Dane medyczne pod ostrzałem

Opiekujący się pacjentami personel medyczny ma dostęp do bardzo wrażliwych i wartościowych danych. Ich wyciek lub utrata zwykle ma poważne konsekwencje prawne, etyczne i finansowe, a w skrajnych przypadkach może doprowadzić do uszczerbku na zdrowiu, a nawet utraty życia. Dlatego dbałość o nie powinna być absolutnym priorytetem – pisze Krzysztof Jakubik.

Temat bezpieczeństwa cyfrowych danych od lat budzi emocje, a informacje o konsekwencjach ataków na systemy informatyczne często trafiają na pierwsze strony gazet. W tym kontekście ochrona zdrowia znajduje się w wyjątkowej pozycji.

Personel ma dostęp do informacji medycznych określanych jako szczególnie wrażliwe. W przypadku wycieku mogą być one wykorzystywane np. do szantażowania, a gdy zostanie utracony dostęp do nich, niemożliwe staje się przeprowadzenie wielu procedur medycznych. o tego dochodzą klasyczne dane osobowe, w tym numery PESEL, adresy zamieszkania i informacje dotyczące ubezpieczenia.

Niestety, zarówno w Polsce, jak i na całym świecie przypadki udanych ataków na podmioty medyczne to już codzienność. Według działającego w strukturach NASK zespołu reagowania na incydenty komputerowe (CERT Polska) w ciągu ostatnich pięciu lat liczba odnotowanych cyberataków skierowanych przeciwko podmiotom medycznym wzrosła niemal ośmiokrotnie – z 53 w 2019 r. do 405 w 2023 r.

Ataki te stanowiły niewielki odsetek wszystkich (0,5 proc.) w porównaniu z innymi branżami, np. firmami handlowymi (24 proc.) i finansowymi (23,6 proc.), ale z uwagi na wspomniany wrażliwy charakter danych zjawisko to jest bardzo niepokojące. Co więcej, wykradający dane cyberprzestępcy często starają się działać tak, aby nie pozostawiać po sobie śladów. Niemal pewne jest więc, że liczba udanych ataków jest znacznie większa, ale administratorzy IT po prostu ich nie zauważyli.

Przestępcy już tu są

W Polsce szerokim echem odbił się listopadowy atak na ALAB Laboratoria, w wyniku którego do internetu trafiły dane ok. 220 tys. osób (placówka odmówiła zapłaty okupu szantażującym ją cyberprzestępcom). Z kolei w marcu 2024 r. wyciekły dane ok. 180 tys. osób z ok. 40 placówek medycznych wskutek udanego ataku na wrocławskie DCG Centrum Medyczne.

Przyczyną było zaniedbanie ze strony zewnętrznego dostawcy oprogramowania, który po zakończeniu umowy nie usunął kopii informacji z testowego serwera. Natomiast w styczniu 2024 r. Wojewódzki Szpital Specjalistyczny we Włocławku poinformował, że podczas naprawy komputera odkryto brak dysku twardego, a placówka nie jest w stanie określić, jakie dokładnie dane osobowe mogły się na nim znajdować.

Innym przykładem jest przypadek Powiatowego Szpitala Specjalistycznego w Stalowej Woli, w której od 19 listopada do 21 grudnia 2023 r. dane osobowe pacjentów były przekazywane na adres e-mail nieustalonej osoby trzeciej.

Niepokojące informacje przedstawiła na początku sierpnia br. Najwyższa Izba Kontroli. Kontrola delegatury NIK w Olsztynie przeprowadzona w województwie warmińsko-mazurskim wykazała, że w kilku tamtejszych placówkach dostęp do danych medycznych pacjentów przechowywanych w systemach informatycznych miała część personelu niemedycznego, a także byli pracownicy placówek. Odnotowano aż 14 przypadków logowania się do systemów informatycznych z danymi pacjentów przez osoby po ustaniu stosunku pracy.

Przeprowadzona kontrola objęła sześć szpitali i jeden ośrodek zdrowia. Wynika z niej, że wszystkie badane jednostki prowadziły działania mające na celu zapewnienie bezpieczeństwa informacji, w tym danych pacjentów, jednak w większości z nich (sześć podmiotów) odbywało się to w sposób nierzetelny lub nieadekwatny do rodzaju i skali przetwarzanych danych. Głównym naruszeniem było nieprzestrzeganie w tym zakresie części wewnętrznych regulacji oraz obowiązujących przepisów prawa dotyczących bezpieczeństwa informacji, w tym ochrony danych pacjentów.

Jak jesteśmy atakowani

Już od kilku lat globalne przychody uzyskiwane przez cyberprzestępców z ich działalności przekraczają zyski z handlu narkotykami. Magnesem jest mniejsze ryzyko oraz dostęp do ofiar na całym świecie. Jak podaje Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), jednym z głównych cyfrowych zagrożeń dla placówek ochrony zdrowia są ataki ransomware – w 2023 r. stanowiły one 54 proc. incydentów.

Polegają na tym, że zainstalowane na komputerze ofiary złośliwe oprogramowanie szyfruje wszystkie dane, a cyberprzestępcy udostępniają kod deszyfrujący dopiero po zapłaceniu okupu. Panaceum na skutki takiego ataku jest regularne wykonywanie kopii zapasowych danych – w ten sposób zagwarantowana jest możliwość ich odzyskania w przypadku zaszyfrowania.

Cyberprzestępcy są tego świadomi, więc oprócz szyfrowania wykonują również ich kopię na własne serwery, aby szantażować ofiary upublicznieniem wrażliwych danych w przypadku niezapłacenia haraczu. Ten rodzaj ataku jest najgroźniejszy dla podmiotów dysponujących danymi medycznymi – ich zablokowanie uniemożliwia realizowanie procedur medycznych, zaś ewentualny wyciek sprowadza konsekwencje karne, jak też całkowitą utratę zaufania pacjentów.

Jeżeli cyberprzestępcom nie uda się uzyskać dostępu do urządzenia zawierającego medyczne dane w taki sposób, aby je zaszyfrować, zrobią wszystko, aby je wykraść i sprzedać na czarnym cyfrowym rynku. Swój cel próbują osiągnąć za pomocą sztuczek socjotechnicznych.  

Zazwyczaj tworzą fałszywe strony internetowe łudząco podobne do oryginalnych i wysyłają wiadomości e-mail (określane jako phishing) o zwykle wzbudzającej niepokój lub ekscytację treści, aby skłonić odbiorcę do szybkiego kliknięcia w link prowadzący do „fałszywki” i wprowadzenia na takiej stronie swoich danych logowania. Informacje te są wykradane i używane przez cyberprzestępców już na prawdziwej stronie do uzyskania nieuprawnionego dostępu.

Cyberprzestępcy zazwyczaj maksymalizują szanse powodzenia ataków poprzez ich automatyzację. Ale nie zawsze. Zdarza się, że na cel brana jest placówka, co do której mają pewność, że dysponuje znacznymi zasobami finansowymi. Wówczas prowadzona jest akcja indywidualna – zdobywane są dane o infrastrukturze IT, pracownikach i ich zwyczajach. A ponieważ przy ochronie zasobów IT to człowiek jest słabszym ogniwem, działania te często kończą się sukcesem.

Najważniejsza jest cyberhigiena

Ochrona przed zagrożeniami może być realizowana na wiele sposobów. Ale wszystkie można podzielić na dwie kategorie: rozwiązania techniczne (sprzęt i oprogramowanie) oraz tzw. cyfrowa higiena. O techniczne aspekty zabezpieczeń powinien zadbać przede wszystkim dział IT w placówce medycznej.

Dotyczą one ochrony wykorzystywanych przez personel urządzeń (komputerów i tabletów), sieci komputerowej oraz jej łączności z internetem. W przypadku małych przychodni, w których nie jest konieczne zatrudnianie informatyka na pełny etat, zdecydowanie wskazane jest podpisanie stałego kontraktu w firmą specjalizującą się w obsłudze rozwiązań IT i ich zabezpieczaniu.

Cyberhigiena to zestaw praktyk, które pomagają chronić systemy informatyczne, dane i użytkowników przed zagrożeniami. Do stosowania tych zasad zobowiązani są wszyscy – zarówno dział IT, jak i użytkownicy. Część zasad związanych jest z koniecznością posiadania minimalnej wiedzy technicznej, ale większość mieści się w kategorii „zdrowego rozsądku” podczas korzystania z cyfrowych urządzeń i internetu. Jeżeli pracownik przynosi do szpitala lub przychodni prywatny sprzęt i podłącza go do sieci, bardzo ważne jest, aby reguły cyberhigieny restrykcyjnie stosował również w domu.

Jeżeli chodzi o aspekty techniczne, tu absolutnie najważniejszym jest systematyczne aktualizowanie systemów operacyjnych i aplikacji na posiadanych urządzeniach – w pakietach aktualizacyjnych często znajdują się poprawki naprawiające luki bezpieczeństwa w oprogramowaniu. Konieczne trzeba też posiadać aktualne oprogramowanie antywirusowe. Zdrowy rozsądek powinien podpowiadać przede wszystkim cierpliwość.

Coraz częściej logowanie do systemów informatycznych odbywa się z wykorzystaniem dwóch składników – tego, który użytkownik zna (hasła), i tego, który dostaje(aplikacja uwierzytelniająca, kod w SMS-ie lub wiadomości e-mail). Wydłuża to proces logowania, ale jest zabezpieczeniem uniemożliwiającym przeprowadzenie większości ataków. Zalecana jest też ostrożność wobec e-maili i SMS-ów otrzymanych od nieznanych nadawców oraz nieklikanie w podejrzane linki lub nieotwieranie załączników, które mogą zawierać złośliwe oprogramowanie.

Unikać też należy logowania się do ważnych kont przez publiczne sieci Wi-Fi. Smartfony i tablety powinny być zabezpieczone blokadą ekranu, a także mieć włączoną funkcję szyfrowania danych oraz zdalnego ich wymazywania w razie kradzieży lub zgubienia urządzenia. Szczególnie istotna jest edukacja, która pozwoli wyrobić wrażliwość na ryzyko.

W 2022 r. na zlecenie firmy Fortinet przeprowadzono badanie dotyczące m.in. tego tematu w 100 polskich publicznych i prywatnych placówkach medycznych. 38 proc. respondentów przyznało, że w ostatnim czasie szkolenia dla pracowników z zakresu cyberhigieny były prowadzone okazjonalnie, zaś regularnie tylko w 16 proc. Oznacza to, że w niemal połowie placówek nie jest prowadzona systematyczna działalność edukacyjna w zakresie bezpieczeństwa.

Krzysztof Jakubik

Autor jest redaktorem magazynu „CRN Polska” specjalizującym się w tematyce cyfrowego bezpieczeństwa i zaawansowanych rozwiązań IT