W ochronie zdrowia narasta zagrożenie cyberprzestępczością. Jak mu się przeciwstawić?

Autor: Paweł Szygulski/Rynek Zdrowia • • 24 października 2019 13:23

Sektor ochrony zdrowia dokonuje ogromnego postępu dzięki coraz bardziej zaawansowanym narzędziom cyfrowym. Stosowany sprzęt daje możliwości coraz bardziej wydajnego leczenia, a z drugiej strony zarządzanie zdigitalizowanymi danymi o leczeniu staje się coraz prostsze. Towarzyszy temu jednak również rosnący poziom cyberzagrożeń.

Hakerski atak, słabości stosowanych systemów informatycznych oraz błędy personelu mogą prowadzić nie tylko do zablokowania dostępu do szpitalnych danych, ale również do ich wycieku. Fot. archiwum

Przejście z papierowych kartotek do danych zapisanych w szpitalnych serwerowniach lub w chmurze naraziło ochronę zdrowia na zagrożenia typowe dla wirtualnej rzeczywistości.

Przykładem jest choćby atak "Wannacry", do którego doszło 12 maja 2017 roku, za który podejrzewana jest Korea Północna. Dotknął on w sposób szczególny brytyjskie szpitale należące do National Helthcare Services. Cyberprzestępcy zarazili ich komputery szkodliwym oprogramowaniem typu ransomware. Praca urządzeń została całkowicie zablokowana - korzystający z nich personel medyczny widział tylko komunikat z żądaniem zapłacenia okupu za odblokowanie. Atak zmusił kilkadziesiąt szpitali do przekierowania karetek oraz odwołania operacji i wizyt. W sumie odwołano 19 tys. wizyt.

To już się dzieje i u nas
Co istotne, podatne na atak wirusa były tylko komputery, na których działały starsze lub nieaktualizowane wersje systemu operacyjnego Windows. To pokazuje, że cyberbezpieczeństwo nie polega jedynie na wykupywaniu programów antywirusowych, ale przede wszystkim na zachowywaniu możliwe dużej higieny stosowanych urządzeń elektronicznych.

Tym bardziej, że hakerski atak, słabości stosowanych systemów informatycznych oraz błędy personelu mogą prowadzić nie tylko do zablokowania dostępu do danych, ale również do ich wycieku.

Tak stało się w czerwcu 2017 roku w przypadku Samodzielnego Publicznego Zakładu Opieki Medycznej w Kole, kiedy do sieci trafiły informacje dotyczące 50 tys., pacjentów. Były to takie dane jak: imię, nazwisko, PESEL, adres zamieszkania, grupa krwi czy też wyniki niektórych badań, a w przypadku pracowników także dane dokumentów tożsamości czy kont bankowych.

Do kolejnego dużego wycieku doszło w grudniu 2017 roku. Tym razem problem mógł dotyczyć nawet 90 polskich szpitali i wynikać z błędu używanego przez nie systemu.

Narażone także urządzenia
Podatne na cyberataki mogą być jednak nie tylko szpitalne komputery, ale i poszczególne urządzenia medyczne. W lipcu 2019 roku kanadyjski resort zdrowia przestrzegł, że taki problem dotyczy niektórych modeli pomp insulinowych.

Urzędnicy wskazali, że chodzi o starsze modele pomp produkcji firmy Medtronic, które trafiły do pacjentów między 2010 a 2015 rokiem. Pacjentom zalecono, by nie podawali nigdzie numerów seryjnych urządzeń, korzystali jedynie z oryginalnego oprogramowania a pendrive’y z danymi o poziomie cukru odłączali zaraz po przesłaniu danych na komputer.

Jak się bowiem okazało, osoba znająca numer seryjny pompy, może zdalnie modyfikować parametry jej pracy i na przykład zmieniać wielkości dawek insuliny.

 Za atakami na sektor ochrony zdrowia mogą stać zarówno pojedynczy hakerzy, jak i obce państwa, którym zależy na destabilizacji społecznej i zmniejszeniu potencjału obronnego przeciwników. Z podobnych względów atak hakerski na szpitale może być formą zamachu terrorystycznego.

Wszelkie incydenty w tym obszarze mogą mieć bardzo duży wpływ na społeczeństwo. Toteż sektor ochrony zdrowia oceniany jest jako sektor krytyczny, który powinien podlegać szczególnej ochronie.

Standardy ochrony
Skuteczna ochrona wymaga między innymi dostosowanych do realiów cyberprzestrzeni norm prawnych wyznaczających standardy ochrony oraz wprowadzania skutecznych strategii zarządzania ryzykiem w oparciu o dogłębną analizę możliwości lepszego przygotowania sektora do obrony. Standardy te mogą mieć różny charakter - od wiążących norm prawnych, poprzez samoregulację, aż po zalecane do stosowania przykłady dobrych praktyk.

W polskich warunkach takie standardy wyznacza od sierpnia 2018 roku Ustawa o krajowym systemie cyberbezpieczeństwa. Zgodnie z nią Narodowy Fundusz Zdrowia, Centrum Systemów Informacyjnych Ochrony Zdrowia, duże hurtownie i sieci aptek oraz szpitale posiadające oddział ratunkowy stają się operatorami usług kluczowych. Nakłada to na nie nowe obowiązki takie jak specjalistyczne audyty, czy posiadanie systemów obiegu dokumentów związanych z cyberbezpieczeństwem. Chodzi o to, by wymusić większą dbałość o przetwarzane dane.

Za wymogami, które narzuca ustawa powinny pójść kolejne systemowe działania na rzecz podniesienia cyberbezpieczeństwa w ochronie zdrowia.

O najpilniejszych potrzebach w tym względzie, głównych wyzwaniach a także możliwych rozwiązaniach będą mówić uczestnicy piątej edycji konferencji CYBERSEC, która w dniach 29-30 października 2019 roku zostanie zorganizowana w Międzynarodowym Centrum Kongresowym w Katowicach.

Rejestracja na konferencję jest dostępna na stronie: www.cybersecexpo.eu

Podaj imię Wpisz komentarz
Dodając komentarz, oświadczasz, że akceptujesz regulamin forum