Cyberbezpieczeństwo – czy da się je zapewnić w jednostkach ochrony zdrowia?

termedia.pl 1 rok temu
Zdjęcie: iStock


Przeglądając serwisy internetowe czy nagłówki gazet z kraju i ze świata, z roku na rok, a choćby z miesiąca na miesiąc można znaleźć coraz więcej doniesień dotyczących ataków hakerskich na jednostki ochrony zdrowia. Czy zarządzający podmiotami medycznymi mogą coś zrobić, aby się przed nimi ochronić?

Tekst Pauliny Prencel z Elamed Media Group:
Tylko w grudniu 2022 r. pojawiło się sporo takich informacji:
– cyberatak w brooklyńskim szpitalu, który zapewnia opiekę ubogim nowojorczykom1,
– wiodący szpital stanowy w Indiach przywraca systemy po cyberataku2,
– francuski szpital zawiesza działalność po cyberatakach3.

W minionym roku do tego typu incydentów dochodziło także w Polsce, głośno było o cyberatakach na Lotnicze Pogotowie Ratunkowe – w lutym – czy Instytut Centrum Zdrowia Matki Polki w listopadzie.

Tego typu ataki, wymierzone w obszar ochrony zdrowia, są niezwykle niebezpieczne, a ich konsekwencje najbardziej dotkliwe, ponieważ stanowią bezpośrednie zagrożenie dla pacjentów.

Jak podaje portal Cyberdefence24.pl, trzy lata temu w Niemczech zmarła kobieta po cyberataku na klinikę w Düsseldorfie, a w marcu ubiegłego roku po ataku hakerów na szpital na Korsyce, trudno było przeprowadzać zgodnie z planem operacje na szpitalnym oddziale onkologicznym4. Na początku grudnia ubiegłego roku zarząd jednego ze szpitali na przedmieściach Paryża – po tym, jak zaszyfrowano mu systemy telefoniczne i komputerowe – został zmuszony do przeniesienia noworodków i pacjentów oddziału intensywnej terapii do innych placówek5. Z kolei, jak informowało pod koniec 2022 r. francuskie ministerstwo zdrowia, kierujący szpitalem w Wersalu pod Paryżem – po tym, jak został dotknięty cyberatakiem – musieli odwołać operacje i przenieść niektórych pacjentów do innych jednostek. Incydent doprowadził do całkowitej reorganizacji tej placówki6. Czołowy szpital w stolicy Indii, jak podaje Reuters, po cyberataku, który sparaliżował jego działalność, wrócił do normalności dopiero po prawie dwóch tygodniach2.

Najczęściej skutkiem cyberataków są utrudnienia w funkcjonowaniu jednostek ochrony zdrowia, związane z czasowym brakiem możliwości korzystania z rozwiązań cyfrowych, co pośrednio również może stać się zagrożeniem dla zdrowia i życia pacjentów.

W trzech szpitalach, wchodzących w skład One Brooklyn Health, na przełomie listopada i grudnia, podczas gdy eksperci pracowali nad pełnym przywróceniem tych jednostek w tryb online, lekarze i pielęgniarki zmuszeni byli wrócić do tradycyjnych narzędzi – długopisu i papieru, bowiem elektroniczny system medyczny nie działał tam przez kilka tygodni. Sama opieka nad pacjentem w tym czasie znacząco się nie zmieniła, natomiast wydłużał się czas kompletowania wyników badań laboratoryjnych czy radiologicznych1.

Tego typu przykłady można by mnożyć. W Polsce 14 lutego 2022 r. ofiarą bezprecedensowego ataku stało się Lotnicze Pogotowie Ratunkowe. Zgodnie z oświadczeniem wydanym przez LPR po raz pierwszy w jego historii ktoś próbował zachwiać działaniem Śmigłowcowej Służby Ratownictwa Medycznego oraz lotniczego transportu sanitarnego. Zdarzenie miało postać ransomware, a przestępcy zażądali 390 tysięcy dolarów okupu za odszyfrowanie danych7. W listopadzie hakerzy zaatakowali Instytut Centrum Zdrowia Matki Polki w Łodzi. Aby zminimalizować skutki cyberataku, zdecydowano się na czasowe wyłączenie systemów informatycznych. Szpital starał się prowadzić standardową obsługę pacjentów z wykorzystaniem tradycyjnej dokumentacji8.

