Utrata wrażliwych informacji wpływa na działanie szpitala czy kliniki. Ale nie tylko. Może nawet stanowić zagrożenie dla zdrowia pacjentów. Dlatego konieczne jest tworzenie spójnej strategii zabezpieczania danych.
Według raportu firmy IBM, w ubiegłym roku – już trzynasty rok z rzędu – koszty wycieków danych w branży ochrony zdrowia były największe spośród wszystkich badanych sektorów[1]. Sytuacja jest niepokojąca. Były one bowiem o ponad 53 procent wyższe niż trzy lata wcześniej i w objętych badaniem placówkach sięgały (średnio) prawie 11 milionów dolarów amerykańskich.
2 mld e-recept
Jak przypominają eksperci firmy Kingston, utrata wrażliwych informacji wpływa na działanie szpitala czy kliniki. Ale nie tylko. Może nawet stanowić zagrożenie dla zdrowia pacjentów. Dlatego w każdej placówce konieczne jest stworzenie spójnej strategii zabezpieczania danych zamiast działań podejmowanych ad hoc w razie wystąpienia incydentu.
A przecież branża medyczna gromadzi coraz więcej wrażliwych danych: historie chorób, wyniki badań, terapie lekowe. Postępuje również jej cyfryzacja. W Polsce już ponad 18 mln użytkowników korzysta z Internetowego Konta Pacjenta (IKP), wystawiono dotąd 2 mld e-recept i 198 mln innych elektronicznych dokumentów medycznych[2]. Jednocześnie w ubiegłym roku dane pacjentów w Unii Europejskiej były najczęściej atakowanymi aktywami w placówkach ochrony zdrowia[3].
Wędrujące dane medyczne
Sytuację komplikuje fakt, że wrażliwe dane medyczne bardzo często są przenoszone na nośnikach między różnymi urządzeniami, na przykład z tomografów i ultrasonografów do komputerów. Bez odpowiednich zabezpieczeń informacje te są narażone na wyciek i dostanie się w niepowołane ręce. Dlatego na każdym etapie przechowywania i przetwarzania powinny być zabezpieczone i przenoszone na nośnikach zapewniających silne szyfrowanie sprzętowe, dzięki czemu niepowołanym osobom dużo trudniej przechwycić informacje. Ogromne znaczenie w minimalizowaniu ryzyka naruszeń ma również edukacja personelu medycznego związana z bezpiecznym przechowywaniem informacji.
– Zarówno lekarze, jak i pozostali pracownicy placówek ochrony zdrowia, często przekazują dane medyczne między różnymi podmiotami – podkreśla Robert Sepeta, Business Development Manager w firmie Kingston.
Zdarza się to na przykład podczas prywatnych konsultacji czy przy współpracy z innymi specjalistami. Niestety, takie działania bardzo często odbywają się bez świadomości ryzyka związanego z bezpieczeństwem i możliwością przechwycenia informacji przez nieuprawnione osoby. Dlatego szkolenia z zakresu cyberbezpieczeństwa powinny stać się standardem w tej branży, aby każdy pracownik zdawał sobie sprawę z potencjalnych zagrożeń oraz znał podstawowe zasady ochrony danych.
Ataki ransomware celowane w szpitale
Jak podaje Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), jednym z głównych cyberzagrożeń dla placówek ochrony zdrowia są ataki ransomware. W ubiegłym roku stanowiły one 54 proc. zgłoszonych incydentów[4]. Jednak tylko 27 proc. badanych podmiotów z branży medycznej w UE wdrożyło programy ochrony przed takimi atakami[5]. Sytuacji nie ułatwia fakt, że w branży brakuje specjalistów, a także spójnej strategii cyberbezpieczeństwa – zarówno pod względem procedur, jak i zabezpieczenia sprzętowego.
Dlatego decyzje o zakupie nowego sprzętu czy oprogramowania zazwyczaj podejmowane są ad hoc. Najczęściej wtedy, gdy w budżecie zostaje nadwyżka. Brak planu i odpowiednich protokołów sprawiają nierzadko, iż długofalowo inwestycje w zaawansowane narzędzia nie zapewniają odpowiedniej ochrony.
– Z moich obserwacji wynika, że często odpowiedzialność za bezpieczeństwo danych, zwłaszcza w mniejszych placówkach ochrony zdrowia, spada na dział IT (czasem jedną osobę), który na co dzień zajmuje się też wsparciem technicznym, przede wszystkim konserwacją sprzętu elektronicznego, a często pełni również obowiązki inspektora danych osobowych. W takich sytuacjach ochrona danych nierzadko realizowana jest na poziomie niezbędnego minimum lub wcale – z pominięciem analizy i eliminacji zagrożeń. Oczywiście różni się to w zależności od wysokości budżetu na infrastrukturę informatyczną. W każdym przypadku kluczowe jest wsparcie specjalistów od bezpieczeństwa, którzy nieustannie monitorują system oraz przepływ danych i dobierają odpowiednie rozwiązania, aby zapewnić pełne bezpieczeństwo. Mniejsze placówki mogą korzystać z outsourcingu i powierzyć to zadanie zewnętrznym ekspertom. Warto podkreślić, że inwestycje w rozwiązania IT nie są realizowane kosztem leczenia czy zakupu sprzętu medycznego. Są to odrębne budżety – wskazuje Robert Sepeta.
[1] IBM „Cost of a Data Breach Report 2023”
[2] https://pacjent.gov.pl/aktualnosc/48-proc-polakow-uzywa-ikp
[3] https://www.enisa.europa.eu/news/checking-up-on-health-ransomware-accounts-for-54-of-cybersecurity-threats
[4] https://www.enisa.europa.eu/news/checking-up-on-health-ransomware-accounts-for-54-of-cybersecurity-threats
[5] https://www.enisa.europa.eu/news/checking-up-on-health-ransomware-accounts-for-54-of-cybersecurity-threats
Zgłoś naruszenie/Błąd
Pozytywnie
Neutralnie 
Negatywnie
Lubię to!
Super
Ekscytujący 
Ciekawy
Smieszny
Smutny
Wściekły
Przerażony
Szokujący
Wzruszający
Rozczarowany
Zaskoczony
Prawda
Manipulacja
Fake news
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS