Ostatni dzwonek przed wejściem w życie dyrektywy NIS2

Czy polska ochrona zdrowia jest gotowa na nowe wyzwania w dziedzinie cyberbezpieczeństwa? Świadomość lekarzy i menedżerów rośnie, rosną też nakłady na ochronę IT, jednak placówki medyczne czeka w nadchodzących miesiącach prawdziwa rewolucja – pisze Piotr Kościelniak.

Ta rewolucja to wejście w życie europejskiej dyrektywy NIS2 ustanawiającej nowe, wyższe standardy w dziedzinie cyberbezpieczeństwa i odporności organizacji o krytycznym znaczeniu dla funkcjonowania społeczeństw Unii Europejskiej.

Nakłada ona na podmioty nią objęte nowe obowiązki dotyczące szacowania ryzyka, budowania systemów ochrony IT, zapewnienia ciągłości działania, poddawania się audytom i raportowania o incydentach. Zaniedbania w tym obszarze sprowadzą na osoby odpowiedzialne wysokie kary finansowe. Niedostosowanie się do postanowień NIS2 będzie zatem nie mniej bolesne niż atak hakerski.

Wśród podmiotów objętych NIS2 znajdują się m.in. szpitale. Niestety, nie wszystkie takie placówki są przygotowane na poważne zmiany, które czekają je w perspektywie kilku miesięcy. Menedżerowie nie zawsze mają świadomość, że muszą podjąć odpowiednie działania, brakuje również standardów i dobrych praktyk w obszarze cyberbezpieczeństwa w zdrowiu.

Koalicja dla bezpieczeństwa

Zmienić to ma Koalicja na rzecz cyberbezpieczeństwa w ochronie zdrowia zawiązana pod koniec maja w siedzibie Naczelnej Izby Lekarskiej. W skład koalicji wchodzą Fundacja Healthcare Poland, Centralny Ośrodek Badań, Innowacji i Kształcenia NIL, Polska Federacja Szpitali oraz Krajowa Izba Domów Opieki.

W podpisaniu projektu koalicji wziął udział Artur Drobniak, dyrektor Centralnego Ośrodka Badań, Innowacji i Kształcenia NIL, który wraz z Łukaszem Sosnowskim, partnerem operacyjnym NIL IN, byli gospodarzami spotkania.

– Stoimy przed wyborem: albo będziemy dane naszych pacjentów intensywnie zabezpieczali, albo będą co jakiś czas wycieki i zarówno świadczeniodawcy, jak i pracownicy medyczni, które te dane wprowadzają, zostaną pociągnięci do odpowiedzialności – mówił Artur Drobniak. Podkreślił, że jednym z zadań koalicjantów jest zdjęcie z lekarzy obowiązku sprawdzania, czy to, co wprowadzają do komputera, jest dobrze chronione.

– Jak wiemy, zagrożenia w obszarze cyberbezpieczeństwa, które obecnie dotykają polski system ochrony zdrowia, są bardzo poważne. W związku z tym konieczne są działania w zakresie finansowania rozwoju systemów, które pozwolą te zagrożenia niwelować – tłumaczył Michał Dybowski z Fundacji Healthcare Poland, nawiązując do wojny na Ukrainie i jej skutków dla bezpieczeństwa informatycznego polskich organizacji. – W harmonogramie mamy przewidziane w tym roku trzy wydarzenia, które pozwolą zarówno dyrektorom szpitali, jak i partnerom zademonstrować takie rozwiązania – dodał.

Jednym z głównych celów koalicji jest pokazanie właściwego standardu wdrożenia systemów cyberbezpieczeństwa i szacowania ryzyka, a także ułatwienie wyboru dostawców rozwiązań IT. To również przygotowanie personelu placówek medycznych do nowych regulacji i zapoznanie ich z dobrymi praktykami oraz użytkowaniem infrastruktury w taki sposób, aby uniknąć potencjalnych konsekwencji cyberataków.

Koalicja będzie również doradzała, w jaki sposób uruchomić odpowiednie rozwiązania w najbardziej efektywny kosztowo sposób. Ma również prowadzić audyty cyberbezpieczeństwa dla szpitali oraz angażować się w projekty dotyczące bezpieczeństwa infrastruktury oraz usług telemedycznych.

Interesującą propozycję zgłosił natomiast prezes Polskiej Federacji Szpitali prof. Jarosław Fedorowski. Zwrócił uwagę, że dane pacjentów byłyby lepiej chronione, gdyby na kierunkach lekarskich wprowadzono nowy przedmiot poświęcony cyberbezpieczeństwu w zdrowiu.

Co już się udało zrobić

Stan przygotowań do wdrożenia dyrektywy NIS2 przez jednostki ochrony zdrowia krótko omówił Roman Łożyński, dyrektor Centrum Informatyki Resortu Finansów, wcześniej z-ca dyrektora Centrum e-Zdrowia ds. eksploatacji i bezpieczeństwa systemów teleinformatycznych.

– Działania podjęte na rzecz cyberbezpieczeństwa, szczególnie w zakresie podnoszenia kompetencji, spowodowały ok. 15-proc. poprawę, jeśli chodzi o zarządzanie ryzykiem i tworzenie kopii bezpieczeństwa – mówił Łożyński.

