Cyberbezpieczeństwo w branży medycznej: ochrona pacjentów przed cyberatakami 

Po wydarzeniach z ostatnich miesięcy, do których zaliczamy wyciek danych osobowych 13,4 miliona użytkowników kalifornijskiego systemu ochrony zdrowia czy przykład z naszego, polskiego rynku, a więc kradzież 44,5 gigabajtów danych z sieci laboratoriów ALAB, w których zgromadzone były numery PESEL niemalże 200 tysięcy pacjentów. Nikt nie ma już wątpliwości jak istotne jest cyberbezpieczeństwo w branży medycznej.

Sektor medyczny w Polsce korzysta z rozbudowanych rozwiązań informatycznych. Pozwala to na budowę rozwiązań takich jak system e-zdrowia czy centralny system rejestracji szczepień. Rozwiązania te zintegrowano z centralną chmurą publiczną oraz wieloma rozwiązaniami firm trzecich z wykorzystaniem szeroko dostępnych API. Czy podczas budowy tych rozwiązań położono odpowiedni nacisk na zabezpieczenie znajdujących się tam danych wrażliwych? Chodzi o: personalia polskich obywateli, numerów PESEL, danych medycznych takich jak karty chorób czy wyniki badań? 

Nasz CTO, Rafał Bodylski bacznie obserwuje sytuację cyberbezpieczeństwa w sektorze medycznym. Jakie są jego wnioski?  

„W samym 2023 roku do CERT Polska wpłynęło aż 371 089 zgłoszeń związanych z naruszeniami bezpieczeństwa cybernetycznego. Przełożyło się to na 80267 unikalnych incydentów, czyli ponad dwa razy więcej niż w 2022 roku. Niestety duża część z nich dotyczy sektora medycznego, który przetwarza szczególnie wrażliwe dane będące łakomym kąskiem dla atakujących. W końcu to właśnie w przychodniach, laboratoriach i szpitalach gromadzone są szczególnie wrażliwe dane o stanie zdrowia m.in. najważniejszych osób w kraju.” –  Rafał Bodylski, CTO w Simplicity sp. z o.o. 

W dzisiejszym świecie, branża medyczna staje przed unikalnymi wyzwaniami w zakresie cyberbezpieczeństwa. Zintegrowane systemy informatyczne, cyfryzacja dokumentacji medycznej oraz rosnące wykorzystanie Internetu Rzeczy (IoT) w urządzeniach medycznych przyczyniają się do poprawy jakości opieki zdrowotnej. Jednocześnie narażają podmioty medyczne takie jak przychodnie, laboratoria, szpitale, apteki czy firmy farmaceutyczne na ryzyko ataków cybernetycznych. Incydenty naruszeń danych mogą mieć katastrofalne skutki, zarówno dla pacjentów, jak i instytucji medycznych. Prowadzą do kradzieży danych osobowych, utraty zaufania oraz ogromnych strat finansowych. 

Luki w zabezpieczeniach systemów IT branży medycznej mogą mieć poważne konsekwencje 

Ciekawym jest, że ataki cybernetyczne na sektor medyczny bardzo często nie są wyrafinowanymi działaniami. Najczęściej bazują na odkrytych lukach i korzystaniu ze znanych podatności. Sektor medyczny w dalszym ciągu korzysta z wielu specjalistycznych urządzeń. Mowa o monitorach stanu zdrowia pacjentów, pompy infuzyjne czy rozbudowane systemy do obrazowania medycznego (MRI) pracujących pod kontrolą przestarzałego oprogramowania. Dodatkowo w systemach medycznych znajduje się wiele cennych i wrażliwych danych osobowych połączonych z historią choroby oraz wynikami badań medycznych. Są one najczęstszym celem ataków cybernetycznych na branżę medyczną. 

W styczniu 2023 roku celem ataku cybernetycznego stała się przychodnia z podwarszawskiego Otwocka. Nieuprawnione osoby uzyskały dostęp do infrastruktury IT oraz danych osobowych klientów. Mowa o numerach PESEL, danych kontaktowych, a także całej dokumentacji medycznej pacjentów. Hakerom udało się wykraść dane z lat 2018 – 2023, a na dodatek zaszyfrować pliki znajdujące się na serwerze przychodni, uniemożliwiając tym samym do nich dostęp. Konsekwencje tego ataku były odczuwalne przez wiele miesięcy. Przychodnia została zniesławiona, przez co utraciła zaufanie pacjentów, co poskutkowało znacznym pogorszeniem jej sytuacji finansowej. Dodatkowo na podmiot nałożono kontrolę z zakresu stosowania się do przepisów RODO. Niestety jej właściciel nie wyciągnął odpowiednich wniosków z przeprowadzonego ataku. W sierpniu 2024 roku witryna przychodni nadal nie posiadała poprawnie zaimplementowanego certyfikatu SSL oraz obsługi protokołu HTTPS.   

