Cyberbezpieczeństwo w szpitalach

Jak mogło dojść do sytuacji, w której "wyciekło" 50 tys. danych pacjentów i pracowników szpitala w Kole? Stały się one dostępne w internecie prawdopodobnie za sprawą hakerów. Dane zawierały nie tylko imię i nazwisko, ale także adres zamieszkania, PESEL, numer dowodu osobistego oraz informacje medyczne.

Na niezabezpieczonym serwerze, do którego można było się dostać bez zalogowania, znajdowały się także informacje o samej placówce - zestawienia, kopie systemów, pliki działu księgowości. Dziennikarze portalu internetowego "Zaufana Trzecia Strona" znaleźli tam także pliki z wirusem ransomware. Po interwencji ZTS niebezpieczne pliki usunięto z serwera i zabezpieczono do niego dostęp, ale nie wiadomo, czy i ile razy skopiowano jego zawartość.

Najsłabsze ogniwo - człowiek

Zdaniem Marcina Ludwiszewskiego, dyrektora i lidera obszaru cyberbezpieczeństwa w firmie analitycznej Deloitte, na podstawie dostępnych materiałów można przypuszczać, że w Kole prawdopodobnie doszło do błędu bądź zaniedbania ze strony pracowników szpitala.

- Co do zasady, istotą budowania bezpieczeństwa w szpitalach powinna być świadomość zagrożenia i ryzyka z tym związanego. Świadomość posiadanych zasobów i potencjalnych skutków materializacji ryzyk dla szpitala i jego pacjentów powinna determinować podejście do ich zabezpieczenia, polegające m.in. na przeciwdziałaniu zagrożeniom, ich wykrywaniu oraz odpowiednim reagowaniu - mówi Marcin Ludwiszewski.

Na razie jednak ze wspomnianą świadomością bywa różnie nie tylko w przypadku pracowników, ale często też samych zarządów firm. To w efekcie przekłada się na całą organizację. Braki finansowe i niedobory w kadrach to kolejne powody istnienia zagrożeń cybernetycznych.

- Niestety, nadal widzimy, że zajęcie się tematem bezpieczeństwa w różnych organizacjach ma charakter reaktywny, zwykle po fakcie wystąpienia incydentu lub w odpowiedzi na wymóg prawny lub regulacyjny, co najczęściej też oznacza wyższe koszty takich działań - dodaje ekspert.

Z zabezpieczeniami jest kiepsko

W ubiegłym roku firma Deloitte przeprowadziła badania w zakresie bezpieczeństwa w 24 szpitalach w dziewięciu krajach (Polska nie była brana pod uwagę). Tylko w pięciu stosowano politykę bezpieczeństwa informacji, która uwzględniałaby aspekt zarządzania podatnościami, ryzyko dostawców i wykorzystywanych produktów.

W połowie z nich stosowane urządzenia posiadały na stałe "zaszyte" loginy i hasła, które mogłyby być wykorzystane przez hakerów do uzyskania nieautoryzowanego dostępu do danych medycznych pacjentów. Prawie połowa nie oceniła stosowanych urządzeń diagnostycznych pod kątem potencjalnych ryzyk dla zabezpieczenia prywatności pacjentów, a w trzech z badanych szpitali doświadczono incydentów związanych z infekcją złośliwego oprogramowania.

comments powered by Disqus

BĄDŹ NA BIEŻĄCO Z MEDYCYNĄ!

Newsletter

Najważniejsze informacje portalu rynekzdrowia.pl prosto na Twój e-mail

Rynekzdrowia.pl: polub nas na Facebooku

Rynekzdrowia.pl: dołącz do nas na Google+

Obserwuj Rynek Zdrowia na Twitterze

RSS - wiadomości na czytnikach i w aplikacjach mobilnych

POLECAMY W PORTALACH