Polityka i prawo
EROD: szpitale powinny informować o każdym naruszeniu struktur teleinformatycznych
Szpitale powinny informować o atakach hakerskich właściwe organy nawet, jeśli w konsekwencji incydentu nie doszło do wycieku danych osobowych - wskazują nowe, styczniowe wytyczne postępowania po cyberataku dla szpitali wydane przez Europejską Radę Ochrony Danych (EROD).
W myśl nowych rekomendacji EROD, każde naruszenie bezpieczeństwa struktur teleinformatycznych szpitali musi być opisane w ramach wewnętrznej dokumentacji niezależnie od ryzyka dla danych osobowych związanych z poszczególnymi incydentami.
Dokument Europejskiej Rady Ochrony Danych przedstawia szereg scenariuszy, które wskazują, w jaki sposób szpitale powinny zarządzać ryzykiem oraz jakie działania prewencyjne podejmować np. w przypadku cyberataków z wykorzystaniem oprogramowania szyfrującego dla okupu (ang. ransomware).
Według EROD ryzykiem dla placówek ochrony zdrowia w dobie pandemii koronawirusa SARS-CoV-2 są nie tylko cyberataki, które mogą prowadzić do wykradzenia wrażliwych danych o pacjentach czy procedurach, ale również takie incydenty, w wyniku których działanie placówki zostaje sparaliżowane przez np. blokadę systemów przetwarzania danych czy konieczność całkowitego odłączenia struktur teleinformatycznych celem uniknięcia wycieku.
Jak czytamy w dokumencie "szpitale przetwarzają duże ilości danych, dlatego objętość danych wyciekających w czasie incydentu oraz liczba poszkodowanych podmiotów są zazwyczaj wysokie". Dodatkowo EROD wskazuje, że w przypadku cyberataków na tego rodzaju placówki dodatkowymi czynnikami ryzyka są "natura, wrażliwość oraz objętość danych osobowych", które mogą być przedmiotem wycieku.
Jakkolwiek dane po wykradzeniu przez cyberprzestępców i usunięciu ich ze struktur szpitala mogą być odzyskane przez wykorzystanie kopii zapasowych, to zdaniem EROD konsekwencje takiego zdarzenia podczas trwania incydentu i bezpośrednio po nim mogą być bardzo znaczące i przekładać się m.in. na opóźnienia podczas planowanych zabiegów medycznych a nawet przerwy w terapii.
Europejska Rada Ochrony Danych wskazuje, że szpitale, których pacjenci ucierpią w wyniku ataku hakerskiego poprzez opóźnienie lub odwołanie zabiegów medycznych powinni być o tym fakcie natychmiast informowani przez administrację placówki.
Opublikowany w styczniu dokument nie jest jeszcze ostateczną wersją najnowszych wytycznych EROD dla szpitali. Specjaliści z branży cyberbezpieczeństwa ostrzegają, że w czasie pandemii szpitale i sektor ochrony zdrowia to dla hakerów jeden z najbardziej atrakcyjnych celów. W samym tylko listopadzie ubiegłego roku tygodniowo notowano średnio 626 cyberataków na tego rodzaju podmioty.