Skuteczne zabezpieczenia systemów informatycznych to nie tylko technologia

Autor: JJ/Rynek Zdrowia • • 03 lipca 2017 05:25

O cyberzagrożeniach i stanie zabezpieczeń systemów informatycznych w polskich placówkach służby zdrowia rozmawiamy z dyrektorem Centrum Systemów Informacyjnych Ochrony Zdrowia Marcinem Węgrzyniakiem.

Skuteczne zabezpieczenia systemów informatycznych to nie tylko technologia
Marcin Węgrzyniak, dyrektor Centrum Systemów Informacyjnych Ochrony Zdrowia Fot. PTWP

Rynek Zdrowia: - Jak CSIOZ ocenia stan zabezpieczeń systemów informatycznych w polskich placówkach ochrony zdrowia?

Marcin Węgrzyniak: - Bezpieczeństwo systemów informatycznych należy rozpatrywać pod kątem atrybutów przypisanych informacjom w nich przetwarzanym. Możemy tutaj mówić o poufności, integralności i dostępności. Na podstawie przeprowadzanych analiz ryzyka przetwarzania informacji, które bezpośrednio wykonuje się na wypadek utraty powyżej wspomnianych atrybutów, wprowadza się zabezpieczenia w warstwach systemowej, organizacyjnej i technicznej. Bardzo często wprowadzone są zabezpieczenia nieadekwatne lub też pomija się atrybuty przypisane informacjom np. ich dostępność.

Warto jednak zaznaczyć, że zgodnie z wykonaną w 2016 roku przez CSIOZ II edycją "Badania stopnia przygotowania podmiotów wykonujących działalność leczniczą do obowiązków wynikających z Ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia" 82 proc. szpitali oraz 63 proc. stacjonarnych i całodobowych świadczeniach zdrowotnych innych niż szpitalne może pochwalić się posiadaniem opracowanej oraz wdrożonej wewnętrznej polityki bezpieczeństwa.

Do utraty danych, w badanym okresie, doszło jedynie w niecałym 1 proc. ankietowanych AŚZ-ów, niecałym 0,5 proc. stacjonarnych i całodobowych świadczeniach zdrowotnych innych niż szpitalne oraz 3 proc. szpitali. Przyczyną były: uszkodzenia dysku twardego, uszkodzenia bazy danych, bądź też awaria sprzętowa serwera.

Jednak z naszego doświadczenia wynikającego z kontroli prowadzonych wraz z MZ w podmiotach leczniczych prowadzących rejestry medyczne, wynika, że zapisy zawarte w Wewnętrznych Politykach Bezpieczeństwa Informacji często są nieaktualne, a w niektórych przypadkach Polityka Bezpieczeństwa Informacji w ogóle nie została wdrożona i nie jest stosowana.

Na tej podstawie można stwierdzić, że stan zabezpieczeń systemów informatycznych w polskich placówkach ochrony zdrowia jest zróżnicowany i zależy od kilku czynników: świadomości zarówno kadry zarządzającej jak i osób zajmujących się bezpieczeństwem i administrowaniem systemami i infrastrukturą IT w tych placówkach, brakami kadrowymi oraz wysoką fluktuacją informatyków, możliwościami finansowymi tych podmiotów oraz brakiem dostępnych wytycznych i rekomendacji w zakresie stosowania rozwiązań dot. zabezpieczeń systemów informatycznych.

CSIOZ świadomy tej sytuacji podejmuje wiele działań edukacyjnych skierowanych zarówno do informatyków ze szpitali jak i kadry zarządzającej podmiotami leczniczymi w celu podniesienia poziomu wiedzy w zakresie strategicznego charakteru zagadnienia, jakim jest odpowiednie zabezpieczenie systemów informatycznych w placówkach ochrony zdrowia.

Niepokojącym jest fakt, że na organizowane przez CSIOZ szkolenia dla kadry zarządzającej (obejmujące m.in. kwestie bezpieczeństwa) de facto przychodzą osoby zajmujące się bezpieczeństwem w tych podmiotach lub informatycy, a nie dyrektorzy czy członkowie zarządów.

- Niedawno ujawniony został wyciek 50 tys. danych osobowych szpitala w Kole. To w Państwa ocenie sprawa incydentalna, czy raczej element szerszego obrazu zaniedbań w zakresie odpowiednich zabezpieczeń systemów informatycznych placówek medycznych?

- Nie można generalizować, ten konkretny przypadek to zbieg kilku zdarzeń i czynników. Należy jednak zwrócić uwagę na to, co może mieć wpływ na taką sytuację. Brak świadomości zarówno kadry zarządzającej jak i pracowników odpowiedzialnych za bezpieczeństwo, brak środków finansowych, brak szkoleń i zwiększania kompetencji zespołów odpowiedzialnych za bezpieczeństwo powoduje, że dane nie są zabezpieczone w wystarczający sposób.

Czytaj też: Świadomość cyberzagrożeń i ich skutków: w polskich szpitalach bywa z tym różnie

Ilość ataków ransomware i typu phishing, jakie można obserwować w sieci, jest znacząca i obserwujemy ich systematyczny wzrost. Bez nieustannego uświadamiania użytkownikom zagrożeń z nich płynących wzrasta poziom narażenia się na ogromne konsekwencje skutków incydentów bezpieczeństwa, jak utrata poufności poprzez ujawnienie danych chronionych, utrata integralności poprzez zmodyfikowanie danych w systemach teleinformatycznych oraz utrata dostępności poprzez np. nieodwracalne zaszyfrowanie danych.

