Wyłudzenia pieniędzy, szantaże, podszywanie się pod inne osoby, blokowanie systemu – szpitale w zeszłym roku odnotowały trzykrotny wzrost cyberataków. Zgłoszono 43 takie zdarzenia. W 2021 r. było ich 13.
Na początku listopada lekarze jednego z większych polskich szpitali nie mogli wystawiać skierowań na badania, recept, nie widzieli też wyników badań pacjentów. Placówka została zhakowana. Dyrekcja podjęła decyzję o zawieszeniu całego systemu, tak aby chronić dane pacjentów. - W efekcie wszyscy musieli przejść na system papierowy, co blokowało część pracy szpitala - mówi Adam Czerwiński, rzecznik Instytutu Centrum Matki Polki. Wysłać kogoś z listą zleconych badań było możliwe, trudniej odczytać wyniki. Zwykle są wpisywane do systemu, a lekarz po chwili widzi je w swoim komputerze. W przypadku diagnostyki obrazowej analogowo trzeba było sięgnąć po płyty CD, jednak nie wszystkie komputery mają odpowiednie wejście. Szpital - po ataku - zdecydował się na zbudowanie nowej sieci, co potrwało kilka tygodni. W tym czasie planowe hospitalizacje były przesuwane. - Porodów i innych nagłych sytuacji oczywiście nie mogliśmy odłożyć - dodaje Czerwiński.
Zagrożone dane pacjentów
Czy dane pacjentów mogły być wykradzione? Szpital mówi otwarcie, że taka możliwość istnieje. Czy do tego doszło - nie wiadomo. Sprawą zajmują się służby specjalne.
Dyrekcja nie chce też mówić, czy autorzy ataku zażądali okupu. Według ekspertów, jeżeli doszło do zhakowania przy pomocy oprogramowania ransomware, które polega na szyfrowaniu danych lub systemów, często dzieje się to z myślą o okupie.
Tak było podczas ataku na Lotnicze Pogotowie Ratunkowe, kiedy hakerzy zażądali 1,5 mln zł. Jak informuje nas Justyna Sochacka, rzeczniczka LPR, okupu nie zapłacono, wybudowano nowy system. Na razie reperkusji w postaci pacjentów skarżących się na skradzione dane nie ma - ale taka możliwość istnieje. Zaraz po ataku LPR ostrzegało, że zachodzi uzasadnione podejrzenie, że mogło dojść do naruszenia ochrony danych osobowych (utraty, nieuprawnionego ujawnienia, nieuprawnionego dostępu) przetwarzanych przez LPR. Wśród skopiowanych zasobów mogły znajdować się dane osobowe pochodzące z różnych źródeł (dane z systemu finansowo-księgowego oraz karty medyczne), w tym imiona i nazwiska osób, adresy miejsc zamieszkania, poczty elektronicznej, numery PESEL, telefonów, dowodów osobistych, informacje o udzielonej pomocy medycznej, okolicznościach wypadków.
Podszywanie się
Ile dokładnie było ataków, trudno policzyć - Ministerstwo Cyfryzacji informuje nas, że w 2022 r. zespół reagowania w NASK (Naukowa i Akademicka Sieć Komputerowa, instytut badawczy nadzorowany przez kancelarię premiera) zarejestrował 43 incydenty bezpieczeństwa w sektorze ochrony zdrowia. Z czym były związane? Głównie z wysyłaniem e-maili z plikiem zainfekowanym szkodliwym oprogramowaniem oraz otrzymaniem wiadomości e-mail podszywającej się pod osoby decyzyjne w szpitalach i nakłanianie do przelania pieniędzy. - Ten rodzaj incydentów stanowił ponad 50 proc. wszystkich zarejestrowanych. Podane incydenty nie wpłynęły w sposób istotny na ciągłość działania placówek. Wiązały się jednak z wydatkami na pilny zakup urządzeń i systemów bezpieczeństwa oraz z opóźnieniami w rozliczaniu świadczeń z NFZ - mówi Monika Dębkowska z kancelarii premiera z pionu odpowiedzialnego za cyfryzację.
Rząd próbuje ochronić szpitale przed tego rodzaju atakami. Rok temu pion cyfryzacji z resortem zdrowia przeznaczyły pół miliarda złotych na dodatkowe zabezpieczenia dla placówek. Szpitale sięgnęły po 74 proc. tej kwoty. Pozostała część nadal jest do wykorzystania. - Projekt został przedłużony na rok 2023, więc szpitale będą mogły aplikować - podkreśla Dębkowska.
Pieniądze można przeznaczyć na tworzenie kopii zapasowych danych, zakup firewalla oraz poprawę architektury serwerów. Sęk w tym, że - jak wynika z raportu zajmującej się cyberbezpieczeństwem firmy Fortinet - czterech na pięciu kierujących szpitalami jest zadowolonych ze stanu infrastruktury i zabezpieczeń, a problem leży, ich zdaniem, gdzie indziej. W co trzeciej placówce brakuje specjalistów zajmujących się architekturą IT, a jedynie 16 proc. prowadziło w ostatnich latach regularne szkolenia z zakresu cyberbezpieczeństwa. Tymczasem do powodzenia ataków hakerskich najczęściej przyczynia się ludzki błąd.
- Przykładowo pracownik szpitala dostaje wiarygodnie wyglądający e-mail z prośbą o otwarcie załącznika. W pliku znajduje się złośliwy kod, który infekuje komputer odbiorcy i otwiera przestępcom drogę do reszty sieci - wyjaśnia Michał Sajdak, ekspert w dziedzinie bezpieczeństwa IT i założyciel serwisu Sekurak.pl. - Innym sposobem jest też pokonanie zabezpieczeń któregoś z urządzeń sieciowych. Można to zrobić np. jeśli jego użytkownik ustawił banalne hasło. Albo gdy jego zabezpieczenia nie były aktualizowane - dodaje.
Zdaniem Sajdaka walka toczy się o to, by zminimalizować ryzyko ataku. - Ważne jest także takie projektowanie architektury informatycznej, by przejęcie jej fragmentu nie oznaczało paraliżu całości. Niekiedy dodatkowe zabezpieczenia mogą sprawić, że z systemu mniej wygodnie się korzysta - np. trzeba zapamiętać odpowiednio silne hasło albo przypisywać pracownikom dostępy do określonych części infrastruktury. A to nie wszystkim się podoba - przyznaje.
Ataki na szpitale mogą mieć poważne konsekwencje dla pacjentów. W Irlandii został zhakowany odpowiednik naszego NFZ - naprawianie szkód trwało kilka miesięcy. Doszło do wstrzymania m.in. leczenia onkologicznego, ucierpiały też rodzące - nie mogły korzystać z pomocy jednego z większych szpitali położniczych w Dublinie. W 2020 r. atak ransomware zmusił szpital w Düsseldorfie do zamknięcia oddziału ratunkowego, a pacjent zmarł w karetce podczas transportu do innej placówki. ©℗
