iStock
Cyberbezpieczeństwo placówek medycznych – aspekty prawne
Redaktor: Krystian Lurka
Data: 15.02.2023
Źródło: Dobre praktyki – cyberbezpieczeństwo w szpitalach/Katarzyna Fortak-Karasińska i Marzena Garstka
Tagi: | Pracodawcy Medycyny Prywatnej, Ogólnopolskie Stowarzyszenie Szpitali Prywatnych, haker, hakerzy, cyberbezpieczeństwo, cyberataki, szpital, szpitale, Katarzyna Fortak-Karasińska, Marzena Garstka |
Informacje o atakach hakerskich na publiczne i prywatne placówki medyczne pojawiają się coraz częściej. Skutki cyberataków mogą być poważne – zarówno w zakresie odpowiedzialności wobec pacjenta, jak i dla właścicieli oraz osób zarządzających szpitalami.
Artykuł radcy prawnego, partnera F/K LEGAL, ekspertki w zakresie ochrony zdrowia Katarzyny Fortak-Karasińskiej i radcy prawnego, senior lawyer w F/K LEGAL Marzeny Garstki:
W zakresie rozwoju cyfryzacji w Polsce na przestrzeni lat zostało wdrożonych wiele projektów teleinformatycznych, usprawniających system polskiej ochrony zdrowia oraz ułatwiających pacjentom dostęp do świadczeń zdrowotnych. Postęp technologiczny oraz brak odpowiednich zabezpieczeń sieci teleinformatycznych sprawia jednak, że placówki medyczne, w szczególności szpitale, stają się łatwym celem dla hakerów. Należy mieć przy tym świadomość, iż dane medyczne stanowią ogromną wartość na nielegalnym rynku. Dzieje się tak niezależnie od rodzaju placówki medycznej oraz obowiązujących ją przepisów. Dlatego też jest niezwykle istotne, aby placówka medyczna podjęła jak najdalej idące działania zabezpieczające ją przed włamaniem, a jeżeli nawet uznać, że nie zawsze możliwe jest uniknięcie cyberataku – żeby była przygotowana prawnie na zminimalizowanie negatywnych skutków jego wystąpienia.
Cyberbezpieczeństwo – jak widzi to ustawodawca?
Do polskiego porządku prawnego wprowadzono wiele aktów prawnych dotyczących zagadnień szeroko rozumianego cyberbezpieczeństwa, z których najważniejszym jest ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (dalej zwana ustawą o KSC), a także rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Wspomniane akty prawne zawierają liczne regulacje, których celem jest ochrona podmiotów przed cyberatakami oraz zabezpieczenie przetwarzanych danych. Przepisy ustawy o KSC dotyczą wielu podmiotów, wśród których znajdziemy m.in. placówki medyczne, w stosunku do których minister zdrowia wydał decyzję o uznaniu ich za operatora usługi kluczowej. Do usług kluczowych zaliczamy m.in. udzielanie świadczeń opieki zdrowotnej przez podmiot leczniczy, czy gromadzenie i udostępnianie elektronicznej dokumentacji medycznej.
Dyrektorze, właścicielu szpitala – co to dla ciebie oznacza?
Każdy właściciel szpitala czy też jego dyrektor zobowiązany jest do przestrzegania obowiązków wynikających z zasad cyberbezpieczeństwa. Wdrożenie i realizacja tych zasad pozwoli na zminimalizowanie, a może nawet uniknięcie odpowiedzialności z tytułu naruszenia przepisów prawa obowiązujących w tym zakresie.
Jakie zatem działania winien podjąć dyrektor szpitala?
1. Wdrożenie systemu zarządzania bezpieczeństwem w systemie informacyjnym, na co składa się m.in:
• prowadzenie systematycznej oceny ryzyka wystąpienia ataku hakerskiego czy wycieku danych, w tym również możliwości wystąpienia sytuacji szczególnego zagrożenia,
• wdrożenie środków technicznych i organizacyjnych, które pozwolą na bezpieczne utrzymanie systemu teleinformatycznego, który wykorzystuje szpital, takich jak kontrola dostępu czy działanie w sposób, który zapewni poufność, integralność, dostępność i autentyczność informacji,
• bieżące aktualizowanie oprogramowania,
• zapewnienie ochrony przed dokonaniem modyfikacji w systemie przez osobę nieuprawnioną,
• natychmiastowe reagowanie w przypadku dostrzeżenia zagrożenia cyberbezpieczeństwa lub podatności systemu na takie zagrożenie,
• zapewnienie środków łączności i komunikacji w ramach krajowego systemu cyberbezpieczeństwa.
