Autor : Anna Jackowska
2022-03-22 12:48
Czasopismo OSOZ opublikowało raport z najnowszymi wytycznymi, dzięki którym można się dowiedzieć, jak chronić się przed cyberatakami, zabezpieczyć dane pacjentów i stosować w praktyce przepisy RODO. Dokument „Bezpieczeństwo danych w placówkach ochrony zdrowia” przygotowany został w odpowiedzi na alarmująco szybko rosnącą liczbę ataków cybernetycznych na placówki ochrony zdrowia.
Karolina Szuścik, Inspektor Ochrony Danych w Kamsoft S.A. przypomina, że podmioty medyczne przetwarzają niezwykle wrażliwe dane - dane o zdrowiu. - Dlatego menedżerowie oraz wszyscy pracownicy ochrony zdrowia powinni być świadomi, że kwestie bezpieczeństwa informacji będą miały coraz większy wpływ na ich codzienne obowiązki. Stąd ważne jest, aby monitorować trendy wynikające z dynamicznie zmieniającego się otoczenia cybernetycznego - wskazuje.
Polecamy także: Kolejna awaria systemu informatycznego w ostatnich dniach
Raport „Bezpieczeństwo danych w placówkach ochrony zdrowia” skierowany jest do wszystkich pracowników placówek ochrony zdrowia. Każdy pracownik szpitala, przychodni, gabinetu lekarskiego, laboratorium, apteki - niezależnie od roli - odpowiada za bezpieczeństwo informacyjne. Znajomość aktualnych zaleceń i zagrożeń pomoże zwiększyć poziom ochrony informacyjnej.
Opisuje następujące zagadnienia:
sposób działania cyberprzestępców;
8 elementów systemu bezpieczeństwa informacji;
procedura analizy ryzyka zagrożeń cyberbezpieczeństwa;
metody zabezpieczeń przed atakami hakerów;
zasady RODO w praktyce;
porady dotyczące podnoszenia kompetencji cyfrowych personelu.
W 2020 r. ofiarą hakerów padło ok.18 mln kartotek pacjentów. To aż o 470 proc. więcej niż w 2019 r.
Cyberprzestępcy zdają sobie sprawę, że w podmiotach medycznych poziom ochrony danych jest z reguły niższy niż w innych branżach. Kartoteki pacjentów to informacje wrażliwe, stąd łatwiej szantażować i zastraszać ofiary ataków. Zwłaszcza od czasu wybuchu pandemii COVID-19, przeciążone pracą szpitale stały się wyjątkowo łatwym celem przestępczości internetowej. Nie mając żadnych skrupułów, hakerzy najczęściej blokują pracę komputerów oraz żądają okupu grożąc upublicznieniem danych lub ich wykasowaniem. Konsekwencje mogą być dramatyczne: paraliż pracy, kary finansowe, kryzys wizerunkowy, stres personelu. Cyberataki zagrażają także bezpieczeństwu pacjenta i ciągłości leczenia.
Ataki na opiekę zdrowotną są zjawiskiem międzynarodowym, niezależnie od tego, czy ich celem jest wymuszenie okupu od świadczeniodawców, kradzież dokumentacji medycznej i własności intelektualnej, czy też podważenie zaufania publicznego.
W 2017 roku, tzw. WannaCry zaatakował ponad 600 podmiotów medycznych brytyjskiej ochrony zdrowia, zakłócając dostęp do krytycznych informacji oraz powodując konieczność odwołania 19 000 wizyt. Po tych atakach, w Wielkiej Brytanii postanowiono zainwestować 150 mln funtów w bezpieczeństwo systemu NHS.
Wolne od ataków nie są też Stany Zjednoczone, co pokazuje poniższa grafika:
Ataki na ochronę zdrowia są rzadko rejestrowane i zgłaszane do organów bezpieczeństwa. Wiele organizacji nie wie, jak postępować, gdyż nie mają odpowiednich kompetencji i procedur bezpieczeństwa cybernetycznego. Ponadto, obawa przed odpowiedzialnością karną lub utratą reputacji utrudnia zgłaszanie incydentów bezpieczeństwa, podobnie jak brak wiary w to, że przestępcy zostaną złapani i ukarani.
Z praktyki wynika, że wiele placówek nie wdrożyło systemu bezpieczeństwa informacji oraz zaniedbuje podstawowe zasady, takie jak tworzenie kopii zapasowych baz danych w czasie rzeczywistym. Nie istnieje jednak jeden uniwersalny standard ochrony danych.
- Codziennie pojawiają się nowe odmiany złośliwego oprogramowania, a hakerzy sięgają do coraz bardziej wyrafinowanych metod. Oprócz rzetelnego oszacowania ryzyka i opracowania systemu bezpieczeństwa informacji, trzeba też pamiętać o tworzeniu obowiązkowej dokumentacji m.in. polityki procedur. Tutaj nie ma miejsca na przypadkowe działania, bo bezpieczeństwo informacji to proces, który trzeba na bieżąco monitorować i udoskonalać - tłumaczy Karolina Szuścik.
Eksperci zalecają tzw. wielowarstwowy system ochrony oparty na „modelu sera szwajcarskiego”. Składa się on z barier technologicznych, proceduralnych i związanych z zasobami ludzkimi. Gdy jedna warstwa zawiedzie, atak może jeszcze powstrzymać inny element tarczy ochronnej.
Wejście w życie ogólnego rozporządzenia o ochronie danych (RODO) narzuciło nowe wymagania, które nadal dla wielu podmiotów pozostają wyzwaniem. Jakby było tego mało, rosnąca skala cyberataków powoduje, że zabezpieczenia trzeba systematycznie aktualizować i wzmacniać. Autorzy raportu porządkują wiedzę w tym zakresie. Wskazują, że istnieją trzy bazowe dokumenty, które placówki medyczne powinny poznać w pierwszej kolejności:
Kodeks postępowania dla sektora ochrony zdrowia;
Kodeks postępowania RODO dla małych placówek medycznych;
Przewodnik po RODO w służbie zdrowia.
Zaś najważniejsze trzy zasady, które stanowią absolutne minimum w każdym podmiocie przetwarzającym dane medyczne, to:
analiza ryzyka, identyfikacja zagrożeń oraz adekwatnych środków technicznych, fizycznych i organizacyjnych oraz podnoszenie świadomości w organizacji;
dokonywanie regularnych pen-testów, ciągłe doskonalenie stosowanych zabezpieczeń dla zagrożeń związanych z cyberprzestępczością;
wykonywanie regularnych kopii danych i szyfrowanie danych.
Warto skorzystać też z tzw. testu równowagi, który polega na wyważeniu interesu administratora realizowanego w związku z konkretną czynnością przetwarzania danych, a interesami lub podstawowymi prawami i wolnościami osób, których dane dotyczą.
Raport został przygotowany przez czasopismo o digitalizacji OSOZ Polska we współpracy z dostawcą oprogramowania dla ochrony zdrowia KAMSOFT S.A. Dokument oraz webinar dla podmiotów ochrony zdrowia dostępne są tutaj.
Polecamy także:
E-recepta na IKP dostępna bez internetu. Na razie w wersji testowej
Najniższe wynagrodzenia – jak założenia komentują związki zawodowe?
Praca dla lekarzy z Ukrainy. Informację znajdą na infolinii NFZ