Cyberbezpieczeństwo w ochronie zdrowia. Szpitale najbardziej świadome zagrożeń?

Autor: Katarzyna Mieczkowska • Źródło: CeZ/Rynek Zdrowia04 października 2022 11:30

Szpitale chcą być odporne na cyberataki (89,7 proc.), ale nieco mniejszą troską (67,9 proc.) otaczają ochronę danych osobowych. Prawie co ósmy szpital podejmował już działania w zakresie cyberbezpieczeństwa, a co szósty finansował je z własnych środków - tak wynika z raportu Centrum e-Zdrowia z VI edycji "Badania stopnia informatyzacji podmiotów wykonujących działalność leczniczą".

Cyberbezpieczeństwo w ochronie zdrowia. Szpitale najbardziej świadome zagrożeń?
W ponad połowie podmiotów zidentyfikowano potrzeby w zakresie cyberbezpieczeństwa. Fot. Adobestock
  • Centrum e-Zdrowia opublikowało raport z VI edycji "Badania stopnia informatyzacji podmiotów wykonujących działalność leczniczą"
  • Oprócz kwestii takich, jak elektroniczna dokumentacja medyczna, telemedycyna czy wykorzystanie sztucznej inteligencji w praktyce leczniczej, przyjrzano się również bezpieczeństwu infrastruktury IT w placówkach ochrony zdrowia
  • - W ponad połowie podmiotów zidentyfikowano potrzeby w zakresie cyberbezpieczeństwa (55,9 proc.), przy czym najczęściej zgłaszały je szpitale (86,1 proc.), a najrzadziej AŚZ (ambulatoryjne świadczenia zdrowotne; 52,5 proc.) - czytamy w raporcie

86 procent szpitali ma potrzebę zwiększenia poziomu bezpieczeństwa infrastruktury IT

Szpitalne cyberbezpieczeństwo. Stało się ono szczególnie istotnym tematem od momentu ukazania się zarządzenia prezesa Narodowego Funduszu Zdrowia w rzeczonym zakresie — wraz z wyszczególnionymi kwotami maksymalnych dotacji na poprawę poziomu cybersecu — i wydanego równolegle Planu działania w zakresie cyberbezpieczeństwa w ochronie zdrowia, w którym CeZ zamieściło swoje rekomendacje.

Na podstawie ankiet placówki ochrony zdrowia oceniły własne poziomy bezpieczeństwa komputerowego, niedociągnięcia i potrzeby w związku z reagowaniem na incydenty.

Jak wynika z raportu, to właśnie szpitale najczęściej (86,1 proc.) identyfikowały potrzeby związane ze zwiększeniem bezpieczeństwa informatycznego. Najmniej, bo zaledwie 52,5 proc. placówek, zauważyło takie potrzeby, jeśli chodzi o świadczeniodawców z zakresu opieki ambulatoryjnej.

Centrum e-Zdrowia podkreśla, że najczęściej wskazywane potrzeby badanych placówek w zakresie cyberbezpieczeństwa to:

  • odporność na cyberataki (68,9 proc.);
  • zwiększenie ochrony danych osobowych (65,9 proc.);
  • poprawa stanu wiedzy o zagrożeniach informatycznych wśród pracowników/kierownictwa jednostki (59,4 proc.).

Największą potrzebę w zakresie tego ostatniego punktu mają szpitale - 76,6 procent placówek chce pracować nad uświadamianiem w kwestii cyberzagrożeń. Szpitale najbardziej ze wszystkich placówek ochrony zdrowia chcą ponadto zwiększyć ciągłość działania systemów informatycznych (80,3 proc.) oraz poprawić zarządzanie ryzykiem (50,1 proc.).

Liczą się priorytety: nadzór, szacowanie ryzyka, szkolenia i audyty

Ankietowane placówki wskazały również priorytety w działaniach na rzecz poprawy bezpieczeństwa systemów informatycznych. W badaniu CeZ najczęściej wskazywanymi obszarami były:

  • monitorowanie bezpieczeństwa teleinformatycznego podmiotu (54,0 proc.);
  • szacowanie ryzyka związanego z zagrożeniami bezpieczeństwa informacji (44,8 proc.);
  • szkolenia lub działania uświadamiające dla pracowników dotyczące bezpieczeństwa informacji i cyberbezpieczeństwa (44,8 proc.).

Jak zaznacza Centrum e-Zdrowia, prowadzenie audytu
bezpieczeństwa informacji częściej stanowiło priorytet właśnie dla szpitali (47,6 proc.), niż miało to miejsce w przypadku innych placówek. Ogółem audyt był ważny dla 18 proc. wszystkich ankietowanych placówek. Na opracowanie procedury zgłaszania incydentów postawiło jeszcze mniej, bo zaledwie 13,2 proc. ankietowanych podmiotów.

Cyberbezpieczeństwo w szpitalach wejdzie na wyższy poziom?

Dyrektor Centrum e-Zdrowia Paweł Kikosicki już wiele miesięcy temu zapowiadał powołanie sektorowego CSIRT-u dla zdrowia. CSIRT, a więc Computer Security Incident Response Team ma, w najprostszym ujęciu,  reagować na incydenty bezpieczeństwa komputerowego w sposób właściwy dla rodzaju incydentu.

 Istnieją już CSIRT-y m.in. dla energetyki czy bankowości, a w oparciu o ustawę o krajowym systemie cyberbezpieczeństwa mają je mieć wszyscy operatorzy usług kluczowych. Teraz, jak oznajmił Kikosicki podczas czwartkowej konferencji Zmiany w Ochronie Zdrowia 2022, właśnie powstaje CSIRT dla sektora medycznego.

- Odpowie on na niektóre obawy podmiotów medycznych związane z cyberbezpieczeństwem. Z przeprowadzonego przez nas badania stopnia informatyzacji wynika, że blisko co trzeci badany wskazywał ryzyko związane z bezpieczeństwem danych jako barierę w rozwoju e-zdrowia - zaznaczył dyrektor CeZ.

Dowiedz się więcej na temat:
Podaj imię Wpisz komentarz
Dodając komentarz, oświadczasz, że akceptujesz regulamin forum