MENEDŻER ZDROWIA
ZAMÓW NEWSLETTER
 
123RF

Bezcenne cyberbezpieczeństwo?

Autor: Milena Motyl
 
Data: 27.01.2025
Źródło: Ogólnopolskie Stowarzyszenie Szpitali Prywatnych
Udostępnij:
Działy: Aktualności w Menedżer Zdrowia Aktualności
Tagi: cyberataki, cyberbezpieczeństwo, Krzysztof Gołda, Krzysztof Macha, Marek Augustyn, Paweł Dłużewski, Krzysztof Zgliński, NFZ, NIS2, ochrona danych, szpital, szpitale, dane medyczne, bezpieczeństwo

W ochronie danych medycznych przed atakami hakerskimi bardzo ważna jest wymiana praktyk, wiedzy i współpraca w zakresie wsparcia usługowego. Polska ma jeszcze dużo do zrobienia, jeżeli chodzi o wypracowanie standardów w zakresie identyfikacji zagrożeń, ochrony przed cyberatakami i systemu odstraszania. Pytanie, czy placówki ochrony zdrowia będą w stanie temu sprostać.

  • Poziom ochrony placówek medycznych przed cyberatakami zależy od posiadanego budżetu oraz liczby pracowników IT. Problemem jest brak specjalistów z zakresu cyberbezpieczeństwa oraz wysokie koszty wdrożeń
  • Z zakresu cyberbezpieczeństwa konieczne są klarowne wytyczne, czas potrzebny na wdrożenie technologii oraz zwiększenie odpowiedzialności i właściwy podział kompetencji
  • W drugim kwartale tego roku ma dojść do implementacji unijnej dyrektywy NIS2 do polskiego prawa
  • Wiele szpitali ma jednak kłopot z wdrożeniem narzędzi cyberochrony. Istnieje obawa, że małe podmioty nie będą w stanie poradzić sobie ze wszystkimi wymaganiami
  • Pomocne może być utworzenie hubów, które byłyby w stanie świadczyć usługi z zakresu cyberbezpieczeństwa dla podmiotów medycznych na poziomie krajowym
  • Zdaniem ekspertów do końca roku powinien powstać krajowy plan działania skoncentrowany na opiece zdrowotnej, gdzie wymogiem byłoby raportowanie o wszystkich incydentach dotyczących cyberprzestrzeni

Mały budżet na wysokie cele

Cyberwojna w sieci trwa od dwóch lat. Od roku jesteśmy cały czas atakowani. Zdarza się, że jednego dnia mamy do czynienia z niemal dwoma tysiącami ataków, czyli co minutę dochodzi do prób kradzieży lub podszywania się. Nigdy nie będziemy w stanie w 100 procentach się zabezpieczyć. To jest nieustająca wojna dobra ze złem, w której musimy stale reagować i odpowiadać na „pomysły” hakerów – powiedział Krzysztof Gołda, niezależny analityk rynku cyberbezpieczeństwa podczas konferencji Ogólnopolskiego Stowarzyszenia Szpitali Prywatnych 20 stycznia w Warszawie.

– Poziom ochrony zależy od posiadanego budżetu oraz liczby pracowników IT. Wiedza osób z IT jest specjalistyczna do pewnego momentu. Dlatego należy korzystać z wiedzy ludzi, którzy znają się na IT security. Program „Cyberbezpieczny samorząd” obnażył, że szefowie IT inwestowali tylko w te rozwiązania, na których się znają. Nie inwestowali w nowe technologie, usługi, lecz wybierali te, o których coś wiedzą. Podam przykład sprzed 8 lat – duże firmy paliwowe, z którymi miałem do czynienia, po atakach kończących się zaszyfrowaniem 1600 komputerów, nadal pozostały przy tym samym rozwiązaniu – zauważył ekspert.

W jego ocenie w ramach działań z zakresu cyberbezpieczeństwa potrzebne są klarowne wytyczne, czas potrzebny na wdrożenie technologii oraz zwiększenie odpowiedzialności. – Tutaj nie chodzi tylko o „załatwienie” sobie budżetu na oprogramowanie. Szef IT powinien to wszystko „wziąć na klatę” i za to odpowiadać. Rozumiem, że jest to trudne i nie każdy chce się tego podjąć. Miesiąc temu rozmawiałem z dyrektorem szpitala, który został zaatakowany. Zadał mi bardzo proste pytania. Co z serwerem pocztowym? Kto ma do niego dostęp? Czy firma, która zajmie się bezpieczeństwem tego serwera, może czytać moje mejle? Czy mój pracownik będzie uczestniczył w całym procesie? Do którego momentu może on konfigurować ten serwer, a od którego momentu już nie? Wytyczne, w tym podział odpowiedzialności i kompetencji, muszą być jasno opisane. Inaczej każdy szpital i każda jednostka będzie robiła to po swojemu – stwierdził Krzysztof Gołda.

