iStock
Cyberodporność potrzebna od zaraz
Redaktor: Krystian Lurka
Data: 01.12.2023
Źródło: Andrzej Sokołowski i Adam Majewski
Podmioty medyczne potrzebują najnowszych rozwiązań w zakresie cyberbezpieczeństwa – niedawny atak hakerski na ALAB Laboratoria to sygnał alarmujący dla całego sektora opieki zdrowotnej.
Artykuł prezesa Ogólnopolskiego Stowarzyszenia Szpitali Prywatnych Andrzeja Sokołowskiego i członka zarządu Koma Nord Adama Majewskiego:
Podmioty medyczne, będące depozytariuszami ogromnych baz danych osobowych i medycznych, stanęły przed poważnym wyzwaniem zabezpieczenia tych informacji. Wyciek danych z ALAB Laboratoria, jednej z największych sieci laboratoriów medycznych w Polsce, pokazał, jak poważne mogą być konsekwencje ich naruszenia – od kradzieży tożsamości po potencjalne wykorzystanie wrażliwych informacji medycznych. Zagrożone są zarówno duże, rozbudowane organizacje, jak i mniejsze szpitale, laboratoria i przychodnie. Nielegalne pozyskanie przez hakerów danych osobowych i wyników badań uwydatnił skalę problemu, który wymaga natychmiastowych rozwiązań.
Atak na ALAB Laboratoria powinien posłużyć jako przestroga dla wszystkich placówek medycznych. W dobie rosnącego zagrożenia cyberatakami wzmocnienie cyberbezpieczeństwa to nie tylko kwestia technologiczna, ale przede wszystkim strategiczna, mająca na celu ochronę najważniejszego dobra – zdrowia i prywatności pacjentów. Potwierdzają to także dane Ministerstwa Cyfryzacji, według których liczba zgłoszonych cyberataków na placówki ochrony zdrowia w Polsce w ciągu roku zwiększyła się trzykrotnie.
Problem ten dostrzegają przedstawiciele Ogólnopolskiego Stowarzyszenia Szpitali Prywatnych, którzy podejmują działania, aby poprawić poziom cyberbezpieczeństwa placówek medycznych. Wiosną 2022 r. OSSP otrzymało z kilku różnych źródeł informacje o cyberatakach na infrastrukturę medyczną. Ostrzeżenia były przekazywane do szpitali członkowskich. Ochrona przed tym zagrożeniem okazała się trudna i bardzo kosztowna (jeden ze szpitali członkowskich wydał na swoje cyberbezpieczeństwo kilka milionów złotych). Wówczas przeważył pogląd o ochronie systemowej, tańszej dla szpitali, a jednocześnie bardziej profesjonalnej i skutecznej.
W listopadzie 2022 r. OSSP zorganizowało dla swoich członków webinar pod tytułem „(Nie)bezpieczny szpital – ochrona przed cyberatakami”. Omówiono wówczas potencjał i możliwości dla polskich prywatnych szpitali w ramach „Planu działania w zakresie cyberbezpieczeństwa w ochronie zdrowia” oraz przekazano informacje o możliwościach skorzystania z dofinansowania inwestycji w zakresie podniesienia poziomu cyberbezpieczeństwa. W lutym 2023 r. w Warszawie odbyła się konferencja, zorganizowana przez OSSP i Pracodawców Rzeczypospolitej Polskiej pod tytułem „Cyberbezpieczeństwo w jednostkach ochrony zdrowia”. Wśród omawianych tematów znalazły się między innymi historia cyberataków w Polsce i na świecie, otoczenie prawne – wymogi i zagrożenia. Ogólnopolskie Stowarzyszenie Szpitali Prywatnych zorganizowało także zespół ekspertów, uzupełniony o członków Pracodawców Medycyny Prywatnej, informatyków i prawników. Zaproponowano przedstawicielom Ministerstwa Zdrowia, Narodowego Funduszu Zdrowia rozwiązanie systemowe, ale pomimo pilności sprawy negocjacje toczyły się powoli i… w końcu się zatrzymały.
