Jacek Janik | 20-07-2017 11:24

Cyberbezpieczeństwo w szpitalach

Jak mogło dojść do sytuacji, w której "wyciekło" 50 tys. danych pacjentów i pracowników szpitala w Kole? Stały się one dostępne w internecie prawdopodobnie za sprawą hakerów. Dane zawierały nie tylko imię i nazwisko, ale także adres zamieszkania, PESEL, numer dowodu osobistego oraz informacje medyczne.

Na niezabezpieczonym serwerze, do którego można było się dostać bez zalogowania, znajdowały się także informacje o samej placówce - zestawienia, kopie systemów, pliki działu księgowości. Dziennikarze portalu internetowego "Zaufana Trzecia Strona" znaleźli tam także pliki z wirusem ransomware. Po interwencji ZTS niebezpieczne pliki usunięto z serwera i zabezpieczono do niego dostęp, ale nie wiadomo, czy i ile razy skopiowano jego zawartość.

Najsłabsze ogniwo - człowiek

Zdaniem Marcina Ludwiszewskiego, dyrektora i lidera obszaru cyberbezpieczeństwa w firmie analitycznej Deloitte, na podstawie dostępnych materiałów można przypuszczać, że w Kole prawdopodobnie doszło do błędu bądź zaniedbania ze strony pracowników szpitala.

- Co do zasady, istotą budowania bezpieczeństwa w szpitalach powinna być świadomość zagrożenia i ryzyka z tym związanego. Świadomość posiadanych zasobów i potencjalnych skutków materializacji ryzyk dla szpitala i jego pacjentów powinna determinować podejście do ich zabezpieczenia, polegające m.in. na przeciwdziałaniu zagrożeniom, ich wykrywaniu oraz odpowiednim reagowaniu - mówi Marcin Ludwiszewski.

Na razie jednak ze wspomnianą świadomością bywa różnie nie tylko w przypadku pracowników, ale często też samych zarządów firm. To w efekcie przekłada się na całą organizację. Braki finansowe i niedobory w kadrach to kolejne powody istnienia zagrożeń cybernetycznych.

- Niestety, nadal widzimy, że zajęcie się tematem bezpieczeństwa w różnych organizacjach ma charakter reaktywny, zwykle po fakcie wystąpienia incydentu lub w odpowiedzi na wymóg prawny lub regulacyjny, co najczęściej też oznacza wyższe koszty takich działań - dodaje ekspert.

Z zabezpieczeniami jest kiepsko

W ubiegłym roku firma Deloitte przeprowadziła badania w zakresie bezpieczeństwa w 24 szpitalach w dziewięciu krajach (Polska nie była brana pod uwagę). Tylko w pięciu stosowano politykę bezpieczeństwa informacji, która uwzględniałaby aspekt zarządzania podatnościami, ryzyko dostawców i wykorzystywanych produktów.

W połowie z nich stosowane urządzenia posiadały na stałe "zaszyte" loginy i hasła, które mogłyby być wykorzystane przez hakerów do uzyskania nieautoryzowanego dostępu do danych medycznych pacjentów. Prawie połowa nie oceniła stosowanych urządzeń diagnostycznych pod kątem potencjalnych ryzyk dla zabezpieczenia prywatności pacjentów, a w trzech z badanych szpitali doświadczono incydentów związanych z infekcją złośliwego oprogramowania.

Bezpieczeństwa szpitala nie zapewni jeden system czy rozwiązanie informatyczne. Jak podkreśla ekspert - bezpieczeństwo informatyczne tworzą ludzie, struktura zarządcza, wspierające ją procesy oraz technologia.

- Należy odpowiedzieć sobie przede wszystkim na pytanie, przed jakimi zagrożeniami chcemy bazy danych chronić? Kto w organizacji i w jakim zakresie powinien odpowiadać za tę ochronę i nadzór nad bezpieczeństwem? Według jakich zasad to bezpieczeństwo jest realizowane i jakimi środkami technicznymi powinno być wspierane? Czy mamy wiedzę, czy ktoś się do nas włamał? To tylko kilka z wielu pytań koniecznych do zdefiniowania obecnej dojrzałości organizacji i wyznaczenia celów transformacji w zakresie cyberbezpieczeństwa - mówi dyrektor Ludwiszewski.

SP Szpital Kliniczny Nr 7 Śląskiego Uniwersytetu Medycznego Górnośląskie Centrum Medyczne w Katowicach to duży ośrodek kliniczny, leczący ponad 170 tysięcy pa cjentów rocznie i zatrudniający blisko 2000 osób. Główne obszary ryzyka stanowią dane osobowe pacjentów przechowywane w systemach informatycznych oraz dane z badań pacjentów, gromadzone w urządzeniach medycznych podłączonych do sieci komputerowych.

- Aby zminimalizować zagrożenia w naszym szpitalu, zwiększono nakłady finansowe na rozbudowę systemów zabezpieczających, m. in. zakupiono i wdrożono wielofunkcyjną zaporę sieciową wraz z systemem zbierania i analizowania ruchu sieciowego - wyjaśnia Jolanta Wołkowicz, rzecznik prasowy Górnośląskiego Centrum Medycznego.

Dodaje: - Dostęp do systemów z danymi jest możliwy wyłącznie po autentykacji indywidualną nazwą użytkownika i hasłem. Ograniczono też możliwość korzystania przez pracowników z indywidualnych kont pocztowych, nośników USB, wprowadzono f iltrowanie i blokowanie wybranych kategor i i s t ron internetowych, wprowadzono także centralnie zarządzane oprogramowanie antywirusowe.

W szpitalu monitorowany jest też ruch sieciowy oraz informacje spływające z poszczególnych systemów o zaistniałych incydentach. W dziale informatyki wypracowano zasady postępowania w przypadku identyfikacji zagrożenia. W przypadku wykrycia incydentu informowani są o nich administratorzy sieci, która była jego źródłem, a w przypadku poważniejszych zagrożeń również CERT (Rządowy Zespół Reagowania na Incydenty Komputerowe) lub jego odpowiedniki w innych krajach.

Te koszty są niezbędne

O cyberbezpieczeństwo dba też jedna z najlepiej zinformatyzowanych lecznic w kraju - Krakowski Szpital Specjalistyczny im. Jana Pawła II. Zastosowano tu firewall wraz z odpowiednimi politykami dostępu, programy antyspamowe, podsystem backupu, kontrolę dostępu do sieci wifi, bieżącą kontrolę kont dostępowych i haseł. Prowadzona jest na bieżąco aktualizacja systemów, ciągły monitoring zdarzeń w systemach oraz - co bardzo ważne - nieustanna edukacja użytkowników.

- Czy te wszystkie działania są kosztowne? Tak, ale ponoszenie tych wydatków jest naturalne. Zabezpieczamy najcenniejsze dane, z jakimi mamy do czynienia - mówi nam Małgorzata Rusin, pełnomocnik dyrektora ds. rozwoju projektów e-zdrowie w Krakowskim Szpitalu Specjalistycznym im. Jana Pawła II.

Zaznacza: - Także ponoszenie kosztów ubezpieczeń jest jak najbardziej celowe. W przypadku zagrożeń związanych z cyberbezpieczeństwem, ubezpieczenia będą z pewnością niezbędne w momencie całkowitego przejścia na dokumentację elektroniczną.

Jak przekonuje Marcin Ludwiszewski, zbudowanie podstawowej odporności szpitala na zagrożenia nie musi być drogie. Jednak trzeba dysponować wiedzą, aby podejmować kluczowe decyzje w sprawach dotyczących inwestowania ograniczonych środków i zasobów, aby zminimalizować ryzyko.

Czym grożą zaniedbania?

Niezastosowanie się do podstawowych praktyk bezpieczeństwa z reguły oznacza zakłócenia funkcjonowania placówki, a także straty finansowe (koszty przywrócenia sprawności działania, napraw analizy powłamaniowej), wizerunkowe (w tym skutki prawne, m.in. pozwy klientów).

Nieautoryzowany dostęp do danych pacjentów może spowodować na przykład naruszenie wizerunku placówki medycznej, a także straty finansowe wynikające z mniejszej liczby chętnych do skorzystania z jej usług. Niebawem koszty te mogą być dużo wyższe. Rozporządzenie o ochronie danych osobowych, które będzie obowiązywać od maja 2018 r., może skutkować wysoką karą finansową od GIODO w przypadku jego złamania - 10 lub 20 milionów euro lub do 2% lub 4% wartości rocznego światowego obrotu przedsiębiorstwa.

Z badań Deloitte wynika, że większość szpitali nie monitoruje na bieżąco informacji o pojawiających się nowych zagrożeniach i podatności na cyberataki posiadanej infrastruktury. Efektem tego jest brak reakcji na pojawiające się zagrożenia w odpowiednim czasie, co z reguły zwiększa skutki incydentów.

- W Polsce spotykamy się często z sytuacją, w której temat bezpieczeństwa jest postrzegany bardzo wąsko - w zakresie ograniczonym do technologii, czasem compliance. Idealnie byłoby, gdyby bezpieczeństwo było tematem regularnej dyskusji zarządów i stanowiło jeden z priorytetów określonych w strategii biznesowej firm - podsumowuje Marcin Ludwiszewski.