Cyberodporność w ochronie zdrowia – to sprawa nie tylko dla informatyków

SHIELD, czyli „Securing health & social care institutions resilience to cybercrimes through empowerment literacy and digital skills of the workforce and students”, to międzynarodowe przedsięwzięcie realizowane w ramach programu Erasmus+, którego celem jest wzmacnianie odporności instytucji ochrony zdrowia i opieki społecznej na cyberprzestępczość poprzez edukację, rozwój kompetencji cyfrowych i budowanie bezpiecznych nawyków.

W projekcie uczestniczy siedem krajów:

• Czechy,
• Francja,
• Grecja,
• Malta,
• Polska
• Portugalia,
• Włochy.

Czym jest SHIELD?

SHIELD nie jest projektem, który kończy się na opisaniu problemu. To partnerstwo zaplanowane na lata 2025–2028, mające na celu stworzenie kompletnego programu uczenia cyberbezpieczeństwa dla studentów oraz pracowników ochrony zdrowia i opieki społecznej. Projekt zakłada przygotowanie programu kształcenia, materiałów dydaktycznych, grywalizowanej platformy e-learningowej, aplikacji mobilnej opartej na realistycznych scenariuszach oraz mikropoświadczeń potwierdzających konkretne kompetencje.

SHIELD zakłada coś więcej niż radę: „miej mocne hasło i nie klikaj w linki”. Zespół projektowy najpierw chciał sprawdzić, czego odbiorcy naprawdę nie wiedzą, czego się obawiają, z jakimi sytuacjami stykają się w pracy i w życiu codziennym oraz jakie formy uczenia rzeczywiście pomagają im zmieniać zachowania. Dlatego pierwszym etapem projektu była diagnoza potrzeb edukacyjnych, luk kompetencyjnych i barier w uczeniu się cyberbezpieczeństwa. Dopiero później rozpoczęło się przekładanie tych wyników na konkretne narzędzia dydaktyczne.

Co pokazał pierwszy etap badań?

Pierwszy etap projektu został już zakończony. Obejmował ankietę przeprowadzoną w siedmiu krajach partnerskich oraz spotkania typu Living Labs, czyli pogłębione rozmowy i warsztaty z uczestnikami. W ankiecie wzięło udział 58 osób, a w Living Labs uczestniczyło 36 osób. Byli to przede wszystkim studenci oraz profesjonaliści związani z ochroną zdrowia i opieką społeczną, ale także eksperci cyberbezpieczeństwa i przedstawiciele szerszego otoczenia społecznego. Dzięki temu raport pokazał nie tylko poziom wiedzy, lecz także codzienne doświadczenia, obawy i praktyczne potrzeby różnych grup.

Wyniki są zarazem uspokajające i niepokojące. Uspokajające, ponieważ 41 z 58 badanych deklarowało, że miało już wcześniej styczność ze szkoleniem z zakresu cyberbezpieczeństwa. Niepokojące, bo gdy poproszono ich o ocenę własnego przygotowania i rozumienia zagrożeń, średnie wyniki wyniosły 3,36 w pięciostopniowej skali. To oznacza, że wiele osób zna podstawy, ale nie czuje się pewnie wtedy, gdy trzeba zareagować na rzeczywisty incydent, podjąć decyzję pod presją czasu albo ocenić skutki naruszenia bezpieczeństwa danych.

Raport pokazuje także, że najczęściej spotykane są zagrożenia wykorzystujące pośpiech i nieuwagę człowieka, a więc fałszywe wiadomości e-mailowe i SMS-y, podszywanie się pod zaufane instytucje oraz różnego rodzaju oszustwa internetowe. W przypadku phishingu 75,9 proc. respondentów deklarowało, że potrafiło rozpoznać zagrożenie i poradzić sobie z nim samodzielnie, a przy smishingu, czyli fałszywych SMS-ach, było to 74,1 proc.

Kiedy jednak problem stawał się bardziej techniczny i dotyczył złośliwego oprogramowania, nieuprawnionego dostępu do systemu, przejęcia konta czy wycieku danych, badani dużo częściej potrzebowali pomocy. Innymi słowy: podstawowe pułapki cyfrowe coraz częściej umiemy zauważyć, ale wciąż brakuje nam pewności, gdy sytuacja robi się poważniejsza.

Czego najbardziej potrzebują studenci i profesjonaliści?

Z perspektywy ochrony zdrowia szczególnie istotne jest to, że respondenci za największe ryzyka uznali utratę lub kradzież danych pacjentów i danych osobowych, phishing, przypadkowe udostępnienie informacji oraz niewystarczającą świadomość personelu. To pokazuje, że zagrożenie nie jest rozumiane wyłącznie jako spektakularny atak z zewnątrz. Równie często ma ono postać codziennego pośpiechu, zmęczenia, niejasnych procedur albo braku wsparcia organizacyjnego. W środowisku medycznym ma to szczególne znaczenie, ponieważ nawet drobny błąd może mieć konsekwencje nie tylko techniczne, ale także etyczne i kliniczne.

