123RF
Jak zabezpieczyć sektor zdrowia przed cyberatakami?
Redaktor: Jacek Janik
Data: 10.01.2024
Źródło: DEKRA
Ataki cyfrowe na placówki ochrony zdrowia zdarzają się coraz częściej, także w Polsce. Ransomware w Instytucie Centrum Zdrowia Matki Polki w Łodzi czy atak na sieć laboratoriów ALAB pokazują, że nasza infrastruktura jest coraz częściej punktem zainteresowania cyberprzestępców. Jak przed tym się chronić?
Przede wszystkim bezpieczeństwo
W dzisiejszym świecie technologie informacyjne, wykorzystywane w sektorze ochrony zdrowia odgrywają kluczową rolę. Dzięki digitalizacji pozwalają zmniejszać barierę dostępu do wyników badań pacjentów i dają lekarzom dostęp do pełnej historii leczenia pacjenta.
Pomimo wielu korzyści postęp w cyfryzacji pociąga za sobą zagrożenia dla bezpieczeństwa przetwarzanych danych oraz zapewnienia ciągłości świadczenia usług medycznych. Dane z Data Protection Trends Report 2023 firmy Veeam pokazały, że w ostatnim roku w najbardziej dotkliwych atakach ransomware na branżę ochrony zdrowia zaszyfrowanych lub zniszczonych zostało około 39 proc. danych, a jedynie 55 proc. z nich udało się odzyskać. To pokazuje, że sektor ochrony zdrowia szuka rozwiązań pozwalających zapewnić poufność, dostępność i integralność danych medycznych pacjentów.
Na początku listopada 2022 roku Instytut Centrum Zdrowia Marki Polki padł ofiarą ataku ransomware – złośliwego oprogramowania szyfrującego dane lub systemy, z myślą żądania okupu za ich odblokowanie. Może mieć on poważne konsekwencje – na przykład łódzka placówka zmuszona była do wyłączenia na pewnien czas wszystkich systemów informatycznych.
W odpowiedzi na ten atak Narodowy Fundusz Zdrowia uruchomił fundusz wsparcia dla szpitali, w ramach którego placówki medyczne mogą ubiegać się o dodatkowe środki na rozwój infrastruktury IT i danych. Bezpośrednio po ataku NFZ podpisał ze szpitalami 650 umów o wartości niemal 270 milionów złotych.
– Reakcja na atak na łódzką placówkę była natychmiastowa z perspektywy systemu. To jednak nie wystarczy, żeby zapewnić pełne bezpieczeństwo podmiotom na rynku ochrony zdrowia. Tym bardziej że analizy przypadków pokazują, że kluczowe w ochronie cybernetycznej jest przestrzeganie procedur bezpieczeństwa i odpowiednie szkolenie ludzi. A tego nie zapewni nawet najlepsza infrastruktura – ocenia Tomasz Szczygieł, ekspert ds. cyberbezpieczeństwa w DEKRA.
Pomagają minimalizować ryzyka
Pytaniem, które pojawia się u decydentów placówek medycznych, jest to, co można zrobić, żeby wyeliminować ryzyka ataków na infrastrukturę ośrodków zdrowia, bez względu na ich rozmiar. Ponieważ – co warto podkreślić – celem stają się nie tylko duże jednostki, lecz także małe.
Jednym z rozwiązań może być zastosowanie systemu bezpieczeństwa informacji, opartego na wymaganiach normy PN-EN ISO/IEC 27001:2023-08 Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – Systemy zarządzania bezpieczeństwem informacji – Wymagania.
Składa się ona z dwóch elementów – wymagań dotyczących systemu zarządzania i konkretnych, wymienionych w załączniku A zabezpieczeń.
To pierwsze określa kontekst organizacji, strony zainteresowane, wymagania prawne, określenie odpowiedzialności i uprawnień członków organizacji czy zdefiniowanie niezbędnych kompetencji personelu i określenie ryzyka, czyli w skrócie zbudowanie ram dla bezpiecznego funkcjonowania systemu.
To drugie określa już konkretne zabezpieczenia z obszarów całej organizacji, zasobów ludzkich, bezpieczeństwa fizycznego i zasobów technicznych.
– Norma pokazuje, jak wiele aspektów składa się na pełne zabezpieczenie organizacji przed atakami cybernetycznymi. Systemy czy infrastruktura nie są w stanie samodzielnie funkcjonować – potrzebują całego systemu zabezpieczeń, w tym szczegółowego określenia odpowiedzialności i poziomów dostępu do danych w organizacji i szkoleń personelu, aby być w pełni wydajnymi – zaznacza Szczygieł.
