Medexpress: Jakie zagrożenia cybernetyczne stanowią największe wyzwanie dla placówek medycznych?
Sebastian Bronecki: W obecnej cyberprzestrzeni placówki medyczne napotykają na wiele złożonych zagrożeń. Najbardziej powszechne to narażenie na wycieki danych, które mogą wynikać zarówno z zewnętrznych ataków, jak i z nieumyślnych działań wewnętrznych pracowników, którzy mogą nieświadomie udostępniać wrażliwe informacje. Innym znaczącym zagrożeniem jest atak typu ransomware, polegający na szyfrowaniu lub blokowaniu urządzeń przechowujących dane w szpitalu. W takich sytuacjach cyberprzestępcy często żądają okupu w zamian za odszyfrowanie danych.
Medexpress: Czy w Polsce odnotowano już bardziej poważne incydenty związane z tego typu atakami cybernetycznymi?
Sebastian Bronecki: Tak, jednak polskie placówki medyczne z reguły nie decydują się na wypłacanie okupów, głównie z powodów finansowych oraz braku odpowiednich regulacji prawnych w tym zakresie. Ponadto, odpowiadanie na tego typu żądania jest niezalecane z etycznego punktu widzenia. W codziennej praktyce placówek medycznych pojawiają się jednak inne, mniej spektakularne zagrożenia. Przykładowo, bardzo powszechne stało się tzw. phishing, polegający na wysyłaniu fałszywych e-maili mających na celu wyłudzenie od ofiary wrażliwych informacji, takich jak loginy czy hasła. W okresie pandemii często spotykanym zagrożeniem były wiadomości sugerujące konieczność zaszczepienia się przeciwko COVID-19. Gdy odbiorca takiego e-maila podaje swoje dane dostępowe, atakujący uzyskuje dostęp do jego systemu. Jeśli jest to komputer pracownika placówki medycznej, przestępca może uzyskać dostęp do wewnętrznej sieci placówki, co niesie za sobą ryzyko kradzieży wrażliwych danych czy manipulacji transakcjami finansowymi. Kluczowe jest posiadanie odpowiednich narzędzi do wykrywania i przeciwdziałania takim zagrożeniom.
Medexpress: Czy placówki medyczne, które doświadczają ataków cybernetycznych, mogą zostać pociągnięte do odpowiedzialności prawnej lub narażone na kary administracyjne za niezapewnienie odpowiednich środków bezpieczeństwa dla wrażliwych danych?
Sebastian Bronecki: Tak, istnieją precyzyjne regulacje prawne dotyczące tego aspektu, a placówki medyczne, w tym w szczególności szpitale, są do nich zobowiązane. Zgodnie z tymi przepisami, placówki są zobowiązane do zgłaszania wszelkich incydentów bezpieczeństwa w określonym czasie. Niestety, w Polsce temat ten nie jest na tyle eksponowany, jak powinien, co prowadzi do sytuacji, w której nie wszystkie placówki zgłaszają zaistniałe incydenty. Często, z obawy przed negatywnym wpływem na reputację, takie sytuacje są ukrywane przed opinią publiczną, co hamuje rozwój świadomości na temat cyberbezpieczeństwa w sektorze medycznym. To jest poważny problem, który wymaga większej uwagi.
Medexpress: Czy ataki na polskie placówki medyczne, o których Pan wie, były losowe czy celowane?
Sebastian Bronecki: Ataki cybernetyczne na placówki medyczne mogą przyjmować różne formy i być motywowane różnymi celami. W ostatnich latach były sytuacje, w których atakujący blokowali kluczowe systemy medyczne, w tym te używane na oddziałach intensywnej terapii, żądając okupu za ich odblokowanie. Takie ataki mogą mieć poważne konsekwencje dla pacjentów i mogą stanowić zagrożenie dla ich życia. Jednak warto zaznaczyć, że takie sytuacje są skrajne i nie są normą w świecie cyberbezpieczeństwa. W niektórych przypadkach ataki są celowane i kierowane na zlecenie, gdzie celem jest zdobycie konkretnych danych lub po prostu danych, które można sprzedać.
Medexpress: Czy w kontekście polskiego systemu opieki zdrowotnej istnieje ryzyko zdalnego zablokowania sprzętu używanego na oddziałach intensywnej terapii?
Sebastian Bronecki: W erze cyfryzacji, każde urządzenie podłączone do Internetu jest potencjalnie narażone na ataki cybernetyczne. W międzynarodowym kontekście, zwłaszcza w USA, odnotowano przypadki, gdzie placówki medyczne były zmuszone do płacenia znacznych sum okupu w zamian za odblokowanie kluczowego sprzętu medycznego. Chociaż takie sytuacje są alarmujące, są one również przestrogą dla innych systemów opieki zdrowotnej na całym świecie, w tym w Polsce, o konieczności inwestowania w zaawansowane rozwiązania w zakresie cyberbezpieczeństwa.
Medexpress: Jak placówki medyczne mogą skutecznie zabezpieczyć się przed cyberatakami?
Sebastian Bronecki: Kluczowym elementem w zapewnieniu cyberbezpieczeństwa jest edukacja i świadomość pracowników. Statystyki wskazują, że znacząca część wycieków danych, zarówno zamierzonych, jak i przypadkowych, pochodzi od wewnętrznych użytkowników systemu. Dlatego niezwykle ważne jest regularne szkolenie personelu w zakresie rozpoznawania i reagowania na potencjalne zagrożenia, takie jak phishing czy spreparowane faktury.
Kluczową praktyką jest nauka identyfikacji podejrzanych adresów e-mail. Na przykład, subtelna zmiana w domenie, taka jak zamiana "mm" na "mn", może być trudna do zauważenia na pierwszy rzut oka, ale ma kluczowe znaczenie w identyfikacji prób oszustwa.