Jak osiągnąć wymagany poziom zabezpieczeń?

Ekspert skonfrontował się z pytaniem, co zrobić, aby poprawić stan bezpieczeństwa polskich szpitali w odniesieniu do wymaganego poziomu zabezpieczeń zawartych w unijnej dyrektywie NIS2.

– Jest to trudne. Szpitale mogą opierać się na wytycznych, które znalazły się w zarządzeniu z 20 maja 2022 r. wydanym przez prezesa Narodowego Funduszu Zdrowia  w sprawie finansowania działań w celu podniesienia poziomu zabezpieczeń systemów teleinformatycznych świadczeniodawców. W zarządzeniu jest mowa o zakupie i wdrożeniu systemów teleinformatycznych, w tym urządzeń, oprogramowań i usług zapewniających prewencję, reakcję i detekcję zagrożeń cyberbezpieczeństwa – przypomniał.

– Pytanie, czy wykonując audyt zgodności z NIS2 poczujemy się bezpiecznie? Niestety nie. Czy przeprowadzając audyt bezpieczeństwa, poczujemy się lepiej chronieni? Niestety jeszcze bardziej się wystraszymy, dlatego, że testy penetracyjne obnażają nasze systemy. Dopiero po realizacji zaleceń z raportu po audycie i spełnieniu wymogów NIS2 poczujemy się bezpiecznie – ocenił analityk.

Dyktat dostawców
Dyktat dostawcówDostawcy systemów teleinformatycznych do podmiotów ochrony żądają horrendalnych pieniędzy nawet za drobne modyfikacje w dostarczanym oprogramowaniu – wśród zarządzających szpitalami mówi się o dyktacie.

– W dokumencie NIS2 jest jasne wskazanie, że firma która zatrudnia w dowolnej formie przynajmniej 50 pracowników, jest kluczowa dla bezpieczeństwa państwa. Czekamy na krajowe wytyczne do NIS2, które prawdopodobnie pojawią się w drugim kwartale tego roku. Do końca roku musimy utworzyć krajowy plan działania skoncentrowany na opiece zdrowotnej, który ma skutkować tym, że szpitale i dostawcy usług medycznych będą raportować wszystkie incydenty. Aby jednak to robić, trzeba mieć odpowiednie narzędzia, a tych narzędzi obecnie nikt nie ma – mówił Gołda, podkreślając, jak ważne jest raportowanie o incydentach do Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT GOV).

– Jest to ogólnopolska baza wiedzy, która pozwala na wymianę  informacji o najnowszych atakach. Jeżeli w jednej branży zadziałał system włamania, to on może być skopiowany do innej – dodał ekspert, zaznaczając, że podniesienie poziomu cyberzabezpieczeństwa w jednostkach leczniczych jest trudne.

Jego zdaniem zarządzenie prezesa NFZ z 2022 r. było klarownym przedstawieniem sytuacji, jakie rozwiązania można wdrożyć i jakie są wytyczne dotyczące audytu. – Był to jedyny wówczas dokument, w którym pokazano, jakie są reguły gry. Nie ma sensu wyważać otwartych drzwi. Natomiast idziemy o krok dalej, bo w 2024 roku pojawił się European Healthcare Action Plan na rzecz wzmocnienia cyberbezpieczeństwa szpitali i świadczeniodawców, który ma objąć ponad 300 placówek w Polsce oraz około 22 tysięcy dostawców usług ochrony zdrowia – powiedział Krzysztof Gołda.

Plan koncentruje się na poprawie wykrywania zagrożeń, gotowości i reagowania kryzysowego w sektorze opieki zdrowotnej.

Kto zapłaci za cyberbezpieczeństwo?

Krzysztof Macha, wiceprezes zarządu OSSP, wskazał podczas konferencji, że w ostatnim czasie „wyraźnie wybrzmiało stwierdzenie, że cyberbezpieczeństwo nie będzie finansowane, że podmioty lecznicze nie otrzymają pieniędzy na ten cel”.

