Czy szpitale obronią się przed cyberatakami?
Nie ma szpitala, który codziennie nie byłby w jakiś sposób poddawany przez hakerów próbie szczelności systemu. Każdy cyberatak niesie za sobą zagrożenie dla życia i zdrowia pacjentów oraz ryzyko wycieku danych. O to, czy lecznice potrafią odeprzeć skutecznie ataki, „Menedżer Zdrowia” pyta Michała Dybowskiego z PFSz.
- Działania szpitala MSWiA w Krakowie w obliczu cyberataku należy potraktować jako przykład dobrze przygotowanego ekosystemu do tego, żeby zarządzać bezpieczeństwem i incydentami. – To jest przykład dobrej praktyki, dobrego wyniku i dobrego rozwiązania – mówi Michał Dybowski
- Nie ma szpitala w Polsce, który codziennie nie byłby w jakiś sposób poddawany przez hakerów próbie szczelności systemu. Testowanych jest wiele obszarów, np. odporność brzegu sieci, odporność systemów logowań itd.
- Potrzeba wdrożenia w praktyce i uruchomienia zasobów, które zostały przewidziane na cyfryzację, jest bezwarunkowa i bezwzględnie konieczna. Szpitale wymagają bardzo dużego doinwestowania w tym obszarze
- Potrzebujemy koordynacji i centrum zarządzania ryzykiem w obszarze zarządzania bezpieczeństwem danych
- Podniesienie poziomu bezpieczeństwa w najistotniejszych, wrażliwych obszarach, jak niewątpliwie ochrona zdrowia, jest z punktu widzenia odporności państwa elementarne
- Dzięki Koalicji na rzecz Cyberbezpieczeństwa w Ochronie Zdrowia i sektorowemu CSIRT w ramach CeZ Polska jest pierwszym państwem, które posiada ISC w rozumieniu dyrektywy unijnej
Czy polskie szpitale skutecznie potrafią się obronić przed atakami hakerów? O tym „Menedżer Zdrowia” rozmawia z Michałem Dybowskim z Biura Bezpieczeństwa i Zrównoważonego Rozwoju Polskiej Federacji Szpitali.
Czy szpital w Krakowie dobrze sobie poradził z cyberatakiem?
Bardzo dobrze. Wszystko na to wskazuje, że cyberatak na szpital MSWiA to kontynuacja zaplanowanych działań: próby zhakowania PAP w maju 2024 r. i Polskiej Agencji Kosmicznej 2 marca br. Można zauważyć ewidentnie ten sam model testowania. Zaatakowany PAP dysponował systemem chmury, dzięki któremu odszyfrował dane. Agencja pochwaliła się tym, tymczasem hakerzy po 4 godzinach ponownie przypuścili atak niszcząc po raz kolejny system. Wiemy więc już, że chmura jako zabezpieczenie nic nie dała. Natomiast wewnętrzne systemy, które posiada szpital MSWiA, sprawdziły się bardzo dobrze. W placówce udało się odtworzyć dane, własny model bezpieczeństwa okazał się skuteczny. Wniosek: systemy, które są lokalnie dobrze przygotowane, są dużo bardziej odporne na ponowne próby zaszyfrowania i ponowne ataki.
Centrum e-Zdrowia od dawna powtarza, że nie ma sensu pytać o to, czy nas zaszyfrują, tylko kiedy to zrobią. Nie ma takiej infrastruktury, która będzie na tyle odporna, żeby się samodzielnie obronić. Jest tylko kwestia, jak szybko jest w stanie się podnieść, odtworzyć dane, jaką mieliśmy przerwę w tym czasie i czy ten przywrócony back up jest czysty, wolny, czy jest skażony i niestety nic nam nie daje.
Wektor ataku wymierzony w szpital, z tego co nam się udało ustalić, w ramach polskiego ISAC’a, czyli Koalicji na rzecz Cyberbezpieczeństwa w Ochronie Zdrowia, najprawdopodobniej był skutkiem operacji specjalnej mającej na celu ocenę poziomu bezpieczeństwa w polskiej infrastrukturze krytycznej. Potwierdza to trafność dyrektywy NIS 2 i konieczność jej implementacji do tych obszarów, które są szczególnie narażone albo zawierają szczególnie wrażliwe dane, np. świadczą usługi kluczowe, jakimi są ratowanie życia i zdrowia.
ISAC to skrót od słów „Information Sharing and Analysis Center”. ISACs to ośrodki zajmujące się bieżącą wymianą informacji na temat zagrożeń w domenie cybernetycznej. Ich celem jest dostarczanie jak najszerszej świadomości sytuacyjnej w zakresie cybersecurity (IoC, Threat Intelligence, reguły dla SIEM etc.). Pierwsze tego typu ośrodki powstały w USA pod koniec lat 90. XX w.
Dyrektywa NIS2 (Network and Information Systems) jest nowelizacją pierwszego europejskiego prawa, które dotyczy cyberbezpieczeństwa (NIS1). Jej celem jest dostosowanie całej Unii Europejskiej do standardów bezpieczeństwa informatycznego związanego z nowymi zagrożeniami cyfrowymi.
Z informacji, jakie posiadam, wynika, że dane, które zostały zablokowane w szpitalu, nie wypłynęły w taki sposób, żeby nadawały się do jakiejkolwiek sprzedaży. Nie ma zatem ryzyka, że mamy do czynienia z próbą kradzieży i przehandlowania danych obywateli polskich.
Podkreślę więc: MSWiA spisało się znakomicie i ich działania należy potraktować jako przykład dobrze przygotowanego ekosystemu do tego, żeby zarządzać bezpieczeństwem i incydentami. To jest przykład dobrej praktyki, dobrego wyniku i dobrego rozwiązania, które się sprawdziły.
Wicepremier i minister cyfryzacji Krzysztof Gawkowski powiedział, że codziennie odnotowuje się 2,5 tysiąca ataków hakerskich na różnego rodzaju instytucje. Ile wśród nich skierowanych jest na szpitale?
Wypowiedź pana premiera dotyczy przede wszystkim obszaru związanego z próbami badania, to są tzw. systemy próbkowania podatności, w których atakujący testują wiele obszarów, np. odporność brzegu sieci, odporność systemów logowań itd. Takie dzialania dotyczą również lecznic. Praktycznie nie ma szpitala w Polsce, który codziennie nie byłby w jakiś sposób próbkowany w tym zakresie. Jest wiele takich, które jeszcze nie zdają sobie z tego sprawy, inne na szczęście podejmują działania chroniące bezpieczeństwo. W tej kwestii można zdać się na Centrum e-Zdrowia (CeZ), które prowadzi tzw. identyfikację podatności. Codziennie CeZ i CSIRT (Computer Security Incident Response Team, czyli Zespół Reagowania na Incydenty Cyberbezpieczeństwa dla Sektora Zdrowia – przyp. red.) ogłaszają listę nowych wykrytych backdoor w oprogramowaniu i w sieciach. I codziennie CeZ dla samych szpitali zgłasza około 20 takich istotnych podatności, które należy następnego dnia usunąć. To jest gigantyczna liczba prób oceny wytrzymałości sprzętu, oprogramowania i sieci dziennie.
Dlatego minister Krzysztof Gawkowski absolutnie słusznie definiuje, że potrzeba wdrożenia w praktyce i uruchomienia tych zasobów, które zostały przewidziane na cyfryzację, jest bezwarunkowa i bezwzględnie konieczna. Szpitale, które nie są placówkami MSWiA, wymagają bardzo dużego doinwestowania w tym obszarze. Ministerstwo Cyfryzacji ma tutaj niezwykle istotną rolę do odegrania.
Jak wygląda sytuacja obecnie? Jak nasze szpitale są zabezpieczone przed tymi cyberatakami?
Po rocznym programie, kiedy poprzedni rząd wydał 500 milionów złotych na inwestycje w cyberbezpieczeństwo, poziom zabezpieczenia zwiększył się o 50 proc. Opłaciło się finansować budowanie obszaru kopii zapasowej i odmiejscowionej kopii zapasowej. Spowodało to podniesienie poziomu bezpieczeństwa do takiego momentu, że nawet zaatakowanie infrastruktury nie destabilizuje całkowicie pracy szpitala, sprawia, że jest on w stanie się odszyfrować i przywrócić funkcjonalność. Jeżeli ataku dokonują grupy, które działają w celu wyłudzenia okupu, to takie zabezpieczenie placówki sprawia, że cyberatak nie ma dla nich sensu.
Mamy jeszcze inne kategorie zdarzeń, takie jak wywiad, czyli zbieranie informacji o całym sektorze przez wrogie państwa, oraz operacje specjalne mające na celu zbadanie podatności ekosystemowych. Musimy patrzeć na cyberbezpieczeństwo w ujęciu europejskim. Polska inwestuje w tym obszarze, ale np. Niemcy w ogóle nie mają w tej chwili planu odporności. W związku z tym Polska Federacja Szpitali razem z Koalicją Cyberbezpieczeństwa na rzecz Ochrony Zdrowia zrobi w tym roku kongres z Niemiecką Federacją Szpitali. Chcemy pokazać, jak można pewne rzeczy zorganizować i wspólnie się bronić, docelowo zmierzając w łącznym obszarze udostępniania danych, czyli w ramach EHDS (European Health Data Space, czyli europejska przestrzeń danych medycznych – przyp. red). Musimy mieć świadomość, że będziemy tak silni jako ekosystem szpitalnictwa jak nasze najsłabsze ogniwo.
Wracając do pytania – polskie szpitale, niektóre nasze placówki faktycznie nie są odpowiednio zabezpieczone. Ale mamy jedną „zaszłość”, która zarazem jest naszą przewagą – papier. Ma ogromną zaletę, bo co prawda może spłonąć, ale jest wersją nie do zaszyfrowania. W razie cyberataku spowolni działanie całego systemu, ale nie spowoduje, że będziemy zupełnie wyłączeni. Więc jakkolwiek kuriozalnie by to nie zabrzmiało, wersja posiadania kopii papierowej ma swoje zalety teraz, kiedy jesteśmy na etapie transformacji, kiedy się przełączamy na wersję cyfrową. To pozwala nam się uczyć, jak się zabezpieczać i trochę eksperymentować. Stanowi ostateczne zabezpieczenie, którego niektóre państwa już nie mają, mimo że nie są gotowe na zagrożenia cybernetyczne.
Ratuje nas działanie analogowe...
Na razie tak, ale oczywiście chcemy zmierzać do poprawy wydajności zabezpieczania i te szpitale, które są bardziej ucyfrowione, mają przeważnie dobre systemy zabezpieczeń. Są dostosowane do dzisiejszych potrzeb, stale aktualizowane, weryfikowane, otrzymują aktualizacje i intensyfikują aktualizacje CeZ. To się wiąże z tym, że jest to cały zestaw ludzi pracujących nad tym, żeby bezpieczeństwo cyfrowe utrzymać. To nie może być pół etatu jakiegoś informatyka w szpitalu powiatowym, tylko powinien być to zespół ludzi zabezpieczających wiele szpitali równocześnie. To też przenosi nas trochę w inny obszar zarządzania bezpieczeństwem danych – potrzebujemy koordynacji i centrum zarządzania tym ryzykiem.
Nie wszystkie szpitale poradzą sobie z tym same. Nie ma takiej możliwości. Szpitale, hurtownie farmaceutyczne, centra zarządzania krwiodawstwem i krwiolecznictwem oraz dystrybucji leków to ok. 1500 podmiotów. Mamy więc ogromne zapotrzebowanie w stosunku tylko do jednego sektora. Po prostu zabraknie nam specjalistów. Musimy to robić w zespołach, w centrach zarządzania kryzysowego, w tzw. SOK-ach, i musimy się posiłkować sektorowymi centrami kompetencji cyberbezpieczeństwa (CSIRT).
PFSz przeprowadza regularnie szkolenia z cyberbezpieczeństwa dla dyrektorów szpitali. Czy widać wzrost zainteresowania tą dziedziną?
W ubiegłym roku udało nam się przeszkolić 140 szpitali, co traktuję jako ogromny sukces. W tym roku zaczniemy w maju kolejne cykle szkoleń. Udało nam się w tym roku, dzięki współpracy z Ministerstwem Zdrowia, pojechać do Brukseli i do pomysłodawców regulacji europejskiej dotyczącej NIS. Zaprezentowaliśmy tam stanowisko polskich szpitali w ramach polskiej prezydencji i przekazaliśmy realne potrzeby, które wynikają z doświadczeń Polski. To się przekłada na elementy, jakie widzieliśmy przy działaniu chociażby właśnie teraz szpitala MSWiA, a wcześniej szpitala Matki Polki w Łodzi. Z racji tego, że szpitale, które do należą do PFsSz, są bardzo otwarte, myślą dynamicznie o implementacji najlepszych rozwiązań, to mam wrażenie, że implementacja tych rozwiązań jest coraz lepsza. Wszyscy nastawili się na cyfryzację.
Jednym z tych elementów, który jest chwilowo limiterem, jest dostępność do środków dla szpitali publicznych, dzięki którym można skorzystać z finansowania tego przedsięwzięcia. Mamy nadzieję na pozyskanie finansów z KPO w obszarze cyfryzacji.
