Zadbaj o bezpieczeństwo danych w swojej placówce medycznej!
W dobie rosnących cyberzagrożeń, ochrona danych medycznych to kluczowy element funkcjonowania każdej placówki ochrony zdrowia. Branża medyczna operuje danymi o najwyższym poziomie wrażliwości, dlatego nieustanne podnoszenie kompetencji pracowników w zakresie cyberbezpieczeństwa jest koniecznością. Za bezpieczeństwo przetwarzanych danych odpowiada cały zespół placówki medycznej, nie tylko zespół informatyczny, dlatego w tym artykule jak i podczas organizowanych przez nas szkoleń kładziemy nacisk na zrozumienie cyberzagrożeń przez pracowników różnych zespołów, zaczynając od kadry zarządzającej, przez personel medyczny i administracyjny, kończąc na zespołach IT. Takie podejście ma na celu zwiększenie zaangażowania w ochronę danych także przez osoby spoza działu IT, na co dzień nie mające styczności z tematami ataków hackerskich i cyberzagrożeń. Pokazujemy, jak drobne zmiany w codziennym zachowaniu i większa uwaga mogą znacząco zmniejszyć ryzyko incydentów, chroniąc placówki przed poważnymi konsekwencjami.
O tym, że dane medyczne stanowią dane o szczególnym poziomie wrażliwości, nikogo nie trzeba przekonywać. Filmy science fiction często przedstawiają futurystyczne wizje kontroli jednostki poprzez dostęp do pełni jej danych – od informacji genetycznych po historię leczenia i stan zdrowia. W rzeczywistości, takie dane są równie cenne dla cyberprzestępców, którzy mogą je wykorzystywać do szantażu, kradzieży tożsamości, czy nawet manipulowania danymi medycznymi pacjentów. Konieczność ochrony danych pacjentów wynika również z przepisów prawa, kluczowe regulacje to m. in. RODO, ustawa o działalności leczniczej, rekomendacje i zarządzenia Ministerstwa Zdrowia oraz NFZ.
Ostatnie lata to znaczący wzrost informatyzacji sektora ochrony zdrowia i coraz większe uzależnienie podmiotów od systemów informatycznych, a także coraz większa digitalizacja danych. Elektroniczna dokumentacja medyczna, e-recepty i systemy zarządzania placówkami zdrowia stały się standardem, co nie tylko usprawnia procesy lecznicze, ale też zwiększa ryzyko cyberataków. Wraz z rosnącą liczbą urządzeń i systemów podłączonych do sieci, placówki medyczne stają się coraz bardziej podatne na ataki, które mogą paraliżować ich działalność, blokować dostęp do danych, a nawet bezpośrednio zagrażać zdrowiu pacjentów paraliżując placówkę i uniemożliwiając przeprowadzanie planowanych zabiegów. Bez odpowiednich zabezpieczeń i przeszkolenia personelu, zagrożenia te mogą mieć katastrofalne skutki, zarówno dla bezpieczeństwa danych, jak i ciągłości świadczonych usług medycznych.
Statystyki zgłaszanych cyberataków na placówki medyczne w Polsce wskazują wzrost w ostatnich latach. Według danych Ministerstwa Cyfryzacji i CERT Polska, w 2021 roku zarejestrowano 13 incydentów dotyczących placówek medycznych, a w 2022 roku liczba ta wzrosła do 43. Choć liczby te mogą wydawać się stosunkowo niskie, pokazują istotny trend wzrostowy. Należy też pamiętać, że statystyki obejmują jedynie zidentyfikowane i zgłoszone incydenty, zwłaszcza te o poważnym znaczeniu, co oznacza, że faktyczna liczba ataków może być znacznie wyższa. W skali globalnej sektor ochrony zdrowia jest jednym z najczęściej atakowanych, z blisko 1800 atakami tygodniowo, co stanowi wzrost o 74% w 2022 roku (źródło https://www.pap.pl/aktualnosci/latwe-zrodlo-zyskow-dla-hakerow-wzrosla-liczba-cyberatakow-na-placowki-medyczne). Do cyberataków na placówki dochodzi regularnie, przykładem może być incydent, który miał miejsce w Centrum Zdrowia Matki Polki, gdzie hakerzy zablokowali dostęp do systemów informatycznych, co zakłóciło normalne funkcjonowanie placówki. Kilka miesięcy później, Centralny Szpital Kliniczny w Łodzi również padł celem podobnego ataku, jednak tym razem podejrzane działania zostały szybko wykryte, a specjaliści od cyberbezpieczeństwa profilaktycznie wyłączyli systemy, aby zapobiec większym stratom.