– Pan Gołda powiedział, że europejskim planem ma zostać objętych ponad 300 szpitali. Inna wersja mówi o 1252 szpitalach. Jeżeli faktycznie tę pomoc otrzyma 300 placówek, to będziemy mieli szpitale dwóch prędkości – stwierdził.

KE ma plan na obronę szpitali przed cyberzagrożeniami
KE ma plan na obronę szpitali przed cyberzagrożeniamiKomisja Europejska przedstawiła 15 stycznia plan działania na rzecz zwiększenia cyberbezpieczeństwa unijnych szpitali i ośrodków zdrowia. W 2023 r. placówki ochrony zdrowia w UE zostały zaatakowane 309 razy i padały ofiarą hakerów częściej niż inne kluczowe instytucje.

Jak zaznaczył, „NFZ ma w swoich zasobach siły, aby motywować i zachęcać placówki ochrony zdrowia do rozwoju i wdrażania rozwiązań związanych z cyberbezpieczeństwem”.

– Jako dyrektorzy szpitali bardzo dobrze odebraliśmy sygnały z Narodowego Funduszu Zdrowia z 2022 roku. Natomiast były zapowiedzi, że ten program będzie kontynuowany. Padały kwoty rzędu 2, 3, 5 mld zł na cyberbezpieczeństwo w kolejnych latach – mówił Macha, zwracając się do wiceprezesa NFZ Marka Augustyna z pytaniem, jakie jest nastawienie funduszu na rozwiązania ukierunkowane na wsparcie cyberbezpieczeństwa w szpitalach i w jaki sposób placówki będą mogły zrealizować wymagania w ramach dyrektywy NIS2.

– Działania na rzecz cyberbezpieczeństwa należy wspierać. Nie ma co do tego wątpliwości. Można powiedzieć, że to nie jest potrzeba, ale konieczność – przekonywał wiceszef NFZ, zaznaczając, że fundusz jest także beneficjentem dobrych rozwiązań w zakresie cyberbezpieczeństwa. – Posiadamy ogromną ilość danych, w tym danych wrażliwych, które musimy strzec, a które są „smakowitym kąskiem” dla wszystkich, którzy chcieliby te informacje pozyskać. Ale chcielibyśmy mieć przekonanie, że pieniądze, które są nam powierzone, są dobrze i właściwe wydawane – powiedział.

Skomplikowany cyberświat

Odnosząc się do poprzedniego programu w zakresie cyberbezpieczeństwa, o którym wspomnieli przedmówcy, Marek Augustyn przyznał, że „NFZ jest na etapie uczenia się funkcjonowania, w tym bardzo skomplikowanym świece cyberprzestrzeni”.

– Chcielibyśmy, aby realizacja działań z zakresu cyberbezpieczeństwa odbywała się w sposób mądry, usystematyzowany i strukturalnie uporządkowany. Panowie mówili dużo o naszym rodzimym rynku, a przecież dużo w UE zaczęło się dziać w tej materii. Nie wyobrażam sobie braku skoordynowanych działań w ramach Wspólnoty, abyśmy mogli się skutecznie bronić przed atakami. Mówimy nie tylko o obronie, lecz także o aktywnych działaniach, które mają charakter odstraszający – tłumaczył Augustyn.

W jego opinii jednym z najważniejszych elementów tego procesu jest wzmożona prewencja, która miałaby polegać na synergii działań poszczególnych krajów UE oraz automatyzacja związana z czasem reakcji.

– Tego procesu z wykorzystaniem rozwiązań, które mają zapobiegać cyberprzestępstwom, cały czas się uczymy. Niestety kraje europejskie nie zawsze wymieniają się doświadczeniami, aby zapobiegać kolejnym atakom. Uważam, że prewencja musi mieć charakter zautomatyzowany. Miałaby polegać na tym, że poszczególne jednostki danego kraju, które doświadczyły cyberataku, wysyłałyby w sposób automatyczny informację, która trafiłaby do centralnej unijnej instytucji. Unia taką instytucję właśnie tworzy – stwierdził wiceprezes NFZ.

System raportowania incydentów – tego wymaga dyrektywa NIS2 ►
System raportowania incydentów – tego wymaga dyrektywa NIS2 ►– Dane medyczne są łakomym kąskiem dla hakerów: imiona, nazwiska, historie chorób muszą być odpowiednio zabezpieczone, a to wymaga zwiększonych nakładów finansowych i osobowych – podkreślił Michał Sosinka, ekspert firmy Deloitte.  

