O aktualnych problemach dotyczących cyberbezpieczeństwa w placówkach ochrony zdrowia eksperci mówili podczas 6. edycji konferencji „Cybersec & Compliance w Zdrowiu” zorganizowanej przez wZdrowiu, Koalicję AI i Innowacji w Zdrowiu, Polską Federację Szpitali oraz Centrum Kształcenia Podyplomowego Uczelni Łazarskiego. Wydarzenie odbywa się co roku i skupia najbardziej znaczące organizacje branżowe oraz przedstawicieli strony publicznej, którzy omawiają zagadnienia związane z bezpieczeństwem danych medycznych w środowisku cyfrowym, zarządzaniem zgodnością oraz poziomem cyberbezpieczeństwa placówek medycznych. 

Lawinowy wzrost ataków, szpitale nie zawsze gotowe 

Jak wskazał Tomasz Jeruzalski, dyrektor Pionu Eksploatacji Systemów Teleinformatycznych Centrum e-Zdrowia, rok 2025 będzie kluczowy dla tematyki cyberbezpieczeństwa, chociażby ze względu na planowaną nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa. Wynika to z obowiązku implementacji dyrektywy unijnej NIS2. Przyjęcie projektu ma nastąpić jeszcze w I kwartale 2025 r. Dyrektor Jeruzalski podkreślił, że będzie to miało istotny wpływ również na podmioty medyczne. 

A jak jest z cyberbepieczeństwem w szpitalach? Z badań prowadzonych przez Centrum e-Zdrowia wynika, że bardzo różnie. Co najbardziej niepokojące, w ubiegłym roku nastąpił wykładniczy wzrost incydentów związanych z cyberbezpieczeństwem w placówkach ochrony zdrowia. W 2022 r. odnotowano 251 różnych ataków, w 2023 już 405, natomiast w 2024 r. było ich ponad dwa razy więcej - aż 1028. Wśród incydentów najczęściej zdarzały się oszustwa komputerowe (374), sporo było jednak również wycieków poświadczeń i przypadków, w których usługi okazywały się podatne na ataki. Znacznie wzrosła też liczba ataków typu ransomware (szczególnie problematycznych, bo prowadzących potencjalnie do paraliżu szpitali). Podczas gdy w 2023 r. odnotowano ich 317, w 2024 r. było ich już 506. 

Z czego wynikało to, że cyberataki były skuteczne? Dyrektor Jeruzalski wskazał na kilka czynników, które najczęściej się do tego przyczyniały. Są wśród nich: czynnik ludzki, brak świadomości cyberbezpieczeństwa, phishing, brak monitorowania podejrzanej aktywności, błędy w konfiguracji rozwiązań dotyczących zdalnego dostępu. Centrum e-Zdrowia w latach 2021-2024 co roku przeprowadzało „Badanie poziomu dojrzałości w obszarze cyberbezpieczeństwa”, w którym zbadano ok. 700 szpitali. Jak wynika z najnowszej edycji, wciąż prawie 40 proc. dyrektorów szpitali nie zna wyników analizy ryzyka, a niemal 30 proc. podmiotów nigdy nie opublikowało dokumentu polityki cyberbezpieczeństwa. Zaniedbania są czasem bardzo podstawowe - 97 proc. podmiotów zadeklarowało, że ma w swojej sieci antywirusa, co oznacza, że 3 proc. nie posiada nawet tak podstawowej ochrony przed atakami, nie wspominając o bardziej zaawansowanych technicznie rozwiązaniach. - Dzięki tej ankiecie zrozumieliśmy, że jeśli mamy dofinansowywać cyberbezpieczeństwo, a różne jednostki są na różnym poziomie, to trzeba wdrożyć takie mechanizmy, żeby każdy mógł z nich skorzystać - zaznaczył dyrektor Jeruzalski. 

Podkreślił też, że jeśli chcemy realnej poprawy cyfrowych kompetencji, to nie możemy ograniczyć się tylko do wskazywania, jakie mamy braki, tylko zacząć się zastanawiać, jak to można rozwiązać. -Jeżeli mamy brak kompetencji na poziomie szpitali, to powinniśmy się zastanowić, jak je uzupełnić - wskazał. 

Czytaj również: Jakie przedsiębiorstwa obejmie nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa

Cyberbezpieczeństwo w szpitalach wciąż na marginesie

Ransomware szczególnie niebezpieczne 

Dr. inż. Witold Sobolewski, CEO VS Data, Uczelnia Łazarskiego, który na co dzień zajmuje się obsługiwaniem cyberataków wskazał, że o większości z nich opinia publiczna się nie dowiaduje, bo nie życzą sobie tego obsługiwane podmioty. Wiadomo jednak, że podmioty ochrony zdrowia znajdują się wśród pięciu najczęściej atakowanych w tym zakresie branż. Warto być więc przygotowanym, bo prawdopodobieństwo, że taki atak się zdarzy, jest spore. Nie zawsze wynika on z bezpośredniego działania człowieka, a więc kliknięcia w podejrzany link czy podłączenia pendrive'a. Często zdarza się, że przestępcy korzystają z dziur w zabezpieczeniach, których w porę nie załatano. 

Ataki ransomware są bardzo dotkliwe dla każdej organizacji - zazwyczaj skutkują zablokowaniem wszelkich plików dostępnych na komputerze, które mają zostać uwolnione, jeżeli ofiara zapłaci żądany okup. Jak wskazał dr Sobolewski, z jego doświadczeń wynika, że średnio jest to ok. 500 tys. zł. Ok. 30 proc. firm decyduje się płacić, by odzyskać zaszyfrowane przez przestępców dane. Ataki wcale nie muszą trwać długo - średnio przebicie się przez zabezpieczenia trwa kilka tygodni, ale jeśli były one na bardzo niskim poziomie, przestępcom wystarczają nawet dwie godziny. 

Odbudowywanie baz po atakach jest kosztowne i czasochłonne, dlatego istotne jest, by mieć sprawdzone kopie zapasowe. W praktyce odszyfrowanie danych jest bowiem praktycznie niemożliwe. Jeśli firma oferuje takie usługi, zazwyczaj oznacza to po prostu, że pośredniczy w imieniu klienta w zapłacie żądanej kwoty. 

Nowość

-10%

Nowość

Cyberbezpieczeństwo. Zarys wykładu

Cezary Banasiński

Sprawdź