Tymczasem przypadek ALAB Laboratoria jest kolejnym ostrzeżeniem – skala takich ataków będzie się nasilać, ponieważ cyberprzestępcy wykorzystują specyfikę pracy służby zdrowia. Jest to bowiem taki obszar życia publicznego, który musi funkcjonować w trybie ciągłym. Nie można przecież przerwać leczenia pacjentów, wstrzymać badań, diagnostyki itd. ponieważ może to doprowadzić to zagrożenia życia i zdrowia chorych. O ile jeszcze kilka lat temu w wielu przypadkach ataki hakerów polegały na zaszyfrowaniu systemów informatycznych atakowanej placówki medycznej lub innej instytucji i wymuszaniu okupu w zamian za odszyfrowanie danych, tak teraz skupiają się w pierwszej kolejności na kradzieży danych i dodatkowo szyfrowaniu systemów. W takim przypadku, nawet, jeżeli zaatakowana placówka medyczna będzie w stanie sprawnie przywrócić do działania systemy informatyczne (np. poprzez odtworzenie danych z kopii zapasowych) to naraża się na ogromne straty finansowe i wizerunkowe związane z wyciekiem danych osobowych, poufnych i wrażliwych. Ochrona przed takimi zdarzeniami wymaga monitorowania systemów informatycznych i ruchu sieciowego w trybie dwadzieścia cztery na siedem i natychmiastowego podejmowania działań w przypadku incydentów bezpieczeństwa. Z tego powodu budowanie cyberodporności sektora ochrony zdrowia stało się nie tylko odpowiedzialnością poszczególnych podmiotów, ale także problemem społecznym, dla którego należy nieustannie poszukiwać adekwatnych i skutecznych rozwiązań.
W procesie zwiększania odporności na cyberataki należy stworzyć infrastrukturę informatyczną opartą na sprawdzonych i nowoczesnych praktykach tworzenia zabezpieczeń. Stosując terminologię medyczną, warto w tym procesie zacząć od zastosowania „cyfrowej higieny” w organizacji pracy placówki ochrony zdrowia. Przede wszystkim należy zapewnić odpowiednie narzędzia, które pozwolą na bezpieczny dostęp do baz danych, komunikację wewnętrzną i zewnętrzną, a także pracę na odległość. Istotne wymagania w tym zakresie wprowadza dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej, czyli tzw. dyrektywa NIS2. Obejmuje ona swym działaniem między innymi ochronę zdrowia i ma na celu wzmocnienie oraz usystematyzowanie wymogów dotyczących bezpieczeństwa cybernetycznego. Niezmiernie istotne jest także to, że przewiduje ona znaczne zwiększenie kar za naruszenie wymogów bezpieczeństwa cyfrowego oraz rozszerza zakres odpowiedzialności oraz czynności, jakie należy podejmować. W zależności od podmiotu kary są bardzo dotkliwe i mogą wynosić 10 milionów euro, albo 2 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa. Wszystkie wymienione argumenty potwierdzają zatem postawioną wcześniej tezę, aby sięgać po rozwiązania systemowe i kompleksowe.
W walce z cyberprzestępczością sektor ochrony zdrowia mógł liczyć na pomoc rządową. Dotychczasowe programy finansowania działań w celu podniesienia poziomu bezpieczeństwa systemów teleinformatycznych, zarządzone przez prezesa Narodowego Funduszu Zdrowia, skupiały się na jednorazowym zakupie rozwiązań w obszarach zapewnienia ciągłości działania na wypadek zdarzeń losowych lub ataków typu ransomware. Oczywiście są to obszary kluczowe i bardzo dobrze, że w 2022 i 2023 roku takie finansowania były dostępne. Należy mieć nadzieję, że programy te będą kontynuowane w kolejnych latach. Jednakże warto je zmodyfikować, adekwatnie do zmieniających się zagrożeń i dostępnych rozwiązań w zakresie cyberbezpieczeństwa. Przede wszystkim zmiana powinna obejmować możliwość regularnego finansowania profesjonalnych usług w zakresie cyberbezpieczeństwa, a nie tylko zakupu systemów i narzędzi do stosowania przez wewnętrzne działy IT. Szpitale oraz inne placówki medyczne nie są bowiem wielkimi korporacjami, które posiadają rozbudowane i jednocześnie bardzo kosztowne w utrzymaniu działy bezpieczeństwa informatycznego (tzw. Security Operations Center), dlatego zdecydowanie lepszym rozwiązaniem w ich przypadku może być skorzystanie z outsourcingu IT.