Jak dodał, kolejnym ważnym punktem jest lepsze wykrywanie i identyfikacja zagrożeń. – Aby szybko identyfikować ataki, musimy mieć wiedzę, na jakich mechanizmach, metodach i algorytmach te ataki są opracowywane – wskazał.

Za atakami stoją wyspecjalizowane firmy

Augustyn wyjaśnił także, na czym miałby polegać element odstraszania.

– Zasada „nie płacimy”. Wszystkie ataki, tak zwane oprogramowania ransomware, powodują zablokowanie dostępów do informacji. Następnie pojawia się komunikat o zapłacie, „bo inaczej tych informacji nie odblokujemy.”  Takich groźnych, niebezpiecznych ataków bardzo rzadko dokonują pojedynczy hakerzy. Zajmują się nimi wyspecjalizowane firmy. Według ekspertów, jeżeli takie firmy będą wiedziały, że tych pieniędzy nie dostaną, wówczas jest szansa na to, aby ten proces zahamować – mówił wiceprezes funduszu.

– Ważne są działania oparte na żelaznej regule mówiącej o poufności, czyli ustanowieniu osoby, która pełniłaby rolę koordynatora i byłaby wtajemniczona w elementy systemów zabezpieczeń. Jednym z takich elementów jest także integracja systemów, która uniemożliwiałaby łatwą modyfikację osób do tego nieuprawnionych. Many też dostępność, czyli plany dotyczące ciągłości zadań, także tych w obszarze zasobów rezerwowych – tłumaczył Marek Augustyn.

Jak podsumował wiceszef NFZ, wszystkie dostępne narzędzia z zakresu bezpieczeństwa cybernetycznego, „powinny mieć charakter bardziej powszechny, ustrukturyzowany i ujednolicony”.

Ubezpieczenie to statystyka

W ocenie Krzysztofa Machy rozwiązanie, które znacząco mogłoby podnieść poziom bezpieczeństwa, to powszechne ubezpieczenie od cyberbezpieczeństwa.

– Funkcjonowałoby na podobnych zasadach jak polisy odpowiedzialności cywilnej. Chciałbym, aby każdy podmiot miał w tej polisie zawartą odpowiedzialność w obszarze cyberbezpieczeństwa. Moim zdaniem tylko w ten sposób możemy odciążyć cały system i wypracować tanie rozwiązanie, z którego będą mogły korzystać wszystkie podmioty. Pytanie, czy to rozwiązanie powinno być fakultatywne, czy powinno być rozwiązaniem obligatoryjnym? – ocenił wiceprezes zarządu OSSP.

NIS2 to wyższy poziom technologicznego bezpieczeństwa
NIS2 to wyższy poziom technologicznego bezpieczeństwa Co oznacza w praktyce dla sektora ochrony zdrowia unijna dyrektywa NIS2, ilu podmiotów będą dotyczyć jej przepisy, co zakładają najważniejsze regulacje, jakie wymagania stawiają sektorowi ochrony zdrowia, od kiedy będą obowiązywać?

Krzysztof Zgliński, prezes zarządu Benefit Solution (partner wspierający OSSP), odnosząc się do tej kwestii, przekazał, że w Polsce od 10 do 20 procent podmiotów leczniczych posiada ubezpieczenie cybernetyczne.

Można więc przyjąć, że maksymalnie 20 procent podmiotów przenosi ryzyko prowadzenia działalności na potencjalne szkody wypłacane przez ubezpieczyciela. W ramach takiego ubezpieczenia można np. przenieść ryzyko zapłacenia okupu na ubezpieczyciela, który wynajmuje specjalistów do negocjacji.

– Ubezpieczenie to statystyka. Jeżeli ubezpieczyciele będą wiedzieli, że zdarzenia cybernetyczne będą statystyką, to chętnie taką ofertę przygotują. Jeżeli będą widzieli, że to nie statystyka, tylko pewne ryzyko, to takiej oferty nie złożą – tłumaczył, odnosząc się do pomysłu ubezpieczenia obowiązkowego.

