Szpitale czeka rewolucja związana z cyberbezpieczeństwem

Ustawa o Krajowym Systemie Cyberbezpieczeństwa jest potrzebna i z punktu widzenia bezpieczeństwa pacjentów – spóźniona. Ale bez osobnego, dobrze zaprojektowanego programu finansowania i wsparcia organizacyjnego dla szpitali ryzykujemy cyberbezpieczeństwo na papierze oraz realne turbulencje w dzia-łaniu systemu ochrony zdrowia – mówi dr inż. Ireneusz Wochlik, członek zarządu fundacji AI LAW TECH, autor raportu o skutkach planowanej nowelizacji usta-wy o KSC, przygotowanego na zlecenie PTKOZ

Czy nowe przepisy ustawy o krajowym systemie cyberbezpieczeństwa oznaczają rewolucję dla wszystkich szpitali w Polsce?

Szpitale czeka rewolucja związana z cyberbezpieczeństwem / Materiały prasowe

Tak. Praktycznie dla wszystkich średnich i dużych szpitali to będzie realna rewolucja. Nowelizacja wdrażająca dyrektywę NIS2 zmienia logikę systemu: szpitale staną się podmiotami kluczowymi lub ważnymi w krajowym systemie cyberbezpieczeństwa, z pełnym pakietem obowiązków i nadzoru.

Na czym będzie polegać ta rewolucja?

Szpital przestaje być zwykłym użytkownikiem IT, a staje się formalnym elementem infrastruktury bezpieczeństwa państwa. Konkretnie oznacza to m.in.: obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji, czyli nie tylko pojedynczych zabezpieczeń, ale całego procesu zarządzania ryzykiem; obowiązek przeprowadzania regularnych audytów bezpieczeństwa – co trzy lata dla podmiotów kluczowych, plus możliwość audytów doraźnych. To także będzie oznaczać sztywne terminy i procedury zgłaszania incydentów. Wstępne zgłoszenie będzie musiało nastąpić w ciągu 24 godzin, pełne – 72 godzin, a raport końcowy będzie musiał powstać w ciągu miesiąca. Pojawi się też osobista odpowiedzialność kierownika podmiotu za realizację zadań z zakresu cyberbezpieczeństwa, wraz z możliwością nakładania na niego kar finansowych i obowiązkiem odbycia szkolenia, obowiązek rejestracji w wykazie podmiotów kluczowych/ważnych oraz ścisła współpraca z CSIRT sektorowym – w ochronie zdrowia będzie to CSIRT Centrum e-Zdrowie. Dodatkowo projekt przewiduje mechanizm dostawcy wysokiego ryzyka (DWR) i możliwość nakazania wymiany sprzętu oraz oprogramowania takich dostawców w całej infrastrukturze szpitala – z kilkuletnim okresem przejściowym. To dla wielu placówek będzie najbardziej odczuwalny, kosztowny i technicznie skomplikowany element zmiany.

Czy OSR wymienia, na jakie wydatki muszą się szykować szpitale? A jeśli nie, to czy można je oszacować?

O ile OSR opisuje dość precyzyjnie rodzaje obowiązków, o tyle nie rozbija szczegółowo kosztów na poszczególne sektory, w tym ochrony zdrowia. W części finansowej OSR koncentruje się głównie na kosztach administracji publicznej, np. CSIRT-ów, organów nadzoru, pełnomocnika rządu, a wydatki po stronie szpitali opisuje w sposób bardzo ogólny.

Bankowy ekosystem napędza transformację polskiej gospodarki

Z dostępnych analiz zewnętrznych i z raportu „Wpływ projektu nowelizacji ustawy o KSC na szpitale publiczne” (PTKOZ) wynika, że średni koszt dostosowania jednego publicznego szpitala oszacowano na ok. 4,64 mln zł netto w perspektywie pięciu lat. Dominującym składnikiem jest wymiana sprzętu teleinformatycznego, która pochłonie ok. 3,63 mln zł na szpital, kolejne ok. 1 mln zł potrzebne będzie na systemy i oprogramowanie, migrację danych oraz potencjalny wzrost kosztów serwisu i wsparcia.

Czy szpitale są na tę zmianę przygotowane finansowo i organizacyjnie?

