• Na mocy odpowiednich zarządzeń prezesa NFZ szpitale mające umowy z Funduszem mogą ubiegać się o dofinansowanie działań w zakresie podniesienia poziomu bezpieczeństwa informatycznego
• Wiele szpitali już zrealizowało zakupy. Sam proces działań w zakresie cyberbezpieczeństwa był o tyle trudny, że często placówki nie dysponowały odpowiednimi zasobami, zwłaszcza ludzkimi
• Czy projekt NFZ będzie przedłużony, nie wiadomo, ale specjaliści w tym zakresie, m.in. rozmówca Rynku Zdrowia Marcin Chlebowski, chcą jego kontynuacji

Cyberbezpieczeństwo wyzwaniem dla szpitali. Ograniczone zasoby ludzkie i finansowe

Jak informuje Narodowy Fundusz Zdrowia, w 2022 roku 75,7 proc. podmiotów leczniczych, które podpisały umowy na dofinansowanie działań w zakresie podniesienia bezpieczeństwa teleinformatycznego (zarządzenie 68/2022), otrzymało przyznane kwoty. Podpisane w bieżącym roku umowy aktualizacyjne (do 19 maja) opiewały na całkowitą kwotę ponad 71 mln zł. Pieniądze przyznane na podstawie wniosków dotyczących kolejnego zarządzenia (8/2023) to już blisko 21 mln zł rozdysponowane między 79 placówek.

Z uwagi na doniesienia o atakach na placówki ochrony zdrowia – jak choćby głośny atak na łódzkie Centrum Matki Polki – nie dziwi tak szerokie zainteresowanie podniesieniem poziomu cyberbezpieczeństwa za rządowe pieniądze. By cały proces wdrożeń mógł zostać przeprowadzony z powodzeniem, szpitale na podstawie audytów musiały określić, czego im brakuje. Jak przedstawiały się potrzeby szpitali i jak przebiegała realizacja poprawy bezpieczeństwa IT? W rozmowie z Rynkiem Zdrowia swoimi spostrzeżeniami podzielił się Marcin Chlebowski, właściciel Eximo Project, firmy zajmującej się outsourcingiem usług w zakresie cyberbezpieczeństwa, która w tym zakresie współpracuje także ze szpitalami.

W ocenie Chlebowskiego realizacja programu modernizacji elementów cyberbezpieczeństwa dla szpitali stanowiła wyzwanie, którego głównymi punktami były:

• Brak świadomości. – W wielu placówkach ochrony zdrowia, zwłaszcza mniejszych szpitalach, zidentyfikowaliśmy brak wystarczającej świadomości na temat zagrożeń związanych z cyberbezpieczeństwem. Często personel medyczny nie zdawał sobie sprawy, jakie konsekwencje może ponieść niewłaściwe zachowanie w obszarze cyberbezpieczeństwa – komentuje ekspert.
• Niedostateczne zasoby. – Szpitale często miały ograniczone zasoby ludzkie i finansowe na inwestycje w cyberbezpieczeństwo. Dlatego ważne było znalezienie odpowiednich rozwiązań, które byłyby skuteczne, ale jednocześnie dostosowane do możliwości finansowych szpitali – dodaje.
• Przestarzała technologia i infrastruktura. – Niektóre szpitale miały przestarzałą infrastrukturę informatyczną, co utrudniało wdrożenie nowoczesnych rozwiązań cyberbezpieczeństwa, nieaktualne systemy operacyjne i nieodpowiednie zabezpieczenia sieci. Uporządkowanie i zmodernizowanie infrastruktury było kluczowe w procesie modernizacji – zauważa Chlebowski.

- Podjęliśmy współpracę ze szpitalami, które miały największe luki w zakresie cyberbezpieczeństwa - mówi.

Wśród obszarów, które najczęściej wymagały poprawy, wymienia nie tylko słabe zabezpieczenia techniczne i braki w świadomości, ale także związane z tym złe praktyki zarządzania hasłami.

- Brak restrykcyjnych polityk dotyczących zarządzania hasłami i wielokrotnego wykorzystywania tych samych haseł stwarzał potencjalne ryzyko naruszenia bezpieczeństwa - dodaje.

- Pomogliśmy szpitalom opracować i wdrożyć odpowiednie polityki i procedury bezpieczeństwa, takie jak zarządzanie hasłami, procedury awaryjne i reagowania na incydenty. To umożliwiło skoordynowaną i efektywną reakcję na ewentualne zagrożenia. W celu wyznaczenia priorytetów przeprowadziliśmy wnikliwą analizę każdego szpitala, identyfikując obszary z największym ryzykiem i najważniejsze do wzmocnienia - podkreśla.

- Punkt startowy tego projektu był analizą aktualnego stanu cyberbezpieczeństwa w szpitalach. Dzięki temu mieliśmy pełny obraz obszarów wymagających poprawy. Przeprowadziliśmy audyty bezpieczeństwa i oceniliśmy zagrożenia, co pozwoliło nam opracować spersonalizowane rozwiązania dla każdej placówki. Dzięki współpracy z kadrą zarządzającą i personelem szpitala udało się wprowadzić szereg zmian mających na celu podniesienie poziomu cyberbezpieczeństwa - zaznacza Chlebowski.

Założenia programu zostały spełnione. W jaki sposób?

- Zorganizowaliśmy szkolenia i warsztaty, które zwiększyły świadomość personelu w zakresie cyberbezpieczeństwa. Dzięki temu pracownicy stali się bardziej świadomi zagrożeń i wiedzieli, jak reagować na potencjalne ataki. Zaktualizowaliśmy infrastrukturę i oprogramowanie, wdrożyliśmy zabezpieczenia typu firewall oraz rozwiązania do wykrywania ataków i zapobiegania im - wylicza szef firmy Eximo Project.

Dodaje, ze kluczowe było także wzmocnienie polityk bezpieczeństwa. - Wprowadziliśmy restrykcyjne polityki dotyczące zarządzania hasłami, aby zapobiegać atakom związanych z nadużywaniem danych logowania - tłumaczy. 

Realizacja programu ma też słabe punkty. Wśród nich terminy i poufność danych

 Jednak, jak mówi Chlebowski, podczas realizacji programu zostały zidentyfikowane pewne mankamenty tego rodzaju projektów. Wśród nich wymienia przede wszystkim terminy i harmonogramy.

- Programy rządowe często narzucają ściśle określone terminy wykonania projektu, co może stanowić wyzwanie w dostosowaniu się do nich - szczególnie, gdy pojawiają się niespodziewane trudności - zauważa.

Kolejnym problemem było zachowanie wrażliwości danych.

- Outsourcing usług cyberbezpieczeństwa wymaga zachowania najwyższego poziomu poufności i bezpieczeństwa danych klienta. Odpowiednie procedury i umowy zachowania poufności danych (umowy NDA) muszą być wprowadzone, aby zapewnić bezpieczne zarządzanie informacjami o szpitalach i pacjentach - informuje.

Podczas planowania działań, oprócz schematów wdrażania rozwiązań zabezpieczających takich jak zapory sieciowe, systemy wykrywania intruzów, rozwiązania antywirusowe z EDR i narzędzia do monitorowania aktywności sieciowej, szpitale we współpracy z Eximo Project skupiały się na szkoleniach. – Zapewnienie odpowiedniego szkolenia miało na celu zminimalizowanie ryzyka spowodowanego ludzkimi błędami - mówi Chlebowski.

Współpraca na wielu poziomach

Jak przypomina nasz rozmówca, „zespoły IT w szpitalach, które są odpowiedzialne za utrzymanie infrastruktury i systemów informatycznych, powinny posiadać odpowiednie kompetencje w zakresie cyberbezpieczeństwa, aby zapewnić bezpieczeństwo danych pacjentów i działania szpitala”. Wymienia tu:

• Bezpieczne konfiguracje. - Członkowie zespołu IT powinni wiedzieć, jak odpowiednio skonfigurować systemy i aplikacje, aby minimalizować ryzyko wystąpienia luk w zabezpieczeniach - wskazuje.
• Aktualizacje i łatki. - Regularne aktualizacje oprogramowania i instalacja łatek są kluczowe dla zabezpieczenia systemów przed znanymi podatnościami - zauważa Marcin Chlebowski.
• Monitoring i wykrywanie zagrożeń. - Zespół IT powinien być w stanie monitorować aktywność sieciową, wykrywać podejrzane zachowania i szybko reagować na potencjalne zagrożenia - podkreśla.
• Zarządzanie dostępem. - Wiedza o metodach zarządzania dostępem do systemów i danych pomaga w minimalizacji ryzyka nieautoryzowanego dostępu - przypomina.

- Istotne jest, aby zespoły bezpieczeństwa i IT współpracowały ze sobą i dzieliły się informacjami w celu zapewnienia skutecznej ochrony - zaznacza ekspert. I dodaje:

- Tak zwani "nietechniczni" pracownicy, czyli ci, którzy nie są specjalistami IT, również odgrywają kluczową rolę w ochronie przed zagrożeniami cybernetycznymi. Dlatego niezależnie od tego, czy pracują w recepcji, działach administracyjnych, obszarze medycznym czy jakiejkolwiek innej dziedzinie, ich rola w świadomym postępowaniu w kwestiach cyberbezpieczeństwa jest niezwykle ważna - przyznaje.

Pozytywna ocena programu wskazuje także na potrzebę jego kontynuacji. Chlebowski wymienia aspekty, które jednak mogłyby zostać ulepszone. Zaleca, by skupić się na najbardziej krytycznych, narażonych na ryzyko obszarach i skierować wysiłki na ich zabezpieczenie. - Koncentracja na najważniejszych obszarach pozwoli na bardziej efektywne wykorzystanie środków - podkreśla.

Ekspert oczekiwałby też ściślejszej współpracy między szpitalami, firmami informatycznymi i instytucjami odpowiedzialnymi za bezpieczeństwo cybernetyczne, a także lepszego monitorowania i oceny wyników celem określenia skuteczności działań i dostosowania ich do aktualnych zagrożeń.

- Rząd może również odegrać istotną rolę we wspieraniu programów modernizacji cyberbezpieczeństwa w szpitalach poprzez zapewnienie odpowiednich funduszy, promowanie najlepszych praktyk i dostarczanie wytycznych - dodaje.

- Kontynuacja programu modernizacji elementów cyberbezpieczeństwa dla szpitali lub realizacja podobnych programów jest z pewnością wskazana. Bezpieczeństwo cybernetyczne jest ciągle rozwijającym się obszarem, a szpitale i placówki medyczne mają do czynienia z coraz bardziej zaawansowanymi zagrożeniami - podsumowuje Marcin Chlebowski.

Materiał chroniony prawem autorskim - zasady przedruków określa regulamin.

• NARODOWY FUNDUSZ ZDROWIA
• E-ZDROWIE
• INWESTYCJE SZPITALNE
• CYBERBEZPIECZEŃSTWO