BEZPIECZEŃSTWOZarządzanie kryzysowe wyzwaniem dla ochrony zdrowia. W perspektywie implementacja dyrektywy NIS2

Zarządzanie kryzysowe wyzwaniem dla ochrony zdrowia. W perspektywie implementacja dyrektywy NIS2

Po wyborach parlamentarnych trwa dyskusja o wyzwaniach, wobec których staje ochrona zdrowia. Jednym z nich jest zbliżająca się nieuchronnie konieczność zmierzenia się z wymogami dyrektywy NIS2. Dotyczy to również jednego z najbardziej krytycznych obszarów usług publicznych i jednego z najczęściej obieranych celów przestępczych działań.

Prawodawstwo UE nakłada na podmioty działające w sektorach gospodarki o szczególnym znaczeniu m.in. obowiązki związane z zarządzaniem kryzysowym w sferze cyfrowej. Zgodnie z przewidywaniami analityków branżowe wydatki na ten cel w perspektywie 2028 roku mają osiągnąć niemal 11,5 mld dolarów*, rosnąc rok do roku o około 11 proc. Ekspert Stormshield zwraca uwagę na kluczowe aspekty w kontekście uruchamiania Systemu Ochrony Sieci (SOC), podstawowego elementu strategii bezpieczeństwa IT.

Sfera IT jest obszarem o strategicznym znaczeniu z perspektywy każdej branży, w tym również ochrony zdrowia. Bezpieczeństwo informacji oraz integralność systemów komputerowych, to elementy które nie tylko wpływają na ciągłość funkcjonowania szpitalnictwa, lecz także chronią prywatność pacjentów i reputację placówek.

Szpitale nie mogą sobie pozwolić na pracę bez bieżącego dostępu do kluczowych danych, dlatego skuteczny atak w ich przypadku skutkuje większym prawdopodobieństwem wymuszenia okupu. Stąd m.in. duże zainteresowanie sektorem zdrowia wśród przestępców – mówi Aleksander Kostuch, inżynier Stormshield, wytwórcy rozwiązań z obszaru bezpieczeństwa IT.

Rosnąca liczebność grup przestępczych, lepszy sprzęt, analiza podatności na błędy nowego oprogramowania czy rozwój usług jak Ransomware-as-a-Service i Malware-as-a-Service, to realia, w których funkcjonuje sektor. Przestępcom sprzyja fakt, że wiele podmiotów medycznych jest niedofinansowanych w obszarze IT, co objawia się na przykład brakiem stosownej i jasno określonej polityki bezpieczeństwa, regulaminów oraz procedur.

Dzięki technologii przeciwdziałanie zaawansowanym zagrożeniom staje się bardziej efektywne. Dla przykładu głęboka analiza protokołów przemysłowych używanych w sektorze opieki zdrowotnej umożliwia identyfikację oraz reakcję na ewentualne nieprawidłowości lub zagrożenia i ataki w sieciach medycznych. Obejmuje ona analizę ruchu medycznego sprzętu, takiego jak aparatury do monitorowania pacjentów czy systemów informatycznych używanych w placówkach medycznych.

Ochrona sieci to złożone wyzwanie, zwłaszcza w dobie ciągle ewoluujących zagrożeń. Tych z wewnątrz czy powstających w wyniku nieroztropności pracownika, który albo popełnił błąd, bądź dał się zwieść socjotechnicznym sztuczkom przestępców. Antidotum na podobne zagrożenia ma przynieść podniesienie poziomu bezpieczeństwa, czemu służy m.in. dyrektywa NIS2 – mówi Aleksander Kostuch.

Kto objęty dyrektywą NIS2?

Dokument przyjęty w grudniu 2022 roku ma zapewnić wysoki poziom ochrony sieci i systemów informatycznych oraz minimalizować ryzyko cyberataków. W myśl założeń dyrektywy do katalogu podmiotów kluczowych zalicza się m.in. instytucje publiczne świadczące usługi w sektorze niezbędnym dla utrzymania podstawowych funkcji społeczeństwa i gospodarki, co obejmuje ochronę zdrowia. Z kolei wytwórcy farmaceutyków czy urządzeń medycznych klasyfikowani będą jako podmioty istotne. Założenia NIS2 obejmują szereg obowiązków dla podmiotów objętych jej postanowieniami: zgłaszania incydentów i zagrożeń, zarządzania kryzysowego, opracowania odpowiednich polityk oraz procedur testowania i audytów czy implementacja rozwiązań technologicznych adekwatnych do ryzyka.

Wobec zakresu dyrektywy NIS2, wprowadzenie określonych w niej rozwiązań będzie dużym wyzwaniem technologicznym a jednocześnie odnoszącym się do zasobów ludzkich. Wymaga odpowiedniej liczby specjalistów wyposażonych w określone kompetencje – komentuje Aleksander Kostuch, ekspert Stormshield.