W Polsce traktujemy cyberbezpieczeństwo w kategoriach innowacji, jako dodatkową funkcjonalność w ramach zarządzania brzegiem sieci i bezpieczeństwem danych, a nie w kategoriach podstawowych elementów bezpieczeństwa. Kiedy wejdzie ustawa o krajowym systemie cyberbezpieczeństwa w nowej wersji, to już będzie standard, który musimy mieć. Dlatego aktywnie pracujemy również z Centrum e-Zdrowia nad tym, żeby ten standard był później wdrażany i żeby przy tych rozwiązaniach, które CeZ będzie chciał widzieć, minimum bezpieczeństwa zostało jasno określone. Podniesienie poziomu bezpieczeństwa w kluczowych, wrażliwych obszarach jest elementarne z punktu widzenia narodowej odporności.
Cyberbezpieczeństwo jest jednym z priorytetów naszego przewodnictwa w Unii, więc powinniśmy dać przykład innym, prawda?
Państwa unijne mają różne podejście do tego obszaru. Ale dzięki naszej Koalicji na rzecz Cyberbezpieczeństwa w Ochronie Zdrowia i sektorowemu CSIRT w ramach CeZ Polska jest pierwszym państwem, które posiada ISC w rozumieniu dyrektywy unijnej. Mamy zatem forum eksperckie, które pozwala zarówno szpitalom, jak i poszczególnym interesariuszom zwrócić się o opinię i pomoc i przystąpić do NIS. Więc pomimo braku ustawy Polska jest już liderem w tym obszarze. Mamy przepisy unijne, wiemy, co mamy do zrobienia jako podstawowe minimum i w tym zakresie nikt nie próżnuje. Robota się robi.
Możemy powiedzieć, że w całej Europie najlepiej sobie poradziliśmy z tym obszarem. Porównując liczbę ataków, poważnych incydentów, czyli wyłączających permanentnie funkcjonowanie szpitali, spadła z dwóch na rok do zera. Bo to, że system jednego szpitala nie funkcjonował w pełni przez 10 godzin, w rozumieniu bezpieczeństwa całego państwa nie jest problemem. Oczywiście ograniczenie funkcjonalności szpitala na taki czas zawsze niesie ryzyko, ale najważniejsze jest to, żeby cały system udało się odtworzyć. Po prostu musimy być gotowi na to, żeby szybko otrząsnąć się z ciosu, pozbierać się i dalej robić swoje.
Proszę wymienić trzy najważniejsze obszary, na których pana zdaniem musimy się skoncentrować, żeby podnieść bezpieczeństwo szpitali.
Po pierwsze, zasoby wewnętrzne. Przede wszystkim musimy skoncentrować się na infrastrukturze wewnętrznej szpitala. Zinwentaryzować zasoby, pilnować porządków wewnątrz firmy. Musimy wiedzieć, jakie mamy urządzenia, co one robią, z czym „rozmawiają”, jakimi protokołami, na jakich zasadach, po których warstwach sieci: bezprzewodowo, przewodowo, czy jest to kamera transportująca obraz, czy jest to inteligentny zawór do termostatu, czy jest to komputer, czy jest to rezonans magnetyczny. Wszystkie te urządzenia są spięte w sieć i one „rozmawiają ze sobą”. Bardzo ważne jest to, żeby mieć pełną świadomość, jakie urządzenia, jak rozmawiają, którędy, skąd, jak, po co i dlaczego. Trzeba poukładać to, żeby było w całości zarządzane i monitorowane w sposób ciągły.
Po drugie, monitorowanie zewnętrzne brzegu sieci. Czyli zbudowanie mechanizmów, które pokazują, co nam wchodzi, co nam wychodzi i jakie to jest obciążenie. Dzięki temu możemy wychwycić wszelkie anomalie, gdzie na przykład ktoś się loguje z nieznanych obszarów albo pewne pakiety są wysyłane w sposób asynchroniczny – do tego są specjalne algorytmy, tak zwane instalowane systemy monitorowania.
Po trzecie, zewnętrzne zespoły reagowania, czyli tak zwane SOK-i, do zarządzania zdarzeniami. Dzięki nim można szybko i bezpiecznie przywracać funkcjonowanie infrastruktury. Nie da się wszystkiego oprzeć tylko na CeZ. Chodzi o to, żeby mieć zespół reagowania na incydenty gotowy na wyciągnięcie ręki.
Rekomenduję też ciągłe doskonalenie i kontakt z CeZ w zakresie nowych podatności i niebezpieczeństwa. Zapraszamy do Koalicji na rzecz Cyberbezpieczeństwa w Ochronie Zdrowia, gdzie bezpłatnie na bieżąco przedstawiamy rekomendacje szpitalom.
Przeczytaj także: „System raportowania incydentów – tego wymaga dyrektywa NIS2” i „NIS2 to wyższy poziom technologicznego bezpieczeństwa”.
