O cyberbezpeczeństwie w placówkach medycznych eksperci dyskutowali w ramach konferencji "Perspektywy e-zdrowia. Wyzwania dla systemu ochrony zdrowia w dobie cyberzagrożeń" organizowanej przez Centrum e-Zdrowia. Jak przypomniał Wojciech Demediuk, dyrektor Departamentu e-Zdrowia w Ministerstwie Zdrowia, z opublikowanego ostatnio raportu „Cyfrowa Dekada 2024: Badanie wskaźnika e-zdrowia” wynika, że jeśli chodzi o postęp cyfryzacji w ochronie zdrowia, Polska znajduje się na piątym miejscu w Unii Europejskiej. Osiągnęliśmy wynik 90 proc., podczas gdy średnia dla wszystkich krajów wynosi 79 proc. Tylko jeden kraj (Dania) może pochwalić się wynikiem 100 proc. – Jednak oznacza to też większe zagrożenia, zwłaszcza w aspekcie ochrony danych pacjentów – zaznaczył dyr. Demediuk.
Cyberatak w szpitalu to paraliż i duże zagrożenie
Jak podkreślali eksperci w trakcie wystąpień w ramach konferencji, kwestia cyberbezpieczeństwa w placówkach medycznych jest niezwykle istotna, ale wciąż nie zawsze podchodzi się do niej wystarczająco poważnie. Tymczasem cyberprzestępcy codziennie testują odporność systemów, działając trochę tak jak złodziej, który naciska klamki w mieszkaniach w bloku, sprawdzając, który z mieszkańców nie ma nawyku zamykania drzwi na klucz. – Cyberataki na szpitale są realne i dzieją się na co dzień. Tylko w zeszłym tygodniu było pięć ataków ransomware na instytucje medyczne na świecie: w USA, Kanadzie i w Niemczech. Kiedy uświadamiamy sobie, jak kosztowne i niebezpieczne są to sytuacje, tym bardziej widzimy konieczność działania – zaznaczał Tomasz Jeruzalski, dyrektor Pionu Eksploatacji Systemów Teleinformatycznych.
Sektor zdrowia znajduje się w szczególnej sytuacji, ponieważ ataki cybernetyczne charakteryzują się innymi skutkami. Jak wynika z raportu ENISA (Agencja Unii Europejskiej ds. Cyberbezpieczeństwa), w którym analizowano cyberincydenty w obszarze w Europie w okresie od stycznia 2021 do marca 2023, pod względem typów organizacji dotkniętych atakami, zdecydowanie najczęstszym celem cyberprzestępców są szpitale. W Europie przeważają ataki typu ransomware (w których przestępcy szyfrują dokumenty na komputerze i żądają określonej kwoty, najczęściej w kryptowalucie, za ich „uwolnienie”) oraz związane z wyciekiem danych. W Polsce ataki ransomware w ochronie zdrowia są rzadsze, ale się zdarzają – i powodują całkowitą destabilizację systemów placówki. To w praktyce ogromny problem, ponieważ lekarze nie mają dostępu do systemów, pacjenci nie mogą się rejestrować, zablokowane są też dostępy np. do odczytywania czy wykonywania zdjęć rentgenowskich. – Od 2021 roku liczba incydentów wzrosła czterokrotnie. Najczęstszymi atakami są oszustwa komputerowe typu phishing lub wykorzystywanie podatności. Ta sytuacja jednak się zmienia, a liczba ataków ransomware rośnie wykładniczo. Musimy być przygotowani na różne przypadki – podkreślał Sebastian Bukowski, dyrektor Departamentu Cyberbezpieczeństwa Teleinformatycznego Centrum e-Zdrowia.
