Jak ochronić placówkę medyczną przed cyberatakiem?

Sektor zdrowia to jedna z najbardziej istotnych sfer usług publicznych. Placówki zdrowotne są dysponentami wrażliwych i niezwykle cennych danych. Ten fakt nie umyka uwadze cyberprzestępców. Okolicznościami, które skłaniają do ich działania są świadomość, że wyciek danych lub blokada urządzeń mogą spowodować paraliż funkcjonowania placówki – co rodzi presję na zarządzających, zwiększającą ich skłonność do akceptacji żądań przestępców, w połączeniu z często niewystarczającym systemem zabezpieczeń IT.

Jak wskazują eksperci ds. cyberbezpieczeństwa, kosztownym efektem z perspektywy ofiary ataku mogą być straty finansowe wynikające zarówno z kar za naruszenie zasad przetwarzania informacji podlegających ochronie, jak również odszkodowań, o które mogą wystąpić pacjenci. Jak wskazują specjaliści Stormshield, przestępcy mogą zwracać się bezpośrednio do osób, w których dane posiadanie weszli, grożąc ich upublicznieniem.

Ataki coraz bardziej wyrafinowane

Przestępcy działają w sposób coraz bardziej wyrafinowany. Ich ataki na sektor zdrowia często są skuteczne, o czym ostatnio miał okazję przekonać się szpital w Gliwicach. Z placówki wyciekły dane pacjentów, którzy korzystali w niej z wymazów w kierunku SARS-CoV2. Jak przyznano, były to m.in. imiona, nazwiska i numery PESEL, a te dane mogą posłużyć oszustom na przykład do zaciągania kredytów.

Każdy tego rodzaju incydent będzie miał swoje konsekwencje finansowe. Na początku 2021 roku Urząd Ochrony Danych Osobowych nakazał przedsiębiorcy z sektora ochrony zdrowia zawiadomienie jego pacjentów o naruszeniu ich danych osobowych oraz przekazanie im zaleceń dotyczących zminimalizowania potencjalnych negatywnych skutków incydentu. Zobligowany do działania podmiot nie wykonał zaleceń i w efekcie została na niego nałożona kara w wysokości 85 tys. złotych. (źródło: 2021.07.29-Rejestr-kar-pienieznych-Prezesa-UODO).

– Polska ustawa o ochronie danych osobowych przewiduje mniejsze niż w innych krajach kary dla podmiotów sektora finansów publicznych. W przypadku szpitali w wysokości do 100 000 złotych. Wciąż jednak to znacząca kwota dla budżetu każdej placówki medycznej. A problem należy również analizować uwzględniając aspekt odszkodowań. Pacjenci, których dane zostały naruszone mogą składać pozwy sądowe, w których będą dochodzić zadośćuczynienia skutków cyberataków – mówi Aleksander Kostuch, ekspert Stormshield, europejskiego lidera w sektorze bezpieczeństwa IT.

Presja na sektor zdrowia nieustannie rośnie

Wzmożone zainteresowanie cyberprzestępców potwierdzają dane – we wrześniu 2021 roku liczba ataków w porównaniu do analogicznego okresu w 2020 zwiększyła się o 55 proc. Średnio każdego tygodnia przestępcy atakują sektor zdrowia 750-krotnie. W tym kontekście istotnym wydarzeniem było wprowadzenie obowiązku prowadzenia i wymiany dokumentacji medycznej drogą elektroniczną. Po wdrożeniu EDM wzrosły znaczenie i rola systemów informatycznych, za pomocą których gromadzone i przetwarzane są dane osobowe, w tym dane medyczne.

– Częstotliwość ataków na placówki ochrony zdrowia wynika między innymi z faktu, że instytucje te nie posiadają odpowiednich zasobów IT, a ich pracownicy nie zawsze są świadomi zagrożeń. Wyzwaniem jest również brak świadomości wśród administratorów sieci, że celem ataku mogą być nie tylko stacje robocze i serwery, a także każde inne urządzenie podłączone do internetu – ocenia Aleksander Kostuch, inżynier Stormshield.

Czytaj też: Modernizacja infrastruktury IT w Uniwersyteckim Szpitalu Dziecięcym w Krakowie