Budowa systemu bezpieczeństwa informacji zgodnego z wymaganiami ISO/IEC 27001:2022 pozwala na zminimalizowanie prawdopodobieństwa wystąpienia incydentu bezpieczeństwa, a w przypadku jego wystąpienia na efektywną i skuteczną odpowiedź adekwatną do zaistniałej sytuacji.
Modyfikacje normy ISO/IEC 27001
Podejście systemowe do zarządzania bezpieczeństwem informacji redukuje ryzyko niespełnienia wymagań prawnych, a także w przypadku wystąpienia incydentu naruszającego ochronę danych jest okolicznością łagodzącą wymiar kary nakładanej przez prezesa Urzędu Ochrony Danych Osobowych.
Warto też wspomnieć o normie ISO/IEC 27701, która modyfikuje wymagania bezpieczeństwa informacji zawarte w ISO/IEC 27001, uwzględniając specyfikę ochrony prywatności. Daje organizacji gwarancję regularnego weryfikowania zbudowanego systemu zarządzania bezpieczeństwem informacji (w tym ochrony prywatności), a tym samym umożliwia ciągłe doskonalenie zapewnienia poufności i eliminację słabych punktów.
Na fundamencie ISO/IEC 27001 norma ISO/IEC 27701 obejmuje zarządzanie ryzykami związanymi z informacjami umożliwiającymi identyfikację osób (PII) i wspomaga zgodność z przepisami RODO.
Certyfikowanie systemu bezpieczeństwa informacji na zgodność z normą ISO/IEC 27001 i ISO/IEC 27701 jest wyrazem troski jednostki ochrony zdrowia o swoich pacjentów, a także zapewnia zabezpieczenie interesów jej pracowników i osób zarządzających. Poprzez ciągłe doskonalenie systemu redukuje ryzyko wystąpienia naruszeń ochrony danych skutkujących odpowiedzialnością cywilną i/lub karną za błędy popełnione podczas zabezpieczania przetwarzanych danych.
– Dbałość o prywatność danych osobowych jest kluczowa – to właśnie pozyskanie danych jest głównym celem ataków cybernetycznych, bo to za nie żąda się okupu. Postępowanie zgodnie z normami i pełne zabezpieczenie systemów z perspektywy różnych obszarów pozwoli na znaczne zminimalizowanie ryzyk cybernetycznych – podsumowuje Tomasz Szczygieł.
Przeczytaj także: „Kolejne dane z cyberataku trafiły do sieci”.
W dzisiejszym świecie technologie informacyjne, wykorzystywane w sektorze ochrony zdrowia odgrywają kluczową rolę. Dzięki digitalizacji pozwalają zmniejszać barierę dostępu do wyników badań pacjentów i dają lekarzom dostęp do pełnej historii leczenia pacjenta.
Pomimo wielu korzyści postęp w cyfryzacji pociąga za sobą zagrożenia dla bezpieczeństwa przetwarzanych danych oraz zapewnienia ciągłości świadczenia usług medycznych. Dane z Data Protection Trends Report 2023 firmy Veeam pokazały, że w ostatnim roku w najbardziej dotkliwych atakach ransomware na branżę ochrony zdrowia zaszyfrowanych lub zniszczonych zostało około 39 proc. danych, a jedynie 55 proc. z nich udało się odzyskać. To pokazuje, że sektor ochrony zdrowia szuka rozwiązań pozwalających zapewnić poufność, dostępność i integralność danych medycznych pacjentów.
Na początku listopada 2022 roku Instytut Centrum Zdrowia Marki Polki padł ofiarą ataku ransomware – złośliwego oprogramowania szyfrującego dane lub systemy, z myślą żądania okupu za ich odblokowanie. Może mieć on poważne konsekwencje – na przykład łódzka placówka zmuszona była do wyłączenia na pewnien czas wszystkich systemów informatycznych.
W odpowiedzi na ten atak Narodowy Fundusz Zdrowia uruchomił fundusz wsparcia dla szpitali, w ramach którego placówki medyczne mogą ubiegać się o dodatkowe środki na rozwój infrastruktury IT i danych. Bezpośrednio po ataku NFZ podpisał ze szpitalami 650 umów o wartości niemal 270 milionów złotych.