2. Wyznaczenie w szpitalu osoby, odpowiedzialnej za utrzymanie kontaktu w zakresie krajowego systemu cyberbezpieczeństwa. Taka osoba pełni funkcję łącznika między placówką a podmiotami należącymi do krajowego systemu cyberbezpieczeństwa (np. z właściwym zespołem CSIRT w zakresie obsługi incydentu) i jest odpowiedzialna za bieżące kontakty z tymi instytucjami. Przepisy nie precyzują, jakie kompetencje powinna mieć taka osoba, ale z praktycznego punktu widzenia ważne jest, aby posiadała wiedzę dotyczącą zasad działania szpitala oraz systemów informacyjnych, które wykorzystuje dana placówka. Najczęściej są to pracownicy działów IT lub pionów bezpieczeństwa. Wyznaczając taką osobę, trzeba również pamiętać o tym, aby kontakt z nią nie był utrudniony. Ważne jest bowiem, aby komunikacja ze wspomnianymi podmiotami była bieżąca, szczególnie że szpitale funkcjonują w trybie 24/7.
3. Opracowanie, aktualizowanie oraz stałe zapewnianie bezpieczeństwa dokumentacji, która dotyczy cyberbezpieczeństwa (np. dotyczącej systemu zarządzania bezpieczeństwem informacji, dokumentacji technicznej systemu informacyjnego, z którego korzysta placówka, czy dokumentacji wynikającej ze specyfiki usług, które świadczy).
4. Opracowanie oraz wdrożenie odpowiednich regulacji, które umożliwią zapewnienie cyberbezpieczeństwa. Tutaj możemy wskazać przede wszystkim na:
• wdrożenie dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Na tę dokumentację składa się wiele rozbudowanych regulacji, które należy dostosować do potrzeb konkretnej placówki. W jej skład powinny wejść np. regulamin korzystania ze sprzętu i systemów informatycznych, zarządzania uprawnieniami do pracy w tych systemach czy chociażby procedura bezpiecznej utylizacji sprzętu,
• wprowadzenie odpowiednich regulacji zawartych w regulaminach pracowniczych, regulaminach korzystania z danego sprzętu medycznego, ogólnym regulaminie organizacyjnym oraz regulaminie każdego z oddziałów,
• utworzenie regulaminów dla osób przebywających w szpitalu (np. regulaminu korzystania z bezpłatnej sieci szpitala, regulaminu odwiedzin oraz polityki bezpieczeństwa w relacjach z dostawcami i usługodawcami),
• uwzględnianie we wszelkiego rodzaju umowach zawieranymi zarówno z osobami zatrudnionymi w placówce, jak i w umowach, które szpital podpisuje w toku swojej bieżącej działalności (np. z usługodawcami, serwisantami czy umowach zakupu sprzętu medycznego, komputerowego, zaopatrzenia itd.), postanowień, które zabezpieczą placówkę oraz udostępniane przez nią dane. Szczególnie ważne są zapisy dotyczące ochrony powierzonych danych czy o poufności.
5. Powołanie wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo. Możliwe jest też zawarcie umowy z podmiotem, który świadczy usługi z zakresu cyberbezpieczeństwa. Głównym zadaniem struktury lub ww. podmiotów jest spełnianie warunków technicznych i organizacyjnych, które pozwolą na zapewnienie szpitalowi cyberbezpieczeństwa. Dodatkowo powinny one dysponować pomieszczaniami, które będą przeznaczone do świadczenia usług związanych z reagowaniem na incydenty. Pomieszczenia te muszą być należycie zabezpieczone przed różnego rodzaju zagrożeniami. Zadaniem takiej struktury lub podmiotu jest również stosowanie zabezpieczeń, które zagwarantują bezpieczeństwo informacjom przetwarzanym przez szpital. Zrealizowanie tego obowiązku jest obwarowane terminem, a mianowicie powołanie struktury lub podpisanie umowy z podmiotem zewnętrznym winno nastąpić w terminie trzech miesięcy od daty doręczenia szpitalowi decyzji o uznaniu za operatora usługi kluczowej. Dodatkowo, jeśli szpital zdecyduje się zawrzeć umowę z podmiotem zewnętrznym, zobowiązany jest w terminie 14 dni poinformować ministra zdrowia i właściwy CSIRT MON, CSIRT NASK, CSIRT GOV oraz sektorowy zespół cyberbezpieczeństwa (jeśli został powołany) o podmiocie, z którym została zawarta umowa. W takim samym terminie należy informować o wszelkich zmianach i o rozwiązaniu takiej umowy.
6. Regularne przeprowadzanie audytu bezpieczeństwa systemu informacyjnego. Taki audyt powinien być przeprowadzany przynajmniej raz na 2 lata.
A na co dzień?
Aby placówka medyczna nie stała się łatwym celem hakera, niezbędne jest wdrożenie do codziennego funkcjonowania placówki odpowiednich zasad bezpieczeństwa W praktyce na cyberbezpieczeństwo składa się bowiem wiele czynności, nie tylko prawnych, ale również faktycznych związanych z dostosowaniem sprzętu komputerowego, systemowego czy szkoleniem pracowników służby zdrowia. W swojej codziennej działalności szpitale powinny pamiętać o:
• aktualizowaniu swoich regulacji wewnętrznych w ślad za zmieniającym się otoczeniem,
• inwentaryzowaniu sprzętu, jego odpowiednim skonfigurowaniu oraz zapewnieniu aktualności oprogramowania,
• zapewnieniu pracownikom uprawnień odpowiednich do ich stanowiska i zakresu obowiązków, a także do ich aktualizowania (np. w przypadku zmiany stanowiska),
• monitorowaniu dostępu do systemu, wykrywaniu działań nieautoryzowanych oraz zapewnieniu środków do zapobieżenia dostępu przez podmioty nieuprawnione,
• zabezpieczeniu informacji w sposób, który uniemożliwi osobom nieuprawnionym jej ujawienie, modyfikację, usunięcie lub zniszczenie,
• wdrożeniu szkoleń dla pracowników dotyczących w szczególności rodzajów zagrożeń bezpieczeństwa informacji, stosowaniu środków zapewniających bezpieczeństwo informacji,
• zawieraniu w umowach zapisów, które zagwarantują odpowiedni poziom bezpieczeństwa informacji.
Najczęstszym źródłem ataków hakerskich jest zwykły błąd lub niewiedza ludzka. Pracownicy szpitala mający dostęp do systemów informacyjnych powinni zostać uczuleni na czynności, na które powinni szczególnie zwracać uwagę przy wykonywaniu swoich bieżących obowiązków. Istotna jest również rola działu IT, który powinien zadbać o odpowiednie zabezpieczenie nie tylko informacji i danych, ale także wykorzystywanego w placówce oprogramowania i sprzętu.
Tutaj szczególną uwagę należy zwrócić na:
1. Tworzenie kopii zapasowych – kopie zapasowe powinny być wykonywane na bieżąco, tak aby zapewnić ciągłość działania i umożliwić odtworzenie informacji. Zaleca się przechowywanie 3 kopii danych, w tym dwóch z nich na różnych nośnikach danych i co najmniej jednej odizolowanej w celu uniknięcia jej zaszyfrowania w przypadku ataku hakerskiego.
2. Zabezpieczenie poczty elektronicznej – dostęp zarówno do poczty, jak również do używanych w szpitalu systemów powinien być uwierzytelniony, autoryzowany oraz zaszyfrowany. Warto jest wprowadzić dwuetapową weryfikację tożsamości. Pracownicy powinni pamiętać o tym, aby nie otwierać e-maili o podejrzanej treści oraz nie pobierać niezidentyfikowanych załączników. Dodatkowo w przypadku przesyłania e-maili zawierających dane wrażliwe konieczne jest stosowanie szyfrowania w celu uniemożliwienia przechwycenia zawartych tam danych.
3. Zabezpieczenie sprzętu – istotnymi elementami ochrony są tutaj:
• wdrożenie ochrony brzegu sieci – zainwestowanie w urządzenia typu firewall, zapewnienie ich aktualizacji oraz odpowiedniej konfiguracji,
• wdrożenie ochrony stacji roboczych – zastosowanie narzędzi takich jak EDR, który skutecznie izoluje poszczególne urządzenia od całej infrastruktury systemu oraz dokonuje detekcji ukrytych zagrożeń, instalacja programów antywirusowych, programów informujących administratora na bieżąco o zaistnieniu incydentu oraz reagujących w czasie rzeczywistym,
• bieżąca aktualizacja oprogramowania i konfiguracji użytkowanych systemów,
• zabezpieczenie sieci wewnętrznej oraz zewnętrznej w postaci VPN oraz oddzielenie tych sieci od siebie (segmentacja sieci),
• bieżące monitorowanie zdarzeń w sieci,
• wprowadzenie kontroli dostępu oraz uwierzytelniania wieloskładnikowego,
• w przypadku ataku – zapewnienie możliwości odseparowania poszczególnych urządzeń od sieci,
• regularne audyty bezpieczeństwa. W swojej codziennej działalności szpitale powinny także czynnie współpracować z Zespołem Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT NASK).
