W listopadzie Ministerstwo Cyfryzacji ogłosiło, że przeznaczy ok. 66 mln złotych na działalność Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego w różnych sektorach, a część środków zasili bezpieczeństwo cyfrowe w ochronie zdrowia[1]. To bardzo ważna informacja, zwłaszcza że w 2024 roku w światowy sektor ochrony zdrowia wymierzono nawet do 18% wszystkich cyberataków[2]. Eksperci Palo Alto Networks wskazują, że cyberprzestępcy dostrzegają we wrażliwych danych pacjentów potencjał zarobkowy. Z tego powodu sektor usług medycznych coraz częściej znajduje się na celowniku cyberprzestępców.
Placówki medyczne coraz szerzej wykorzystują systemy informatyczne i elektroniczną dokumentację medyczną. Ponadto już prawie połowa Polaków używa także Internetowego Konta Pacjenta[3]. Dynamiczna cyfryzacja jest niewątpliwym udogodnieniem dla sektora medycznego i pacjentów, ale może także zawierać krytyczne luki bezpieczeństwa.
Placówki medyczne są szczególnie atrakcyjnym celem, ponieważ posiadają poufne dane pacjentów i mają kluczowe znaczenie dla ochrony życia. Po ataku hakerskim muszą jak najszybciej przywrócić działanie systemów, co sprawia, że cyberprzestępcy z większą skutecznością wymuszają okupy.
Zgodnie z naszymi ustaleniami wiele placówek medycznych wciąż korzysta z przestarzałych systemów informatycznych, podatnych na cyberataki. Łatwo sobie wyobrazić, że przechowywanie wrażliwych danych w systemach o niskiej odporności i korzystających z niezabezpieczonych sieci, wystawia pacjentów na niebezpieczeństwo. Pamiętajmy jednak, że powierzchnia ataku placówek medycznych jest znacznie szersza i obejmuje także łańcuch dostaw, infrastrukturę opartą na chmurze czy systemy automatyki budynków. Coraz więcej urządzeń, takich jak tomografy czy aparaty do rezonansu magnetycznego, jest podłączonych do sieci. Wiele z nich nie posiada odpowiednich zabezpieczeń i stają się potencjalnym celem ataków – podkreśla Grzegorz Latosiński, dyrektor krajowy polskiego oddziału Palo Alto Networks.
W październiku 2024 weszła w życie dyrektywa NIS2 nakładająca większą odpowiedzialność na sektor medyczny jako jeden z kluczowych podmiotów infrastruktury krytycznej. Oznacza to, że szpitale i inne placówki opieki zdrowotnej muszą wdrożyć zaawansowane środki cyberbezpieczeństwa, aby chronić swoje systemy IT oraz dane pacjentów. Zakres dyrektywy przewiduje obowiązek zarządzania ryzykiem cybernetycznym, regularne audyty bezpieczeństwa oraz zgłaszanie incydentów. Placówki medyczne będą musiały nie tylko zapewniać odpowiednią ochronę danych, ale także raportować wszelkie naruszenia bezpieczeństwa do odpowiednich organów. Część placówek medycznych już od jakiegoś czasu nawiązuje współpracę z firmami przeprowadzającymi testy odporności na cyberataki np. poprzez symulowanie ataku hakerskiego[4].
Jak podaje ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa), 8% ataków ransomware dotknęło ochronę zdrowia, która obok branży usług biznesowych i produkcyjnej była trzecim najczęściej atakowanym w ten sposób sektorem[5]. Wzrosła także ilość ataków DDoS[6].
[1] Prawie 66 mln zł na rozwój CSIRT-ów sektorowych – Ministerstwo Cyfryzacji – Portal Gov.pl
[2] Rośnie liczba cyberataków na ochronę zdrowia – Prawo – Termedia
[3] 48 proc. Polaków używa IKP | Pacjent
[4] Rośnie liczba cyberataków na ochronę zdrowia – Prawo – Termedia
[5] ENISA THREAT LANDSCAPE 2024, s. 15
[6] ENISA THREAT LANDSCAPE 2024, s. 89