Sektor zdrowia: dane medyczne nie są bezpieczne, a zainteresowanie nimi ze strony przestępców nie maleje. 400 ataków tygodniowo a w perspektywie dyrektywy europejskie – na takie realia zwracają uwagę przedstawiciele podmiotów medycznych.
Branża medyczna stoi wobec wyzwania, jakim jest dopasowanie bezpieczeństwa własnych systemów IT do wymogów dyrektyw NIS2 i CER. Nakładają one na placówki medyczne szereg wymagań dotyczących ich komunikacji cyfrowej ze światem zewnętrznym, co wciąż pozostaje problemem. Spełnienie tych wymogów jest istotne również w kontekście polityki, bowiem dane medyczne mogą stać się narzędziem szantażu i wywierania presji na decydentów, mówiono podczas Kongresu Wyzwań Zdrowotnych. W opinii uczestników sesji „Ochrona danych medycznych i cyberbezpieczeństwo w praktyce”, stan zabezpieczeń w polskiej ochronie zdrowia anegdotycznie można ująć w dwóch lub trzech słowach – „jest dobrze lub nie jest dobrze”.
Dane medyczne istotne również w kontekście polityki
Jak oceniają uczestnicy sesji „Ochrona danych medycznych i cyberbezpieczeństwo w praktyce” branża wciąż działa nieco chaotycznie, ciesząc się w duchu że „atak nas nie dotknął”. Jak mówił uczestniczący w debacie Janusz Cieszyński realia w Polsce są takie, że za bezpieczeństwo się nie płaci, a za brak odpowiednich rozwiązań w praktyce się nie karze. Głośne przypadki udanych działań wymierzonych w placówki medyczne pozwalają zrozumieć że ataki to nie abstrakcja. To na nich system się uczy dbałości o bezpieczeństwo i dzięki nim rośnie świadomość.
Placówki medyczne są w coraz większym stopniu świadome zagrożeń, wiedząc także, że nie można mieć 100 proc. pewności, co do własnego bezpieczeństwa. Jednym z wyzwań wobec, których staje sektor zdrowia jest pozyskanie specjalistów, zaznajomionych ze specyfiką branży. To istotny aspekt właśnie z uwagi na konieczność uzyskania zgodności z wymogami dyrektyw europejskich. Dyrektywa CER zobowiązuje państwa członkowskie do przyjęcia strategii, której celem będzie wzmocnienie odporności podmiotów krytycznych. Jej wdrożenie to perspektywa 2027 roku. Z kolei NIS2 (jej wymogi należy wdrożyć do 17.10.2024 roku) wprowadza m.in. obowiązek raportowania incydentów a także bezpośrednią odpowiedzialność kierownictwa firmy za zarządzanie ryzykiem. Placówki medyczne będą musiały stosować środki ochrony adekwatne do ryzyka, a także sprostać wymaganiom w zakresie zarządzania, obsługi i ujawniania luk w zabezpieczeniach. Będą też zobowiązane do testowania cyberbezpieczeństwa, między innymi planu ciągłości działania oraz zostały zobligowane do efektywnego wykorzystywania szyfrowania.
Również w opinii dyskutantów, dla zapewnienia maksimum bezpieczeństwa IT niezbędne są odpowiednie rozwiązania (a sprawność funkcjonowania systemu zależna jest od ich fachowej obsługi) oraz świadomość zagrożeń wśród całego personelu. Wynika to z przeświadczenia o znaczeniu czynnika ludzkiego w systemie bezpieczeństwa oraz faktu, że wciąż jest on jednym z jego najsłabszych elementów. Jako przykład rozwiązania podnoszącego poziom bezpieczeństwa w dyskusji wskazano SIEM oraz odpowiednią politykę zarządzania dostępem do danych.
System SIEM, który pozwala monitorować ruch sieciowy urządzeń jest dobrym narzędziem w walce z zagrożeniami. Dzięki niemu można automatycznie generować raporty o incydencie oraz mamy możliwość automatycznego wymuszenia wskazanych w procedurze działań, które pomogą w blokowaniu nieuprawnionych prób przeprowadzenia hurtowego wypływu danych. Wygenerowane raporty oraz analiza przedstawią nam obraz stanu bezpieczeństwa, w wyniku, którego możemy przeprowadzić działania prowadzące do wzmocnienia ochrony przed nieautoryzowanym wyciekiem wrażliwych informacji.
Cieszy mnie, gdy ze strony kadry zarządzającej szpitalami słychać głosy o konieczności stosowania odpowiedniej polityki dostępowej oraz potrzebie inwestycji w systemy SOC, gdzie jednym z elementów jest SIEM. To dowód, że świadomość co do zasad cyberbezpieczeństwa rośnie, a to dobra wiadomość.
Aleksander Kostuch, ekspert w dziedzinie cybersecurity z firmy Stormshield
Niewystarczająco zabezpieczony łańcuch dostaw zagrożeniem
Obszarem na który zwrócono uwagę w dyskusji były wideokonferencje, w czasie których przetwarzane mogą być wrażliwe informacje, co skłania do refleksji co do zabezpieczenia łańcucha dostaw. To kwestia istotna na przykład w sektorze samorządowym, gdyż zdaniem osób zajmujących się bezpieczeństwem IT w JST problemem jest niewystarczająca świadomość po stronie organizacji, które tworzą ich łańcuch dostaw. Jednak zjawisko dotyczy nie tylko samorządów.
To doskonale ilustruje jeden z głównych trendów, z jakimi mamy do czynienia obecnie. Przestępcy obierają sobie za cel podmioty tworzące łańcuch dostaw, by wykorzystując je jako nić, dzięki której, niczym po kłębku, dostaną się do zasobów organizacji docelowej. Może nią być zarówno placówka medyczna jak i na przykład gmina lub powiat.
Aleksander Kostuch, ekspert w dziedzinie cybersecurity z firmy Stormshield
By temu skutecznie przeciwdziałać również kluczowe są odpowiednie rozwiązania techniczne i działania miękkie, w tym edukacja mieszkańców i pracowników.
Niezbędne jest wzmacnianie infrastruktury IT o nowoczesne firewalle, systemy ochrony stacji końcowych, jakimi są systemy EDR czy stosowanie systemów monitorowania i informowania o incydentach typu SIEM. Brak mechanizmów nadzoru i kontroli, sprawia, że można stać się łatwym celem dla przestępców.
Aleksander Kostuch, ekspert w dziedzinie cybersecurity z firmy Stormshield
***
Health Challenges Congress (Kongres Wyzwań Zdrowotnych), 7-8.03.2024, Katowice. Jedna z największych w Polsce debat poświęconych ochronie zdrowia, której organizatorem jest Rynek Zdrowia i Grupa PTWP. Sesja „Ochrona danych medycznych i cyberbezpieczeństwo w praktyce” odbyła się w piątek, 8.03.
Niniejszy materiał zawiera komentarze do wypowiadanych podczas sesji opinii.