Najsłabszym ogniwem zabezpieczeń informatycznych jest człowiek

Autor: Sebstian Błaźniak • • 28 lutego 2019 08:02

- Truizmem jest stwierdzenie, że najsłabszym ogniwem zabezpieczeń informatycznych jest człowiek. Niestety, podmioty lecznicze w większości stawiają czoła brakom kadrowym, a możliwości finansowe, szczególnie mniejszych podmiotów nie pozwalają na pozyskanie najlepszych specjalistów z rynku - pisze Sebastian Błaźniak, prokurent firmy Nexus Polska.

Najsłabszym ogniwem zabezpieczeń informatycznych jest człowiek
Sebastian Błaźnak z Nexus Polska

Ogromnym wyzwaniem dla placówek medycznych jest wzmocnienie w ich organizacji pozycji działów IT. W firmach prywatnych mają one ma niezwykle silne umocowanie przy zarządach, jest jednym z głównych kreatorów rzeczywistości w jakiej funkcjonują pozostałe działy. W ochronie zdrowia tak nie jest, nadal w wielu podmiotach jest to zespół odpowiedzialny za przysłowiowe podłączenie myszki zamiast za prowadzenie i egzekwowanie polityki informatycznej, w tym dotyczącej bezpieczeństwa.

Kliknięcie w nieodpowiedni link
Fakty są takie, że szpitale cedują na systemy informatyczne coraz więcej procesów zachodzących w organizacji, a ludzi mających o nie dbać często „biorą z łapanki” i lokują w dole struktury jurysdykcji.

Oprócz zabezpieczania kadrowego kluczową kwestią jest także świadomość dotycząca zagrożeń wszystkich osób zaangażowanych w przetwarzanie danych. W erze powszechnej implementacji elektronicznej dokumentacji medycznej (EDM) będziemy coraz rzadziej spotykali się z praktyką posługiwania się danymi do uwierzytelnienia przez zaprzyjaźnione osoby trzecie. Jednak, póki co mamy to, co mamy - konsekwencje korzystania z uprawnień innej osoby, mogliśmy ostatnio prześledzić w mediach przy okazji sprawy jednej z aptek.

Jednocześnie w sieci obserwujemy coraz większą ilość ataków ransomware i typu phishing. Oznacza to, że personel zatrudniony w podmiotach leczniczych jest coraz częściej narażony na możliwość nieświadomego zarażenia całej sieci szpitalnej złośliwym oprogramowaniem. Kliknięcie w nieodpowiedni link może spowodować ujawnienie danych chronionych, utratę integralności danych przez zmodyfikowanie ich w systemach informatycznych czy oraz utratę dostępności przez nieodwracalne zaszyfrowanie danych. I co kluczowe - należy pamiętać, że aż 80 proc. przypadków utraty danych pochodzi z wewnątrz organizacji i jest wynikiem błędu ludzkiego.

Wśród najbardziej spektakularnych wydarzeń
związanych z atakami typu ransomware w ostatnich latach należy wspomnieć atak na brytyjski system ochrony zdrowia NHS - WannaCry. W jego wyniku w wielu szpitalach lekarze mieli bardzo ograniczony dostęp do danych pacjentów, co doprowadziło do odwołania zaplanowanych operacji i zabiegów. NHS Digital, instytucja w ramach brytyjskiej służby zdrowia odpowiedzialna za systemy informatyczne, określiła atak jako "poważny incydent".

Z innym rodzajem zagrożenia musiało się zmierzyć ministerstwo zdrowia Republiki Łotewskiej. Tamtejszy elektroniczny system ochrony zdrowia padł również ofiarą ataku cybernetycznego. Wszystko wskazuje na to, że był to atak zaplanowany na dużą skalę. W ciągu jednej sekundy zostało złożonych tysiące wniosków o recepty lekarskie, wysłane były z komputerów z ponad 20 krajów m.in. z Afryki oraz Unii Europejskiej. Konsekwencją było unieruchomienie systemu oraz czasowy powrót do tradycyjnego, papierowego sposobu wypisywania recept.

