4 grudnia 2023

Cyberodporność potrzebna od zaraz

cyberodporność 1

Poniżej prezentujemy artykuł artykuł autorstwa Andrzeja Sokołowskiego (OSSP) i Adama Majewskiego (KomaNord), jaki ukazał się na łamach Menedżera Zdrowia.

CYBERODPORNOŚĆ POTRZEBNA OD ZARAZ

Placówki medyczne potrzebują najnowszych rozwiązań w zakresie cyberbezpieczeństwa. Niedawny atak hakerski, który dotknął ALAB Laboratoria, stanowi kolejny alarmujący sygnał dla całego sektora opieki zdrowotnej.

Podmioty medyczne, będące depozytariuszami ogromnych ilości danych osobowych i medycznych, stanęły przed poważnym wyzwaniem zabezpieczenia tych informacji. Wyciek danych z ALAB Laboratoria, jednej z największych sieci laboratoriów medycznych w Polsce, pokazał, jak poważne mogą być konsekwencje ich naruszenia – od kradzieży tożsamości po potencjalne wykorzystanie wrażliwych informacji medycznych. Zagrożone są zarówno duże, rozbudowane organizacje, jak i mniejsze szpitale, laboratoria czy przychodnie. Nielegalne pozyskanie przez hakerów danych osobowych oraz wyników badań uwydatnił skalę problemu, który wymaga natychmiastowych rozwiązań.

Atak na ALAB Laboratoria powinien posłużyć jako przestroga dla wszystkich placówek medycznych. W dobie rosnącego zagrożenia cyberatakami, wzmocnienie cyberbezpieczeństwa to nie tylko kwestia technologiczna, ale przede wszystkim strategiczna, mająca na celu ochronę najważniejszego dobra – zdrowia i prywatności pacjentów. Potwierdzają to także dane Ministerstwa Cyfryzacji, według których liczba zgłoszonych cyberataków na placówki ochrony zdrowia w Polsce w ciągu roku wzrosła trzykrotnie.

Problem ten dostrzega Ogólnopolskie Stowarzyszenie Szpitali Prywatnych (OSSP), które podejmuje działania na rzecz poprawy poziomu cyberbezpieczeństwa placówek medycznych. Wiosną roku 2022 OSSP otrzymało z kilku różnych źródeł informacje o cyberatakach na infrastrukturę medyczną. Ostrzeżenia były przekazywane do szpitali członkowskich. Ochrona przed tym zagrożeniem okazała się trudna i bardzo kosztowna (jeden ze szpitali członkowskich wydał na swoje cyberbezpieczeństwo kilka milionów złotych). Wówczas przeważył pogląd o ochronie systemowej, tańszej dla szpitali, a jednocześnie bardziej profesjonalnej i skutecznej.

Kilka miesięcy później, w listopadzie, 2022 roku, OSSP zaprosiło swoich członków na webinar pod tytułem „(Nie)bezpieczny szpital – ochrona przed cyberatakami”. Omówiono wówczas potencjał i możliwości dla polskich prywatnych szpitali w ramach „Planu działania w zakresie cyberbezpieczeństwa w ochronie zdrowia” oraz przekazano informacje o możliwościach skorzystania z dofinansowania inwestycji w zakresie podniesienia poziomu cyberbezpieczeństwa. W lutym, 2023 roku, w Warszawie odbyła się konferencja, zorganizowana przez OSSP i Pracodawców Rzeczypospolitej Polskiej nt. „Cyberbezpieczeństwo w jednostkach ochrony zdrowia”. Wśród omawianych tematów znalazły się m.in. historia cyberataków w Polsce i na świecie, otoczenie prawne – wymogi i zagrożenia. Ogólnopolskie Stowarzyszenie Szpitali Prywatnych zorganizowało także zespół ekspertów, uzupełniony o członków Pracodawców Medycyny Prywatnej, informatyków i prawników. Zaproponowano przedstawicielom Ministerstwa Zdrowia, Narodowego Funduszu Zdrowia rozwiązanie systemowe, lecz pomimo pilności sprawy negocjacje toczyły się powoli i w końcu utknęły.