Firmy świadczące zaawansowane usługi w zakresie cyberbezpieczeństwa w ramach miesięcznej opłaty zapewniają zestaw niezbędnych narzędzi pozwalających monitorować wszystko, co dzieje się w środowisku informatycznym i przede wszystkim natychmiastowo reagować na pojawiające się zagrożenia w trybie dwadzieścia cztery na siedem. Kolejną ważną zaletą takiej usługi jest to, że można ją uruchomić nawet w ciągu kilku, kilkunastu dni. Dla porównania, wdrożenie w środowisku własnym tej klasy narzędzi i budowa własnego Security Operations Center wymaga czasu rzędu kilkunastu miesięcy. Czy w dobie stale rosnącej liczby ataków oraz zmieniających się zagrożeń można tracić tyle czasu i pozostać narażonym na ataki? Osoby zarządzające muszą same sobie odpowiedzieć na te pytania, uwzględniając również odpowiedzialności wynikające ze wspomnianej już dyrektywy NIS2 oraz ustawy o ochronie danych osobowych.
Potrzebne jest zatem ścisłe i systemowe współdziałanie pomiędzy sektorem ochrony zdrowia, liderami branży IT oraz instytucjami rządowymi. Przykładem takiego partnerstwa jest współpraca OSSP z firmami Koma Nord i Cyber360. Proponowane przez nie rozwiązania są kompleksowe i zapewniają efektywność w czterech zasadniczych obszarach cyberbezpieczeństwa – wykrywaniu, analizie, badaniu i reakcji. Wykorzystując swoje wieloletnie doświadczenia rynkowe w dziedzinie systemów bezpieczeństwa, projektujemy, wdrażamy oraz integrujemy optymalne rozwiązania, dostosowane do potrzeb i wymagań naszych klientów. Ponadto, oprócz podstawowych mechanizmów zabezpieczeń kopii zapasowych, poczty elektronicznej, brzegu sieci itd., rekomendujemy usługę klasy MDR (Managed Detection and Response). Jest to rozwiązanie, które zapewnia nie tylko monitorowanie i informowanie klienta o wykrytych anomaliach, ale przede wszystkim pozwala na natychmiastową reakcję celowaną w konkretne zagrożenia, zarówno w sposób automatyczny, poprzez dostarczane narzędzia, jak i manualny – poprzez zespół ekspertów centrum usługi MDR.
MDR polega na ciągłym monitorowaniu ruchu sieciowego oraz danych związanych z infrastrukturą IT organizacji. Chodzi o to, aby jak najszybciej wykrywać niebezpieczne aktywności. Specjaliści przeprowadzają ich analizę, określają charakter i potencjalne ryzyka. Dzięki temu można nie tylko wykrywać incydenty, ale przede wszystkim podejmować odpowiednie działania w celu ich zneutralizowania. Usługa MDR jest szczególnie przydatna dla organizacji, które nie posiadają wystarczających zasobów ani narzędzi w dziedzinie bezpieczeństwa informatycznego, aby efektywnie chronić się przed zaawansowanymi zagrożeniami. Dzięki tej usłudze mogą one zwiększyć swoje możliwości w zakresie wykrywania, reagowania i neutralizacji potencjalnie szkodliwych działań w środowisku IT. Nie muszą samodzielnie zarządzać infrastrukturą ani zatrudniać własnych zespołów ds. bezpieczeństwa. Otrzymują całodobową pomoc specjalistów do spraw cybersecurity zapewnianą przez ekspertów centrum operacyjnego usługi MDR.
W budowie „cyberodporności” podmiotów medycznych można stosować wiele opcji, jednak warunkiem koniecznym jest ich systemowość i dostosowanie do potrzeb, specyfiki i organizacji danej placówki. Działanie według ogólnych wzorców niesie bowiem za sobą ryzyko pominięcia istotnych parametrów funkcjonowania danej organizacji. W przypadku sektora ochrony zdrowia ta specyfika jest szczególnie istotna w budowie cyfrowej odporności. Dlatego potrzebne są kompleksowe rozwiązania od zaraz, które może dopasować, dostarczyć i wdrożyć doświadczony i kompetentny integrator.