W Polsce do tej pory nie mieliśmy do czynienia z bezpośrednim i zmasowanym atakiem jak na Łotwie. Dotychczasowe problemy wiązały się raczej z pojedynczymi incydentami, wynikającymi z błędów użytkowników. Patrząc jednak na dwa powyższe przypadki należy stwierdzić, że prawdopodobieństwo wstąpienia takich zagrożeń wzrasta z każdym rokiem. Wobec czego niezbędne jest nieustanne uświadamianie użytkownikom zagrożeń płynących z sieci. Organizacyjnie jest to niezwykle trudne, choćby ze względu na specyfikę pracy szpitali.

Czy to jest bardzo drogie?
Czy rzeczywiście cyberbezpieczeństwo w sektorze medycznym jest takie drogie, że warto wykluczać szpitale z grona operatorów usług kluczowych? Z tego co do tej pory wiemy szpitale należące do tzw. sieci oraz posiadające SOR-y zostaną zakwalifikowane do grona operatorów usług kluczowych. Obecnie czekamy na informacje o pierwszych decyzjach administracyjnych w tej kwestii.

Otrzymanie decyzji administracyjnej rozpoczyna bieg terminów wdrożenia odpowiednich działań i środków. Wiąże się to z poniesieniem bardzo wysokich nakładów po stronie szpitala. Niezwykle kosztowne jest wdrożenie odpowiednich, wymaganych środków technicznych i organizacyjnych, przeprowadzenie analizy procesów, zasobów i ryzyk, wykonanie audytów, dostosowanie infrastruktury sprzętowej i sieciowej, przygotowanie wymaganej dokumentacji m.in. zgodnej z normami ISO 27001 i 22301, a następnie ich utrzymywanie.

Tym samym szpitale, które zostaną zakwalifikowane do listy operatorów usług kluczowych powinny posiadać personel z odpowiednimi kwalifikacjami, określonymi w ustawie i rozporządzeniach wykonawczych. Są one również zobowiązane do wyznaczenia odpowiedniej osoby odpowiedzialnej m.in. za zgłaszanie incydentów. W rozporządzeniach wykonawczych do ustawy o cyberbezpieczeństwie określono nawet bardzo szczegółowe wymagania dotyczące pomieszczeń związanych ze świadczeniem usług kluczowych, zatem koszty inwestycyjne mogą być rzeczywiście wysokie.

Globalne spojrzenie
Moim zdaniem kluczowe jest systemowe podejście do cyberbezpieczeństwa i tylko globalne spojrzenie na problem może przynieść wymierne skutki. Niezwykle istotna jest współpraca wielu podmiotów zaangażowanych w świadczenie usług medycznych w systemach informacyjnych. Ponadto, bez inwestycji w pracowników, w systemy, technologie oraz procesy jakakolwiek zmiana jest niemożliwa. Na obecnym etapie mam jednak wrażenie, że próbujemy zapewnić cyberbezpieczeństwo jedynie poprzez regulacje, a nie tędy droga.

Całkowita ochrona przed zagrożeniami płynącymi z sieci jest niemożliwa. Największe firmy na świecie takie jak Google, Facebook mimo olbrzymich nakładów nie są w stanie uniknąć wycieków danych, ataków czy negatywnych konsekwencji działalności własnych pracowników. W zderzeniu z taką rzeczywistością jedyną metodą jest minimalizowanie potencjalnych zagrożeń i strat z nimi związanych. Stała edukacja personelu, nie tylko medycznego, ale wszystkich pracowników posiadających dostęp do sieci, odpowiednio zabezpieczane komputery, serwery czy sieć - to podstawa.

Drugi obszar to szeroko rozumiane zarządzanie bezpieczeństwem od nadzoru nad ruchem w sieci, przez świadome ograniczanie dostępów do różnych poziomów systemów informatycznych aż do kreowania kierunków w jakim mają rozwijać się usługi IT w szpitalu.

W najbliższych latach nie unikniemy wielokrotnego wracania do tego tematu. Czas, kiedy szpitale nabywały systemy HIS do celów rozliczenia świadczeń już minęły. W konsekwencji wdrażania EDM postępuje proces ich czynnego wykorzystania i powszechnej wymiany danych pomiędzy innymi programami czy platformami. Cyberbezpieczeństwo to bardzo szerokie zagadnienie, a dynamicznie zmieniające się otoczenie, nowinki technologiczne i konieczność podążania za nimi będą jednym z podstawowych wyzwań stojących przed sektorem ochrony zdrowia.

Dowiedz się więcej na temat:
Podaj imię Wpisz komentarz
Dodając komentarz, oświadczasz, że akceptujesz regulamin forum