Jest to zespół ekspertów ds. bezpieczeństwa informatycznego. Jego głównym zadaniem jest reagowanie na incydenty dotyczące bezpieczeństwa komputerowego, a także przeciwdziałanie wystąpieniu kolejnych zdarzeń. Celem takiej współpracy jest budowanie jednolitego systemu ochrony danych medycznych. Warto również śledzić wszelkiego rodzaju działania podejmowane przez państwo, które mają na celu poniesienie poziomu cyberbezpieczeństwa w placówkach medycznych. Dla przykładu, w 2022 roku Narodowy Fundusz Zdrowia uruchomił program dofinansowania działań w celu podniesienia poziomu bezpieczeństwa systemów teleinformatycznych w szpitalach oraz innych jednostkach medycznych. Program ten umożliwia refundację m.in. zakupionych urządzeń, oprogramowania oraz usług teleinformatycznych, mających na celu zapobieganie, wykrywanie i zwalczanie cyberataków, takich jak np. systemy do tworzenia kopii zapasowych danych, programów antywirusowych, urządzeń umożliwiających wprowadzenie cyberbezpieczeństwa oraz monitorowanie i identyfikowanie zagrożeń czy organizowanie szkoleń z cyberbezpieczeństwa dla pracowników szpitali. W ramach programu placówki medyczne mogą uzyskać nawet do 900 tys. zł.
Konsekwencje niezastosowania się do obowiązków związanych z cyberbezpieczeństwem
Placówka medyczna musi pamiętać, że możliwe skutki cyberataku to niejedyne konsekwencje, jakie mogą ją spotkać, jeśli nie zastosuje się do obowiązków i nie wdroży działań, na które wskazują aktualnie obowiązujące przepisy. Samo niewypełnienie obowiązków prawnych, nawet przy braku wystąpienia cyberataku rodzi odpowiedzialność w postaci chociażby kar finansowych. Za naruszenie przepisów z zakresu cyberbezpieczeństwa szpital może być ukarany karą finansową, która przy najcięższych przewinieniach może wynieść nawet do 200 tys. zł. W przypadku uporczywych naruszeń na szpital może zostać nałożona kara nawet 1 mln zł. W niektórych sytuacjach odpowiedzialność finansową mogą ponieść również członkowie kadry zarządzającej. Tutaj wymierzona kara nie może być wyższa niż 200 proc. miesięcznego wynagrodzenia.
Możliwe skutki prawne cyberataku
Oprócz konsekwencji finansowych z tytułu niewypełnienia obowiązków z zakresu cyberbezpieczeństwa, skutki cyberataku są daleko idące. Ataki hakerskie blokują działalność szpitali, a to stanowi naruszenie przepisów prawa w zakresie zgodności działania szpitala z przepisami o działalności leczniczej, przepisami mającymi na celu ochronę praw pacjenta czy przepisami określającymi współpracę z NFZ. Naruszenia w tym zakresie mogą być podstawą wielu roszczeń skierowanych przez pacjenta do placówki. Cyberatak stwarza utrudnienia w następujących obszarach:
• rejestracja pacjentów – obowiązkiem placówki medycznej (zwłaszcza działającej w oparciu o współpracę z NFZ) jest rejestracja pacjentów w stanie ciągłym. Nie ma podstaw, które uzasadnią choćby czasową odmowę ich rejestracji na podstawie zgłoszenia osobistego, telefonicznego, za pośrednictwem osoby trzeciej lub też drogą elektroniczną. Wyjątkiem może być jedynie okoliczność przerwy w udzielaniu świadczeń opieki zdrowotnej,
• obsługa pacjentów – w przypadku cyberataku wszystkie czynności od przyjęcia pacjenta do placówki medycznej, które są wykonywane zdalnie musiałyby odbywać się w formie tradycyjnej, papierowej,
• prowadzenie i wykorzystanie elektronicznej dokumentacji medycznej, która jest niezbędna do udzielania świadczeń ratujących zdrowie i życie pacjentów. Skoro nie jest możliwe wykorzystanie elektronicznej dokumentacji medycznej to wszystkie dokumenty, w tym recepty, czy skierowania są wypisywane w formie papierowej, co niewątpliwie powoduje dalsze utrudnienia w obsłudze pacjenta,
• ujawnienie danych pacjentów znajdujących się w elektronicznej dokumentacji medycznej, w tym informacji o stanie ich zdrowia,
• realizowanie zaplanowanych do wykonania badań i innych świadczeń zdrowotnych – większość urządzeń do wykonywania badań jest całkowicie skomputeryzowana i nie działa bez podłączenia do sieci. To z kolei powoduje brak możliwości wykonywania badań pacjentom w ustalonym terminie,
• działanie systemów administracyjnych – w wyniku cyberataku może dojść do zablokowania m.in. systemu księgowego placówki medycznej. Z tym z kolei wiąże się wstrzymanie dostaw wyrobów medycznych oraz leków, a także wstrzymanie płatności, do których zobowiązana jest placówka medyczna.
