W ostatnich latach coraz częściej zdarzają się ataki na jednostki ochrony zdrowia. I o ile to, co działo się w Stanach Zjednoczonych czy Indiach powodowało, że z dystansu przyglądaliśmy się zagrożeniom, niekiedy je ignorując, ostatnie wydarzenia w Polsce zaczęły nas niepokoić. Ransomware w Instytucie Centrum Zdrowia Matki Polki w Łodzi czy atak na sieć laboratoriów ALAB pokazują, że nasza infrastruktura jest coraz częściej punktem zainteresowania cyberprzestępców. W jaki sposób możemy zabezpieczyć się przed atakami?
W dzisiejszym świecie technologie informacyjne, wykorzystywane w sektorze ochrony zdrowia odgrywają kluczową role. Dzięki digitalizacji pozwalają zmniejszać barierę dostępu do wyników badań pacjentów i dają lekarzom dostęp do pełnej historii leczenia pacjenta. Pomimo wielu korzyści postęp w cyfryzacji pociąga za sobą zagrożenia dla bezpieczeństwa przetwarzanych danych oraz zapewnienia ciągłości świadczenia usług medycznych. Dane z Data Protection Trends Report 2023 firmy Veeam pokazały, że w ostatnim roku w najbardziej dotkliwych atakach ransomware na branżę ochrony zdrowia zaszyfrowanych lub zniszczonych zostało około 39% danych, a jedynie 55% z nich udało się odzyskać. Oznacza to, że sektor ochrony zdrowia szuka rozwiązań pozwalających zapewnić poufność, dostępność i integralność danych medycznych pacjentów.
Narodowy Fundusz Zdrowia wspiera cyberochronę
Na początku listopada 2022 r. Instytut Centrum Zdrowia Marki Polki padł ofiarą ataku ransomeware – złośliwego oprogramowania szyfrującego dane lub systemy, z myślą żądania okupu za ich odblokowanie. Może mieć on poważne konsekwencje. Na przykład łódzka placówka zmuszona była do wyłączenia na jakiś czas wszystkich systemów informatycznych.
W odpowiedzi na ten atak Narodowy Fundusz Zdrowia uruchomił fundusz wsparcia dla szpitali, w ramach którego placówki medyczne mogą ubiegać się o dodatkowe środki na rozwój infrastruktury IT i danych. Bezpośrednio po ataku NFZ podpisał ze szpitalami 650 umów o wartości ok. 270 mln zł.
– Reakcja na atak na łódzką placówkę była natychmiastowa z perspektywy systemu. To jednak nie wystarczy, żeby zapewnić pełne bezpieczeństwo podmiotom na rynku ochrony zdrowia. Tym bardziej że analizy przypadków pokazują, że kluczowe w ochronie cybernetycznej jest przestrzeganie procedur bezpieczeństwa i odpowiednie szkolenie ludzi. A tego nie zapewni nawet najlepsza infrastruktura – komentuje ekspert ds. cyberbezpieczeństwa w DEKRA Tomasz Szczygieł.
Praktyki, które pomagają minimalizować ryzyka
Pytaniem, które pojawia się u decydentów placówek medycznych jest to, co można zrobić, żeby wyeliminować ryzyka ataków na infrastrukturę ośrodków zdrowia, bez względu na ich rozmiar. Bo co warto podkreślić – celem stają się nie tylko duże jednostki, ale także małe ośrodki.
Jednym z rozwiązań może być zastosowanie systemu bezpieczeństwa informacji, opartego na wymaganiach normy PN-EN ISO/IEC 27001:2023-08 Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności - Systemy zarządzania bezpieczeństwem informacji – Wymagania. Składa się ona z dwóch elementów: wymagań dotyczących systemu zarządzania i konkretnych, wylistowanych w załączniku A zabezpieczeń.
To pierwsze określa kontekst organizacji, strony zainteresowane, wymagania prawne, określenie odpowiedzialności i uprawnień członków organizacji czy zdefiniowanie niezbędnych kompetencji personelu i określenie ryzyka, czyli w skrócie zbudowanie ram dla bezpiecznego funkcjonowania systemu.
