Ataki na polskie szpitale. Co z ochroną naszych danych?

W poniedziałek 30 czerwca br. informowaliśmy na naszych łamach o karze, jaką Prezes Urzędu Ochrony Danych Osobowych nałożył na Uniwersytecki Dziecięcy Szpital Kliniczny im. L. Zamenhofa w Białymstoku. W swojej decyzji szef organu wskazał na nieprawidłowe przeprowadzenie analizy ryzyka, co zrobiono pod kątem zgodności z ustawą o Krajowym Systemie Cyberbezpieczeństwa (KSC), lecz nie RODO.

Analizy ryzyka? Placówka zrobi je sama

W związku ze sprawą zwróciliśmy się z pytaniami do Centrum e-Zdrowia. W zakresie analizy ryzyka pod kątem RODO przekazano nam, że placówki medyczne są odrębnymi administratorami danych osobowych i same podejmują działania w tym zakresie. Każda z nich jest zatem odpowiedzialna za samodzielne przeprowadzenie analizy ryzyka.

Jak wynika z wyjaśnień CeZ otrzymanych przez CyberDefence24, wsparcie dla placówek obejmuje przede wszystkim ochronę danych i cyberbezpieczeństwo, a także zaangażowanie w projekty dofinansowania podmiotów w tymże zakresie.

„W ramach Centrum e-Zdrowia działa CSIRT CeZ, który m.in. monitoruje zagrożenia, a w przypadku ich wykrycia podejmuje stosowane działania. Publikowane zalecenia oraz ostrzeżenia są odpowiedzią na analizy bieżących zagrożeń oraz obsługiwanych incydentów” – czytamy w odpowiedzi dla naszej redakcji.

Szpitale potrzebują pomocy w zakresie cyberataków

Jak jednak w kontekście całego incydentu ma się kultura ochrony danych w polskich szpitalach czy przychodniach?

Centrum e-Zdrowia przyznaje, że kompleksowy system cyberbezpieczeństwa w sektorze zdrowotnym jest „ogromnym wyzwaniem”. Według VIII edycji Badania Informatyzacji Placówek Medycznych przeprowadzonego przez CeZ oraz wspomniany CSIRT, ponad połowa placówek posiada potrzeby dotyczące tej kwestii.

Ciekawie wyglądają jednak szczegóły zapotrzebowania w kontekście konkretnych placówek. Tutaj na szczycie listy znajdują się szpitale – aż 91,2 proc. z badanych podmiotów tego typu zgłosiło potrzeby dotyczące cyberbezpieczeństwa. Z kolei w przypadku innych instytucji oraz ambulatoryjnych świadczeń zdrowotnych (AŚZ) mowa odpowiednio o 71 proc. i 47,6 proc.

Jeszcze bardziej niepokojąco wyglądają konkretne wskazania placówek. Blisko 86 proc. badanych szpitali podkreśla, że wspomniane potrzeby dotyczą odporności na cyberataki, zaś 81 proc. z nich wspomniało o konieczności poprawy stanu wiedzy o zagrożeniach informatycznych. Na kwestię zwiększenia ochrony danych osobowych zwróciło z kolei uwagę 69 proc. szpitali, co stanowiło najwyższy wynik w porównaniu z podmiotami innymi niż szpitale (66,9 proc.) i AŚZ (65,5 proc.).

Centrum oraz CSIRT CeZ identyfikują poważne braki w znacznej części podmiotów. Braki są wynikiem wielu zaistniałych czynników m.in. szybko postępującej cyfryzacji sektora ochrony zdrowia, rosnących kosztów wdrażania oraz utrzymania IT. To samo dotyczy kosztów utrzymania wysokiego poziomu cyberodporności i związanych z tym wyzwań, jak np. aspekt pozyskania wyspecjalizowanej kadry. Nie bez znaczenia jest także specyfika sektora.
Centrum e-Zdrowia dla CyberDefence24

Audyty zależnie od podmiotu

Centrum e-Zdrowia wskazało jednocześnie na działania, które są podejmowane w ramach wsparcia sektora zdrowia wspólnie z resortem i CSIRT CeZ. W tym gronie znalazły się działania finansowane z KPO – nie wspomniano jednak, jakie konkretnie. 

Nasza redakcja otrzymała również listę priorytetów, jaką opracował dla szpitali wspomniany zespół CSIRT w oparciu o prowadzone badania. Oprócz szkoleń czy monitorowania podatności, znalazły się na niej także tzw. odmiejscowione kopie zapasowe, wdrożenie wieloskładnikowego logowania w systemach z danymi wrażliwymi, czy wdrożenie procedur i zaplecza technicznego, które umożliwiałyby „cykliczne testowanie odzyskiwania kopii zapasowych”.

Zapytaliśmy także o przeprowadzanie audytów ukierunkowanych na kwestię ochrony danych. Centrum e-Zdrowia przypomniało, że nie ma jednego uniwersalnego wymogu częstotliwości ich przeprowadzania dla wszystkich podmiotów, ponieważ obowiązki są różne w zależności od tego, o jakiej placówce mowa.

W odpowiedzi dla CyberDefence24 Centrum przypomniało, że w przypadku podmiotów podlegających pod ustawę o KSC, audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej powinien być obowiązkowo zapewniony co najmniej raz na 2 lata. 

„Jeżeli natomiast jest to podmiot publiczny realizujący zadanie publiczne zależne od systemu informacyjnego, to według art. 21 ust. 1 KSC nie ma obowiązków związanych z audytami KSC” – wyjaśnia Centrum e-Zdrowia, wskazując, że podmioty publiczne w ramach Krajowych Ram Interoperacyjności mają zapewnić okresowy audyt wewnętrzny w zakresie bezpieczeństwa informacji nie rzadziej niż raz na rok.

Rekomendacje dla wszystkich zainteresowanych

Jak z kolei wyglądają rekomendacje dla szpitali pod kątem ochrony danych? Według Centrum, w odpowiedzi na analizy bieżących zagrożeń i obsługiwanych incydentów, CSIRT CeZ publikuje zalecenia i ostrzeżenia. W tym gronie znalazły się m.in. wytyczne w zakresie ochrony przed cyberatakami czy Plan Działania w Zakresie Cyberbezpieczeństwa w Ochronie Zdrowia.

„Publikacje na stronie są dostępne dla wszystkich zainteresowanych, zaś szkolenia oraz ostrzeżenia kierowane są do podmiotów szpitalnych” – wyjaśniło Centrum w odpowiedzi dla CyberDefence24.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].