Brak sprawnego działania szpitala w wymienionych obszarach może skutkować:
• indywidualnymi roszczeniami pacjenta z tytułu naruszenia jego praw,
• roszczeniami pacjentów do sądu cywilnego z tytułu poniesionej szkody na skutek nieudzielenia świadczenia zdrowotnego w terminie,
• skargami indywidualnymi pacjenta do Rzecznika Praw Pacjenta,
• uznaniem przez Rzecznika Praw Pacjenta, iż doszło do naruszenia zbiorowych praw pacjentów (kary pieniężne do 50 000 zł),
• karami finansowymi nałożonymi przez NFZ z tytułu nieprawidłowej realizacji umowy o udzielanie świadczeń zdrowotnych,
• odpowiedzialnością karną, zawodową oraz cywilną właścicieli szpitala i personelu medycznego.
Sankcje za naruszenie RODO
Cyberatak może narazić szpital także na poważne konsekwencje wynikające z naruszenia przepisów RODO. Naruszenie RODO może polegać na wycieku danych, naruszeniu praw pacjenta związanych z ochroną jego danych, np. nieprawidłowym przetwarzaniu jego danych osobowych czy braku lub niestosowaniu się do dokumentacji dotyczącej ochrony osobowych w ramach instytucji. Placówka medyczna w ramach swojej działalności bez wątpienia przetwarza dane osobowe, a zatem musi przestrzegać odpowiednich zasad i wymogów ich dotyczących, w tym poprzez zapewnienie odpowiedniego bezpieczeństwa przetwarzanych danych. W przypadku, gdy dojdzie do incydentu bezpieczeństwa np. wycieku danych, dyrektor szpitala winien przede wszystkim:
• ocenić, czy doszło do naruszenia danych osobowych, a jeśli takie naruszenie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych – zgłosić w odpowiednim terminie takie naruszenie do organu nadzorczego, którym jest prezes Urzędu Ochrony Danych Osobowych,
• niekiedy dodatkowo poinformować osoby fizyczne, na które to naruszenie wywiera wpływ,
• zarejestrować każde naruszenie ochrony danych w wewnętrznej dokumentacji szpitala.
W przypadku wystąpienia nieprawidłowości prezes Urzędu Ochrony Danych Osobowych może wszcząć postępowanie wyjaśniające w celu ustalenia, czy doszło do naruszenia przepisów o ochronie danych osobowych, a jeśli uzna, że tak – za takie naruszenie może zostać nałożona administracyjna kara pieniężna. Postępowanie może zostać również wszczęte z własnej inicjatywy urzędu lub na wniosek osoby, która złożyła skargę, jeśli naruszenie jej bezpośrednio dotyczyło. Maksymalna wysokość kary, która grozi szpitalowi, to 20 000 000 euro (w przypadku przedsiębiorstwa – maksymalnie 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa). Wysokość kary zależy od wielu czynników, tj. stopnia i wagi naruszenia przepisów, kategorii i rodzaju danych osobowych, których dotyczyło naruszenie, czy kształtu współpracy z organem nadzorczym w trakcie trwania postępowania wyjaśniającego. Co ważne, kara pieniężna za zaistniałe naruszenie ochrony danych może zostać nałożona nawet wtedy, gdy nieprawidłowości zostaną usunięte przed zakończeniem postępowania przed urzędem. Jeśli z okoliczności danej sprawy wyniknie, że nałożenie kary nie jest konieczne, organ nadzorczy może poprzestać na środkach niepieniężnych, zmierzających do usunięcia naruszenia i przywrócenia stanu zgodnego z prawem. Dodatkowo RODO przewiduje również roszczenia z tytułu odpowiedzialności cywilnej. Osoba poszkodowana w wyniku naruszenia przepisów RODO ma prawo uzyskać odszkodowanie za poniesioną stratę. Przepisy nie precyzują maksymalnych kwot takiego odszkodowania. Jego wysokość będzie zależała od oceny danego stanu faktycznego, a stopień m.in. współpracy z organem nadzorczym oraz działania naprawcze, podejmowane przez podmiot, u którego wystąpiło naruszenie, z pewnością mogą mieć znaczący wpływ na ocenę sprawy.
