Przestępcy upatrzyli sobie te placówki. Cały sektor wymaga szczególnej ochrony

Punktem startowym dla masowej cyfryzacji w sektorze ochrony zdrowia może być pandemia COVID-19. Wówczas upowszechniła się nie tylko praca zdalna, ale również tzw. telemedycyna. Wraz ze wzrostem stopnia digitalizacji coraz szybciej rosła także liczba cyberataków na cały polski sektor ochrony zdrowia, osiągając w 2024 roku aż 1028 incydentów.

Cyberprzestępcy wiedzą, że życie ludzkie jest bezcenne i władze zaatakowanego szpitala będą gotowe zapłacić każde pieniądze w ramach okupu, aby jak najszybciej odzyskać kontrolę nad utraconymi danymi lub systemami. Atakom sprzyja też stosunkowo łatwa monetyzacja wrażliwych danych. Już pojedynczy plik z danymi skradzionymi z placówki medycznej może być wart nawet 250 tysięcy dolarów, jeśli cyberprzestępcy zechcą upłynnić go na czarnym rynku.

Sektor medyczny w Polsce wymaga zatem jak najszybszej i jak najszerzej zakrojonej modernizacji w zakresie zabezpieczeń. Zarówno publiczne, jak i prywatne placówki borykają się z przestarzałymi procedurami, nieaktualizowanym oprogramowaniem ochronnym i niedostatecznym poziomem świadomości pracowników, co sprzyja kolejnym incydentom. Z badań firmy Palo Alto Networks wynika, że intruzi mogą w mniej niż 14 godzin uzyskać dostęp do organizacji, wyodrębnić 2,5 terabajta danych i wdrożyć oprogramowanie ransomware na prawie 10 000 punktów końcowych (urządzenia, które łączą się z siecią firmową i stanowią potencjalne wejścia dla ataków). Taki scenariusz ataku przeprowadzony na jednostkę służby zdrowia postawiłby ją w bardzo trudnej sytuacji.

- Kiedy cyberprzestępcy znajdą nową lukę w zabezpieczeniach, to wykorzystują ją zaledwie w ciągu kilku godzin, podczas gdy zespoły ds. bezpieczeństwa potrzebują średnio około sześciu dni, aby zareagować na alert. Ta dysproporcja jest alarmująca, zwłaszcza w przypadku organizacji posiadających poufne i wartościowe dane. Zawieszenie pracy szpitala, manipulowanie danymi lub ich kradzież i groźby ujawnienia mogą w najpoważniejszych przypadkach zagrozić zdrowiu i życiu pacjentów. Dlatego tak ważne jest proaktywne wdrażanie najnowocześniejszych platform, które mogą powstrzymać coraz trudniejsze do opanowania i skoordynowane kampanie cyberprzestępców - mówi Wojciech Gołębiowski, wiceprezes i dyrektor zarządzający Palo Alto Networks w Europie Środkowo Wschodniej.

Sektor zdrowotny jest trzecią najczęściej atakowaną branżą w Polsce. To rodzi bardzo poważne obawy o bezpieczeństwo milionów pacjentów w całym kraju, a także wywołuje potrzebną dyskusję na temat usprawnienia ochrony sektora. Doświadczenia innych krajów dowodzą, że nie tylko polska branża medyczna mierzy się z poważnym i narastającym problemem cyberataków.

Przykłady zuchwałych cyberataków wymierzonych w sektor zdrowotny najlepiej pokazują, jak duża jest skala problemu i uzasadniają systemowe rozwiązania proponowane przez Unię Europejską, takie jak choćby dyrektywa NIS2. Niestety już w 2024 roku pojawiały się głosy, że duża część placówek medycznych będzie potrzebowała aż 6 miesięcy, aby wdrożyć założenia dyrektywy.

Oprócz nowych regulacji potrzebne są również programy inwestycyjne. Ministerstwo Cyfryzacji poinformowało w maju tego roku, że część z 28 milionów złotych z KPO trafi do branży ochrony zdrowia (Centrum e-Zdrowia), aby zwiększyć jej cyberbezpieczeństwo.

Polska ze względu na swoje położenie geograficzne i bieżącą sytuację geopolityczną stara się przewidywać i reagować na potencjalne zagrożenia. Świadczy o tym choćby rozwijanie Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT GOV). Ich zadaniem jest przeciwdziałanie i neutralizowanie cyberzagrożeń. Na rzecz sektora ochrony zdrowia działa CSIRT CeZ.

- CSIRT CeZ udostępnia placówkom medycznym specjalny formularz zgłoszeniowy, który służy do informowania o wszelkich incydentach cyberbezpieczeństwa. To bardzo dobry krok w stronę poprawy bezpieczeństwa danych pacjentów i sprzętu używanego w placówkach medycznych. Niestety rosnąca powierzchnia ataków nie idzie w parze ze zmianami organizacyjnymi i kadrowymi w organizacjach. Praktyka pokazuje, że wciąż większość placówek nie posiada w swoich strukturach wykwalifikowanego zespołu ds. cyberbezpieczeństwa - podkreśla Wojciech Gołębiowski.

Centrum e-Zdrowia w badaniu z marca bieżącego roku wskazuje, że niemal 70% ankietowanych z sektora medycznego podkreśla, że jedną z kluczowych potrzeb w zakresie cyberbezpieczeństwa jest odporność na cyberataki. Z kolei niemal 65% badanych zgłasza potrzebę zwiększania świadomości personelu na temat ryzyk dot. zagrożeń informatycznych. Działania w kierunku cyberochrony podejmowało zaledwie niecałe 48% badanych placówek, co najlepiej pokazuje, jak wiele jest do zrobienia w polskim sektorze medycznym.

Sztuczna inteligencja staje się niezbędnym elementem strategii cyberochrony, biorąc pod uwagę jej zdolność do gromadzenia informacji o zagrożeniach oraz ich wykrywania, a przede wszystkim ochrony przed potencjalnymi atakami, do których cyberprzestępcy również wykorzystują AI. Jednakże samo wdrożenie systemów obrony opartych na AI to tylko jedna strona medalu. Potrzeba również wykwalifikowanego personelu zdolnego obsługiwać i utrzymywać takie rozwiązania. Między innymi z tego powodu firmy coraz bardziej potrzebują pracowników z kompetencjami w zakresie obsługi sztucznej inteligencji.

Z drugiej strony, występowanie licznych luk w zabezpieczeniach wynika często z posiadania zbyt wielu różnych rozwiązań ochronnych w organizacji, które nie są we właściwy sposób administrowane i monitorowane. Placówki medyczne potrzebują zarówno sposobów na uzupełnianie braków kadrowych, jak i skuteczną obsługę szerokiego spektrum narzędzi cyberbezpieczeństwa i analizy danych przez nie generowanych.

Problemy takie mogą być ograniczone dzięki konsolidacji systemów i automatyzacji. Są to podstawowe korzyści płynące z platformizacji - kluczowego elementu każdej nowoczesnej strategii cyberbezpieczeństwa, który pozwala organizacjom zachować bezpieczeństwo i zgodność z przepisami przy jednoczesnym ograniczaniu liczby rozproszonych rozwiązań i systemów bezpieczeństwa. Dzięki integracji narzędzi w ramach jednej platformy organizacje mogą korzystać z najlepszych w swojej klasie systemów, takich jak np. usługi bezpieczeństwa dostarczane w modelu "software as a service" przez producenta zabezpieczeń, zautomatyzować obsługę incydentów i przyspieszyć czas od wykrycia do remediacji zagrożenia.