Na początku listopada doszło do głośnego cyberataku na jeden z dużych szpitali w Łodzi. Jak przekonują eksperci Asseco nie jest to odosobniona sytuacja. Tylko w zeszłym roku w Polsce miało miejsce kilkanaście udokumentowanych przypadków skutecznych ataków na jednostki opieki zdrowotnej. Osoby odpowiedzialne za ich cyberbezpieczeństwo wskazują, że prób złamania zabezpieczeń są tysiące dziennie. Służba zdrowia jest coraz bardziej świadoma skali zagrożeń, ale wciąż brakuje wiedzy i specjalistów.
Z perspektywy cyberprzestępców jednostki opieki zdrowotnej są szczególnie atrakcyjnym celem. Destabilizacja ich pracy zagraża zdrowiu i życiu pacjentów. Atakujący liczą na to, że uda im się wywrzeć presję na decydentach i zmusić ich np. do zapłacenie okupu w zamian za odszyfrowanie danych. Ponadto informacje medyczne mają ogromną wartość na czarnym rynku. Jak wynika z raportu Fierce Healthcare, koszt nielegalnego zakupu danych uwierzytelniających do mediów społecznościowych to 1 dolar. Natomiast cena jaką trzeba zapłacić za wykradzione dane medyczne jednego pacjenta, może wynieść nawet tysiąc dolarów.
Ogromna skala ataków na szpitale
Zdaniem Jana Butkiewicza, prezesa zarządu, Krajowego Operatora Chmury Medycznej, z grupy Asseco, trudno jest skutecznie przeciwdziałać cyberatakom, gdyż nie znamy dokładnej skali zjawiska. Brakuje również świadomości zagrożeń i wymiany wiedzy między placówkami służby zdrowia, gdyż szpitale niechętnie przyznają się do tego, że były ofiarą ataku lub sądzą, że problem ich nie dotyczy.
„W niektórych placówkach panuje przeświadczenie, że mój szpital nie padnie ofiarą cyberataku. Tymczasem wystarczy, że jeden pracownik kliknie w zainfekowany link w spreparowanej przez cyberprzestępców wiadomości e-mail i w ten sposób wpuści niepowołane osoby do sieci organizacji” – mówi Jan Butkiewicz.
Brak środków na ekspertów
Ministerstwo Zdrowia przekazało ponad 260 mln zł na dofinansowanie zakupów teleinformatycznych podnoszących poziom cyberbezpieczeństwa. W październiku resort zapowiedział również szkolenia z bezpieczeństwa danych dla pracowników podstawowej opieki zdrowotnej. Niestety nie spełnia to wszystkich potrzeb placówek medycznych.
„Szpital może otrzymać dofinansowanie na zakup danego rozwiązania np. aplikacji umożliwiającej monitorowanie sieci pod kątem cyberzagrożeń, ale bardzo trudno o pozyskanie środków na opłacenie odpowiednich specjalistów, którzy będą mogli z nich korzystać. Ten koszt musi być już uwzględniony w budżecie szpitala, dla którego priorytetem są wydatki na leki, sprzęt medyczny, pensje lekarzy oraz pielęgniarek” – tłumaczy Jan Butkiewicz. „Bez specjalistów ds. cyberbezpieczeństwa nawet najlepsze narzędzie będzie nieskuteczne. Przykładowo, możemy kupić nowe routery do szpitala, ale jeżeli nie zostaną one odpowiednio skonfigurowane i nie zmieni się np. ustawień fabrycznych, będą stanowiły furtkę dla cyberprzestępców” – dodaje.
Bezpieczeństwo w chmurze
Rozwiązaniem, które przyczynia się do poprawy standardów bezpieczeństwa w służbie zdrowia jest technologia cloud computing. Przeniesienie danych medycznych do chmury sprawia, że to jej operator dba o ich bezpieczeństwo, bieżący monitoring zagrożeń, a także tworzenie kopii zapasowych, które pozwalają przywrócić działanie organizacji, gdy nastąpi cyberatak. Co bardzo istotne, w przypadku zaszyfrowania danych jednostki leczniczej, w czasie przywracania pracy systemów informatycznych i odzyskiwania informacji, szpital ma zapewniony dostęp do swoich zasobów przechowywanych w chmurze.