Nowoczesny Szpital dba o (cyber)Bezpieczeństwo Pacjenta

Materiał sponsorowany

Poranny prolog: Komputer jak stetoskop

Debatę poprzedziła rozmowa Prezesa OSSP Andrzeja Sokołowskiego z Wiceministrem Zdrowia Tomaszem Maciejewskim na wstępie konferencji.

Prezes Sokołowski postawił jasną diagnozę: w dobie cyfryzacji komputer stał się narzędziem pracy tożsamym ze stetoskopem czy strzykawką, a jego unieruchomienie to bezpośrednie zagrożenie dla życia pacjentów.

Minister Maciejewski, uznając wagę problemu, zapowiedział starania o upowszechnienie wytycznych zawartych w CYBERMANUALu (opracowanego pod redakcją Macieja Wiśniewskiego) w całym sektorze. Odniósł się także do kwestii finansowych.

Dziś systemy zdrowotne nie są w stanie utrzymać się z samych składek zdrowotnych. Takie finansowanie nie wystarcza w zasadzie nigdzie. Wszędzie, w każdym kraju, jest konieczne dodatkowe wsparcie w postaci współpłacenia przez pacjentów, innego systemu ubezpieczeń czy dotacji budżetowej. W całej Europie z tym się mierzymy.
Podsekretarz stanu w Ministerstwie Zdrowia Tomasz Maciejewski

Publikacja jest ogólnodostępna do pobrania na stronie OSSP https://ossp.pl/cybermanual/.

Sesja główna: Szpitalna codzienność w kontekście rosnącego zagrożenia i nowych regulacji KSC2

Główną sesję poprowadził ekspert OSSP Zbigniew Kniżewski - Prezes firmy CYBER360, jeden ze współautorów CYBERMANUALa. Jako moderator nie tylko nadał dyskusji tempo, ale przede wszystkim sprowadzał techniczne zawiłości do poziomu odpowiedzialności zarządczej.

Prowadzący rozpoczął od mocnego uderzenia – poinformował o nieobecności Jeremiego Olechnowicza, z Centrum e-Zdrowia, Kierownika  CSIRT CeZ, który „walczył na froncie” w Szpitalu Wojewódzkim w Szczecinie, gdzie lekarze musieli wrócić do papierowych kartotek, a następnie sprawnie nawigował między skrajnymi opiniami ekspertów, pilnując, by premiera CYBERMANUALa nie była jedynie prezentacją dokumentu, ale lekcją przetrwania dla dyrektorów. Udział w rozmowie wzięli zaproszeni przez Zbigniewa Kniżewskiego doświadczeni praktycy reprezentujący „różne światy” i jak się okazało w dyskusji nieraz odmienne punkty widzenia na cyberbezpieczeństwo:

• Tomasz Jaworski: Dyrektor ds. cyberbezpieczeństwa w sektorze zdrowia w Palo Alto Networks oraz autor suplementu do manuala dotyczącego sztucznej inteligencji. 
• Paweł Dłużewski: Dyrektor Departamentu Zarządzania IT i jednocześnie CISO Grupy LUX MED, praktyk zarządzania bezpieczeństwem w ogromnej organizacji ochrony zdrowia.
• Michał Zdunowski: Prezes IS Consulting oraz ekspert odpowiedzialny za stworzenie nowego standardu cyberbezpieczeństwa dla MŚP ShieldNet. 

Polemika: Co jest celem ataku?

Dynamiczna wymiana zdań między uczestnikami, moderowana przez Zbigniewa Kniżewskiego, pozwoliła na wypracowanie wielowymiarowego spojrzenia na bezpieczeństwo, które legło u podstaw CYBERMANUALa.

Najostrzejszy punkt sporny zarysował się między Michałem Zdunowskim a Tomaszem Jaworskim, co stało się punktem wyjścia do głębszej analizy ryzyka:

Michał Zdunowski argumentował, że hakerzy nie atakują „zer i jedynek”, ale ludzi i ciągłość leczenia. Z tej perspektywy największym zagrożeniem jest paraliż pracy personelu, który pod wpływem stresu i chaosu staje się bezbronny. 

Tomasz Jaworski wszedł w bezpośrednią kontrę, twierdząc, że dane medyczne są celem samym w sobie ze względu na ich ogromną wartość na czarnym rynku oraz skutki prawne ich wycieku (np. kary RODO). Przywołał przykład Alabu, gdzie to właśnie kradzież informacji, a nie tylko blokada systemów, była głównym wektorem ataku.

Zbigniew Kniżewski, jako współautor CYBERMANUALa, umiejętnie pogodził te stanowiska, wskazując, że obie perspektywy są prawdziwe i wzajemnie się uzupełniają. Podkreślił, że dyrektywa NIS2 nakłada na Zarząd obowiązek ochrony obu tych zasobów: zarówno ciągłości operacyjnej, jak i poufności danych .

Ważnym elementem polemiki był głos Pawła Dłużewskiego z LUX MED, który odniósł się do oporu personelu medycznego wobec narzędzi takich jak MFA (uwierzytelnianie wieloskładnikowe). Wskazał, że narzucanie lekarzom technologii, która utrudnia im pracę w sytuacjach ratowania życia, wywołuje „ból emocjonalny” i opór.