Podsumowanie
W obecnych czasach szpitale nie są wolne od obowiązku budowania świadomości na temat zagrożeń nadchodzących ze strony cyberświata. W związku z tym na każdym ze szpitali spoczywa powinność wdrożenia licznych działań – prawnych, proceduralnych, systemowych oraz innych, które zminimalizują skutki potencjalnego cyberataku. Tylko kompleksowe wprowadzenie rozwiązań zwiększających i gwarantujących bezpieczeństwo, może przynieść oczekiwany skutek. Wybiórcze zastosowanie takich środków może doprowadzić do powstania luk, których znalezienie zajmie hakerowi bardzo mało czasu, a które będą prostym środkiem do przedostania się do danych szpitala. Wypełnienie obowiązków prawnych w obszarze cyberbezpieczeństwa zabezpiecza nie tylko samą placówkę medyczną, jej właścicieli czy personel medyczny, ale chroni pacjenta i jego dane. Konsekwencje naruszeń w tym zakresie mogą być i poważne, i drogie.
Pamiętaj – cyberbezpieczeństwo szpitala to bezpieczeństwo pacjenta.
Artykuł opublikowano w opracowaniu „Dobre praktyki – cyberbezpieczeństwo w szpitalach” przygotowanym przez Pracodawców Medycyny Prywatnej i Ogólnopolskie Stowarzyszenie Szpitali Prywatnych.
Przeczytaj także: „Cyberbezpieczeństwo – czy da się je zapewnić w jednostkach ochrony zdrowia?” i „Cyberbezpieczeństwo w szpitalach”.
W zakresie rozwoju cyfryzacji w Polsce na przestrzeni lat zostało wdrożonych wiele projektów teleinformatycznych, usprawniających system polskiej ochrony zdrowia oraz ułatwiających pacjentom dostęp do świadczeń zdrowotnych. Postęp technologiczny oraz brak odpowiednich zabezpieczeń sieci teleinformatycznych sprawia jednak, że placówki medyczne, w szczególności szpitale, stają się łatwym celem dla hakerów. Należy mieć przy tym świadomość, iż dane medyczne stanowią ogromną wartość na nielegalnym rynku. Dzieje się tak niezależnie od rodzaju placówki medycznej oraz obowiązujących ją przepisów. Dlatego też jest niezwykle istotne, aby placówka medyczna podjęła jak najdalej idące działania zabezpieczające ją przed włamaniem, a jeżeli nawet uznać, że nie zawsze możliwe jest uniknięcie cyberataku – żeby była przygotowana prawnie na zminimalizowanie negatywnych skutków jego wystąpienia.
Cyberbezpieczeństwo – jak widzi to ustawodawca?
Do polskiego porządku prawnego wprowadzono wiele aktów prawnych dotyczących zagadnień szeroko rozumianego cyberbezpieczeństwa, z których najważniejszym jest ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (dalej zwana ustawą o KSC), a także rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Wspomniane akty prawne zawierają liczne regulacje, których celem jest ochrona podmiotów przed cyberatakami oraz zabezpieczenie przetwarzanych danych. Przepisy ustawy o KSC dotyczą wielu podmiotów, wśród których znajdziemy m.in. placówki medyczne, w stosunku do których minister zdrowia wydał decyzję o uznaniu ich za operatora usługi kluczowej. Do usług kluczowych zaliczamy m.in. udzielanie świadczeń opieki zdrowotnej przez podmiot leczniczy, czy gromadzenie i udostępnianie elektronicznej dokumentacji medycznej.