Rekomenduję również przeprowadzanie regularnych testów wewnętrznych, w których dział IT wysyła spreparowane e-maile, aby monitorować reakcje pracowników i identyfikować obszary wymagające dodatkowego szkolenia.
Oprócz edukacji, niezbędne jest inwestowanie w zaawansowane narzędzia i technologie zabezpieczające, które chronią infrastrukturę IT placówki przed zewnętrznymi i wewnętrznymi zagrożeniami.
Medexpress: Proszę opisać kluczowe narzędzia zalecane do zastosowania w placówkach medycznych w celu zapewnienia optymalnego poziomu cyberbezpieczeństwa.
Sebastian Bronecki: W kontekście sektora medycznego, kluczowe są zaawansowane systemy ochrony danych i infrastruktury IT. Pozwolę sobie przedstawić najważniejsze z nich, podkreślając ich funkcjonalność i znaczenie:
- XDR (Extended Detection and Response): To kompleksowe rozwiązanie integrujące różnorodne technologie bezpieczeństwa. Umożliwia ono efektywne wykrywanie, analizę oraz reagowanie na potencjalne zagrożenia, integrując przy tym ochronę urządzeń końcowych, sieci, poczty elektronicznej oraz serwerów.
- Ochrona Urządzeń Końcowych (Endpoint Protection): Stanowi fundament każdej strategii bezpieczeństwa. Działa jako tarcza ochronna dla urządzeń takich jak komputery, laptopy czy smartfony, chroniąc je przed zagrożeniami takimi jak oprogramowanie złośliwe, ataki typu ransomware czy próby włamań.
- Skanery Podatności: Automatycznie analizują systemy oraz aplikacje w poszukiwaniu potencjalnych luk w bezpieczeństwie. Dzięki nim możliwe jest szybkie wykrycie i naprawa podatności, zanim zostaną one wykorzystane przez niepożądane podmioty.
- Narzędzia Klasy NDR (Network Detection and Response): Monitorują ruch sieciowy, identyfikując niekonwencjonalne wzorce, które mogą sugerować nieautoryzowaną lub szkodliwą aktywność.
- Next-Generation Firewalls (NGFW): To nowoczesne systemy zapor sieciowych, które łączą tradycyjne funkcje zabezpieczeń z zaawansowanymi mechanizmami, takimi jak filtrowanie treści czy ochrona przed intruzjami. Dzięki nim możliwe jest głębsze monitorowanie i kontrola ruchu sieciowego.
Medexpress: Proszę nam przybliżyć najważniejsze regulacje prawne, zarówno na poziomie krajowym, jak i unijnym, które wpływają na cyberbezpieczeństwo placówek medycznych w Polsce.
Sebastian Bronecki: Na poziomie unijnym, najważniejszym aktem prawnym jest "Dyrektywa NIS2", która została stworzona w celu zabezpieczenia i ochrony danych gospodarczych w państwach członkowskich Unii Europejskiej. Dyrektywa ta nakłada na państwa członkowskie obowiązek wdrożenia krajowej strategii cyberbezpieczeństwa, a także wprowadzenia szczegółowych przepisów dotyczących zarządzania ryzykiem i obowiązków sprawozdawczych. Warto podkreślić, że Dyrektywa NIS2 została przyjęta pod koniec 2022 roku, a państwa członkowskie mają czas do końca września 2024 roku na jej pełne wdrożenie.
Dla placówek medycznych oznacza to konieczność dostosowania się do nowych wymogów, co wiąże się z inwestycjami w nowoczesne systemy bezpieczeństwa. Należy jednak zwrócić uwagę, że koszty takich inwestycji mogą być znaczące, w wielu przypadkach sięgające od kilkuset tysięcy do nawet kilku milionów złotych. Ponadto, skuteczne wdrożenie tych systemów wymaga specjalistycznej wiedzy i doświadczenia, co może oznaczać konieczność zatrudnienia dodatkowych ekspertów lub współpracy z zewnętrznymi firmami specjalizującymi się w cyberbezpieczeństwie.
Medexpress: W świetle obowiązujących przepisów prawnych, które nakładają na placówki medyczne pewne wymogi w zakresie cyberbezpieczeństwa, czy istnieją mechanizmy wsparcia finansowego ze strony NFZ, które umożliwiłyby realizację tych wymogów?
Sebastian Bronecki: Absolutnie tak. Narodowy Fundusz Zdrowia zainicjował specjalistyczny program dofinansowania mający na celu podniesienie standardów bezpieczeństwa cyfrowego w placówkach medycznych. Beneficjentami tego programu mogą być placówki świadczące usługi w zakresie leczenia szpitalnego, rehabilitacji leczniczej, lecznictwa uzdrowiskowego, a także opieki psychiatrycznej i leczenia uzależnień. Wsparcie finansowe może osiągnąć wartość do 900 tys. zł, przy czym jego wysokość jest kalkulowana na podstawie wartości kontraktu zawartego z NFZ.
Dofinansowanie może być przeznaczone na zakup oraz implementację zaawansowanych technologii i systemów zabezpieczających. Wśród nich znajdują się m.in. systemy do tworzenia kopii zapasowych, oprogramowanie antywirusowe, narzędzia do kontroli dostępu, a także specjalistyczne systemy, takie jak skanery podatności czy next-generation firewall. Ponadto, placówki mają możliwość inwestowania w szkolenia z zakresu cyberbezpieczeństwa dla swojego personelu. Celem tego programu jest zredukowanie ryzyka związanego z potencjalnymi cyberatakami, które mogą zagrozić funkcjonowaniu placówek oraz bezpieczeństwu pacjentów.