrodzeniami z firmami komercyjnymi.
Jedną z technologii rekomendowanych w ramach inwestycji w cyberbezpieczeństwo jest usługa SOC.
– Tego typu usługi zapewniają między inni stały monitoring i niejako wyręczają i wspomagają służby informatyczne w identyfikowaniu aktywności na serwerach szpitala, które mogą być przygotowaniem do potencjalnego ataku – uważa Piotr Ksieniewicz, prezes Network Expert, firmy zajmującej się teleinformatyką i bezpieczeństwem od kilkunastu lat.
Narodowy Fundusz Zdrowia wskazuje też inne obszary, na które warto zwrócić uwagę w kontekście zabezpieczeń. Szpitale wymagają uwagi w zakresie kopii zapasowych – zarówno polityki tworzenia, odmiejscowienia i weryfikacji, zarządzania – szkolenia kadry zarządzającej, wdrożenia systemów oceny ryzyka, monitorowania incydentów oraz reagowania na nie oraz ochrony poczty elektronicznej.
– Bazując na danych szczegółowych należy wskazać duże potrzeby w zakresie szkolenia kadry zarządzającej – mówi dyr. Jarosław Olejnik z NFZ – Efektem tych szkoleń może być zmiana priorytetów zarządczych i znaczne podniesienie rangi i poziomu bezpieczeństwa danych medycznych przy relatywnie niskich nakładach. Z przeprowadzonego badania wynika, że niewiele ponad 13% dyrektorów szpitali odbyło szkolenia w zakresie cyberbezpieczeństwa.
Nieco optymizmu
Tak jak w obszarach medycznych, tak i w zakresie cyberbezpieczeństwa są wśród szpitali liderzy, jednostki aktywne, wykonujące więcej niż przewidziane przepisami minimum.
– Są w naszym kraju takie szpitale, które nie tylko zapewniają cyberbezpieczeństwo własnych zasobów, ale także są ośrodkami wspierającymi inne szpitale w regionie – mówi Piotr Olewiński z CeZ. – Dzieje się tak najczęściej dzięki zaangażowaniu osób o wysokiej świadomości w tym zakresie oraz dzięki odpowiednim środkom finansowym. A teraz wszystkie szpitale mogą takie finansowanie pozyskać.
„SOC – proaktywne wykrywanie zagrożeń”
Komentarz eksperta – Piotr Ksieniewicz, prezes zarządu Network Expert
Przede wszystkim SOC zapewnia proaktywne wykrywanie zagrożeń. Atak na zasoby teleinformatyczne składa się z wielu kroków i przygotowań przestępców, nie następuje natychmiast. Przestępcy przygotowują się do tego przez dłuższy czas, sprawdzają możliwości. Takie nietypowe aktywności wychwytuje nasza usługa SOC i natychmiast alarmuje administratorów. Odciąża to cenne zasoby, jakimi są informatycy, pozwalając zaangażować specjalistów w pozostałe obszary. Analiza danych pozwala wykryć przygotowania do ataku i zapobiec mu. Spełnia rygorystyczne wymogi prawa i jest pewnym środkiem dowodowym. Zapewnia zgodność z normami i regulacjami GDPR/RODO, ISO 27000, ustawą o KSC – nakazujących konieczność ochrony danych w sposób odpowiedni, „adekwatny do oszacowanego ryzyka”, konieczność ujawniania informacji o incydentach bezpieczeństwa oraz udowodnienia, że zrobiło się wszystko, aby do takich incydentów nie dopuścić.
Kolejna zaleta to ciągłość działania, bez względu na urlopy czy niedostępność Państwa pracowników. Dodatkowo odpowiednie zarządzanie logami sprawia, że wygodniej je przechowywać, ewidencjonować i mieć dowody na wszystko.