Widok listy

Cyberbezpieczeństwo placówki medycznej – nowe obowiązki managera podmiotu medycznego

bezpieczeństwo danych wrażliwych

Choć manager placówki medycznej na brak zajęć i obowiązków z pewnością nie narzeka, w dobie wszechobecnej informatyzacji i cyfryzacji danych powinien mieć na uwadze także tę dziedzinę. Okazuje się bowiem, że ciążą na nim szczególne obowiązki, jeśli chodzi o zapewnienie cyberbezpieczeństwa placówki medycznej i przetwarzanych przez nią danych wrażliwych. Szczegółowe informacje na ten gorący temat podczas jednego z naszych minionych webinarów zaprezentował Bartosz Kozłowski, ekspert ds. bezpieczeństwa, konsultant ds. systemów teleinformatycznych w biznesie i sektorze medycznym.

Kto i jaką ponosi odpowiedzialność za bezpieczeństwo danych w placówce?

Wbrew pozorom, nie tylko administrator IT jest odpowiedzialny za bezpieczeństwo IT w placówce medycznej. To manager podmiotu leczniczego powinien przykładowo przekazać szereg informacji dotyczących zakupu nowego komputera – czy konieczny jest sprzęt stacjonarny czy laptop, w jakim celu będzie wykorzystywany (np. przez lekarza, wykonującego wyłącznie wizyty domowe) itp. To również manager ma świadomość potrzeby biznesowej, a tym samym konkretnych parametrów, jakie kupowany sprzęt powinien spełniać.

Także w przypadku chęci tworzenia kopii bezpieczeństwa danych, to właśnie manager musi w pierwszej kolejności określić, które systemy lub jakie dane chce archiwizować, jak długo jest w stanie bez nich funkcjonować, czy też jak szybko powinna być możliwa do odtworzenia kopia zapasowa w przypadku ewentualnej awarii. Oznacza to, że zanim administrator IT podejmie działania dotyczące bezpieczeństwa, musi otrzymać od managera szereg informacji, w jakim kierunku jego działania powinny zmierzać. Tym samym bezpieczeństwo IT to nie jest odpowiedzialność za sprzęt i systemy – bezpieczeństwo IT jest potrzebą biznesową, a tym samym leży w gestii osób zarządzających daną placówką.

Wynika to z faktu, że to właśnie manager -podmiotu leczniczego – wykorzystując proces zarządzania ryzykiem – wie najlepiej, które zasoby są krytyczne do realizacji usług biznesowych w danej jednostce organizacyjnej. Ma on także najlepszą perspektywę do określenia zagrożeń i ich konsekwencji. Wreszcie, posiada narzędzia niezbędne do określenia parametrów, definiujących efektywność dobieranych mechanizmów ochronnych.

Bezpieczeństwo IT z perspektywy wymagań prawnych

Nie ulega wątpliwości, że formalną i bezpośrednią odpowiedzialność za działanie placówki medycznej, a tym samym za efektywne realizowanie procesu zarządzania ryzykiem ponosi kierownictwo danego podmiotu. To właśnie w jego kierunku będą kierowane wszelkie konsekwencje biznesowe i osobowe w przypadku ujawnionych zaniedbań. Podobnie w kwestii RODO i bezpieczeństwa danych osobowych – zgodnie z prawem, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, zarówno administrator, jak i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Konsekwencje mogą być bardzo bolesne – w sektorze prywatnym należy liczyć się z karą finansową do 20 mln euro lub do 4% światowego obrotu, a w sektorze publicznym – do 100 000 złotych.

Należy także zwrócić uwagę na zapisy Ustawy o Krajowym Systemie Cyberbezpieczeństwa, która dotyczy placówek zakwalifikowanych jako Operator Usług Kluczowych. Należą do nich zarówno podmioty lecznicze, jak i szpitale, NFZ oraz firmy zajmujące się wytworem, obrotem i dystrybucją produktów leczniczych. Każdy z takich podmiotów musi spełnić kilka wymogów – oprócz zarządzania ryzykiem teleinformatycznym (w tym szacowania tego ryzyka), podmioty powinny wdrożyć odpowiednie i proporcjonalne do oszacowanego ryzyka środki techniczne i organizacyjne, zbierać informacje o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty, obsługiwać incydenty i współpracować w tym zakresie z właściwym Zespołem Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT), a także wyznaczyć osobę do kontaktu na potrzeby Krajowego Systemu Cyberbezpieczeństwa.