To drugie określa już konkretne zabezpieczenia z obszarów całej organizacji, zasobów ludzkich, bezpieczeństwa fizycznego i zasobów technicznych.
- Norma pokazuje, jak wiele aspektów składa się na pełne zabezpieczenie organizacji przed atakami cybernetycznymi. Systemy czy infrastruktura nie są w stanie samodzielnie funkcjonować – potrzebują całego systemu zabezpieczeń, w tym szczegółowego określenia odpowiedzialności i poziomów dostępu do danych w organizacji i szkoleń personelu, aby być w pełni wydajnymi – zaznacza Szczygieł.
Budowa systemu bezpieczeństwa informacji zgodnego z wymaganiami ISO/IEC 27001:2022 pozwala na zminimalizowanie prawdopodobieństwa wystąpienia incydentu bezpieczeństwa, a w przypadku jego wystąpienia na efektywną i skuteczną odpowiedź adekwatną do zaistniałej sytuacji.
Modyfikacje normy ISO/IEC 27001
Podejście systemowe do zarządzania bezpieczeństwem informacji redukuje ryzyko niespełnienia wymagań prawnych, a także w przypadku wystąpienia incydentu naruszającego ochronę danych jest okolicznością łagodzącą wymiar kary nakładanej przez Prezesa Urzędu Ochrony Danych Osobowych.
Warto również wspomnieć o normie ISO/IEC 27701, która modyfikuje wymagania bezpieczeństwa informacji zawarte w ISO/IEC 27001, uwzględniając specyfikę ochrony prywatności. Daje organizacji gwarancję regularnego weryfikowania zbudowanego systemu zarządzania bezpieczeństwem informacji (w tym ochrony prywatności), a tym samym umożliwia ciągłe doskonalenie zapewnienia poufności i eliminację słabych punktów.
Na fundamencie ISO/IEC 27001, norma ISO/IEC 27701 obejmuje zarządzanie ryzykami związanymi z informacjami umożliwiającymi identyfikację osób (PII) i wspomaga zgodność z przepisami RODO.
Certyfikowanie systemu bezpieczeństwa informacji na zgodność z normą ISO/IEC 27001 i ISO/IEC 27701 jest wyrazem troski jednostki ochrony zdrowia o swoich pacjentów, ale także zapewnia zabezpieczenie interesów jej pracowników i osób zarządzających. Poprzez ciągłe doskonalenie systemu redukuje ryzyko wystąpienia naruszeń ochrony danych skutkujących odpowiedzialnością cywilną i/lub karną za błędy popełnione podczas zabezpieczanie przetwarzanych danych.
- Dbałość o prywatność danych osobowych jest kluczowa – to właśnie pozyskanie danych jest głównym celem ataków cybernetycznych, bo to za nie żąda się okupu. Postępowanie zgodnie z normami i pełne zabezpieczenie systemów z perspektywy różnych obszarów pozwoli na znaczne zminimalizowanie ryzyk cybernetycznych – podsumowuje Tomasz Szczygieł.
Wg Dekra
foto pixabay
Oni tu zostają
„Zostaję!” to hasło nowej kampanii promującej Gorzów, która ma zwrócić uwagę na zalety naszego miasta, dzięki którym jest ono doskonałym ...
<czytaj dalej>Pielgrzymki
Tegoroczna piesza pielgrzymka powołaniowa odbędzie się w sobotę w sobotę 27 kwietnia.
Wyjście pielgrzymki na trasę z Paradyża do Rokitna nastąpi ...
<czytaj dalej>200 lat dla pani Zofii
Nieczęsto zdarza się, aby tradycyjnie śpiewane „sto lat”, z racji chwili, modyfikowano w sekwencji życzeń na lat „dwieście”. Tak właśnie ...
<czytaj dalej>Prezydent w ministerstwie
Prezydent Gorzowa w Ministerstwie Nauki i Szkolnictwa Wyższego.
- Z doświadczenia wiem, że najważniejsze są relacje bezpośrednie. Ustalenia, które zapadają wtedy ...
<czytaj dalej>