W większości nie. Finansowo sytuacja jest jeszcze trudniejsza – znaczna część szpitali funkcjonuje na granicy płynności, przy rosnącym zadłużeniu i opóźnionych płatnościach za świadczenia. W takim otoczeniu kilkumilionowe inwestycje nieprzynoszące od razu przychodów są dla wielu zarządów praktycznie niewykonalne bez zewnętrznego finansowania, czyli z budżetu państwa, samorządu, UE czy preferencyjnego kredytu. Oczywiście jest tu druga strona medalu, czyli oszacowanie ryzyka w sytuacji, gdy szpitale nie wykonają tych inwestycji. Finalnie temat zostanie sprowadzony do finansów, bo szpital mając nawet świadomość konieczności podnoszenia poziomu bezpieczeństwa, może być często bezradny w kontekście budżetu i płynności finansowej.

Organizacyjnie problemem jest nie tylko brak procedur, ale często brak ludzi: w wielu szpitalach dział IT to dwie–trzy osoby, które obsługują wszystko – od drukarek po PACS (Picture Archiving and Communication System, System Archiwizacji i Komunikacji Obrazów Medycznych – przyp. red.). Wymogi nowelizacji, takie jak ciągła analiza ryzyka, audyty, zarządzanie incydentami, weryfikacja łańcucha dostaw, to poziom komplikacji, który przekracza typowe zasoby powiatowego szpitala.

Co będzie zatem największym wyzwaniem – pieniądze czy dostęp do fachowców?

To dwa sprzężone problemy, ale jeśli miałbym to uporządkować, to dla szpitali powiatowych i mniejszych największą barierą będą pieniądze, a dla dużych ośrodków klinicznych – w coraz większym stopniu dostęp do wyspecjalizowanych fachowców.

Rynek specjalistów od cyberbezpieczeństwa jest już dziś bardzo konkurencyjny – administracja publiczna i sektor zdrowia przegrywa z sektorem finansowym i komercyjnym na poziomie płac. Nawet jeśli znajdą się środki na sprzęt i licencje, utrzymanie ekspertów security in-house może być trudniejsze niż samo sfinansowanie inwestycji.

Dlatego realnym scenariuszem jest model współdzielonych zasobów” – regionalne SOC-e, sektorowe CSIRT-y, usługi bezpieczeństwa kupowane jako usługa (MSSP), a w samych szpitalach raczej rola koordynatorów bezpieczeństwa niż pełnych zespołów specjalistów. To wymaga jednak świadomego zaprojektowania przez państwo i płatnika, a nie pozostawienia szpitali samych sobie. Tutaj ponownie chciałbym podkreślić konieczność wielowymiarowego wsparcia, bo dziś brak wysokich kompetencji z obszaru bezpieczeństwa w szpitalach powoduje, że nawet jeśli zaczną one samodzielnie realizować nowe wymogi w obszarze cyberbezpieczeństwa, w większości przypadków nie zrobią tego w sposób optymalny.

Czy szpitale będą mogły liczyć na pomoc ze strony samorządów?

Formalnie tak. Większość szpitali publicznych ma organy tworzące w postaci samorządów (powiat, województwo, miasto), które już dziś dokapitalizują placówki, pokrywają straty czy finansują inwestycje infrastrukturalne. W praktyce jednak budżety samorządów są mocno obciążone, projekt nowelizacji KSC nie przewiduje dedykowanych strumieni finansowania dla samorządów na ten cel, środki z KPO i programów centralnych, jeśli chodzi o cyberbezpieczeństwo, są adresowane głównie do struktur państwowych (CSIRT-ów, administracji), a nie bezpośrednio do szpitali.

Pomoc samorządów będzie więc raczej uznaniowa i nierówna. Bogate miasta wojewódzkie są w stanie sfinansować duże projekty, ale wiele powiatów po prostu nie udźwignie kolejnego dużego pakietu zobowiązań w ochronie zdrowia. Bez centralnego programu współfinansowania ryzykujemy bardzo silne różnicowanie poziomu cyberbezpieczeństwa między regionami.

Czy wprowadzenie przepisów oznacza zagrożenie dla działania systemu ochrony zdrowia?

W krótkim okresie tak, jeśli wdrożenie będzie chaotyczne i niedofinansowane; w dłuższym – przeciwnie, może zwiększyć stabilność systemu.

Ryzyko krótkoterminowe to m.in.: wymuszone, szybkie migracje systemów i danych, czasowe wyłączanie systemów szpitalnych na czas wymiany sprzętu/oprogramowania, konieczność równoległego prowadzenia dokumentacji elektronicznej i papierowej, dodatkowe kary finansowe za niewywiązywanie się z obowiązków.

Wszystko to może się przełożyć na lokalne zaburzenia ciągłości działania, ograniczenia przyjęć, wydłużenie czasu oczekiwania, a w konsekwencji – na bezpieczeństwo pacjentów. Ale zignorowanie problemu cyberbezpieczeństwa powoduje już dziś paraliż placówek po udanych atakach ransomware czy wyciekach danych. Statystyki CSIRT CeZ pokazują ponad 2,5-krotny wzrost liczby incydentów w ochronie zdrowia między 2023 a 2024 r.

