W 2023 r. koszty wycieków danych w branży ochrony zdrowia były o ponad 53% większe niż w 2020 r. Już trzynasty rok z rzędu koszty te były najwyższe spośród wszystkich badanych sektorów – wynosiły średnio 10,9 mln dolarów[1]. Jak podkreślają eksperci firmy Kingston, utrata wrażliwych informacji może nie tylko wpłynąć na działanie szpitala czy kliniki, ale również stanowić zagrożenie dla zdrowia pacjentów. Dlatego konieczne jest stworzenie spójnej strategii zabezpieczania danych zamiast działań podejmowanych ad hoc.
Branża medyczna gromadzi coraz więcej wrażliwych danych: historie chorób, wyniki badań, terapie lekowe. Postępuje również jej cyfryzacja. W Polsce już ponad 18 mln użytkowników korzysta z Internetowego Konta Pacjenta (IKP), wystawiono dotąd 2 mld e-recept i 198 mln elektronicznych dokumentów medycznych[2]. Jednocześnie w ubiegłym roku dane pacjentów, w tym elektroniczna dokumentacja medyczna, były najczęściej atakowanymi aktywami w placówkach ochrony zdrowia[3].
Problem „wędrujących” danych
Wrażliwe dane medyczne często są przenoszone na nośnikach między różnymi urządzeniami w placówce – np. z tomografów i ultrasonografów do komputerów. Bez odpowiednich zabezpieczeń informacje te mogą być narażone na wyciek i dostanie się w niepowołane ręce. Na każdym etapie ważne dane powinny być zabezpieczone i przenoszone na nośnikach zapewniających silne szyfrowanie sprzętowe, dzięki któremu niepowołanym osobom znacznie trudniej będzie przechwycić informacje. Znaczenie w minimalizowaniu ryzyka naruszeń ma również edukacja personelu medycznego związana z bezpiecznym przechowywaniem informacji.
– Lekarze i pozostali pracownicy placówek ochrony zdrowia często przekazują dane medyczne między różnymi podmiotami, może się to zdarzać również na przykład podczas prywatnych konsultacji czy współpracy z innymi specjalistami. Chociaż takie działania są potrzebne z punktu widzenia medycznego, często odbywają się bez świadomości ryzyka związanego z bezpieczeństwem i możliwością przechwycenia informacji przez nieuprawnione osoby. Dlatego szkolenia z zakresu cyberbezpieczeństwa powinny stać się standardem, aby każdy pracownik zdawał sobie sprawę z potencjalnych zagrożeń oraz znał podstawowe zasady ochrony danych – wskazuje Robert Sepeta, Business Development Manager w firmie Kingston.
Ransomware celuje w dane szpitali
Jak podaje Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) jednym z głównych cyberzagrożeń dla placówek ochrony zdrowia są ataki ransomware. W 2023 r. stanowiły one 54% incydentów[4]. Jednak tylko 27% badanych podmiotów z branży medycznej w UE wdrożyło programy ochrony przed atakami ransomware[5]. Sytuacji nie ułatwia fakt, że w branży brakuje specjalistów i wypracowanej spójnej strategii cyberbezpieczeństwa, zarówno pod względem procedur, jak i zabezpieczenia sprzętowego. Decyzje o zakupie nowego sprzętu czy oprogramowania często są podejmowane ad hoc, gdy w budżecie zostaje nadwyżka. Brak planu i odpowiednich protokołów może sprawić, że długofalowo inwestycje w zaawansowane narzędzia nie będą zapewniały pełnej ochrony.
– Z moich obserwacji wynika, że często odpowiedzialność za bezpieczeństwo danych, zwłaszcza w mniejszych placówkach ochrony zdrowia spada na dział IT, który na co dzień zajmuje się też wsparciem technicznym, np. konserwacją sprzętu elektronicznego, a często jest równocześnie inspektorem danych osobowych. Oczywiście może się to różnić w zależności od wysokości budżetu na infrastrukturę informatyczną. Kluczowe jest wsparcie specjalistów od bezpieczeństwa, którzy nieustannie monitorują system oraz przepływ danych i mogą dobrać takie rozwiązania, aby zapewnić pełne bezpieczeństwo. Mniejsze placówki mogą skorzystać z outsourcingu i powierzyć to zadanie zewnętrznym ekspertom. Warto podkreślić, że inwestycja w rozwiązania IT nie odbywa się kosztem leczenia czy sprzętu medycznego, są to odrębne budżety – wskazuje Robert Sepeta.
Czy NIS 2 poprawi sytuację?
W Unii Europejskiej sposób, w jaki powinno się postępować z danymi osobowymi, regulują takie przepisy jak Rozporządzenie o Ochronie Danych Osobowych (RODO). Wciąż jednak wiele placówek ma problem z zapewnieniem właściwego przetwarzania informacji. Coraz bardziej istotna staje się również konieczność dostosowania do dyrektywy NIS 2, która zacznie obowiązywać m.in. podmioty z branży medycznej i ich dostawców w październiku. Nowe przepisy mają na celu poprawę bezpieczeństwa sieci i informacji w całej UE, a ich nieprzestrzeganie będzie się wiązało z poważnymi karami finansowymi. Do nowych obowiązków dołączy m.in. ujawnianie luk w zabezpieczeniach, testowanie poziomu cyberbezpieczeństwa, zapewnianie bezpiecznego przechowywania wrażliwych danych czy ich szybkiego odzyskiwania w razie awarii. Placówki medyczne, aby uniknąć wysokich kar i zmniejszyć ryzyko wycieków powinny inwestować m.in. w rozwiązania szyfrujące dane, również przenoszone na zewnętrznych dyskach i pendrive’ach.
Źródła:
Raport IBM „Cost of a Data Breach Report 2023”
Dane pacjent.gov.pl: https://pacjent.gov.pl/aktualnosc/48-proc-polakow-uzywa-ikp
Dane ENISA: https://www.enisa.europa.eu/news/checking-up-on-health-ransomware-accounts-for-54-of-cybersecurity-threats
[1] IBM „Cost of a Data Breach Report”: https://www.ibm.com/reports/data-breach
[2] https://pacjent.gov.pl/aktualnosc/48-proc-polakow-uzywa-ikp
[3] https://www.enisa.europa.eu/news/checking-up-on-health-ransomware-accounts-for-54-of-cybersecurity-threats
[4] https://www.enisa.europa.eu/news/checking-up-on-health-ransomware-accounts-for-54-of-cybersecurity-threats
[5] https://www.enisa.europa.eu/news/checking-up-on-health-ransomware-accounts-for-54-of-cybersecurity-threats