– Reakcja na atak na łódzką placówkę była natychmiastowa z perspektywy systemu. To jednak nie wystarczy, żeby zapewnić pełne bezpieczeństwo podmiotom na rynku ochrony zdrowia. Tym bardziej że analizy przypadków pokazują, że kluczowe w ochronie cybernetycznej jest przestrzeganie procedur bezpieczeństwa i odpowiednie szkolenie ludzi. A tego nie zapewni nawet najlepsza infrastruktura – ocenia Tomasz Szczygieł, ekspert ds. cyberbezpieczeństwa w DEKRA.
Pomagają minimalizować ryzyka
Pytaniem, które pojawia się u decydentów placówek medycznych, jest to, co można zrobić, żeby wyeliminować ryzyka ataków na infrastrukturę ośrodków zdrowia, bez względu na ich rozmiar. Ponieważ – co warto podkreślić – celem stają się nie tylko duże jednostki, lecz także małe.
Jednym z rozwiązań może być zastosowanie systemu bezpieczeństwa informacji, opartego na wymaganiach normy PN-EN ISO/IEC 27001:2023-08 Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – Systemy zarządzania bezpieczeństwem informacji – Wymagania.
Składa się ona z dwóch elementów – wymagań dotyczących systemu zarządzania i konkretnych, wymienionych w załączniku A zabezpieczeń.
To pierwsze określa kontekst organizacji, strony zainteresowane, wymagania prawne, określenie odpowiedzialności i uprawnień członków organizacji czy zdefiniowanie niezbędnych kompetencji personelu i określenie ryzyka, czyli w skrócie zbudowanie ram dla bezpiecznego funkcjonowania systemu.
To drugie określa już konkretne zabezpieczenia z obszarów całej organizacji, zasobów ludzkich, bezpieczeństwa fizycznego i zasobów technicznych.
– Norma pokazuje, jak wiele aspektów składa się na pełne zabezpieczenie organizacji przed atakami cybernetycznymi. Systemy czy infrastruktura nie są w stanie samodzielnie funkcjonować – potrzebują całego systemu zabezpieczeń, w tym szczegółowego określenia odpowiedzialności i poziomów dostępu do danych w organizacji i szkoleń personelu, aby być w pełni wydajnymi – zaznacza Szczygieł.
Budowa systemu bezpieczeństwa informacji zgodnego z wymaganiami ISO/IEC 27001:2022 pozwala na zminimalizowanie prawdopodobieństwa wystąpienia incydentu bezpieczeństwa, a w przypadku jego wystąpienia na efektywną i skuteczną odpowiedź adekwatną do zaistniałej sytuacji.
Modyfikacje normy ISO/IEC 27001
Podejście systemowe do zarządzania bezpieczeństwem informacji redukuje ryzyko niespełnienia wymagań prawnych, a także w przypadku wystąpienia incydentu naruszającego ochronę danych jest okolicznością łagodzącą wymiar kary nakładanej przez prezesa Urzędu Ochrony Danych Osobowych.
Warto też wspomnieć o normie ISO/IEC 27701, która modyfikuje wymagania bezpieczeństwa informacji zawarte w ISO/IEC 27001, uwzględniając specyfikę ochrony prywatności. Daje organizacji gwarancję regularnego weryfikowania zbudowanego systemu zarządzania bezpieczeństwem informacji (w tym ochrony prywatności), a tym samym umożliwia ciągłe doskonalenie zapewnienia poufności i eliminację słabych punktów.
Na fundamencie ISO/IEC 27001 norma ISO/IEC 27701 obejmuje zarządzanie ryzykami związanymi z informacjami umożliwiającymi identyfikację osób (PII) i wspomaga zgodność z przepisami RODO.
Certyfikowanie systemu bezpieczeństwa informacji na zgodność z normą ISO/IEC 27001 i ISO/IEC 27701 jest wyrazem troski jednostki ochrony zdrowia o swoich pacjentów, a także zapewnia zabezpieczenie interesów jej pracowników i osób zarządzających. Poprzez ciągłe doskonalenie systemu redukuje ryzyko wystąpienia naruszeń ochrony danych skutkujących odpowiedzialnością cywilną i/lub karną za błędy popełnione podczas zabezpieczania przetwarzanych danych.
– Dbałość o prywatność danych osobowych jest kluczowa – to właśnie pozyskanie danych jest głównym celem ataków cybernetycznych, bo to za nie żąda się okupu. Postępowanie zgodnie z normami i pełne zabezpieczenie systemów z perspektywy różnych obszarów pozwoli na znaczne zminimalizowanie ryzyk cybernetycznych – podsumowuje Tomasz Szczygieł.
Przeczytaj także: „Kolejne dane z cyberataku trafiły do sieci”.