Dyrektorze, właścicielu szpitala – co to dla ciebie oznacza?
Każdy właściciel szpitala czy też jego dyrektor zobowiązany jest do przestrzegania obowiązków wynikających z zasad cyberbezpieczeństwa. Wdrożenie i realizacja tych zasad pozwoli na zminimalizowanie, a może nawet uniknięcie odpowiedzialności z tytułu naruszenia przepisów prawa obowiązujących w tym zakresie.
Jakie zatem działania winien podjąć dyrektor szpitala?
1. Wdrożenie systemu zarządzania bezpieczeństwem w systemie informacyjnym, na co składa się m.in:
• prowadzenie systematycznej oceny ryzyka wystąpienia ataku hakerskiego czy wycieku danych, w tym również możliwości wystąpienia sytuacji szczególnego zagrożenia,
• wdrożenie środków technicznych i organizacyjnych, które pozwolą na bezpieczne utrzymanie systemu teleinformatycznego, który wykorzystuje szpital, takich jak kontrola dostępu czy działanie w sposób, który zapewni poufność, integralność, dostępność i autentyczność informacji,
• bieżące aktualizowanie oprogramowania,
• zapewnienie ochrony przed dokonaniem modyfikacji w systemie przez osobę nieuprawnioną,
• natychmiastowe reagowanie w przypadku dostrzeżenia zagrożenia cyberbezpieczeństwa lub podatności systemu na takie zagrożenie,
• zapewnienie środków łączności i komunikacji w ramach krajowego systemu cyberbezpieczeństwa.
2. Wyznaczenie w szpitalu osoby, odpowiedzialnej za utrzymanie kontaktu w zakresie krajowego systemu cyberbezpieczeństwa. Taka osoba pełni funkcję łącznika między placówką a podmiotami należącymi do krajowego systemu cyberbezpieczeństwa (np. z właściwym zespołem CSIRT w zakresie obsługi incydentu) i jest odpowiedzialna za bieżące kontakty z tymi instytucjami. Przepisy nie precyzują, jakie kompetencje powinna mieć taka osoba, ale z praktycznego punktu widzenia ważne jest, aby posiadała wiedzę dotyczącą zasad działania szpitala oraz systemów informacyjnych, które wykorzystuje dana placówka. Najczęściej są to pracownicy działów IT lub pionów bezpieczeństwa. Wyznaczając taką osobę, trzeba również pamiętać o tym, aby kontakt z nią nie był utrudniony. Ważne jest bowiem, aby komunikacja ze wspomnianymi podmiotami była bieżąca, szczególnie że szpitale funkcjonują w trybie 24/7.
3. Opracowanie, aktualizowanie oraz stałe zapewnianie bezpieczeństwa dokumentacji, która dotyczy cyberbezpieczeństwa (np. dotyczącej systemu zarządzania bezpieczeństwem informacji, dokumentacji technicznej systemu informacyjnego, z którego korzysta placówka, czy dokumentacji wynikającej ze specyfiki usług, które świadczy).
4. Opracowanie oraz wdrożenie odpowiednich regulacji, które umożliwią zapewnienie cyberbezpieczeństwa. Tutaj możemy wskazać przede wszystkim na:
• wdrożenie dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Na tę dokumentację składa się wiele rozbudowanych regulacji, które należy dostosować do potrzeb konkretnej placówki. W jej skład powinny wejść np. regulamin korzystania ze sprzętu i systemów informatycznych, zarządzania uprawnieniami do pracy w tych systemach czy chociażby procedura bezpiecznej utylizacji sprzętu,
• wprowadzenie odpowiednich regulacji zawartych w regulaminach pracowniczych, regulaminach korzystania z danego sprzętu medycznego, ogólnym regulaminie organizacyjnym oraz regulaminie każdego z oddziałów,
• utworzenie regulaminów dla osób przebywających w szpitalu (np. regulaminu korzystania z bezpłatnej sieci szpitala, regulaminu odwiedzin oraz polityki bezpieczeństwa w relacjach z dostawcami i usługodawcami),
• uwzględnianie we wszelkiego rodzaju umowach zawieranymi zarówno z osobami zatrudnionymi w placówce, jak i w umowach, które szpital podpisuje w toku swojej bieżącej działalności (np. z usługodawcami, serwisantami czy umowach zakupu sprzętu medycznego, komputerowego, zaopatrzenia itd.), postanowień, które zabezpieczą placówkę oraz udostępniane przez nią dane. Szczególnie ważne są zapisy dotyczące ochrony powierzonych danych czy o poufności.