Obie instytucje podejmowały po cyberatakach intensywne działania, których celem było doprowadzenie do jak najszybszego pełnego ich uruchomienia. W działaniach tych uczestniczyły zespoły IT przy wsparciu Ministerstwa Zdrowia, Centrum e-Zdrowia, NASK – Państwowego Instytutu Badawczego, CERT Polska, Komendy Głównej Policji czy Komendy Stołecznej Policji7, 8.

Atrakcyjny cel dla cyberprzestępców
Jednostki ochrony zdrowia są atrakcyjnym celem dla cyberprzestępców. Charakter ich działalności powoduje, iż gromadzą wrażliwe dane medyczne oraz używa się w nich technologii i rozwiązaniach cyfrowych. Na co dzień wykorzystywana jest tu zarówno nowoczesna aparatura niezbędna do diagnozowania i leczenia chorych, jak i systemy potrzebne do obsługi pacjentów, które służą do rejestracji czy zarządzania ich danymi. Urządzenia medyczne, takie jak na przykład aparaty rentgenowskie, pompy insulinowe czy defibrylatory, odgrywają kluczową rolę we współczesnej opiece zdrowotnej. Jednak dla osób odpowiedzialnych za bezpieczeństwo online i ochronę danych pacjentów nowoczesny sprzęt medyczny spełniający określone cele, jak na przykład monitorowanie tętna czy wydawanie leków, jest kolejnym ogniwem, na którym mogą koncentrować się ataki. Mimo iż same urządzenia nie przechowują danych pacjentów, cyberprzestępcy mogą wykorzystać je do przeprowadzenia ataku na serwer, który zawiera cenne informacje, a w najgorszym przypadku całkowicie przejąć kontrolę nad aparaturą, uniemożliwiając niezbędne leczenie ratujące życie9. W raporcie specjalnym, opracowanym przez ECRI, amerykańską niezależną instytucję zajmującą się technologią i bezpieczeństwem opieki zdrowotnej, dotyczącym 10 największych zagrożeń związanych z technologią medyczną w roku 2022, pierwsze miejsce zajęły cyberataki mogące zakłócić realizację świadczeń opieki zdrowotnej i zagrozić bezpieczeństwu pacjenta10.

Priorytet dla zarządzających szpitalami
Patrząc na skalę ataków hakerskich, trudno nie wysnuć wniosku, iż cyberbezpieczeństwo powinno być dziś jednym z najwyższych priorytetów dla zarządzających szpitalami, którzy nie mają już chyba wątpliwości, iż stanowi ono olbrzymie ryzyko dla jednostek ochrony zdrowia. Ryzyko finansowe, prawne, ale przede wszystkim związane z zagrożeniem bezpieczeństwa pacjentów. W tej sytuacji istotne jest podejmowanie wszelkiego rodzaju działań prowadzących do jego minimalizowania.

Na pewno ważnym elementem w tym zakresie jest edukowanie personelu szpitalnego. Wszyscy pracownicy powinni mieć poczucie, jak istotny jest wpływ zagrożeń cybernetycznych na funkcjonowanie jednostek ochrony zdrowia, i zachowywać ostrożność, by chronić pacjentów.

Znaczącą rolę w minimalizowaniu ryzyka pełni także uwierzytelnianie wieloskładnikowe. Organizacje opieki zdrowotnej powinny wymagać od użytkowników systemu podania więcej niż jednego czynnika weryfikacyjnego w celu uzyskania dostępu11. Aby zwiększyć ochronę, zaleca się także okresowe wymuszanie zmian hasła. Często również automatyzacja – dzięki temu, iż zmniejsza prawdopodobieństwo wystąpienia błędu ludzkiego – może pomóc minimalizować ryzyko związane z cyberatakami.

