Wykradzione dane, opóźnienia w wykonywaniu zabiegów, zepsuta aparatura medyczna, śmierć pacjentów. To nie fragment scenariusza filmu o skutkach cyberataku na szpitale, a opis dotykającej nas rzeczywistości. Szpitale, służba zdrowia to kolejny sektor poddany cyberatakom. Przestępcy zwykle oczekują ogromnych finansowych okupów, coraz częściej myśli się i o tym, że atak na system ochrony zdrowia może być elementem cyberwojny.
Czego się boimy?
We wrześniu 2022 r. Centrum e-Zdrowia opublikowało kolejny, VI już raport pn.: “Badania stopnia informatyzacji podmiotów wykonujących działalność leczniczą“. W raporcie opisano stan i stopień bezpieczeństwa infrastruktury IT w ochronie zdrowia.
Oprócz kwestii takich, jak elektroniczna dokumentacja medyczna, telemedycyna czy wykorzystanie sztucznej inteligencji w praktyce leczniczej, przyjrzano się również bezpieczeństwu infrastruktury IT w placówkach ochrony zdrowia. Aż 86,1% szpitali oceniło, iż ma potrzebę zwiększenia cyberbezpieczeństwa. Biorąc pod uwagę wszystkie badane placówki taki stan rzeczy występuje w 55,9% podmiotów. W ocenie respondentów należy wiele poprawić. O potrzebie zwiększenia odporności na cyberataki mówi 68,9% , prawie tyle samo o ochronie danych osobowych – 65,9%. Co ważne, ankietowani zwracali uwagę także na potrzebę poprawy stanu świadomości i wiedzy na temat cyberzagrożeń, zarówno pracowników jak i kadry danej jednostki – 59,4%. W szpitalach zauważono także konieczność utrzymania ciągłości działania systemów informatycznych – 80,3%.
Badanie pokazuje dzisiejszy stan przygotowania służby zdrowia do funkcjonowania w dobie narastających cyberzagrożeń. Co charakterystyczne, w wielu palcówkach jest świadomość, iż dotychczas podejmowane działania były niewystarczające. Opisywane niebezpieczeństwa są jak najbardziej realne. W raporcie za rok 2021 przygotowanym przez Zespól CERT Polska działający w NASK możemy przeczytać, iż CSIRT NASK w ramach Ustawy o Krajowym Systemie Cyberbezpieczeństwa w 2021 r. obsłużył 36 incydentów, zaklasyfikowanych jako poważne. Oznacza to w praktyce, iż incydent taki „ma istotny skutek zakłócający świadczenie usługi kluczowej”. Dwa z nich dotyczyły służby zdrowia. Incydentów o mniejszym stopniu niebezpieczeństwa zanotowano znacznie więcej.
Co może się zdarzyć?
Systemy opieki zdrowotnej są szczególnie podatne na działanie cyberprzestępców. To struktury, w których liczba końcowych punktów jest szczególnie duża. Ma do nich dostęp wielu użytkowników. Niebezpiecznym rodzajem ataku jest użycie ransomware, a więc w praktyce możliwość zaszyfrowania systemów i żądanie okupu. Bojąc się konsekwencji dla zdrowia pacjentów, utraty możliwości działania, a także uszczerbku na reputacji, placówki służby zdrowa decydują się niekiedy na zapłacenie cyberprzestępcom. Niebezpiecznym skutkiem ataków jest także możliwy wyciek danych w tym osobowych, a przecież należy pamiętać, iż są to informacje o szczególnym charakterze. Odnoszą się bowiem do stanu zdrowia pacjentów. Prowadzone są także ataki mające na celu przejęcie stron internetowych. Konsekwencje takiego działania to nie tylko straty wizerunkowe, ale także ryzyko przejęcia danych, a nawet uderzenia złośliwym oprogramowaniem w urządzenia pacjentów i pracowników.
To oczywiście tylko niektóre z możliwych zagrożeń. Atakujący wykorzystują wiele zaawansowanych metod i często zmieniają typy i wektory ataków. W tym kontekście ważne jest także poprawienie stanu zarządzania ryzykiem. Na ten element w cytowanym już badaniu Centrum e- Zdrowia zwróciła uwagę połowa ankietowanych szpitali – 50,1%.
Film czy rzeczywistość?
Jest poniedziałkowy poranek. Szpitalna sieć, około 250 placówek, zostaje zaatakowana oprogramowaniem ransomware. Zaczynają się kłopoty. Lekarze tracą dostęp do wyników rezonansu, badań rentgenowskich, innych badań pacjentów. Czas oczekiwania w izbach przyjęć wydłuża się. To już nie 45 minut, a 6 godzin. Na razie jednak pacjenci są przyjmowani. I kolejna scena – następuje cyberatak na szpital, jeden z pacjentów wymaga pilnej opieki. Na skutek działania cyberprzestępców nie udaje się go uratować. To nie fikcja, oba te wydarzenia miały miejsce. Pierwszy z ataków nastąpił w USA, drugi połączony z tragiczną śmiercią pacjenta, w Niemczech w 2020 roku.
Straty poniesione przez służbę zdrowia na skutek działania cyberprzestępców liczone są w miliardach w skali rocznej. Trudno je zresztą dokładnie obliczyć, bo nie wszystkie dane są publicznie ujawniane. Ważniejsze i bardziej dramatyczne są jednak konsekwencje dla życia i zdrowia pacjentów. Tych z pewnością nie da się przeliczyć na pieniądze.
Co i kiedy zrobić?
Na początek konieczny jest dobry i kompleksowy audyt systemów i procedur funkcjonujących w instytucji. Ważne by udało się ujawnić wszystkie błędy, dziury w systemie, braki w dokumentacjach czy też wadliwe procedury. Wyniki takiego audytu pozwolą na podjęcie koniecznych działań. Pozwolą także na określenie priorytetów. Do działania należy podejść niezwłocznie – cyberprzestępcy nie będą na nas czekać. Podniesienie poziomu bezpieczeństwa w służbie zdrowia to konieczność. Środki na te działania przeznacza rząd i samorządy. Przygotowano szereg rekomendacji stanowiących zbiór wskazówek i dobrych praktyk dotyczących tego co należy zrobić. Inwestycja w cyberbezpieczeństwo, to zarówno pieniądze jak i czas i wysiłek ludzi pracujących w palcówkach służby zdrowia. Wszystkie te koszty są jednak o wiele mniejsze niż straty poniesione na skutek działań cyberprzestępców.
W Inseqr – Tworzymy kulturę bezpieczeństwa. Zobacz naszą ofertę dotyczącą cyberbezpieczeństwa w placówkach medycznych!
GALERIA:
