Redakcja Asseco News
e-mail: [email protected]
Transformacja cyfrowa sektora opieki zdrowotnej to kierunek, od którego nie ma odwrotu. Cyfryzacja usprawnia działanie jednostek medycznych i podnosi poziom obsługi pacjentów. Postępująca digitalizacja zwiększa jednak ryzyko cyberataków. Z jakimi zagrożeniami muszą mierzyć się podmioty służby zdrowia? Czy chmura jest rozwiązaniem, które może podnieść poziom ich cyberbezpieczeństwa?
W Asseco obsługujemy ponad 400 szpitali w Polsce i z naszego doświadczenia wynika, że każda jednostka jest narażona na cyberataki. W związku z tym zapewnienie bezpieczeństwa systemów informatycznych wymaga systematycznych inwestycji i zaangażowania zarówno po stronie szpitala, jak i dostawców sprzętu oraz oprogramowania. Większość dostępnych badań wskazuje, że w zakresie cyberbezpieczeństwa najsłabszym ogniwem jest człowiek. To oznacza, że przede wszystkim pracownicy szpitala powinni być objęci odpowiednimi działaniami z zakresu cyberbezpieczeństwa.
Szpitale to organizacje, zatrudniające od kilkuset do kilku tysięcy ludzi. To właśnie ich personel jest najczęstszym celem ataków. Powszechną metodą, którą wykorzystują cyberprzestępcy jest phishing. Przykładowo wysyłają oni do pracowników maila z zainfekowanym załącznikiem. To może być informacja o treści: Potrącenie z listy płac 2 tys. zł. Szczegóły w załączniku. Osoby, które nie były szkolone z zasad cyberbezpieczeństwa, najczęściej nie są w stanie zidentyfikować takiej wiadomości, jako oszustwa. Dlatego tak ważne jest prowadzenie systematycznych szkoleń i przygotowywanie pracowników do odpowiedniego reagowania na tego typu sytuacje. Realizacja takiego zadania może być jednak dla szpitala zbyt dużym wyzwaniem ze względu na inne zadania, w które jest zaangażowany pion IT. Warto więc w tym zakresie korzystać ze wsparcia zewnętrznych dostawców. Tym bardziej, że efekt udanego cyberataku stawia jednostkę w bardzo trudnym położeniu. Celem cyberprzestępców jest otrzymanie okupu. Szpital, jako podmiot publiczny, zgodnie z polskim systemem prawnym nie może go zapłacić. Takie działanie jest bowiem uznawane za wspieranie terroryzmu. W tej sytuacji szpital może oczywiście skorzystać z usług zewnętrznej firmy wyspecjalizowanej w zakresie cyberbezpieczeństwa. Usuwanie skutków cyberataku jest jednak czasochłonnym procesem.
Lepiej zapobiegać, niż leczyć
Aby uniknąć takich kryzysów, warto wcześniej skorzystać ze wsparcia doświadczonych podmiotów i odpowiednio się zabezpieczyć. Polskie szpitale mają tego coraz większą świadomość. Zlecanie części zadań związanych z bezpieczeństwem i utrzymaniem systemu informatycznego zewnętrznym firmom staje się więc w naszym kraju coraz powszechniejszym zjawiskiem. W tym kontekście kluczowa jest efektywność kosztowa takiego rozwiązania. Stworzenie w szpitalu zespołu specjalistów od poszczególnych obszarów infrastruktury IT np. macierzy, komputerów czy sieci, wymagałoby zatrudnienia grupy kilkudziesięciu osób. Dla szpitala jest to nieopłacalne. Ponadto taki zespół i tak nie byłby w stanie osiągnąć stopnia specjalizacji, jaki oferują firmy IT. Oczywiście nawiązanie współpracy z wykwalifikowaną organizacją nie likwiduje w pełni ryzyka. Warto jednak zauważyć, że część dostawców bierze odpowiedzialność za zachowanie cyberbezpieczeństwa szpitalnych systemów i w sytuacji kryzysowej podejmuje odpowiednie działania. Wbrew powszechnemu przekonaniu sytuacja kryzysowa to nie tylko cyberatak. Pożar czy długotrwała awaria zasilania to czynniki, które również mogą sparaliżować pracę szpitala i wymagają szybkiej oraz efektywnej reakcji.
Odpowiednie procedury, szkolenia, utrzymanie infrastruktury IT na najwyższym poziomie – te czynniki znacznie podnoszą poziom cyberbezpieczeństwa. Nie są jednak w stanie całkowicie odizolować systemu szpitala od wszystkich zagrożeń. Obecne przepisy prawne zobowiązują bowiem szpitale do udostępniania elektronicznej dokumentacji medycznej pacjentów za pomocą platformy P1. To oznacza, że ich systemy informatyczne są w pewien sposób „otwarte”. Jest to element, gdzie mogą pojawić się potencjalne niebezpieczeństwa. Rozwiązaniem jest przechowywanie dokumentacji medycznej pacjentów w chmurze. Przeniesienie całej tej operacji do wyspecjalizowanego podmiotu powoduje, że szpital pozbywa się tego ryzyka z własnej infrastruktury. Asseco w ramach projektu „Chmura dla zdrowia” udostępnia tę usługę już 300 podmiotom służby zdrowia.
Krzysztof Kulesza, Dyrektor handlowy w Chmura dla Zdrowia, ekspert ds. sprzedaży Asseco Poland. Ekspert był uczestnikiem debaty „Cyberbezpieczeństwo medyczne” podczas VIII Kongresu Wyzwań Zdrowotnych
Więcej informacji na: https://chmuradlazdrowia.pl/
Poprzedni wpis