– To wynik dwóch lat starań w celu ochrony placówek medycznych przed atakami typu ransomware. Jeżeli będziemy te działania kontynuować, to za kilka lat możemy się spodziewać znaczącego wzrostu poziomu bezpieczeństwa IT. Doprowadzimy do tego, że grupom APT (Advanced Persistent Threat – grupy prowadzące wyrafinowane ataki cybernetyczne przeciw infrastrukturze, często działające na zlecenie państw – przyp. red.) nie będzie się opłacało atakować polskich szpitali, bo będą zbyt trudnym celem. Polskie placówki medyczne są obecnie atakowane przy użyciu ransomware rzadziej niż w 2022 r. – podkreślał Łożyński.

Elementem przygotowania do NIS2 było również uruchomienie pod koniec ubiegłego roku w Centrum e-Zdrowia CSIRT-u (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) dla sektora ochrony zdrowia. Na razie, jak podkreślił Łożyński, funkcjonuje on jako zespół wsparcia, ale już obecnie wypełnia założenia NIS2 i prowadzi odpowiednią komunikację ze szpitalami.

Placówki medyczne są bowiem zobowiązane do przeprowadzenia odpowiednich analiz i przygotowania systemów cyberbezpieczeństwa przewidywanych przez unijną dyrektywę. Na szczęście, jak podkreślił były wicedyrektor Centrum e-Zdrowia, świadomość wyzwań dla szpitali szybko rośnie.

Czasu coraz mniej

Dyrektywa NIS2 ma wejść w życie 17 października. Wiadomo jednak, że rząd nie zdąży z procedowaniem nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Biorąc pod uwagę przebieg procesu legislacyjnego oraz vacatio legis, krajowe przepisy implementujące NIS2 do polskiego porządku prawnego wejdą w życie najwcześniej w połowie 2025 r.

Czasu jest dużo tylko w teorii. Przygotowanie do wdrożenia nowych rozwiązań oznacza przeprowadzenie analiz, zakup sprzętu i oprogramowania, przygotowanie nowych umów z dostawcami usług IT, sprawdzenie łańcucha dostaw i zatrudnienie specjalistów ds. cyberbezpieczeństwa.

– Myślę, że wielu menedżerów w ochronie zdrowia będzie zaskoczonych tym, że te nowe, bardzo daleko idące regulacje dotyczą także ich samych – mówi „Gazecie Lekarskiej” Michał Czarnuch z kancelarii Rymarz Zdort Maruta, ekspert w dziedzinie regulacji obejmujących bezpieczeństwo ochrony zdrowia.

Krajobraz wojenny

Światowe dane dotyczące podatności w placówkach ochrony zdrowia nie nastrajają optymistycznie. W ostatnim roku aż 91 proc. placówek ochrony zdrowia zostało zaatakowanych przez ransomware – wynika z Data Protection Trends Report 2023 firmy Veeam. W 2022 r. odsetek ten wynosił 76 proc. Oznacza to, że globalnie trzeci rok z rzędu cyberataki są najczęstszym powodem przestoju w działalności podmiotów z sektora ochrony zdrowia.

Efekt? Zaszyfrowanych lub zniszczonych zostało aż 39 proc. danych. Szpitale często decydują się na zapłacenie okupu za zaszyfrowane lub wykradzione dane. Nawet jeśli podejmą takie negocjacje z przestępcami, jedynie 55 proc. zasobów daje się odzyskać.

Według danych Agencji Unii Europejskiej ds. Cyberbezpieczeństwa ENISA przestępcy najczęściej atakują sektor ochrony zdrowia za pomocą ransomware (54 proc.). Włamania oraz ataki typu DDoS zmierzające do zablokowania serwerów to łącznie ok. 20 proc. W Polsce jednym z najbardziej znanych przypadków wycieku danych pacjentów w wyniku zastosowania ransomware był atak na sieć laboratoriów w listopadzie 2023 r.

Przybywa też grup specjalizujących się w tego rodzaju atakach na jednostki ochrony zdrowia. Działalność RA World, która przyznała się do wspomnianego wyżej ataku na ogólnopolską sieć laboratoriów diagnostycznych, jest obserwowana przez analityków od zaledwie nieco ponad roku.

Z danych firmy WithSecure wynika, że liczba takich gangów szybko rośnie. Odpowiadały one za jedną czwartą wszystkich wycieków danych w atakach ransomware. Przestępcy stosują też coraz bardziej wyrafinowane i trudne do odparcia metody. W lutym 2024 r. ok. 100 szpitali w Rumunii padło ofiarą ransomware Phobos. Incydent był spowodowany atakiem na łańcuch dostaw.

Przestępcy najpierw naruszyli stworzony przez firmę trzecią system informatyczny do zarządzania procedurami medycznymi, z którego korzystały placówki, a stamtąd dostali się do danych sieci szpitali. Wzrost zagrożenia cyberatakami na system ochrony zdrowia to niestety jeden z efektów przyspieszonej cyfryzacji tego sektora spowodowanej reakcją na pandemię COVID-19.

Rośnie liczba użytkowników cyfrowych rozwiązań i wielkość zbiorów danych, co automatycznie oznacza zwiększenie powierzchni potencjalnego ataku. W Polsce z Internetowego Konta Pacjenta korzysta już ok. 17 mln użytkowników. W systemie wystawiono ponad 1,7 mld e-recept oraz 154 mln e-skierowań.

Piotr Kościelniak