Od 2022 r. szpitale, które mają umowę z Narodowym Funduszem Zdrowia, mogą starać się o dofinansowanie w celu podniesienia swojego cyberbezpieczeństwa. Wiele jednostek już zainwestowało w ten obszar, ale wciąż jest jeszcze wiele do zrobienia.
Doniesienia o atakach na placówki ochrony zdrowie są najlepszą motywacją do tego, by jednostki ochrony zdrowia zadbały o swoje cyberbezpieczeństwo. Możliwe jest to z wykorzystaniem specjalnych dofinansowań na ten cel. W ten sposób chronione będą nie tylko same szpitale i przychodnie, ale też ogromne bazy przechowywanych w nich danych wielu pacjentek i pacjentów.
Narodowy Fundusz Zdrowia poinformował, że w 2022 roku 75,7 proc. podmiotów leczniczych starających się o dofinansowanie działań podnoszących ich cyberbezpieczeństwo, otrzymało odpowiednie pieniądze na ten cel. W tym roku podpisywano umowy aktualizacyjne na łączną kwotę ponad 71 mln zł. Pieniądze przyznane zgodnie z kolejnych zarządzeniem to już prawie 21 mln zł. Otrzymały je 79 placówki.
Jakie elementy cyberbezpieczeństwa potrzebne są szpitalom?
Główne elementy programu modernizacji elementów cyberbezpieczeństwa dla szpitali opisuje Marcin Chlebowski, właściciel Eximo Project. Są to:
– podniesienie świadomości, gdyż w wielu placówkach – szczególnie tych mniejszych – nie ma wystarczającej świadomości dotyczącej zagrożeń z obszaru cyberbezpieczeństwa, często personel nie zna odpowiednich procedur i nie potrafi przewidzieć konsekwencji niełasciwych zachowań w tym obszarze,
– zadbanie o odpowiednie zasoby, gdyż w wielu miejscach zasoby ludzkie i finansowe nie pozwalają o odpowiednie zadbanie o cyberbezpieczeństwo, trzeba znaleźć takie rozwiązania, które będą skuteczne i dostosowane do możliwości finansowych placówek,
– wymiana przestarzełej technologii i infrastruktury.
– Niektóre szpitale miały przestarzałą infrastrukturę informatyczną, co utrudniało wdrożenie nowoczesnych rozwiązań cyberbezpieczeństwa, nieaktualne systemy operacyjne i nieodpowiednie zabezpieczenia sieci. Uporządkowanie i zmodernizowanie infrastruktury było kluczowe w procesie modernizacji – zauważa Marcin Chlebowski, właściciel Eximo Project, firmy zajmującej się outsourcingiem usług w zakresie cyberbezpieczeństwa.
Jest wiele obszarów w placówkach ochrony zdrowia, które wymagają wsparcia. Są to chociażby słabe zabezpieczenia techniczne czy brak świadomości. Ale uwagę należy zwrócić również na złe praktyki zarządzania hasłami.
– Brak restrykcyjnych polityk dotyczących zarządzania hasłami i wielokrotnego wykorzystywania tych samych haseł stwarzał potencjalne ryzyko naruszenia bezpieczeństwa – mówi Chlebowski – Pomogliśmy szpitalom opracować i wdrożyć odpowiednie polityki i procedury bezpieczeństwa, takie jak zarządzanie hasłami, procedury awaryjne i reagowania na incydenty. To umożliwiło skoordynowaną i efektywną reakcję na ewentualne zagrożenia. W celu wyznaczenia priorytetów przeprowadziliśmy wnikliwą analizę każdego szpitala, identyfikując obszary z największym ryzykiem i najważniejsze do wzmocnienia – dodaje.
Elementem działań muszą być szkolenia personelu
Same kwestie techniczne nie wystarczą, należy również zwrócić uwagę na podniesienie umiejętności w obszarze cyberbezpieczeństwa personelu. Dlatego obok schematów wdrażania rozwiązań zabezpieczających potrzebne są szkolenia.
– Tak zwani “nietechniczni” pracownicy, czyli ci, którzy nie są specjalistami IT, również odgrywają kluczową rolę w ochronie przed zagrożeniami cybernetycznymi. Dlatego niezależnie od tego, czy pracują w recepcji, działach administracyjnych, obszarze medycznym czy jakiejkolwiek innej dziedzinie, ich rola w świadomym postępowaniu w kwestiach cyberbezpieczeństwa jest niezwykle ważna – zauważa Marcin Chlebowski.
Same zapory sieciowe, systemy wykrywania intruzów, rozwiązania antywirusowe z EDR i narzędzia do monitorowania aktywności sieciowej nie wystarczą, gdy nie zapewni się odpowiedniego szkolenia dla ludzi.
Program wsparcia pomaga, ale nie jest idealny
Chlebowski zauważa, że chociaż program dofinansowujący cyberbezpieczeństwo jest bardzo potrzebny, to nie jest pozbawiony wad. Przede wszystkim problematyczne są harmonogramy i terminy.
– Programy rządowe często narzucają ściśle określone terminy wykonania projektu, co może stanowić wyzwanie w dostosowaniu się do nich – szczególnie, gdy pojawiają się niespodziewane trudności – analizuje Chlebowski.
Ale nie tylko terminy stanowią problem. Innym jest zachowanie poufności i wrażliwości danych. Szczególnie w sytuacjach, w których podnoszenie poziomu cyberbezpieczeństwa placówki odbywa się przy udziale firmy zewnętrznej.
– Outsourcing usług cyberbezpieczeństwa wymaga zachowania najwyższego poziomu poufności i bezpieczeństwa danych klienta. Odpowiednie procedury i umowy zachowania poufności danych (umowy NDA) muszą być wprowadzone, aby zapewnić bezpieczne zarządzanie informacjami o szpitalach i pacjentach – zauważa Chlabowski.
Dla eksperta ważna jest współpraca między szpitalami, firmami informatycznymi i instytucjami odpowiedzialnymi za bezpieczeństwo cybernetyczne. Ponadto powinno być wdrożone lepsze monitorowanie oceny wyników dla określenia skuteczności działań, a w dalszej kolejności dostosowanie zabezpieczeń do aktualnych zagrożeń.
Program powinien być kontynuowany dla ciągłego wspierania cyberbezpieczeństwa jednostek ochrony zdrowia.
– Kontynuacja programu modernizacji elementów cyberbezpieczeństwa dla szpitali lub realizacja podobnych programów jest z pewnością wskazana. Bezpieczeństwo cybernetyczne jest ciągle rozwijającym się obszarem, a szpitale i placówki medyczne mają do czynienia z coraz bardziej zaawansowanymi zagrożeniami – podsumowuje Chlebowski.
Źródło: rynekzdrowia.pl