Długi okres zabezpieczania

Zaznaczył jednak, że kluczem jest przede wszystkim miejsce podejmowania decyzji w sprawie cyberbezpieczeństwa. – Popatrzmy, ile czasu zajmuje wdrażanie niezbędnych dyrektyw (styczeń 2023 – powstanie dokumentu NIS2, październik 2024 roku – wdrażanie dyrektywy, koniec 2025 roku – planowana implementacja w Polsce), czyli my jako państwo potrzebujemy trzech lat, aby w dużym stopniu zabezpieczyć szpitale. Pamiętajmy, że hakerzy to profesjonaliści, którzy z tego żyją. Musimy sobie odpowiedzieć na fundamentalne pytanie, jaką wartość stanowią nasze dane zdrowotne, a są to strategiczne dane. Jeżeli z takiej perspektywy wyjdziemy, to zupełnie zmieniamy percepcję tego, jak chcemy podjeść do cyberbezpieczeństwa – powiedział prezes Zgliński.

W jego ocenie dofinansowanie podmiotów leczniczych, jeżeli chodzi o obszar cyberbezpieczeństwa, to bardzo dobre rozwiązanie, biorąc pod uwagę, że 70 proc. członków OSSP opowiedziało się za skorzystaniem z takiego dofinansowania w celu wzmocnienia ochrony danych. – To są te kierunki, w które powinniśmy iść. Ważne są też miejsca, takie jak to spotkanie w ramach konferencji OSSP, aby wykorzystywać wiedzę i podejmować działania na szczeblu ministerialnym – dodał.

Proces wymagający ogromnych inwestycji

Paweł Dłużewski, dyrektor ds. bezpieczeństwa informatycznego LUX MED, zwrócił uwagę na wyzwanie, jakim jest zapewnienie właściwej infrastruktury, czyli aktualnego sprzętu i oprogramowania. Jak zauważył, jest to ogromny wydatek, o którym rzadko się mówi w kontekście cyberbezpieczeństwa.

– Prawda jest taka, że sens cyberbezpieczeństwa jest wtedy, gdy posiadamy środowisko, którym jesteśmy w stanie zarządzać – zaznaczył dyrektor. – System bezpieczeństwa w LUX MED budujemy od 10 lat. To pokazuje, że ten cały proces wymaga ogromnych inwestycji w metodykę i rozpoznanie. Problemem jest pozyskanie specjalistów od cyberbezpieczeństwa, których brakuje nie tylko w Polsce – powiedział.

– Pytanie, kiedy wydatek traktować jako wydatek na cyberbezpieczeństwo. Przykładowo, czy wymiana sprzętu jest w ramach usługi, jaką się świadczy dla użytkownika, czy jest to jeden z elementów cyberbezpieczeństwa? Kolejna kwestia dotyczy narzędzi cybernetycznych, które często wymagają pewnej minimalnej skali, aby był sens je instalować. Inaczej będzie to wyglądało w firmie, która posiada własny zespół bezpieczeństwa, a inaczej w sytuacji outsourcingowania tych usług. Modele takiego rozliczenia są bardzo specyficzne w zależności od usługi – tłumaczył dyrektor.

Jego zdaniem najważniejszym wyzwaniem jest zmiana kultury bezpieczeństwa i świadomość tego, dlaczego chcemy podlegać lepszej ochronie.

– Widzę, że panuje zrozumienie i chęć ponoszenia dodatkowych kosztów w celu ochrony danych pacjentów. Nie ma innej drogi jak wypracowanie wspólnych rozwiązań, które będą jak najmniej uciążliwe. Ważne jest zrozumienie, że ten minimalny zakres działań jest konieczny, aby zapewnić bezpiecznie funkcjonowanie placówek medycznych – stwierdził Paweł Dłużewski.

Menedzer Zdrowia twitter

 
123RF
POLECAMY
Termedia
O Wydawnictwie Oferty Newsletter Kontakt Praca
Polityka prywatności Polityka reklamowa Napisz do nas Nota prawna Regulamin
Na skróty
Czasopisma Aktualności Książki eBooki Konferencje i webinary
Serwisy
KONGRES TOP MEDICAL TRENDS Koronawirus Zalecenia i rekomendacje Lekarz POZ Kurier Medyczny Dermatologia Diabetologia e-Praktyka Leczenia Ran Ginekologia Neurologia Onkologia Pulmonologia Reumatologia Menedżer Zdrowia Warto wiedzieć
e-Akademia
e-Akademia Raka Płuca e-Akademia MAFLD e-Akademia Zaburzeń Mikrobioty e-Akademia POChP e-Akademia Chorób Naczyń e-Akademia Chorób Cywilizacyjnych Akademia Zapalenia typu 2
© 2025 Termedia Sp. z o.o. All rights reserved.
Developed by Bentus.