Z danych CERT udostępnionych Prawo.pl przez Naukową i Akademicką Sieć Komputerową - Państwowy Instytut Badawczy (NASK) wynika, że od początku roku do 29 czerwca 2022 r.  w szeroko rozumianym systemie ochrony zdrowia zgłoszono 72 incydenty. Można więc w przybliżeniu przyjąć, że w każdym miesiącu dochodzi do co najmniej 12 cyberataków w przychodniach czy szpitalach.

Najwięcej z nich dotyczyło:

• podatności oprogramowania – (24)
• wiadomości phishingowych i oszustw (15), 
• szkodliwego oprogramowania (9) 
• włamania na konto mailowe (4), 
• włamania lub próby włamania do infrastruktury placówki (4)

Podatność oprogramowania to inaczej luki, które można wykorzystać na przykład za pomocą kodu do przeprowadzenia ataku lub uzyskania nieautoryzowanego dostępu. Dopóki usterka nie zostanie usunięta, haker może wpływać na program, bazę danych, komputer lub sieć.  W przypadku wiadomości phishingowych słabym ogniwem jest pracownik placówki, który nieświadomie umożliwi dostęp do systemu lub do bazy danych.

Czytaj też: RODO: Przetwarzanie danych osobowych pacjentów bez ich zgody oraz za ich zgodą >>>

Czytaj także na Prawo.pl: Polacy boją się wycieku danych osobowych, ale niewielu wie, jak się bronić>>

Z danych przekazanych przez NASK nie wynika, ile zagrożeń dotyczyło rejestrów medycznych. – Nie prowadzimy takiej statystyki – odpowiedział NASK. 

Odpowiedzialność za bezpieczeństwo danych

W grę, gdy mowa o zagrożeniach danych pacjentów, wchodzą więc przede wszystkim nie dość zabezpieczone oprogramowanie oraz tzw. czynnik ludzki. 

Grzegorz Sibiga, adwokat, partner w Traple, Konarski, Podrecki i Wspólnicy, kierownik Zakładu Prawa Administracyjnego w Instytucie Nauk Prawnych PAN,  podkreśla, że RODO nakłada obowiązek przeprowadzenia analizy ryzyka i dobrania odpowiednio środków zabezpieczających. -  Każdy administrator – w tym wypadku podmiot leczniczy - musi przed rozpoczęciem przetwarzania danych osobowych przeprowadzić analizę, aby dobrać zabezpieczenia. Natomiast samo RODO nie wskazuje szczegółowo tych środków – dodaje.

Czytaj też: Korzystanie z praw pacjenta w świetle RODO >>>

Z kolei radca prawny Artur Piechocki, partner zarządzający w kancelarii APLAW zaznacza, że oprócz administratora danych osobowych, odpowiedzialność ponoszą także procesorzy, czyli na przykład firmy informatyczne. – Coraz częściej pojawiają się kary nakładane przez Prezesa UODO również na procesora, czyli na podmiot, który zajmuje się częścią wykonawczą – mówi Artur Piechocki. 

Podmioty lecznicze wybierają wykonawców w przetargach, ale korzystają także z rozwiązań centralnych.

Ochrona danych osobowych. Kontrola i postępowanie w sprawie naruszenia przepisów. Poradnik ze wzorami

Mirosław Gumularz, Patrycja Kozik

Sprawdź  

Coraz więcej danych, w tym wrażliwych

Do centralnych systemów informatycznych trafia coraz więcej danych pacjentów. Dzięki Internetowemu Kontu Pacjenta można kontrolować e-recepty, zapisać się na szczepienie przeciwko COVID-19. Na IKP znajdują się też informacje dotyczące wizyt w przychodni i u lekarza rodzinnego, o wystawionych skierowaniach na badania i do sanatorium. 

System Informacji Medycznej (SIM) się rozwija i wkrótce ma zbierać jeszcze więcej danych, które co do zasady mają pomóc w zarządzaniu systemem ochrony zdrowia. Nie odbywa się to jednak bez kontrowersji. W ostatnim czasie wywołał je przepis, który od 1 października będzie obligował do wpisywania przez personel medyczny informacji o ciąży pacjentki a także o implantowanych wyrobach medycznych, czyli między innymi wkładce domacicznej. 

Czytaj także na Prawo.pl: Rozporządzenie w sprawie rejestru ciąż opublikowane w Dzienniku Ustaw>>

- Systemy informatyczne ochrony zdrowia centralizują się. W dodatku dzieje się to w ramach jednostronnych władczych działań, z założenia bez zgody osób, których te dane dotyczą.  Podstawowe znaczenie ma więc staranność organów państwa w zapewnianiu bezpieczeństwa danych, które takie systemy tworzą i udostępniają je podmiotom leczniczym – zaznacza Grzegorz Sibiga.

Cyberataki i wyłudzenia

NFZ przyznaje, że nasiliły się incydenty zagrażające cyberbezpieczeństwu placówek medycznych. 

- Ma to związek m.in. z wojną w Ukrainie. Szczególnie niebezpieczne i groźne w skutkach mogą być cyberataki na szpitale. Atak hakerski na infrastrukturę informatyczną szpitala może kosztować zdrowie, a nawet życie pacjentów, dlatego tak ważne jest maksymalne zabezpieczenie tych systemów m.in. przed próbami włamań – zaznacza NFZ. Dlatego Fundusz uruchomił program, w którym placówki medyczne na podniesienie poziomu bezpieczeństwa systemów teleinformatycznych mogą otrzymać do 900 tys. złotych z Funduszu Przeciwdziałania COVID-19. 

NFZ przestrzega także przed powtarzającymi się próbami wyłudzeń danych pacjentów z placówek medycznych przez osoby podające się za pracowników Departamentu Kontroli Narodowego Funduszu Zdrowia lub osoby współpracujące z departamentem. - Przypominamy, że pracownicy Departamentu Kontroli NFZ nigdy nie wymagają od świadczeniodawców podania przez telefon danych osobowych pacjentów – zaznacza NFZ. 

Odpowiedzialność podmiotu leczniczego

RODO określa sposób postępowania, gdy dojdzie do naruszenia.  - Jest obowiązek zarządzenia nim. Trzeba ustalić okoliczności wydarzenia i określić, jaki incydent powoduje poziom ryzyko dla osób, których dane dotyczą, jak również podjąć działania naprawcze.  W sytuacji zaistnienia takiego ryzyka incydent należy zgłosić UODO, a jeśli naruszenia powoduje wysokie ryzyko to należy także zawiadomić o zdarzeniu osobę, której dane naruszono – mówi Grzegorz Sibiga.

Artur Piechocki podkreśla z kolei, że odpowiedzialność za ochronę danych wynika także z ustawy o krajowym systemie cyberbezpieczeństwa, któremu podlega obszar zdrowia.  – Tu w grę wchodzą kary administracyjne za brak odpowiedniego przygotowania a także za niezgłoszenie incydentu do CERT-u – dodaje. 

CERT działa w strukturach NASK – Państwowego Instytutu Badawczego i jest zespołem reagowania na incydenty z zakresu cyberbezpieczeństwa.