Konsekwencje takich ataków, zwłaszcza w szpitalach, mogą być jednak dużo poważniejsze. To bowiem każdorazowo zagrożenie również dla całej aparatury, która opiera się na zaatakowanych systemach. Jest więc ryzyko, że na skutek cyberataku przestaną działać respiratory, a pacjenci mogą nawet umrzeć. Już w 2019 r. kanadyjskie ministerstwo zdrowia ostrzegało, że takie zagrożenie istnieje np. w przypadku pomp insulinowych. Poinstruowano wówczas pacjentów, że nie powinni podawać numerów seryjnych urządzenia innym osobom, ponieważ niepowołana osoba może połączyć się zdalnie z urządzeniem i zmienić parametry pracy, np. zwiększyć podawanie insuliny. A to już może wiązać się z bezpośrednim zagrożeniem życia pacjenta.
Zobacz w LEX: Prawne aspekty cyberbezpieczeństwa - ramy prawne i praktyczne zagadnienia > >
Potrzebne wsparcie, wiedza i współpraca
Dr Małgorzata Olszewska, dyrektor Centrum e-Zdrowia prezentowała w czasie swojego wystąpienia część wniosków z najnowszego raportu CeZ dotyczącego cyberbezpieczeństwa w placówkach medycznych. Jak zaznaczyła, jeden z istotniejszych wniosków jest taki, że wyraźnie istnieje potrzeba szerszej edukacji i szkoleń w zakresie cyberbezpieczeństwa w ochronie zdrowia. Na potrzebę udziału w takich wydarzeniach wskazało 47 proc. respondentów (zapytano o to 11 185 podmiotów z sektora ochrony zdrowia). Na pytanie, ile podmiotów posiada zespół ds. cyberbezpieczeństwa, zaledwie 13 proc. zadeklarowało, że ma taki zespół w swojej strukturze, a 15 proc. korzysta z pomocy zewnętrznej. Aż 72 proc. nie ma takiego zespołu w ogóle. Dlatego też, jak zwracała uwagę dr Olszewska, konieczna jest współpraca między podmiotami ochrony zdrowia a podmiotami krajowego systemu cyberbezpieczeństwa. W takich sytuacjach liczy się bowiem przede wszystkim sprawność działania i szybkość reakcji. – Nasilające się ataki na sektor ochrony zdrowia uświadamiają nam, że cyberbezpieczeństwo jest kluczowe dla zapewnienia ciągłości i bezpieczeństwa świadczonych usług medycznych – podkreśliła dr Olszewska.
Sprawdź również w LEX: Cyberbezpieczeństwo kancelarii prawnych > >
Wyzwań coraz więcej
Dużo systemów w ochronie zdrowia już funkcjonuje w formie elektronicznej. Podobnie ma być w przypadku Centralnej e-rejestracji. Docelowo ma ona usprawnić zarządzanie kolejkami do lekarzy i skrócić terminy oczekiwania na wizytę. W listopadzie wiceminister zdrowia Marek Kos zapowiedział w Sejmie, że objęcie centralną elektroniczną rejestracją wszystkich zakresów świadczeń w całym kraju planowane jest na 2029 r. -Jesteśmy obecnie na etapie pilotażu, (...) po wprowadzeniu którego trzeba będzie go zbadać, poprawić pewne elementy i zaproponować rozwiązania - podkreślił podczas swojej wypowiedzi w Sejmie.
Etap pilotażowy planowo ma się zakończyć 30 czerwca 2025 r. Bezpośrednio po nim nastąpi etap ewaluacji, który rozpocznie się 1 kwietnia 2025 r., a zakończy 31 października 2025 r. Marek Kos zapowiedział, że w 2025 r. planowane jest wdrożenie systemu centralnej elektronicznej rejestracji na wybrane świadczenia. Również w przyszłym roku przyjęta ma zostać ustawa wdrażająca.
Czytaj również: Centralna e-rejestracja w pełni dopiero w 2029 roku, ale ustawa już za rok
Czytaj także w LEX: O rozgraniczeniu definicyjnym pomiędzy przestępczością "cyber" i "komputerową" dla celów praktycznych i badawczych > >
Cena promocyjna: 139.29 zł
|Cena regularna: 199 zł
|Najniższa cena w ostatnich 30 dniach: 139.29 zł
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