Przeczytaj także: „Współpraca na rzecz bezpieczeństwa danych pacjentów” i „Atak hakerski – wyniki badań medycznych w internecie”.
Podmioty medyczne, będące depozytariuszami ogromnych baz danych osobowych i medycznych, stanęły przed poważnym wyzwaniem zabezpieczenia tych informacji. Wyciek danych z ALAB Laboratoria, jednej z największych sieci laboratoriów medycznych w Polsce, pokazał, jak poważne mogą być konsekwencje ich naruszenia – od kradzieży tożsamości po potencjalne wykorzystanie wrażliwych informacji medycznych. Zagrożone są zarówno duże, rozbudowane organizacje, jak i mniejsze szpitale, laboratoria i przychodnie. Nielegalne pozyskanie przez hakerów danych osobowych i wyników badań uwydatnił skalę problemu, który wymaga natychmiastowych rozwiązań.
Atak na ALAB Laboratoria powinien posłużyć jako przestroga dla wszystkich placówek medycznych. W dobie rosnącego zagrożenia cyberatakami wzmocnienie cyberbezpieczeństwa to nie tylko kwestia technologiczna, ale przede wszystkim strategiczna, mająca na celu ochronę najważniejszego dobra – zdrowia i prywatności pacjentów. Potwierdzają to także dane Ministerstwa Cyfryzacji, według których liczba zgłoszonych cyberataków na placówki ochrony zdrowia w Polsce w ciągu roku zwiększyła się trzykrotnie.
Problem ten dostrzegają przedstawiciele Ogólnopolskiego Stowarzyszenia Szpitali Prywatnych, którzy podejmują działania, aby poprawić poziom cyberbezpieczeństwa placówek medycznych. Wiosną 2022 r. OSSP otrzymało z kilku różnych źródeł informacje o cyberatakach na infrastrukturę medyczną. Ostrzeżenia były przekazywane do szpitali członkowskich. Ochrona przed tym zagrożeniem okazała się trudna i bardzo kosztowna (jeden ze szpitali członkowskich wydał na swoje cyberbezpieczeństwo kilka milionów złotych). Wówczas przeważył pogląd o ochronie systemowej, tańszej dla szpitali, a jednocześnie bardziej profesjonalnej i skutecznej.
W listopadzie 2022 r. OSSP zorganizowało dla swoich członków webinar pod tytułem „(Nie)bezpieczny szpital – ochrona przed cyberatakami”. Omówiono wówczas potencjał i możliwości dla polskich prywatnych szpitali w ramach „Planu działania w zakresie cyberbezpieczeństwa w ochronie zdrowia” oraz przekazano informacje o możliwościach skorzystania z dofinansowania inwestycji w zakresie podniesienia poziomu cyberbezpieczeństwa. W lutym 2023 r. w Warszawie odbyła się konferencja, zorganizowana przez OSSP i Pracodawców Rzeczypospolitej Polskiej pod tytułem „Cyberbezpieczeństwo w jednostkach ochrony zdrowia”. Wśród omawianych tematów znalazły się między innymi historia cyberataków w Polsce i na świecie, otoczenie prawne – wymogi i zagrożenia. Ogólnopolskie Stowarzyszenie Szpitali Prywatnych zorganizowało także zespół ekspertów, uzupełniony o członków Pracodawców Medycyny Prywatnej, informatyków i prawników. Zaproponowano przedstawicielom Ministerstwa Zdrowia, Narodowego Funduszu Zdrowia rozwiązanie systemowe, ale pomimo pilności sprawy negocjacje toczyły się powoli i… w końcu się zatrzymały.