Rok później, w maju 2024 roku odnotowano atak hakerski na Szpital Psychiatryczny w Węgorzewie. W dniu 1 maja 2024 roku nieznanym sprawcom udało się sparaliżować działanie infrastruktury informatycznej placówki oraz działanie strony internetowej. Zaatakowano podmiot publiczny, a wraz z zakłóceniem działania infrastruktury IT doszło do wycieku danych, o czym poinformowano w późniejszych komunikatach. W sprawę został zaangażowany marszałek województwa warmińsko-mazurskiego, a postępowanie utajnione. 

Przykład  z zagranicy: w czerwcu 2024 roku wraz z rozpoczęciem sezonu wakacyjnego pokonano zabezpieczenia cybernetyczne największego szpitala w Chorwacji – Szpitala Klinicznego w Zagrzebiu. W dniu ataku udało się sparaliżować działanie systemu IT odpowiedzialnego za obieg dokumentacji i kart pacjentów co poskutkowało ewakuacją części pacjentów oraz paraliżem organizacyjnym w szpitalu. Nad przywróceniem funkcjonowania szpitala pracowało ponad 100 specjalistów IT. 

Wyżej wymienione przykłady w praktyczny sposób obrazują jak istotne jest odpowiednie zabezpieczenie cybernetyczne podmiotów z branży medycznej. Dodatkowo wskazują rozległe konsekwencje udanego ataku hakerskiego – od wycieku danych osobowych i dokumentacji medycznej, aż po całkowity paraliż placówek medycznych 

„Niestety, sektor medyczny chociaż mocno powiązany z nowymi technologiami, bardzo często nie jest świadomy zagrożeń, jakie niesie za sobą wykorzystanie infrastruktury IT. Bardzo często działania mające na celu zabezpieczenie cybernetyczne wdrażane są już po wystąpieniu incydentów. Niestety zdarza się i tak, że nawet one nie skłaniają podmiotów z sektora medycznego do inwestycji w cyberbezpieczeństwo. Skutkuje to trwałą utratą wizerunku i reputacji. Co ważne dotyczy to zarówno małych jak i największych podmiotów” – Rafał Bodylski, CTO w Simplicity. 

Specyficzne zagrożenia: cyberbezpieczeństwo w branży medycznej  

W branży medycznej, da się wyróżnić zagrożenia, które najczęściej odpowiadają za udane ataki cybernetyczne w tym sektorze. Zaliczamy do nich:

Ransomware

Ransomware – w 2017 roku atak ransomware WannaCry sparaliżował wiele instytucji, w tym brytyjski NHS (National Health Service), powodując ogromne zakłócenia w funkcjonowaniu szpitali i klinik. Portal rezerwacji usług transportu pacjentów został wyłączony. Wystąpiły problemy z rezerwacjami karetek do przewozu chorych. NHS został zmuszony do wyłączenia systemu odpowiedzialnego za przesyłanie skanów CT/MR oraz dostępu do panelu opieki chemioterapeutycznej.  

Phishing

Phishing – według Centripeta (jednego z liderów cyberbezpieczeństwa; trzykrotnego zwycięzcy konkursu Deloitte Fast 500), w trakcie pandemii Covid-19 nawet 88% pracowników służby zdrowia mogło otworzyć wiadomość phishingową, dając hakerom znacznie większe szanse na eksfiltrację poświadczeń i dostęp do infrastruktury IT. 

Ataki DDoS (Distributed Denial of Service)

Ataki DDoS (Distributed Denial of Service) – szpitale w Danii i Norwegii padły ofiarami ataków DdoS. Zakłóciły one ich funkcjonowanie poprzez paraliż infrastruktury IT. Grupa Anonymous Sudan z powodzeniem przeprowadziła kampanię ataków na obiekty szwedzkiej służby ochrony zdrowia, które spowodowały zakłócenie przyjęć do szpitali oraz wymusiły przełożenie części zabiegów planowych. 

