Na niezabezpieczonym serwerze, do którego można było się dostać bez zalogowania, znajdowały się także informacje o samej placówce leczniczej - zestawienia, kopie systemów, pliki działu księgowości. Dziennikarze portalu internetowego "Zaufana Trzecia Strona" znaleźli tam także pliki z wirusem ransomware. Po interwencji ZTS niebezpieczne pliki usunięto z serwera i zabezpieczono do niego dostęp, ale nie wiadomo czy i ile razy skopiowano jego zawartość.

Najsłabsze ogniwo - człowiek
Jak mogło dojść do sytuacji, w której w czerwcu "wyciekło" 50 tys. danych pacjentów i pracowników szpitala w Kole?

Zdaniem Marcina Ludwiszewskiego, dyrektora i lidera obszaru cyberbezpieczeństwa w Deloitte, na podstawie dostępnych materiałów można przypuszczać, że prawdopodobnie doszło do błędu bądź zaniedbania ze strony pracowników szpitala.

- Co do zasady, istotą budowania bezpieczeństwa w szpitalach powinna być świadomość zagrożenia i ryzyka z tym związanego. Świadomość posiadanych zasobów i potencjalnych skutków materializacji ryzyk dla szpitala i jego pacjentów powinna determinować podejście do ich zabezpieczenia, polegające m.in. na przeciwdziałaniu zagrożeniom, ich wykrywaniu oraz odpowiednim reagowaniu - mówi Marcin Ludwiszewski.

Na razie jednak ze wspomnianą świadomością bywa różnie nie tylko w przypadku pracowników, ale często też samych zarządów firm. To w efekcie przekłada się na całą organizację. Braki finansowe i niedobory w kadrach to kolejne powody istnienia zagrożeń cybernetycznych.

- Niestety, nadal widzimy, że zajęcie się tematem bezpieczeństwa w różnych organizacjach ma charakter reaktywny, zwykle po fakcie wystąpienia incydentu lub w odpowiedzi na wymóg prawny lub regulacyjny, co najczęściej też oznacza wyższe koszty takich działań - dodaje ekspert.

Z zabezpieczeniami jest kiepsko
W ubiegłym roku firma Deloitte przeprowadziła badania w zakresie bezpieczeństwa w 24 szpitalach w dziewięciu krajach (Polska nie była brana pod uwagę). Tylko w pięciu stosowano politykę bezpieczeństwa informacji, która uwzględniałaby aspekt zarządzania podatnościami, ryzyko dostawców i wykorzystywanych produktów.

W połowie z nich stosowane urządzenia posiadały na stałe zaszyte loginy i hasła, które mogłyby być wykorzystane przez hakerów do uzyskania nieautoryzowanego dostępu do danych medycznych pacjentów. Prawie połowa nie oceniła stosowanych urządzeń diagnostycznych pod kątem potencjalnych ryzyk dla zabezpieczenia prywatności ich pacjentów, a w trzech z badanych szpitali doświadczono incydentów związanych z infekcją złośliwego oprogramowania.

Bezpieczeństwa szpitala nie zapewni jeden system czy rozwiązanie informatyczne. Jak podkreśla ekspert - bezpieczeństwo informatyczne tworzą ludzie, struktura zarządcza, wspierające ją procesy oraz technologia.

Czytaj też: Skuteczne zabezpieczenia systemów informatycznych to nie tylko technologia

- Należy odpowiedzieć sobie przede wszystkim na pytanie, przed jakimi zagrożeniami chcemy bazy danych chronić? Kto w organizacji i w jakim zakresie powinien odpowiadać za tę ochronę i nadzór nad bezpieczeństwem? Według jakich zasad to bezpieczeństwo jest realizowane i jakimi środkami technicznymi powinno być wspierane? Czy mamy wiedzę, czy ktoś się do nas włamał? To tylko kilka z wielu pytań koniecznych do zdefiniowania obecnej dojrzałości organizacji i wyznaczenia celów transformacji w zakresie cyberbezpieczeństwa - mówi dyrektor Ludwiszewski.

Jak kto robią w szpitalach?
SP Szpital Kliniczny Nr 7 Śląskiego Uniwersytetu Medycznego Górnośląskie Centrum Medyczne w Katowicach to duży ośrodek kliniczny, leczący ponad 170 tysięcy pacjentów rocznie i zatrudniający blisko 2000 osób. Główne obszary ryzyka, to dane osobowe pacjentów przechowywane w systemach informatycznych oraz dane z badań pacjentów, przechowywane w urządzeniach medycznych podłączonych do sieci komputerowych.