Rozwiązaniem, które zyskało aprobatę moderatora, było wdrożenie strategii „wielu dróg” – lekarz może wybrać metodę logowania (token, karta, aplikacja), która jest dla niego najmniej uciążliwa.

Równocześnie, przedstawiciel LUX MED dobitnie podkreślił, że cyberbezpieczeństwo to ciągły kosztowny proces a nie jednokrotny wydatek.

KSC2 jako katalizator zmian: Od dobrowolności do rygoru

Podczas sesji wybrzmiało jasno: era „cyberbezpieczeństwa na życzenie” zakończyła się wraz z procedowaniem Nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC2). 

Michał Zdunowski wskazał, że ustawa ta definiuje szpitale jako podmioty kluczowe lub ważne, co nakłada na nie konkretne, ustawowe obowiązki. Jednocześnie wyraził obawę, że KSC2 może powtórzyć błędy niektórych wdrożeń ISO, gdzie „produkuje się szafy papierów”, które nie chronią przed realnym atakiem hakerskim. Podkreślał, że dla sektora MŚP rygory KSC2 mogą być barierą nie do przejścia bez systemowego wsparcia.

Odmienne zdanie na ten temat wyraził Tomasz Jaworski, twierdząc, że KSC2 to szansa dla Zarządów na odwołanie się do mierzalnych wskaźników (KPI).

Według niego, prostą reakcją dyrektora szpitala na ustawę byłoby zadnie pytań informatykom: „Jak szybko dowiemy się o ataku? (MTTR)”, „Jak szybko przywrócimy działanie? (RTO)” oraz „Ilu narzędzi cyberbezpieczeństwa używamy?”.

Do zdania tego przychylił się Paweł Dłużewski, dodając, że w dobie rygorów KSC2 nie wystarczy już mieć regulaminów bezpiecznie schowanych w szafie – ustawa ta w praktyce powoduje konieczność przejścia od procedur na papierze do inwestycji w sprawdzone, wysokiej klasy narzędzia cyberbezpieczeństwa.

Zbigniew Kniżewski podkreślał, że KSC2 wymaga od placówek wdrożenia systemów zarządzania bezpieczeństwem informacji. CYBERMANUAL został zaprezentowany jako pierwszy, niezbędny krok do spełnienia tych wymogów – zwłaszcza w obszarze szkolenia personelu i procedur incydentalnych. Jednocześnie prowadzący najmocniej akcentował zapisy KSC2/NIS2 dotyczące osobistej odpowiedzialności finansowej i prawnej członków zarządu za zaniedbania w cyberbezpieczeństwie . Dzięki jego moderacji, dyskusja o ustawie nie była suchą analizą prawną, ale wezwaniem do zabezpieczenia własnych placówek (i stanowisk).

Wszyscy rozmówcy zgodnie uznali, że KSC2 wymusi na NFZ i Ministerstwie Zdrowia zmianę sposobu finansowania IT w szpitalach. Nie można wymagać od podmiotów medycznych spełnienia rygorów KSC2 bez zapewnienia im na to środków w taryfie świadczeń.

Podsumowanie i strategiczne postulaty

Zbigniew Kniżewski, wspólnie z Andrzejem Sokołowskim, zakończyli sesję podsumowaniem, które wykraczało poza ramy samej dyskusji, stając się manifestem dla sektora:

1. Manual jako standard postępowania: CYBERMANUAL nie ma leżeć w szufladzie; zawarty w nim Arkusz Pierwszej Pomocy ma być wywieszony w każdym punkcie pielęgniarskim jako „algorytm ratunkowy" dla systemów IT .
2. Odpowiedzialność Zarządu: Kniżewski przypomniał, że dyrektorzy nie mogą już mówić: „to sprawa informatyka" . NIS2 sprawia, że cyberbezpieczeństwo to ryzyko biznesowe i prawne członków zarządu .
3. Wspólny parasol (Systemowa Odporność): Najmocniejszym wnioskiem było stwierdzenie, że pojedynczy szpital nie ma szans w walce z zorganizowaną cyberprzestępczością. Polska potrzebuje centralnego systemu ochrony i wliczenia kosztów bezpieczeństwa w wycenę świadczeń zdrowotnych przez NFZ.

Konferencja pokazała, że szpitale i placówki medyczne nie są zupełnie osamotnione w walce. Już dzisiaj możliwe jest wdrożenie dobrych praktyk takich jak opisane w podręczniku CYBERMANUAL. Objęcie szpitali wymogami KSC2 sprawiło także, że sektor ochrony zdrowia stał się naturalnym obszarem wsparcia dla globalnych liderów cyberbezpieczeństwa. Przykładem jest zaangażowanie firm takich jak Palo Alto Networks, Deloitte, które – specjalizując się w ochronie środowisk medycznych – dostarczają technologię i know-how niezbędne do budowy systemowej odporności.

Zbigniew Kniżewski zamknął sesję apelem o czujność, wskazując na Szczecin jako przestrogę: „Dziś oni, jutro my, jeśli nie wdrożymy tych prostych zasad”.