Istotne znaczenie w tym aspekcie mają także zapory sieciowe, które są pierwszą linią obrony w obszarze bezpieczeństwa sieci. Stanowią one barierę pomiędzy zabezpieczoną siecią wewnętrzną, która jest kontrolowana, a siecią zewnętrzną – internetem. Zapory sieciowe wdraża się po to, aby zatrzymywać zagrożenia, takie jak zaawansowane złośliwe systemu czy ataki na poziomie aplikacji12.

Najczęstsze incydenty związane z cyberbezpieczeństwem
W przygotowanym przez zespół CERT Polska działający w strukturach NASK – Państwowego Instytutu Badawczego raporcie rocznym za 2021 rok, dotyczącym zgłoszonych incydentów związanych z cyberbezpieczeństwem, odnotowano wzrost obsłużonych incydentów na poziomie 182 proc. w porównaniu z rokiem poprzednim13. Wydaje się, iż statystyki, wskazujące na liczbę tego typu incydentów za rok 2022, będą jeszcze wyższe.

Jak wskazuje raport, najczęstszy w 2021 r. był phishing, który stanowił aż 76,57 proc. wszystkich obsłużonych incydentów, a w stosunku do 2020 r. odnotował wzrost o 196 proc., osiągając wartość 22 575 incydentów. Ta metoda oszustwa była wskazywana jako najbardziej powszechna także przez amerykańską Agencję ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury CISA, która wskazuje, iż ponad 90 proc. udanych cyberataków rozpoczyna się od phishingowej wiadomości e-mail9. Drugie pod względem częstości było szkodliwe oprogramowanie. Ten typ stanowił w 2021 r. 9,66 proc. wszystkich obsłużonych incydentów, a w porównaniu z rokiem 2020 odnotował wzrost wartości o 281 proc.13

CERT Polska rejestruje incydenty dotyczące cyberbezpieczeństwa, klasyfikuje je, a następnie przypisuje do odpowiednich sektorów, których dotyczyły. Z danych opublikowanych w raporcie z 2021 roku wynika, iż sektor ochrony zdrowia znalazł się na 13. miejscu spośród 29 różnych obszarów, odnotowując liczbę 150 takich incydentów. Najprawdopodobniej w raporcie za 2022 rok należy oczekiwać wzrostu tej liczby. Sektory, które w 2021 r. najczęściej były atakowane, to: media (8339 incydentów), handel hurtowy i detaliczny (5125), poczta i usługi kurierskie (4338), energetyka (4084), osoby fizyczne (2464), infrastruktura cyfrowa (1606) oraz bankowość (947).

Program wsparcia dla jednostek ochrony zdrowia
Dostrzegając wagę problemu, pod koniec maja 2022 r. Narodowy Fundusz Zdrowia ogłosił program wsparcia cyberbezpieczeństwa w placówkach medycznych. Zgodnie z jego założeniami, jednostki ochrony zdrowia mają otrzymać choćby 900 tys. zł na podniesienie bezpieczeństwa systemów teleinformatycznych17. O te środki mogły wnioskować szpitale, które realizują świadczenia w ramach leczenia szpitalnego, rehabilitacji leczniczej, lecznictwa uzdrowiskowego oraz opieki psychiatrycznej i leczenia uzależnień. Finansowane są wydatki poniesione od 29 kwietnia do 31 grudnia 2022 r., a środki na ten cel pochodzą z Funduszu Przeciwdziałania COVID-19.

Finansowaniu podlegają zakup i wdrożenie systemów teleinformatycznych oraz związanych z nimi usług, których celem jest nie sama informatyzacja jako taka, ale podniesienie poziomu bezpieczeństwa w placówkach leczniczych. Szpitale mogły więc wnioskować o środki na urządzenia, oprogramowanie i usługi teleinformatyczne, które zapobiegają, wykrywają lub zwalczają cyberataki, jak np. systemy do tworzenia kopii danych, systemy antywirusowe, systemy kontroli dostępu administracyjnego i zarządzania uprawnieniami, urządzenia i oprogramowanie zabezpieczające sieć, tzw. firewall czy systemy zapewniające bezpieczeństwo poczty elektronicznej. Te środki można było również przeznaczyć na wsparcie eksperckie dotyczące cyberbezpieczeństwa oraz szkolenia z cyberbezpieczeństwa dla kadry zarządzającej i pracowników.

Aby skorzystać z finansowania, należało do 30 listopada 2022 r. złożyć do dyrektora adekwatnego oddziału wojewódzkiego NFZ wniosek o zawarcie umowy. Do wniosku trzeba było dołączyć raport z Systemu Statystyki Ochrony Zdrowia, który potwierdzał wypełnienie ankiety badającej poziom bezpieczeństwa systemów teleinformatycznych. Warunkiem uzyskania wsparcia przez szpital było zawarcie umowy i złożenie w siedzibie adekwatnego oddziału funduszu, nie później niż do 16 grudnia 2022 r., dokumentacji: wniosku o wypłatę finansowania, specyfikacji finansowania, kopii dokumentów, które potwierdzają nabycie i sfinansowanie, w okresie od 29 kwietnia 2022 roku do 31 grudnia 2022 roku, przedmiotu finansowania oraz wyniku audytu bezpieczeństwa.

Program ogłoszony przez Narodowy Fundusz Zdrowia na pewno okaże się pomocny dzięki wprowadzanym do szpitali rozwiązaniom prowadzącym do minimalizowania ryzyka związanego z cyberatakami. Należy natomiast pamiętać, iż digitalizacja różnych obszarów, w tym sektora ochrony zdrowia, wciąż się rozwija, wobec czego wprowadzanie zabezpieczeń przed tego typu przestępczością, będzie procesem długotrwałym.

Podsumowanie
W ostatnich latach liczba cyberataków w różnych obszarach sukcesywnie rośnie. Coraz częściej dotyczą one również ochrony zdrowia. Cyfryzacja tego sektora bez rzeczywistych zabezpieczeń skupia na sobie uwagę cyberprzestępców, których ataki mogą w zasadzie wyłączyć z funkcjonowania cały szpital.

Podniesienie bezpieczeństwa informatycznego powinno być dziś jednym z najwyższych priorytetów dla zarządzających szpitalami. Ryzyko, związane z cyberprzestępczością, nie tylko finansowe czy prawne, ale przede wszystkim dotyczące bezpieczeństwa pacjentów, należy brać pod uwagę oraz umiejętnie nim zarządzać.

Odpowiadając na pytanie postawione w tytule tego tekstu – czy da się zapewnić cyberbezpieczeństwo w jednostkach ochrony zdrowia? – można stwierdzić, iż jest to bardzo trudne zadanie. Należy jednak dodać, iż trzeba podejmować wszelkie konieczne działania, które będą prowadzić do minimalizowania ryzyka związanego z tym obszarem.

Najczęstsze incydenty związane z cyberbezpieczeństwem
Phishing – metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję, w celu wyłudzenia poufnych informacji – na przykład danych logowania, zainfekowania komputera szkodliwym oprogramowaniem czy też nakłonienia ofiary do określonych działań14.

Szkodliwe oprogramowanie [z ang. malware – zbitka słów malicious – „złośliwy” i software – „oprogramowanie”] – ogół programów o szkodliwym działaniu w stosunku do systemu komputerowego lub jego użytkownika. Wśród rodzajów szkodliwego systemu wyróżnia się m.in.: wirusy, konie trojańskie, oprogramowanie szpiegujące czy oprogramowanie wymuszające okup [z ang. ransomware]15.

Ransomware [zbitka słów ang. ransom – „okup” i software – „oprogramowanie”] – oprogramowanie, które blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt zapisanych w nim danych – często poprzez techniki szyfrujące – a następnie żąda od ofiary okupu za przywrócenie stanu pierwotnego. Programy typu ransomware należą do tzw. szkodliwego oprogramowania16.
Idź do oryginalnego materiału