Złośliwe oprogramowanie i ataki na urządzenia medyczne IoT

Złośliwe oprogramowanie i ataki na urządzenia medyczne IoT – już w 2015 roku odkryto, że pompy infuzyjne Hospira były podatne na ataki. Pozwalały one hakerom na zdalne przejęcie kontroli nad urządzeniem i zmianę dawek podawanych leków. W 2017 roku zidentyfikowano podobne podatności w urządzeniach monitorujących serce. Mowa o rozrusznikach serca i defibrylatorach jednego z amerykańskich producentów. 

„Ataki cybernetyczne na sektor medyczny mają wielowymiarowe oblicze. Bardzo często najsłabszym elementem ogniwa jest część, która nie jest powiązana z bezpieczeństwem cybernetycznym. Znamy przykłady przeniknięcia do infrastruktury IT za pomocą źle zabezpieczonego systemu HVAC (ogrzewania i chłodzenia). Bezpieczeństwo cybernetyczne sektora medycznego odnosi się nie tylko do zabezpieczenia infrastruktury IT i danych w niej gromadzonych, ale także urządzeń medycznych IoT.” – powiedział Rafał Bodylski. 

W obliczu rosnącej liczby ataków, placówki medyczne muszą inwestować w zaawansowane technologie zabezpieczeń. Oprócz tego regularnie aktualizować swoje systemy, szkolić personel w zakresie cyberbezpieczeństwa oraz rozwijać procedury reagowania na incydenty. Tylko poprzez wieloaspektowe podejście do bezpieczeństwa można skutecznie chronić dane pacjentów i zapewniać ciągłość działania kluczowych systemów medycznych.

Cyberbezpieczeństwo w branży medycznej – zabezpieczenia

Proces wdrażania systemu zabezpieczeń cybernetycznych w sektorze medycznym wymaga odpowiedniego planowania, starannego wdrożenia, a także bieżącego utrzymania. Aby łatwiej było zaplanować zabezpieczenie organizacji z sektora medycznego przygotowaliśmy praktyczną checklistę. 

• Wdrożenie zaawansowanych rozwiązań z zakresu zabezpieczeń – skup się na zabezpieczeniu sieci, szyfrowaniu danych, odpowiednim backupie oraz segmentacji infrastruktury IT. Stosuj się również do zasad Zero Trust Security. 

• Regularnie aktualizowanie i zarządzanie zabezpieczeniami – pamiętaj, że zapewnienie bezpieczeństwa cybernetycznego to proces ciągły. Kluczem do sukcesu jest regularna aktualizacja systemów informatycznych oraz oprogramowania, aby posiadały one najnowsze łatki zabezpieczeń. Aby ułatwić aktualizacje i zarządzanie zabezpieczeniami możesz wykorzystać rozwiązania posiadające funkcję centralnego zarządzania aplikacjami takie jak np. BigFix. 

• Edukacja i szkolenie personelu – nawet najlepsze zabezpieczenia sprzętowe nie spełnią swojej funkcji bez odpowiedniej edukacji i szkolenia personelu. Zapewnij solidne szkolenie z zakresu cyberbezpieczeństwa z elementem praktycznym. Może to być okresowe badania czujności pracowników poprzez wewnętrzne testy z wykorzystaniem spreparowanej kampanii phishingowej. 

• Zarządzanie tożsamością i dostępami – nie ufaj nikomu i zadbaj o najniższe możliwe uprawnienia niezbędne do wykonywania obowiązków zawodowych. Segmentacja systemów IT w połączeniu z podejściem Zero Trust to niezbędne elementy. 

• Monitorowanie i reagowanie na bieżąco – powinieneś zainwestować w SOC. Jest to dedykowany zespół do monitorowania i reagowania na incydenty, co zwiększa skuteczność działań obronnych. Aby dział ten działał sprawnie i skutecznie musisz zawczasu przygotować odpowiednie procedury i plany reagowania. Alternatywą dla SOC może być wdrożenie SIEM i SOAR. 

• Audyty bezpieczeństwa, oceny ryzyka i testy penetracyjne – lepiej poznać wroga i reagować przed jego atakiem. Regularne audyty bezpieczeństwa, sprawdzanie zgodności ze standardami oraz dobrymi praktykami, ocena ryzyka przez zewnętrznych audytorów, a także testy penetracyjne zwiększą bezpieczeństwo Twojej infrastruktury IT. 

Pamiętaj:

Zabezpieczenie sektora medycznego przed zagrożeniami cybernetycznymi wymaga skoordynowanego podejścia, łączącego zaawansowane technologie, ścisłe procedury zarządzania oraz edukację personelu. Tylko dzięki zintegrowanym działaniom możesz skutecznie chronić dane pacjentów i zapewniać ciągłość działania kluczowych systemów medycznych. W obliczu rosnących zagrożeń, inwestycje w cyberbezpieczeństwo w branży medycznej stają priorytetem dla każdej placówki.