Zarządzanie kryzysowe własnym sumptem lub w formie usługi

Ujęty w NIS2 obowiązek zarządzania kryzysowego w opinii ekspertów przyczyni się do tworzenia jednostek typu Security Operations Center (SOC), kluczowego elementu strategii bezpieczeństwa organizacji. SOC to centralne miejsce, w którym z pomocą kombinacji rozwiązań technologicznych i zestawu procesów, analizowane są dane z różnych źródeł, monitorowane systemy, a w razie wykrycia potencjalnych zagrożeń podejmowane są odpowiednie działania zaradcze. Dostawcy rozwiązań do ochrony sieci dostrzegają rosnące zainteresowanie tą problematyką a jednocześnie dostosowują technologie do nowych wymagań prawnych, w tym tworzenia SOC. Stormshield wprowadził rozwiązanie SIEM SLS dokupowane do firewalli UTM i umożliwił zapewnienie prawidłowego funkcjonowania wewnętrznych SOC za pomocą zwirtualizowanego rozwiązania.

Dzięki temu szpital czy przychodnia może wdrożyć odpowiednie rozwiązania i procesy przy okazji użytkowania firewalli. SOC jest wtedy dostosowany do konkretnych potrzeb i skutecznie monitoruje oraz reaguje na zdarzenia bezpieczeństwa poprzez automatyczne generowanie incydentów. Niestety przekonanie kierownictwa niektórych szpitali czy przychodni do wydatkowania środków na wdrożenie własnego SOC nie zawsze będzie łatwe – mówi Aleksander Kostuch.

Największą barierą w powstawaniu Security Operations Center (SOC) jest bowiem brak wystarczających zasobów, zarówno finansowych, jak i kadrowych.

Brak środków finansowych utrudnia zakup dedykowanego oprogramowania i sprzętu oraz zatrudnienie i utrzymanie wysoko wykwalifikowanych pracowników SOC. Z kolei brak wystarczających zasobów kadrowych obniża możliwości monitorowania i reagowania na zdarzenia. Mamy zatem do czynienia z system naczyń połączonych – mówi Aleksander Kostuch.  

NIS2 rekomenduje, aby organizacje z sektorów krytycznych, jeśli nie są w stanie samodzielnie zapewnić odpowiedniego poziomu bezpieczeństwa, korzystały z zewnętrznego SOC. Takie centra mogą funkcjonować także w formie usług zewnętrznych. Dedykowani integratorzy i dystrybutorzy systemów cybersecurity mogą tworzyć własne centra (SOCaas – SOC as a service), które będą dzierżawić w chmurze. Informatyk połączy swojego firewalla z SOCaas w celu zautomatyzowanego zarządzania zdarzeniami. Centrum będzie zatem reagować na zdarzenia bezpieczeństwa wobec swojego klienta, a tym samym wpłynie na ochronę szpitali i przychodni przed atakami oraz spełni wymagania formalne NIS2. Choć technologia oferuje możliwości skutecznej obrony, to na przeszkodzie może stanąć wspomniany problem niedoboru kadr.

– Specjaliści z zakresu cyberbezpieczeństwa są i będą oni poszukiwani przez rynek, a podaż w tym przypadku zdecydowanie pozostaje w tyle za popytem. Ten niedobór szacuje się na poziomie 3,5 miliona osób w perspektywie 2025 roku, co tylko pokazuje skalę wyzwania z jakim będziemy musieli się zmierzyć. Ryzyko, że może zabraknąć specjalistów odpowiedzialnych za obsługę SOC istnieje – mówi Aleksander Kostuch.

Dlatego z myślą o własnym bezpieczeństwie sektor ochrony zdrowia powinien mocno inwestować w rozwój kompetencji pracowników. Istotne są dedykowane szkolenia, pomagające zwiększyć ich umiejętności i wiedzę w zakresie cyberbezpieczeństwa.

– Aby uzyskać dostęp do wykwalifikowanych specjalistów można również współpracować z zewnętrznymi dostawcami. Nie zapominajmy jednak, że nieodzownym elementem myślenia o bezpieczeństwie jest dbałość o wiedzę pracowników i właśnie cykliczne szkolenia. Powinny obejmować zachowania w konkretnych sytuacjach, takich jak zasady zarządzania hasłami czy w szczególności otwierania e-maili czy plików z nieznanych źródeł, co wciąż pozostaje bolączką – doradza Aleksander Kostuch.

Wdrożenie rekomendowanych rozwiązań będzie czasochłonne, a wobec skali wyzwania nawet uwzględnienie czasu przewidzianego w vacatio legis może okazać się niewystarczające.

W tej sytuacji stosowanie już teraz adekwatnych do ryzyka mechanizmów ochronnych jest dobrym posunięciem. Oczywiście wiąże się to z inwestycjami, jednak zawsze lepiej przeciwdziałać zagrożeniom niż odczuwać skutki udanego ataku lub kar za niedopełnienie obowiązków. Podmioty, które nie będą przestrzegać dyrektywy, mogą między innymi zostać ukarane grzywnami – podsumowuje ekspert Stormshield.

* SOC jako usługa będzie warty 11 mld dol. – CRN

- Reklama -Osteopatia Kraków

POLECAMY

lekarz medycyna technologia

Polski rynek ochrony zdrowia na fali wzrostu – EY prognozuje roczny wzrost o 11%...

0
Z analizy firmy EY wynika, że polski rynek świadczenia usług z zakresu opieki zdrowotnej będzie do 2028 roku rósł w tempie - 11 proc. rocznie. Rozwój stymuluje rosnące finansowanie publiczne i prywatne, które jest...
Exit mobile version