NFZ przedłuża program finansowania poprawy cyberbezpieczeństwa w szpitalach. Codziennie dochodzi do tysięcy prób ataków i tylko odpowiednie zabezpieczenia są w stanie stawić im czoła. Pieniądze z NFZ nie pokrywają jednak wszystkich potrzeb.
Prezes NFZ wydał 14 lipca zarządzenie przedłużające możliwość wsparcia inwestycji w zakresie podniesienia poziomu bezpieczeństwa teleinformatycznego np. poprzez tworzenie kopii zapasowych danych czy zapory sieciowe chroniące przed atakami intruzów. Jednak już 31 lipca oddziały wojewódzkie NFZ skierowały do szpitali pismo, z którego wynika, że na razie należy się wstrzymać z planowaniem takich działań. Wszyscy czekają na wyjaśnienia z Ministerstwa Zdrowia (MZ) lub centrali NFZ. Chodzi bowiem o to, że zarządzenie nie wspomina o finansowaniu i nie jest pewne, czy chodzi tylko o przedłużenie terminu na wydanie pieniędzy przyznanych na podstawie poprzedniego zarządzenia, czy też szpitale będą mogły liczyć na większe fundusze. To powoduje niepewność i stawia pod znakiem zapytania możliwość racjonalnego wykorzystania pieniędzy.
– Jeżeli teraz nie ma podpisanych umów z NFZ dotyczących inwestycji w cyberbezpieczeństwo, to nawet jeżeli przetargi zaczną się na początku września, a umowy zostaną zawarte z początkiem października, to zostają dwa miesiące na to, żeby zrealizować inwestycje – mówi Rafał Dunal, wiceprezes zarządu Polskiej Izba Informatyki Medycznej.
Kompleksowość i ciągłość
Korzystając z dofinansowania, szpitale nie mają też pełnej swobody co do określenia swoich potrzeb i podziału środków. – Cele, na jakie mogą zostać przeznaczone pieniądze z NFZ, i ograniczenia np. w zakresie finansowania szkoleń do 20 proc. wartości umowy nie zawsze odpowiadają potrzebom placówek – mówi Patryk Kozłowski, IT security specialist w Comarch Healthcare S.A. Pozytywnie ocenia przedłużenie projektu NFZ w zakresie dofinansowania inicjatyw związanych z rozwojem cyberbezpieczeństwa. Zaznacza jednak, że bezpieczne oprogramowanie to tylko jedna ze składowych obok nowoczesnego sprzętu, wykorzystującego aktualne oprogramowanie systemowe, bezpiecznej konfiguracji, która jest nadzorowana i rozwijana przez świadomy personel IT, czy sprawnego zarządzania kopiami zapasowymi.
W ocenie Rafała Dunala głównym problemem informatyzacji w ochronie zdrowia jest fakt, że pieniądze najczęściej pojawiają się falami, a nawet duże, ale nieregularne, nakłady nie pozwalają na zapewnienie ciągłości zabezpieczeń.
– Chcielibyśmy, żeby w umowach z NFZ był stały procent przypisany na informatyzację – podkreśla Dunal. – Obecnie w szpitalach 80–90 proc. pochłaniają wynagrodzenia personelu, a nie pamięta się, że nie można świadczyć żadnych usług bez informatyki i raportowania do P1 (czyli ogólnopolskiej elektronicznej bazy danych medycznych), niezależnie, czy mówimy o świadczeniach finansowanych przez NFZ, czy prywatnych – wyjaśnia.
Ekspert uważa, że w ramach obecnego programu dofinansowania ważna byłaby możliwość wykupienia i rozliczenia usług np. zabezpieczenia poczty elektronicznej, które będą realizowane w dłuższym okresie, np. 12 miesięcy. Jako przykład podaje usługę całodobowego monitoringu bezpieczeństwa SOC (Security Operations Center), która pozwala m.in. sprawdzić na bieżąco, czy nie ma włamań do serwerów.
– Opłacenie takiej usługi tylko do końca roku to jakby zatrudnić ochroniarza na krótki czas i nie byłoby tajemnicą, że od 1 stycznia obiekt nie będzie chroniony – ocenia Rafał Dunal.
Kluczowa rola personelu
Nawet najdoskonalsze zabezpieczenia nie pomogą, jeżeli personel nie będzie wyczulony na zagrożenia. Najczęstszą przyczyną wycieków danych jest ludzka niefrasobliwość, pośpiech, zmęczenie czy lekceważenie procedur. A czasami brak odpowiednich regulacji.
– Wiele placówek medycznych – choć oczywiście nie jest to zasadą – kwestie związane z zagrożeniami cybernetycznymi odkłada na dalszy plan – zauważa adwokat Bartosz Grube z Kancelarii GRUBE. – Wykonując audyty placówek medycznych, często wskazujemy na potrzebę stworzenia i wdrożenia wewnętrznych procedur w zakresie reakcji na zagrożenia cybernetyczne. Trzeba stworzyć odpowiednie regulacje, a potem zorganizować szkolenia dla personelu, które będą elementem wdrożenia nowych regulacji. To niezwykle ważne, aby każdy pracownik wiedział, jak w takim przypadku należy się zachować – uważa.
Konieczność zapewnienia wewnętrznych szkoleń dla personelu potwierdza Rafał Dunal. W jego ocenie bez personelu, który będzie przeszkolony zgodnie z potrzebami danego szpitala, oraz odpowiednio wynagradzanych informatyków medycznych narażamy się na ogromne ryzyko.
– Kiedyś, żeby ukraść dokumentację papierową z całego szpitala, musiałoby przyjechać kilka tirów. Teraz do kradzieży dokumentacji elektronicznej wystarczy jeden pendrive i atak na najsłabsze ogniwo, którym najczęściej jest człowiek – kwituje.
Bezpieczeństwo pacjentów
Pacjenci często nie zdają sobie sprawy, jak wiele wie na ich temat podmiot, w którym się leczą, i jak wewnętrzne rozwiązania przyjęte przez szpital czy przychodnię mogą wpływać na ich bezpieczeństwo. Jan Butkiewicz, prezes zarządu Krajowego Operatora Chmury Medycznej, Grupa Asseco, podkreśla, że z perspektywy cyberprzestępców jednostki opieki zdrowotnej są szczególnie atrakcyjnym celem.
– Cyberprzestępcy i stworzone przez nich boty wciąż przeczesują infrastrukturę IT. Szacuje się, że średniej wielkości szpital jest poddawany próbom ataku nawet 2,5 mln razy dziennie. Atakujący liczą na to, że uda im się wywrzeć presję i zmusić np. do zapłacenia okupu w zamian za odszyfrowanie danych – mówi.
Eksperci przekonują, że ataki na dane medyczne są równie poważne co ataki na systemy bankowe, ale brak jest jeszcze społecznej świadomości zagrożeń.
– Z aplikacji finansowych codziennie korzysta wiele osób i któraś z nich zauważy problem, a sprawa zostanie nagłośniona – mówi Jan Butkiewicz. – Informacje o cyberatakach na placówki medyczne rzadko trafiają do opinii publicznej. Tymczasem wykradzione dane medyczne są niezwykle cennym zasobem. Dla jednego pacjenta ich wartość w darknecie wynosi nawet kilka tysięcy dolarów.
Stawka jest zatem bardzo wysoka, a jak podkreśla Rafał Dunal, szpital powinien być przygotowany na zapewnienie bezpieczeństwa danych – niezależnie od tego, czy dotyczą osoby publicznej, czy przeciętnego obywatela, który nie chce, żeby o jego problemach wiedzieli np. sąsiedzi. Jednak, żeby prowadzić inwestycje, które zaprocentują na lata, trzeba to starannie zaplanować.©℗