Jak edukować personel medyczny w zakresie cyberbezpieczeństwa? 

Z pewnością wiesz, że najsłabszym ogniwem każdego systemu IT są jego użytkownicy. Stosowanie socjotechnik przez cyberprzestępców stanowi bardzo poważne zagrożenie dla Twojej organizacji. Aby skutecznie bronić infrastruktury IT niezbędny jest system edukacji pracowników. 

Edukacja personelu medycznego w zakresie cyberbezpieczeństwa jest procesem ciągłym, i wymaga zaangażowania całej organizacji, co może być dużym wyzwaniem. Trzeba zadbać o maksymalnie krótkie i praktyczne szkolenia oraz motywować pracowników do ich wykonywania. W końcu pracownicy, którzy są świadomi zagrożeń i wiedzą, jak reagować, stanowią pierwszą linię obrony przed cyberatakami. 

Zabezpieczenia cybernetyczne w kontekście wymogów regulacyjnych i zgodności z normami prawnymi  

Sektor medyczny podlega wielu regulacjom prawnym i wymogom regulacyjnym. Zaliczamy do nich Ustawę o działalności leczniczej, Ustawę o prawach pacjenta i Rzeczniku Praw Pacjenta, Ustawę o systemie informacji w ochronie zdrowia oraz wiele pochodnych dokumentów. W związku z przetwarzaniem znacznych ilości danych wrażliwych o strategicznym znaczeniu, wszystkie placówki medyczne muszą zadbać o zgodność swoich systemów informatycznych, między innymi z RODO. Nie wolno zapominać także o dyrektywie NIS2 – o bezpieczeństwie sieci i informacji. 

Zapewnienie zgodności z wyżej wymienionymi dokumentami może przyprawiać o zawrót głowy. Na szczęście, aby organizacja była zgodna z regulacjami oraz zabezpieczona przed atakami cybernetycznymi nie trzeba całkowicie przebudowywać infrastruktury IT. Wystarczy wdrożenie kompleksowej strategii cyberbezpieczeństwa  w organizacji bez negatywnego wpływu na zachowanie jej ciągłości operacyjnej. Niezbędne jest również powołanie inspektora danych osobowych, regularne przeprowadzanie audytów i ocen ryzyka, wdrożenie stosownych polityk i procedur ochrony danych, szkolenie personelu oraz stałe monitorowanie i reagowanie na incydenty. Ilość elementów jest spora, ale część z nich można delegować np. korzystając z rozwiązań typu SaaS lub usług outsourcingu. 

Placówki medyczne muszą być proaktywne w swoich działaniach. Powinny regularnie monitorować i aktualizować swoje praktyki, aby skutecznie chronić wrażliwe dane i zapewniać najwyższy poziom bezpieczeństwa. 

Cyberbezpieczeństwo branży medycznej w pigułce 

Zrozumienie i wdrożenie najlepszych praktyk w zakresie ochrony danych oraz reagowania na incydenty może znacząco zredukować ryzyko skutecznych ataków. Regularne audyty bezpieczeństwa, segmentacja sieci, stosowanie silnego uwierzytelniania oraz szyfrowanie danych to tylko niektóre z kroków, które mogą zapewnić lepszą ochronę. Ponadto, kluczowym elementem jest stworzenie kultury bezpieczeństwa, w której każdy pracownik, niezależnie od stanowiska, czuje się odpowiedzialny za bezpieczeństwo cybernetyczne. 

Ważne: cyberbezpieczeństwo w branży medycznej to wyzwanie, które wymaga nieustannej uwagi i adaptacji do nowych zagrożeń. Dzięki skoordynowanym wysiłkom, wykorzystaniu najnowszych technologii oraz ścisłemu przestrzeganiu regulacji, możliwe jest stworzenie bezpiecznego środowiska, w którym dane pacjentów są chronione, a usługi medyczne mogą być świadczone bez zakłóceń. Ostatecznie, zdrowie i bezpieczeństwo pacjentów są najwyższym priorytetem, a skuteczna ochrona przed cyberatakami jest nieodłącznym elementem ich zapewnienia. 

W powyższym artykule staraliśmy się w pigułce zawrzeć najważniejsze informacje z obszaru: cyberbezpieczeństwo w branży medycznej. Temat jest niezwykle aktualny, ważny, a także rozbudowany, dlatego zachęcamy naszych czytelników do kontaktu, jeśli jesteś zainteresowan* jego rozwinięciem.