Tymczasem przypadek ALAB Laboratoria jest kolejnym ostrzeżeniem – skala takich ataków będzie się nasilać, ponieważ cyberprzestępcy wykorzystują specyfikę pracy służby zdrowia. Jest to bowiem taki obszar życia publicznego, który musi funkcjonować w trybie ciągłym. Nie można przecież przerwać leczenia pacjentów, wstrzymać badań, diagnostyki itd. ponieważ może to doprowadzić to zagrożenia życia i zdrowia chorych. O ile jeszcze kilka lat temu w wielu przypadkach ataki hakerów polegały na zaszyfrowaniu systemów informatycznych atakowanej placówki medycznej lub innej instytucji i wymuszaniu okupu w zamian za odszyfrowanie danych, tak teraz skupiają się w pierwszej kolejności na kradzieży danych i dodatkowo szyfrowaniu systemów. W takim przypadku, nawet, jeżeli zaatakowana placówka medyczna będzie w stanie sprawnie przywrócić do działania systemy informatyczne (np. poprzez odtworzenie danych z kopii zapasowych) to naraża się na ogromne straty finansowe i wizerunkowe związane z wyciekiem danych osobowych, poufnych i wrażliwych. Ochrona przed takimi zdarzeniami wymaga monitorowania systemów informatycznych i ruchu sieciowego w trybie dwadzieścia cztery na siedem i natychmiastowego podejmowania działań w przypadku incydentów bezpieczeństwa. Z tego powodu budowanie cyberodporności sektora ochrony zdrowia stało się nie tylko odpowiedzialnością poszczególnych podmiotów, ale także problemem społecznym, dla którego należy nieustannie poszukiwać adekwatnych i skutecznych rozwiązań.
W procesie zwiększania odporności na cyberataki należy stworzyć infrastrukturę informatyczną opartą na sprawdzonych i nowoczesnych praktykach tworzenia zabezpieczeń. Stosując terminologię medyczną, warto w tym procesie zacząć od zastosowania „cyfrowej higieny” w organizacji pracy placówki ochrony zdrowia. Przede wszystkim należy zapewnić odpowiednie narzędzia, które pozwolą na bezpieczny dostęp do baz danych, komunikację wewnętrzną i zewnętrzną, a także pracę na odległość. Istotne wymagania w tym zakresie wprowadza dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej, czyli tzw. dyrektywa NIS2. Obejmuje ona swym działaniem między innymi ochronę zdrowia i ma na celu wzmocnienie oraz usystematyzowanie wymogów dotyczących bezpieczeństwa cybernetycznego. Niezmiernie istotne jest także to, że przewiduje ona znaczne zwiększenie kar za naruszenie wymogów bezpieczeństwa cyfrowego oraz rozszerza zakres odpowiedzialności oraz czynności, jakie należy podejmować. W zależności od podmiotu kary są bardzo dotkliwe i mogą wynosić 10 milionów euro, albo 2 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa. Wszystkie wymienione argumenty potwierdzają zatem postawioną wcześniej tezę, aby sięgać po rozwiązania systemowe i kompleksowe.
W walce z cyberprzestępczością sektor ochrony zdrowia mógł liczyć na pomoc rządową. Dotychczasowe programy finansowania działań w celu podniesienia poziomu bezpieczeństwa systemów teleinformatycznych, zarządzone przez prezesa Narodowego Funduszu Zdrowia, skupiały się na jednorazowym zakupie rozwiązań w obszarach zapewnienia ciągłości działania na wypadek zdarzeń losowych lub ataków typu ransomware. Oczywiście są to obszary kluczowe i bardzo dobrze, że w 2022 i 2023 roku takie finansowania były dostępne. Należy mieć nadzieję, że programy te będą kontynuowane w kolejnych latach. Jednakże warto je zmodyfikować, adekwatnie do zmieniających się zagrożeń i dostępnych rozwiązań w zakresie cyberbezpieczeństwa. Przede wszystkim zmiana powinna obejmować możliwość regularnego finansowania profesjonalnych usług w zakresie cyberbezpieczeństwa, a nie tylko zakupu systemów i narzędzi do stosowania przez wewnętrzne działy IT. Szpitale oraz inne placówki medyczne nie są bowiem wielkimi korporacjami, które posiadają rozbudowane i jednocześnie bardzo kosztowne w utrzymaniu działy bezpieczeństwa informatycznego (tzw. Security Operations Center), dlatego zdecydowanie lepszym rozwiązaniem w ich przypadku może być skorzystanie z outsourcingu IT.