Kluczowe są więc tempo i sposób wdrażania. Potrzebne są: harmonogram, okresy przejściowe, wsparcie eksperckie i finansowe, a nie wrzucenie szpitali w nowe przepisy bez narzędzi i holistycznego wsparcia.

Czy bezpieczeństwo pacjentów może być zagrożone?

Tak, i to w dwóch wymiarach jednocześnie. Rosnąca liczba cyberataków już dziś zagraża bezpieczeństwu pacjentów. W Niemczech odnotowano zgon pacjentki, którą trzeba było przewieźć do innego szpitala z powodu cyberataku. Jeśli źle wdrożymy przepisy, chaotyczne migracje systemów, wyłączenia oprogramowania czy nieprzygotowana wymiana urządzeń mogą również zaburzyć ciągłość leczenia i diagnostyki. Tu zagrożenie nie wynika z samej ustawy, ale z braku planowania, testów i zasobów.

Docelowo jednak dobrze wdrożona nowelizacja KSC będzie narzędziem właśnie do ochrony bezpieczeństwa pacjenta – dzięki minimalizowaniu ryzyka, że szpital „zniknie z sieci” na skutek ataku, a dane pacjentów będą masowo wyciekać do przestępców.

Rosnąca liczba cyberataków to fakt. Jakie jest rozwiązanie tej sytuacji?

Same przepisy nie wystarczą. Potrzebne są trzy równoległe filary. Po pierwsze, minimum techniczne i procesowe w każdym szpitalu, a w tym zakresie inwentaryzacja zasobów IT i krytycznych systemów, segmentacja sieci, regularne aktualizacje i backupy offline, MFA, zarządzanie uprawnieniami, monitoring logów, ustandaryzowane procedury reagowania na incydenty (IRP) i szkolenia personelu.

Po drugie, wspólne zasoby sektorowe, wzmocnienie CSIRT CeZ jako realnego centrum pierwszego kontaktu dla szpitali (24/7, gotowe playbooki, wsparcie techniczne na miejscu w razie poważnego incydentu), tworzenie regionalnych lub ogólnopolskich SOC-ów współdzielonych przez wiele szpitali, centralne wzorce architektury bezpieczeństwa dla HIS, PACS, LIS, systemów AI itp.

Po trzecie, świadome przywództwo i kultura bezpieczeństwa, szkolenia dla dyrektorów i kadry zarządzającej, nie tylko dla działów IT, włączenie ryzyk cybernetycznych do rejestru ryzyk klinicznych i zarządczych, traktowanie cyberbezpieczeństwa jak przejawu jakości opieki, a nie kosztu informatyki.

Czy będzie potrzebne stworzenie osobnego budżetu? Jak wspomóc szpitale w tej rewolucji?

Jeśli chcemy, żeby ustawa zadziałała, a nie wywołała tylko falę kar i chaosu – tak, potrzebny jest dedykowany strumień finansowania. Skala szacowanych kosztów (ok. 4,6 mln zł na szpital, 3,7 mld zł tylko w publicznych szpitalach) jest zbyt duża, by przerzucić ją wyłącznie na zadłużone placówki i samorządy.

Możliwe rozwiązania systemowe, które warto postulować, to rezerwa celowa w budżecie państwa na cyberbezpieczeństwo w ochronie zdrowia – z jasnymi kryteriami podziału np. w oparciu o liczbę łóżek/systemów/poziom referencyjny, wieloletni program rządowy analogiczny do inwestycji w infrastrukturę czy onkologię, który uwzględnia sprzęt, oprogramowanie, migrację danych i koszty szkoleń, komponent cyberbezpieczeństwa w taryfach NFZ – np. dodatkowy ryczałt dotyczący jakości i bezpieczeństwa, powiązany z certyfikacją/poziomem dojrzałości zabezpieczeń. Poza tym to mogą być centralne zakupy i standaryzacja – tańsze licencje, sprzęt i usługi bezpieczeństwa kupowane hurtowo dla całego sektora, przy jednoczesnym narzuceniu minimalnych standardów technicznych, preferencyjne finansowanie (BGK, EBI), czyli linie kredytowe i leasingowe na modernizację „pod KSC”, z częściową gwarancją Skarbu Państwa, czy wsparcie eksperckie finansowane ze środków centralnych, zespoły wdrożeniowe pomagające szpitalom przygotować analizę luk, plan migracji i dokumentację wymaganą przez ustawę.