Cyberbezpieczeństwo w sektorze ochrony zdrowia

Autor: Tekst zewnętrzny • Źródło: Artykuł promocyjny dostarczony przez Aegis Security Sp. z o.o.15 października 2021 14:50

Ostatnie lata to okres intensywnej cyfryzacji sektora ochrony zdrowia. Od 1 stycznia 2021 roku dokumentacja medyczna powinna być prowadzona w postaci elektronicznej. Na stałe weszły do użytku e-recepty, e-zwolnienia i e-skierowania, również inne usługi medyczne są coraz częściej dystrybuowane w formie elektronicznej. Od 1 lipca 2021 rozpoczął się również proces wymiany Elektronicznej Dokumentacji Medycznej (EDM) indeksowanej w systemie e-zdrowie (P1). Te zjawiska stanowią ogromną szansę na poprawę efektywności działania ochrony zdrowia a rola, znaczenie i bezpieczeństwo systemów informatycznych, za pomocą których gromadzone i przetwarzane są dane osobowe, w tym dane medyczne nabrały nowego priorytetowego znaczenia. Wszystko to związane jest jednak również z nowymi zagrożeniami, spośród których najważniejszym jest możliwość utraty kontroli nad gromadzonymi i przetwarzanymi danymi.

Fot. Prezes Dariusz Chmielewski / Aegis Security Sp. z o.o.

Dane osobowe i medyczne pacjentów, dotyczące rozliczeń finansowych z klientami oraz publicznego systemu płatności za usługi medyczne mogą być bardzo atrakcyjnym celem dla cyberprzestępców. Utrata kontroli nad nimi może prowadzić do odpowiedzialności administracyjnej i odszkodowawczej oraz problemów organizacyjnych i finansowych podmiotu leczniczego. W przypadku danych dotyczących osób fizycznych, placówki ochrony zdrowia mają obowiązek dostosowania swoich procedur do przepisów RODO. Jednak w przypadku branży medycznej istnieje jeszcze jeden powód, dla którego ochronę danych należy traktować bardzo poważnie – utrata kontroli nad nimi może prowadzić do zagrożenia dla zdrowia i życia pacjentów. Na podmiocie leczniczym jako administratorze danych spoczywa obowiązek doboru narzędzi, które w sposób obiektywny zapewnią bezpieczeństwo i integralność przetwarzanych danych osobowych.

Dane powinny być zabezpieczone przed przypadkową utratą w wyniku zdarzeń losowych lub awarii, oraz przed skutkami celowych działań osób trzecich. Najważniejszym zadaniem osób odpowiedzialnych za bezpieczeństwo cyfrowe jest więc fizyczne oraz elektroniczne zabezpieczenie dostępu do systemów komputerowych oraz utrzymanie ciągłości ich działania, w tym możliwości szybkiego przywrócenia pełnej funkcjonalności w przypadku wystąpienia incydentów.

Fizyczne bezpieczeństwo systemu powinno być zapewnione poprzez kontrolę dostępu do pomieszczeń, w których znajdują się poszczególne urządzenia oraz ewentualnie przez system monitoringu wizyjnego. Zabezpieczenie dostępu do pomieszczeń ma szczególne znaczenie w przypadku danych przechowywanych w formie analogowej, należy pamiętać, że one również podlegają przepisom RODO. Z kolei najważniejszy element zabezpieczeń elektronicznych to polityka haseł, którą w razie potrzeby należy połączyć z innymi mechanizmami weryfikacji tożsamości użytkownika. Profile dostępu do systemu powinny być dostosowane do poszczególnych stanowisk pracy oraz podlegać systematycznym przeglądom. Szczególnie istotne jest szkolenie personelu w zakresie stosowanych przez przestępców metod ataków socjotechnicznych. Tego rodzaju szkolenia powinny prowadzić do wypracowania w organizacji kultury bezpieczeństwa informacji. Szczególnie skuteczną metodą prowadzącą do jej wytworzenia mogą być zewnętrzne audyty bezpieczeństwa środowiska teleinformatycznego oraz testy penetracyjne, podczas których wyspecjalizowani audytorzy symulują prawdziwe zagrożenia.

Osobnym zagadnieniem jest właściwe zaprojektowanie systemu teleinformatycznego. Bezpieczeństwo przekazywanych danych może wymagać zastosowania odpowiednich łączy telekomunikacyjnych oraz zabezpieczenia miejsc w których sieć wewnętrzna styka się z sieciami zewnętrznymi poprzez zapory sieciowe. Istotne jest również zabezpieczenie urządzeń peryferyjnych, takich jak drukarki. Bardzo często właśnie to one są miejscami, w których dochodzi do wycieków danych.

W kwietniu 2020 roku Ministerstwo Cyfryzacji opublikowało dokument pod tytułem „Rekomendacje cyberbezpieczeństwa dla podmiotów sektora ochrony zdrowia”. Pośród najważniejszych zawartych w nim rekomendacji są:

  • zwiększenie świadomości użytkowników systemów dotyczącej zagrożeń związanych ze spear-phishingiem, czyli specjalnie zaprojektowanymi wiadomościami wysyłanymi w celu uzyskania dostępu do systemów (może to na przykład być mail udający korespondencję od szefa zawierający prośbę o kliknięcie w szkodliwy załącznik),
  • blokowanie możliwości uruchomienia makr i „active content” w dokumentach stworzonych przy pomocy pakietu office,
  • blokowanie zdalnego dostępu do infrastruktury IT, z wyjątkiem absolutnie niezbędnych funkcji,
  • systematyczne tworzenie kopii zapasowych offline oraz sprawdzenie spójności istniejących kopii,
  • aktualizacja oprogramowania antywirusowego.

Ponadto szczególnej kontroli i ochronie powinny podlegać konta uprzywilejowane. Nawet uprawnienia dostępowe do systemu na najwyższym poziomie nie powinny umożliwiać usunięcia jego kopii zapasowych. Należy również zapobiegać tworzeniu niepotrzebnych połączeń pomiędzy osobnymi systemami ważnymi dla funkcjonowania podmiotu leczniczego. Dla organizacji z sektora ochrony zdrowia ważnym zaleceniem jest odseparowanie sprzętu medycznego i diagnostycznego (na przykład tomografów czy urządzeń rentgenowskich) od reszty sieci.

Podmioty lecznicze są zobowiązane do dostosowania się do wielu wytycznych i opracowania procedur z zakresu zapewnienia bezpieczeństwa danych. Ważnym elementem powinna być kompleksowa, cykliczna analiza bezpieczeństwa, zakończona raportem z rekomendacjami. Audyty bezpieczeństwa środowiska informatycznego i testy penetracyjne (testy socjotechniczne, testy środowiska teleinformatycznego, testy aplikacji webowych i internetowych) zapewniają weryfikację i ocenę skuteczności istniejącego w podmiocie leczniczym systemu bezpieczeństwa.

AEGIS SECURITY SP. Z O.O. to zespół ekspertów zajmujących się ochroną danych osobowych, bezpieczeństwem informacji, bezpieczeństwem teleinformatycznym i cyberbezpieczeństwem. Proponujemy kompleksowe rozwiązania IT dla biznesu. Od 4 lat skutecznie chronimy dane osobowe w firmach.
Nasze usługi obejmują audyty bezpieczeństwa środowiska teleinformatycznego, testy penetracyjne, wsparcie informatyczne, doradztwo w obszarze ochrony danych osobowych, przejęcie obowiązków IOD, wdrażanie normatywnych systemów zarządzania (ISO/IEC 27001, ISO/IEC 27701, ISO 22301, ISO 37001) oraz innowacyjne rozwiązania zabezpieczające niekontrolowaną utratę danych na nośniki zewnętrzne, które są odpowiedzią na problem niedostatecznie zabezpieczonych danych w organizacjach.

 

 

Podaj imię Wpisz komentarz
Dodając komentarz, oświadczasz, że akceptujesz regulamin forum