Firmy świadczące zaawansowane usługi w zakresie cyberbezpieczeństwa w ramach miesięcznej opłaty zapewniają zestaw niezbędnych narzędzi pozwalających monitorować wszystko, co dzieje się w środowisku informatycznym i przede wszystkim natychmiastowo reagować na pojawiające się zagrożenia w trybie dwadzieścia cztery na siedem. Kolejną ważną zaletą takiej usługi jest to, że można ją uruchomić nawet w ciągu kilku, kilkunastu dni. Dla porównania, wdrożenie w środowisku własnym tej klasy narzędzi i budowa własnego Security Operations Center wymaga czasu rzędu kilkunastu miesięcy. Czy w dobie stale rosnącej liczby ataków oraz zmieniających się zagrożeń można tracić tyle czasu i pozostać narażonym na ataki? Osoby zarządzające muszą same sobie odpowiedzieć na te pytania, uwzględniając również odpowiedzialności wynikające ze wspomnianej już dyrektywy NIS2 oraz ustawy o ochronie danych osobowych.
Potrzebne jest zatem ścisłe i systemowe współdziałanie pomiędzy sektorem ochrony zdrowia, liderami branży IT oraz instytucjami rządowymi. Przykładem takiego partnerstwa jest współpraca OSSP z firmami Koma Nord i Cyber360. Proponowane przez nie rozwiązania są kompleksowe i zapewniają efektywność w czterech zasadniczych obszarach cyberbezpieczeństwa – wykrywaniu, analizie, badaniu i reakcji. Wykorzystując swoje wieloletnie doświadczenia rynkowe w dziedzinie systemów bezpieczeństwa, projektujemy, wdrażamy oraz integrujemy optymalne rozwiązania, dostosowane do potrzeb i wymagań naszych klientów. Ponadto, oprócz podstawowych mechanizmów zabezpieczeń kopii zapasowych, poczty elektronicznej, brzegu sieci itd., rekomendujemy usługę klasy MDR (Managed Detection and Response). Jest to rozwiązanie, które zapewnia nie tylko monitorowanie i informowanie klienta o wykrytych anomaliach, ale przede wszystkim pozwala na natychmiastową reakcję celowaną w konkretne zagrożenia, zarówno w sposób automatyczny, poprzez dostarczane narzędzia, jak i manualny – poprzez zespół ekspertów centrum usługi MDR.
MDR polega na ciągłym monitorowaniu ruchu sieciowego oraz danych związanych z infrastrukturą IT organizacji. Chodzi o to, aby jak najszybciej wykrywać niebezpieczne aktywności. Specjaliści przeprowadzają ich analizę, określają charakter i potencjalne ryzyka. Dzięki temu można nie tylko wykrywać incydenty, ale przede wszystkim podejmować odpowiednie działania w celu ich zneutralizowania. Usługa MDR jest szczególnie przydatna dla organizacji, które nie posiadają wystarczających zasobów ani narzędzi w dziedzinie bezpieczeństwa informatycznego, aby efektywnie chronić się przed zaawansowanymi zagrożeniami. Dzięki tej usłudze mogą one zwiększyć swoje możliwości w zakresie wykrywania, reagowania i neutralizacji potencjalnie szkodliwych działań w środowisku IT. Nie muszą samodzielnie zarządzać infrastrukturą ani zatrudniać własnych zespołów ds. bezpieczeństwa. Otrzymują całodobową pomoc specjalistów do spraw cybersecurity zapewnianą przez ekspertów centrum operacyjnego usługi MDR.
W budowie „cyberodporności” podmiotów medycznych można stosować wiele opcji, jednak warunkiem koniecznym jest ich systemowość i dostosowanie do potrzeb, specyfiki i organizacji danej placówki. Działanie według ogólnych wzorców niesie bowiem za sobą ryzyko pominięcia istotnych parametrów funkcjonowania danej organizacji. W przypadku sektora ochrony zdrowia ta specyfika jest szczególnie istotna w budowie cyfrowej odporności. Dlatego potrzebne są kompleksowe rozwiązania od zaraz, które może dopasować, dostarczyć i wdrożyć doświadczony i kompetentny integrator.
Przeczytaj także: „Współpraca na rzecz bezpieczeństwa danych pacjentów” i „Atak hakerski – wyniki badań medycznych w internecie”.