Przypadki zgłaszanych cyberataków na placówki medyczne pokazują, że zagrożenia te niosą ze sobą nie tylko zakłócenia w funkcjonowaniu szpitali, ale również mogą prowadzić do poważnych konsekwencji finansowych. Przykładem jest przypadek ALAB Laboratoria, jednej z największych sieci laboratoriów diagnostycznych w Polsce, gdzie w wyniku cyberataku hakerzy uzyskali dostęp do danych osobowych pacjentów. UODO wszczął postępowanie, a wysokość nałożonej kary może wynieść nawet do 20 mln euro lub 4% rocznego obrotu firmy ( https://cyberdefence24.pl/cyberbezpieczenstwo/kontrola-uodo-w-alab-laboratoria-spolka-zaplaci-gigantyczna-kare)
Podobnie, spółka American Heart of Poland SA została ukarana prawie 1,5 mln zł po ataku hakerskim, który skutkował wyciekiem danych osobowych około 21 tysięcy osób. Atak ujawnił liczne zaniedbania w zakresie zabezpieczeń, takie jak brak aktualizacji oprogramowania czy niewłaściwa ochrona danych medycznych na dyskach sieciowych (https://uodo.gov.pl/pl/138/3273).
Powyższe przykłady pokazują, jak ważne jest posiadanie odpowiednich procedur wykrywania i reagowania na incydenty. Szybkie działania personelu oraz odpowiednie zabezpieczenia mogą zapobiec eskalacji ataku i minimalizować jego skutki. W związku z rosnącą liczbą incydentów, inwestowanie w szkolenia z zakresu cyberbezpieczeństwa oraz w systemy ochrony staje się koniecznością, aby chronić nie tylko dane, ale i zdrowie pacjentów. Warto zwrócić uwagę, że koszty szkoleń z cyberbezpieczeństwa dla branży medycznej są stosunkowo niewysokie, zwłaszcza biorąc pod uwagę potencjalne straty wynikające z wycieków danych. Dodatkowo placówki mogą skorzystać z dofinansowania ze środków NFZ, co reguluje np. Zarządzenie Prezesa Narodowego Funduszu Zdrowia nr 8/2023, które umożliwia finansowanie działań na rzecz podniesienia poziomu bezpieczeństwa teleinformatycznego w placówkach medycznych.
Szkolenia są także rekomendowane przez Centrum e-Zdrowia w ramach Planu działania w zakresie cyberbezpieczeństwa w ochronie zdrowia. Zgodnie z dokumentem „Rekomendacje Centrum E-Zdrowia w zakresie budowy systemów cyberbezpieczeństwa”, regularne szkolenia są kluczowym elementem strategii, mającym na celu utrzymanie wysokiego poziomu świadomości pracowników i zapobieganie potencjalnym zagrożeniom. Rozbudowa systemu bezpieczeństwa, obejmująca m.in. szkolenia jako proces w organizacji, jest niezbędna do skutecznej ochrony danych i ciągłości działania placówek medycznych (https://www.cez.gov.pl/sites/default/files/paragraph.attachments.field_attachments/2023-02/plan_dzialania_w_zakresie_cyberbezpieczenstwa_w_ochronie_zdrowia_02.2023.pdf).
Autorka: Klara Trzcińska
Sprawdź ofertę szkoleń przygotowanych przez ekspertów Pentacomp:
Szkolenie z cyberbezpieczeństwa dla personelu medycznego
Szkolenie z cyberbezpieczeństwa dla zespołów informatycznych
Szkolenie z cyberbezpieczeństwa dla kadry zarządzającej placówkami medycznymi