- Aby zminimalizować zagrożenia w naszym szpitalu zwiększono nakłady finansowe na rozbudowę systemów zabezpieczających, m.in. zakupiono i wdrożono wielofunkcyjną zaporę sieciową wraz z systemem zbierania i analizowania ruchu sieciowego - wyjaśnia Jolanta Wołkowicz, rzecznik prasowy Górnośląskiego Centrum Medycznego.

Dodaje: - Dostęp do systemów z danymi jest możliwy wyłącznie po autentykacji indywidualną nazwą użytkownika i hasłem. Ograniczono też możliwość korzystania przez pracowników z indywidualnych kont pocztowych, nośników USB, wprowadzono filtrowanie i blokowanie wybranych kategorii stron internetowych, wprowadzono także centralnie zarządzane oprogramowanie antywirusowe.

W szpitalu monitorowany jest też ruch sieciowy oraz informacje spływające z poszczególnych systemów o zaistniałych incydentach. W dziale informatyki wypracowano zasady postępowania w przypadku identyfikacji zagrożenia. W przypadku wykrycia incydentu informowani są o nich administratorzy sieci, która była jego źródłem, a w przypadku poważniejszych zagrożeń również CERT (Rządowy Zespół Reagowania na Incydenty Komputerowe) lub jego odpowiedniki w innych krajach.

O cyberbezpieczeństwo dba też jeden z najlepiej zinformatyzowanych w kraju - Krakowski Szpital Specjalistyczny im. Jana Pawła II. Zastosowano tu firewall wraz z odpowiednimi politykami dostępu, programy antyspamowe, podsystem backupu, kontrolę dostępu do sieci wifi, bieżącą kontrolę kont dostępowych i haseł. Prowadzona jest na bieżąco aktualizacja systemów, ciągły monitoring zdarzeń w systemach oraz co ważne - nieustanna edukacja użytkowników.

- Czy te wszystkie działania są kosztowne? Tak, ale ponoszenie tych wydatków jest naturalne. Zabezpieczamy najcenniejsze dane, z jakimi mamy do czynienia -  mówi portalowi rynekzdrowia.pl Małgorzata Rusin, pełnomocnik dyrektora ds. rozwoju projektów e-zdrowie w Krakowskim Szpitalu Specjalistycznym im. Jana Pawła II.

Zaznacza: - Także ponoszenie kosztów ubezpieczeń jest jak najbardziej celowe, podobnie jak w praktyce domowej. W przypadku zagrożeń związanych z cyberbezpieczeństwem, ubezpieczenia będą z pewnością niezbędne w momencie całkowitego przejścia na dokumentację elektroniczną.

Czym grożą zaniedbania?
Jak przekonuje Marcin Ludwiszewski, zbudowanie podstawowej odporności szpitala na zagrożenia nie musi być drogie. Jednakże trzeba dysponować wiedzą, aby podejmować kluczowe decyzje w sprawach dotyczących inwestowania ograniczonych środków i zasobów, aby zaadresować ryzyko.

Niezastosowanie się do podstawowych praktyk bezpieczeństwa z reguły oznacza zakłócenia funkcjonowania placówki, a także straty finansowe (koszty przywrócenia sprawności działania, napraw analizy powłamaniowej), wizerunkowe (w tym skutki prawne - regulacyjne oraz pozwy klientów).

Nieautoryzowany dostęp do danych pacjentów może spowodować na przykład naruszenie wizerunku placówki medycznej, a także spowodować straty finansowe wynikające z mniejszej liczby chętnych do skorzystania z jej usług. Niebawem koszty te mogą być jeszcze dużo wyższe. Rozporządzenie o ochronie danych osobowych, które będzie obowiązywać od maja 2018 r., może skutkować wysoką karą finansową od GIODO w przypadku jego złamania - 10 lub 20 milionów euro lub do 2% lub 4% wartości rocznego światowego obrotu przedsiębiorstwa.

Z badań Deloitte wynika, że większość szpitali nie monitoruje na bieżąco informacji o pojawiających się nowych zagrożeniach i podatnościach na cyberataki posiadanej infrastruktury. Efektem tego jest brak reakcji na pojawiające się zagrożenia w odpowiednim czasie, co z reguły zwiększa skutki incydentów bezpieczeństwa.

- W Polsce spotykamy się często z sytuacją, w której temat bezpieczeństwa jest postrzegany bardzo wąsko - w zakresie ograniczonym do technologii, czasem compliance. Idealnie byłoby, gdyby bezpieczeństwo było tematem regularnej dyskusji zarządów i stanowiło jeden z priorytetów określonych w strategii biznesowej firm - podsumowuje Marcin Ludwiszewski.

Materiał chroniony prawem autorskim - zasady przedruków określa regulamin.

• OCHRONA DANYCH OSOBOWYCH
• BEZPIECZEŃSTWO DANYCH OSOBOWYCH