Tymczasem, przypadek ALAB Laboratoria jest kolejnym ostrzeżeniem, że skala takich ataków będzie się nasilać, ponieważ cyberprzestępcy wykorzystują specyfikę pracy służby zdrowia. Jest to bowiem taki obszar życia publicznego, który musi funkcjonować w trybie ciągłym. Nie można przecież przerwać leczenia pacjentów, wstrzymać badań, diagnostyki itd. ponieważ może to doprowadzić to zagrożenia życia i zdrowia chorych. O ile jeszcze kilka lat temu w wielu przypadkach ataki hakerów polegały na zaszyfrowaniu systemów informatycznych atakowanej placówki medycznej lub innej instytucji i wymuszaniu okupu w zamian za odszyfrowanie danych, tak teraz skupiają się w pierwszej kolejności na kradzieży danych i dodatkowo szyfrowaniu systemów. W takim przypadku, nawet, jeżeli zaatakowana placówka medyczna będzie w stanie sprawnie przywrócić do działania systemy informatyczne (np. poprzez odtworzenie danych z kopii zapasowych) to naraża się na ogromne straty finansowe i wizerunkowe związane z wyciekiem danych osobowych, poufnych i wrażliwych. Ochrona przed takimi zdarzeniami wymaga monitorowania systemów informatycznych i ruchu sieciowego w trybie 24×7 i natychmiastowego podejmowania działań w przypadku incydentów bezpieczeństwa. Z tego powodu budowanie cyberodporności sektora ochrony zdrowia stało się nie tylko odpowiedzialnością poszczególnych podmiotów, ale także problemem społecznym, dla którego należy nieustannie poszukiwać adekwatnych i skutecznych rozwiązań.

W procesie zwiększania odporności na cyberataki należy stworzyć infrastrukturę informatyczną opartą o sprawdzone i nowoczesne praktyki tworzenia zabezpieczeń. Stosując terminologię medyczną warto w tym procesie zacząć od zastosowania „cyfrowej higieny” w organizacji pracy placówki ochrony zdrowia. Przede wszystkim należy zapewnić odpowiednie narzędzia, które pozwolą na bezpieczny dostęp do baz danych, komunikację wewnętrzną i zewnętrzną, a także pracę na odległość. Istotne wymagania w tym zakresie wprowadza dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej, czyli tzw. Dyrektywa NIS2. Obejmuje ona swym działaniem m.in. ochronę zdrowia i ma na celu wzmocnienie i usystematyzowanie wymogów dotyczących bezpieczeństwa cybernetycznego. Niezmiernie istotne jest także to, że przewiduje ona znaczne zwiększenie kar za naruszenie wymogów bezpieczeństwa cyfrowego oraz rozszerza zakres odpowiedzialności oraz czynności, które należy podejmować. W zależności od podmiotu, kary są bardzo dotkliwe i mogą wynosić kwotę 10 milionów euro, albo 2% całkowitego rocznego światowego obrotu przedsiębiorstwa. Wszystkie wymienione argumenty potwierdzają zatem postawioną wcześniej tezę, aby sięgać po rozwiązania systemowe i kompleksowe.

W walce z cyberprzestępczością, sektor ochrony zdrowia mógł liczyć na pomoc rządową. Dotychczasowe programy finansowania działań w celu podniesienia poziomu bezpieczeństwa systemów teleinformatycznych, zarządzone przez prezesa NFZ, skupiały się na jednorazowym zakupie rozwiązań w obszarach zapewnienia ciągłości działania na wypadek zdarzeń losowych lub ataków typu ransomware. Oczywiście są to obszary kluczowe i bardzo dobrze, że w 2022 i 2023 roku takie finansowania były dostępne. Należy mieć nadzieję, że programy te będą kontynuowane w kolejnych latach. Jednakże warto je zmodyfikować, adekwatnie do zmieniających się zagrożeń i dostępnych rozwiązań w zakresie cyberbezpieczeństwa. Przede wszystkim zmiana powinna obejmować możliwość regularnego finansowania profesjonalnych usług w zakresie cyberbezpieczeństwa, a nie tylko zakupu systemów i narzędzi do stosowania przez wewnętrzne działy IT. Szpitale oraz inne placówki medyczne nie są bowiem wielkimi korporacjami, które posiadają rozbudowane i jednocześnie bardzo kosztowne w utrzymaniu działy bezpieczeństwa informatycznego (tzw. Security Operations Center), dlatego zdecydowanie lepszym rozwiązaniem w ich przypadku może być skorzystanie z outsourcingu IT.