Ustawa ta także wskazuje na szereg konsekwencji, jakie grożą w przypadku nie dopełnienia obowiązków. Kary finansowe dla podmiotów, w przypadku uportczywego zanidbania obowiązku, mogą wynieś do 1 miliona złotych, przy cym brak systematycznej analizy ryzyka wiaże się z karą do 150 tys. złotych, brak wdrożenia środkó zapobiegawczych w wyniku analizy ryzyk – do 100 tys. zł, a brak realizacji okresowych audytów lub niewdrażanie rekomendacji wiąże się z karą w wysokości do 200 tys. złotych. Należy jednak zwrócić uwagę takżę na fakt, że jeśli kierownik danego podmiotu „nie dochowa należytej staranności celem spełnienia obowiązków”, może otrzymać dodatkową karę pieniężną, nieprzekraczającą 200% jego miesięcznego wynagrodzenia.

Zagrożenia bezpieczeństwa – w co celują hakerzy i jakich metody używają?

Choć jeszcze kilka lat temu można było wskazać szereg rozmaitych grup, na jakie dzielili się hakerzy, od czasu pandemii w zasadzie wyróżnić można dwa podstawowe trendy, jeśli chodzi o hakowanie. Z jednej strony mamy grupy finansowane przez rząd – podobnie, jak większość krajów ma własne wojsko, analogicznie państwa mają także własne grupy, wyspecjalizowane w atakach informatycznych i działaniach na polu cyfrowym. Druga grupa, która znacznie zaczęła eksponować się w ostatnich latach, to wszystkie grupy zajmujące się atakami na szyfrowanie firm. To właśnie te grupy stosują ataki typu ransomware – przenikają do firm, szyfrują wszystkie dyski twarde, czyniąc dane przedsiębiorstwo praktycznie unieruchomionym, a następnie wysuwa żądanie okupu.

 

Wbrew pozorom jednak, rzadko kiedy ataki hakerów przypominają te, które znamy z hollywoodzkich produkcji. Cały czas najbardziej atrakcyjną i najbardziej skuteczną dla hakerów metodą ataku jest phishing, ponieważ jako społeczeństwo wciąż mamy bardzo wysoką łatwowierność, jeśli chodzi o to, co zobaczymy na ekranie. Mamy także mało szkoleń dotyczących zagrożeń bezpieczeństwa IT, przez co nasza niewiedza stanowi podwaliny działań hakerów. Tymczasem 95% wszystkich incydentów bezpieczeństwa IT spowodowanych jest przez ludzki błąd – a hakerzy wykorzystują proste zabiegi socjotechniczne, mające wzbudzić nasza ciekawość lub lęk, a tym samym zmanipulować nas i skierować na oczekiwane przez nich tory, celem zdobycia poufnych danych.

Należy mieć przy tym na uwadze, że zawsze najsłabszym ogniwem jest człowiek. Jak wyznał Kevin Mitnick w swojej książce pt. „Sztuka Podstępu” – „Łamałem ludzi, nie hasła”. Zdecydowana większość ataków skutkuje dlatego, że hakerzy wykorzystują niską świadomość pracowników, brak odpowiednich praktyk lub procesów dotyczących bezpieczeństwa, a także błędy technologiczne.

Kluczowe obszary cyberbezpieczeństwa w podmiocie medycznym

Aby zapewnić bezpieczeństwo IT w podmiocie leczniczym, przede wszystkim konieczne jest zwiększenie świadomości w tym obszarze na każdej płaszczyźnie pracowniczej, choćby poprzez systematyczne szkolenia. Konieczne jest także wdrożenie procesu zarządzania ryzykiem IT w sprawny, zwinny, poprawny i powtarzalny sposób. Wreszcie, należy zapewnić ciągłość operacyjną jednostki organizacyjnej, czyli ustalić procedury funkcjonowania podmiotu medycznego, gdy „zgaśnie światło” i którykolwiek z systemów przestanie działać. W efekcie nie tylko wdrożone, ale i okresowo testowane i aktualizowane powinny być Business Continuity Plan (BCP) czy też Disaster Recovery Plan (DRP), czyli plany funkcjonowania firmy lub przywrócenia jej dostępu do danych w sytuacjach kryzysowych.