Obalać należy mity, że skuteczne zabezpieczenia i zapory to tylko technologia. Już dziś wiadomo, że 80% utraty danych spowodowane jest przez czynnik ludzki pochodzący z wnętrza organizacji. Dlatego tak silnie wskazujemy na konieczność budowania świadomości wśród pracowników podmiotów leczniczych.

- Czy obecne przepisy w zakresie cyberbezpieczeństwa są wystarczające, a kwestia incydentów jego łamania to efekt niefrasobliwości i braku świadomości zarządzających placówkami ochrony zdrowia?

- Mając na uwadze olbrzymią wrażliwość informacji dotyczących zdrowia, konieczne jest, aby osoby odpowiedzialne za bezpieczeństwo tych danych miały pełną jasność, co do tego, w jaki sposób je chronić. Szczegółową regulację stanowi obecnie Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Od 25 maja 2018 r. do stosowania wejdzie Rozporządzenie Ogólne Parlamentu Europejskiego w sprawie ochrony danych osobowych (RODO), które nakłada nowe obowiązki na administratora danych oraz wskazuje szerszy zakres zabezpieczeń danych.

Ciężar ustalenia zabezpieczeń odpowiednich dla danej organizacji będzie zatem spoczywał przede wszystkim na niej samej, a wybór środków powinien wynikać z przeprowadzonej analizy wpływu na prawa i wolności osób, których dane są przetwarzane. Wybór zabezpieczeń uzależniony jest od stanu wiedzy technicznej oraz kosztu ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie.

Wydaje się jednak konieczne tworzenie wymogów formalnych, uregulowanych przepisami prawa, ponieważ po 25 maja 2018 r. krajowe rozporządzenie w sprawie szczegółowych warunków technicznych nie będzie obowiązywać, ale także przekładanie ich na prostszy bardziej zrozumiały język poprzez wydawanie m.in. rekomendacji, wytycznych, podręczników dobrych praktyk, czy wreszcie kodeksów.

Parlament Europejski uchwalił dyrektywę w sprawie bezpieczeństwa sieci i informacji (NIS), której zadaniem jest ustanowienie wspólnych standardów cyberbezpieczeństwa oraz poprawa współpracy między krajami Unii. Ma to pomóc przedsiębiorstwom skuteczniej stawiać czoła hakerom, a także zapobiegać atakom na infrastrukturę cyfrową, której sieć pokrywa wiele krajów lub całą Unię. W chwili obecnej trwają prace nad implementacją prawa Unijnego do prawa krajowego.

Wydaje się, że w celu poprawy cyberbezpieczeńsywa i wdrożenia wymogów dyrektywy NIS niezbędne będzie wydawanie szczegółowych wytycznych w zakresie zabezpieczeń jak i sposobu reagowania na cyberzagrożenia. Koniecznym wydaje się podjęcie wspólnych działań instytucji publicznych w zakresie zwiększania kompetencji pracowników nie tylko służby zdrowia w zakresie znajomości i przestrzegania zasad bezpieczeństwa.

- Jak CSIOZ ocenia zabezpieczenie w polskich placówkach ochrony zdrowia nie tylko danych wrażliwych (systemów HIS, ADT, LIS, RIS), ale także samych urządzeń i aparatury medycznej, która jest w coraz większym stopniu podatna na działalność hakerów?

 - Coraz większa liczba urządzeń medycznych, w celu ułatwienia opieki nad pacjentem, pracuje w sieci. Sieciowe urządzenia medyczne, tak jak inne sieciowe systemy komputerowe, zawierają oprogramowanie, które może być narażone na zagrożenia cybernetyczne. Wykorzystanie luki w zabezpieczeniach może stanowić zagrożenie dla zdrowia i życia pacjenta, a zatem urządzenia wymagają ciągłego monitoringu i konserwacji. W tym celu Agencja ds. Żywności i Leków (FDA) wydała wytyczne w zakresie cyberbezpieczeństwa wyrobów medycznych.

Działaniami związanymi z ochroną przed atakami cybernetycznymi poprzez urządzania medyczne jest np. wycofanie pomp infuzyjnych ze względu na luki w ich zabezpieczeniach przed atakami płynącymi z sieci, dlatego też warto zwrócić uwagę na te aspekty w Polsce. Podmioty lecznicze powinny brać pod uwagę wytyczne FDA i poddawać ciągłej analizie stan bezpieczeństwa wyrobów medycznych oraz systemów medycznych wykorzystywanych w podmiotach leczniczych.

Jednocześnie CSIOZ podejmuje działania informacyjne w zakresie bezpieczeństwa danych osobowych i systemów zarządzania bezpieczeństwem poruszając podczas prowadzonych działań informacyjno- edukacyjnych między innymi również kwestie konieczności zabezpieczania bezpieczeństwa urządzeń i wyrobów medycznych.

Dowiedz się więcej na temat:
Podaj imię Wpisz komentarz
Dodając komentarz, oświadczasz, że akceptujesz regulamin forum