Badani bardzo jasno powiedzieli również, czego chcą się uczyć. Na pierwszym miejscu znalazły się dobre praktyki bezpieczeństwa, ochrona danych prywatnych i zawodowych, reagowanie na cyberatak oraz rozpoznawanie fałszywych informacji. Wysoko znalazły się także rozpoznawanie prób phishingu i ochrona wrażliwych danych pacjenta. Co ważne, potrzeby nie kończą się na samej treści. Uczestnicy chcą narzędzi interaktywnych, wizualnych, opartych na konkretnych przypadkach, krótkich modułach i symulacjach przypominających realne sytuacje z codziennej pracy. Cenią quizy, scenariusze decyzyjne oraz szkolenia, które można przerabiać we własnym tempie, nawet w kilkunastominutowych odcinkach.

Bardzo cenny jest też wniosek, że barierą nie jest wyłącznie brak wiedzy. Respondenci często mówili o braku czasu, o zbyt teoretycznych szkoleniach, o szybkim tempie zmian technologicznych, o zmęczeniu nadmiarem komunikatów i o poczuciu, że cyberbezpieczeństwo jest tematyką zbyt techniczną, więc „nie dla nich”. Część uczestników wskazywała ponadto na potrzebę kultury „no blame”, czyli takiego środowiska pracy, w którym można zgłosić incydent lub pomyłkę bez lęku przed potępieniem. W ochronie zdrowia to kwestia fundamentalna, bo bezpieczeństwo rośnie wtedy, gdy personel nie ukrywa błędów, lecz szybko je zgłasza i wspólnie wyciąga wnioski.

Na jakim etapie jest projekt?

SHIELD jest już po fazie rozpoznania potrzeb i przechodzi do kolejnego, bardzo praktycznego etapu. Wyniki raportu z diagnozy staną się podstawą do opracowania programu nauczania, wytycznych dotyczących angażowania odbiorców, treści do kursu i gry, a także systemu mikropoświadczeń. Następnie partnerzy uruchomią platformę e-learningową i aplikację mobilną, a gotowe rozwiązania będą testowane pilotażowo w sześciu miejscach z udziałem co najmniej 193 studentów i pracowników ochrony zdrowia oraz opieki społecznej.

Rola Warszawskiego Uniwersytetu Medycznego

Rola WUM w kolejnych etapach jest znacząca. Uczelnia współuczestniczy w opracowaniu programu kształcenia, wspiera projektowanie mikropoświadczeń, a w dalszej części projektu odpowiada za przygotowanie narzędzi do oceny wiedzy i umiejętności uczestników, współtworzy ewaluację platformy i będzie odpowiedzialna za końcową ocenę efektów programu. To pokazuje, że udział WUM nie ogranicza się do obecności w międzynarodowym konsorcjum, lecz obejmuje kluczowe elementy merytoryczne i ewaluacyjne całego przedsięwzięcia.

Bezpieczeństwo pacjenta zaczyna się od codziennych decyzji

Najważniejsze przesłanie pierwszego etapu SHIELD jest proste, choć jego konsekwencje są dalekosiężne: cyberbezpieczeństwo w ochronie zdrowia nie jest dodatkiem do „prawdziwej” pracy, lecz jej integralną częścią. Tak samo jak dbamy o higienę rąk, poprawność dokumentacji czy jakość komunikacji z pacjentem, tak samo musimy dziś myśleć o higienie cyfrowej. To ona decyduje o tym, czy rozpoznamy podejrzaną wiadomość, czy właściwie zabezpieczymy dane, czy będziemy wiedzieć, komu zgłosić incydent i jak nie pogłębić problemu.

Projekt SHIELD pokazuje, że skuteczna edukacja w tym obszarze nie powinna straszyć, moralizować ani przytłaczać technicznym językiem. Powinna uczyć spokojnego reagowania, rozpoznawania schematów zagrożeń i budowania dobrych nawyków, które da się stosować każdego dnia – na uczelni, w szpitalu, w poradni i w domu. Jeżeli chcemy nowoczesnej, bezpiecznej i godnej zaufania ochrony zdrowia, musimy traktować cyberodporność tak samo poważnie jak każdą inną kompetencję zawodową. I właśnie dlatego SHIELD jest projektem, który warto śledzić uważnie: bo dotyczy nie tylko technologii, lecz przede wszystkim bezpieczeństwa ludzi.

Więcej o projekcie na stronie internetowej: www.shielderasmus.eu/pl.

Tekst dr Ilony Cieślak z Zakładu Edukacji i Badań w Naukach o Zdrowiu Warszawskiego Uniwersytetu Medycznego, kierownik projektu SHIELD.