Firmy świadczące zaawansowane usługi w zakresie cyberbezpieczeństwa w ramach miesięcznej opłaty zapewniają zestaw niezbędnych narzędzi pozwalających monitorować wszystko, co dzieje się w środowisku informatycznym i przede wszystkim natychmiastowo reagować na pojawiające się zagrożenia w trybie 24/7. Kolejną ważną zaletą takiej usługi jest to, że można ją uruchomić nawet w przeciągu kilku, kilkunastu dni. Dla porównania wdrożenie w środowisku własnym tej klasy narzędzi i budowa własnego Security Operations Center wymaga czasu rzędu kilkunastu miesięcy. Czy w dobie stale rosnących ilości ataków oraz zmieniających się zagrożeń można tracić tyle czasu i pozostać narażonym na ataki? Osoby zarządzające muszą same sobie odpowiedzieć na te pytania, uwzględniając również odpowiedzialności wynikające ze wspomnianej już dyrektywy NIS2 oraz ustawy o ochronie danych osobowych.

Potrzebne jest zatem ścisłe i systemowe współdziałanie pomiędzy sektorem ochrony zdrowia, liderami branży IT oraz instytucjami rządowymi. Przykładem takiego partnerstwa jest współpraca OSSP z firmami Koma Nord i Cyber360. Proponowane przez nie rozwiązania są kompleksowe i zapewniają efektywność w czterech zasadniczych obszarach cyberbezpieczeństwa – wykrywaniu, analizie, badaniu i reakcji. Wykorzystując swoje wieloletnie doświadczenia rynkowe w dziedzinie systemów bezpieczeństwa, projektujemy, wdrażamy oraz integrujemy optymalne rozwiązania, dostosowane do potrzeb i wymagań naszych klientów – mówi Adam Majewski, członek Zarządu Koma Nord. Ponadto, oprócz podstawowych mechanizmów zabezpieczeń kopii zapasowych, poczty elektronicznej, brzegu sieci itd., rekomendujemy usługę klasy MDR (Managed Detection and Response). Jest to rozwiązanie, które zapewnia nie tylko monitorowanie i informowanie klienta o wykrytych anomaliach, ale przede wszystkim pozwala na natychmiastową reakcję celowaną w konkretne zagrożenia, zarówno w sposób automatyczny, poprzez dostarczane narzędzia, jak i manualny, poprzez zespół ekspertów centrum usługi MDR – podkreśla Adam Majewski.

MDR polega na ciągłym monitorowaniu ruchu sieciowego oraz danych związanych z infrastrukturą IT organizacji. Chodzi o to, aby jak najszybciej wykrywać niebezpieczne aktywności. Specjaliści przeprowadzają ich analizę, określają charakter i potencjalne ryzyka. Dzięki temu można nie tylko wykrywać incydenty, ale przede wszystkim podejmować odpowiednie działania w celu ich zneutralizowania. Usługa MDR jest szczególnie przydatna dla organizacji, które nie posiadają wystarczających zasobów ani narzędzi w dziedzinie bezpieczeństwa informatycznego, aby efektywnie chronić się przed zaawansowanymi zagrożeniami. Dzięki tej usłudze mogą one zwiększyć swoje możliwości w zakresie wykrywania, reagowania i neutralizacji potencjalnie szkodliwych działań w środowisku IT. Nie muszą samodzielnie zarządzać infrastrukturą, ani zatrudniać własnych zespołów ds. bezpieczeństwa. Otrzymują całodobową pomoc specjalistów ds. cybersecurity zapewnianą przez ekspertów centrum operacyjnego usługi MDR.

W budowie „cyberodporności” podmiotów medycznych można stosować wiele opcji, jednak warunkiem koniecznym jest ich systemowość i dostosowanie do potrzeb, specyfiki i organizacji danej placówki. Działanie według ogólnych wzorców niesie bowiem ze sobą ryzyko pominięcia istotnych parametrów funkcjonowania danej organizacji. W przypadku sektora ochrony zdrowia ta specyfika jest szczególnie istotna w budowie cyfrowej odporności. Dlatego potrzebne są kompleksowe rozwiązania „od zaraz”, które może dopasować, dostarczyć i wdrożyć doświadczony i kompetentny integrator.

Andrzej Sokołowski
Adam Majewski

Tutaj do pobrania artykuł w wersji PDF. Artykuł ukazał się także w serwisie Menedżer Zdrowia – tutaj.

Doświadczenie

20 lat działalności - ponad 150 szpitali

20 lat działalności na rzecz rozwoju opieki zdrowotnej w Polsce z aktywnym udziałem sektora szpitali prywatnych

Szpitali
+ 0
Podmioty
+ 0

Copyright © 2022 Ogólnopolskie Stowarzyszenie Szpitali Prywatnych. All Rights Reserved.