Na poprawę zabezpieczeń przed cyberatakiem placówka medyczna może dostać od 300 tys. do 900 tys. zł

Branie kredytów, korzystanie z usług medycznych, wyłudzanie ubezpieczeń, kupowanie kart prepaidowych do telefonów na cudze nazwisko – to tylko niektóre z konsekwencji, na jakie mogą być narażeni pacjenci, których dane były w Lotniczym Pogotowiu Ratunkowym. Tak wynika z komunikatu zamieszczonego w piątek na stronie LPR, w którym poinformowano, że „14 lutego 2022 r. ok. godz. 1:00 doszło do zdarzenia, które prawdopodobnie polegało na celowym przełamaniu zabezpieczeń informatycznych, włamaniu się (…) na serwery LPR i prawdopodobnej kradzieży części lub całości danych znajdujących się na dyskach”. LPR wymienia, że wśród skopiowanych zasobów mogły się znajdować dane osobowe pochodzące z różnych źródeł (z systemu finansowo-księgowego oraz karty medyczne), w tym imiona i nazwiska osób, adresy, miejsca zamieszkania, adresy poczty elektronicznej, numery PESEL, numery telefonów, numery dowodów osobistych, informacje o udzielonej pomocy medycznej, okolicznościach wypadków.
To niejedyny wypadek, do którego doszło w ostatnim czasie w służbie zdrowia. Głośno było również o ataku sprzed miesiąca na szpital w Pajęcznie. Resort zdrowia i Ministerstwo Cyfryzacji przyznają, że zagrożenie rośnie, a wpływ na to ma m.in. pandemia oraz kryzys wojenny.
Konflikt zbrojny w Ukrainie spowodował ogłoszenie trzeciego stopnia alarmowego CHARLIE CRP na całym terytorium Rzeczypospolitej Polskiej. – Trzeci stopień oznacza, że alarm dotyczy także nas – mówi dyrektor jednego z szpitali w woj. lubelskim. Dlatego pierwsze zebranie ze swoim zespołem zwołał następnego dnia po wybuchu wojny w Ukrainie. Zastanawiali się, co zrobić, żeby mieć dostęp do danych medycznych pacjentów, w sytuacji gdyby system został w wyniku cyberataku zablokowany. – Podjęliśmy też jedno bardzo prozaiczne działanie: kupiliśmy… bloczki do wystawiania recept – mówi nasz rozmówca.
W zabezpieczeniu się przed atakiem mają pomóc szpitalom pieniądze. W zależności od wysokości kontraktu z NFZ placówki medyczne będą mogły dostać od 300 tys. do 900 tys. zł. W sumie, jak wynika z informacji DGP, minister zdrowia Adam Niedzielski i pełnomocnik rządu ds. cyberbezpieczeństwa Janusz Cieszyński chcą, by na ten cel przeznaczyć pół miliarda złotych. Co będzie można zrobić za te pieniądze? – Podmioty będą mogły otrzymać środki m.in. na sfinansowanie infrastruktury cyberbezpieczeństwa, systemów umożliwiających wykonywanie kopii zapasowych oraz odtworzenie infrastruktury po ewentualnej awarii lub ataku w cyberprzestrzeni – mówi Joanna Zaręba, kierownik wydziału komunikacji Centrum e-Zdrowia.
Ile było dotąd ataków? Trudno o dokładne liczby. Z ostatniego raportu „Bezpieczeństwo danych w placówkach ochrony zdrowia” czasopisma OSOZ we współpracy z firmą Kamsoft, która przygotowuje m.in. systemy informatyczne w ochronie zdrowia, w 2020 r. ofiarą hakerów padło ok. 18 mln kartotek pacjentów. To o 470 proc. więcej niż w 2019 r. Centrum e-Zdrowia informuje, że w ostatnich latach liczba i złożoność różnych ataków wyraźnie wzrosły. Jak dodaje Joanna Zaręba, było to szczególnie zauważalne po rozpoczęciu pandemii COVID-19. – Systemy Centrum są praktycznie przez cały czas poddane automatycznym rekonesansom złośliwych aktorów w postaci różnych skanów portów. Codziennie automatycznie zatrzymywanych jest nawet kilkaset prób automatycznego, agresywnego wyszukiwania podatności – mówi Zaręba. I dodaje, że w ostatnich miesiącach dziennie blokują średnio 35 szkodliwych wiadomości elektronicznych, w tym phishingowych. W 2021 r. miał też miejsce atak brute force (czyli próba złamania haseł) na infrastrukturę Centrum.
Również z danych międzynarodowych wynika, że zdrowie to wyjątkowo wrażliwy obszar. Według raportu „2022 Cyber Security Report” firmy Check Point (zajmującej się bezpieczeństwem sieci) w 2021 r. liczba cyberataków zwiększyła się o 50 proc., a zdrowie znalazło się na czwartym miejscu, jeśli chodzi o wzrost liczby ataków – o 71 proc. w porównaniu z poziomem z 2020 r. A Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) mówiła o 47-proc. wzroście cyberataków na szpitale i inne placówki mające związek z ochroną zdrowia podczas pandemii.
W 2020 r. ofiarą hakerów padło ok. 18 mln kartotek pacjentów
Powody mogą być różne, od żądań okupu, jak w przypadku zarówno Pajęczna, jak i LPR (w tym ostatnim przestępcy zażądali 1,5 mln zł), po terrorystyczne, które mogą prowadzić do paraliżu działania państwa. – Najpoważniejsze prowadzą do zaszyfrowania dokumentacji medycznej i utraty danych. A bez danych nie można skutecznie leczyć. Zapewnienie ciągłości ochrony zdrowia jest jedną z najważniejszych funkcji państwa. Przez ten pryzmat rozpatruje się to, co uznaje się za infrastrukturę krytyczną – mówi Janusz Cieszyński. I dodaje, że szpitale są jednymi z bardziej wrażliwych elementów tego systemu. – W Irlandii był atak na odpowiednik naszego NFZ, który doprowadził do strat wycenionych na ok. 100 mln euro. Do tego straty zdrowotne, wynikające np. z tego, że dokumentacja zostanie zaszyfrowana i nie da się jej odzyskać – tłumaczy Cieszyński.
Irlandzki system służby zdrowia wracał do normy przez cztery miesiące. A i tak nie udało się w pełni odwrócić wyrządzonych szkód, w wielu szpitalach odwołano zaplanowane wizyty. Za atakiem stała grupa hakerska Conti, która zażądała 20 mln dol. za odblokowanie systemów IT. Jak donosiły irlandzkie media, przestępcy nie do końca zdawali sobie sprawę z siły rażenia swoich działań: po odrzuceniu żądania okupu przez rząd sami przekazali narzędzie deszyfrujące do odblokowania systemu. ©℗
Współpraca Tomasz Żółciak, Grzegorz Osiecki