5. Powołanie wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo. Możliwe jest też zawarcie umowy z podmiotem, który świadczy usługi z zakresu cyberbezpieczeństwa. Głównym zadaniem struktury lub ww. podmiotów jest spełnianie warunków technicznych i organizacyjnych, które pozwolą na zapewnienie szpitalowi cyberbezpieczeństwa. Dodatkowo powinny one dysponować pomieszczaniami, które będą przeznaczone do świadczenia usług związanych z reagowaniem na incydenty. Pomieszczenia te muszą być należycie zabezpieczone przed różnego rodzaju zagrożeniami. Zadaniem takiej struktury lub podmiotu jest również stosowanie zabezpieczeń, które zagwarantują bezpieczeństwo informacjom przetwarzanym przez szpital. Zrealizowanie tego obowiązku jest obwarowane terminem, a mianowicie powołanie struktury lub podpisanie umowy z podmiotem zewnętrznym winno nastąpić w terminie trzech miesięcy od daty doręczenia szpitalowi decyzji o uznaniu za operatora usługi kluczowej. Dodatkowo, jeśli szpital zdecyduje się zawrzeć umowę z podmiotem zewnętrznym, zobowiązany jest w terminie 14 dni poinformować ministra zdrowia i właściwy CSIRT MON, CSIRT NASK, CSIRT GOV oraz sektorowy zespół cyberbezpieczeństwa (jeśli został powołany) o podmiocie, z którym została zawarta umowa. W takim samym terminie należy informować o wszelkich zmianach i o rozwiązaniu takiej umowy.
6. Regularne przeprowadzanie audytu bezpieczeństwa systemu informacyjnego. Taki audyt powinien być przeprowadzany przynajmniej raz na 2 lata.
A na co dzień?
Aby placówka medyczna nie stała się łatwym celem hakera, niezbędne jest wdrożenie do codziennego funkcjonowania placówki odpowiednich zasad bezpieczeństwa W praktyce na cyberbezpieczeństwo składa się bowiem wiele czynności, nie tylko prawnych, ale również faktycznych związanych z dostosowaniem sprzętu komputerowego, systemowego czy szkoleniem pracowników służby zdrowia. W swojej codziennej działalności szpitale powinny pamiętać o:
• aktualizowaniu swoich regulacji wewnętrznych w ślad za zmieniającym się otoczeniem,
• inwentaryzowaniu sprzętu, jego odpowiednim skonfigurowaniu oraz zapewnieniu aktualności oprogramowania,
• zapewnieniu pracownikom uprawnień odpowiednich do ich stanowiska i zakresu obowiązków, a także do ich aktualizowania (np. w przypadku zmiany stanowiska),
• monitorowaniu dostępu do systemu, wykrywaniu działań nieautoryzowanych oraz zapewnieniu środków do zapobieżenia dostępu przez podmioty nieuprawnione,
• zabezpieczeniu informacji w sposób, który uniemożliwi osobom nieuprawnionym jej ujawienie, modyfikację, usunięcie lub zniszczenie,
• wdrożeniu szkoleń dla pracowników dotyczących w szczególności rodzajów zagrożeń bezpieczeństwa informacji, stosowaniu środków zapewniających bezpieczeństwo informacji,
• zawieraniu w umowach zapisów, które zagwarantują odpowiedni poziom bezpieczeństwa informacji.
Najczęstszym źródłem ataków hakerskich jest zwykły błąd lub niewiedza ludzka. Pracownicy szpitala mający dostęp do systemów informacyjnych powinni zostać uczuleni na czynności, na które powinni szczególnie zwracać uwagę przy wykonywaniu swoich bieżących obowiązków. Istotna jest również rola działu IT, który powinien zadbać o odpowiednie zabezpieczenie nie tylko informacji i danych, ale także wykorzystywanego w placówce oprogramowania i sprzętu.
Tutaj szczególną uwagę należy zwrócić na:
1. Tworzenie kopii zapasowych – kopie zapasowe powinny być wykonywane na bieżąco, tak aby zapewnić ciągłość działania i umożliwić odtworzenie informacji. Zaleca się przechowywanie 3 kopii danych, w tym dwóch z nich na różnych nośnikach danych i co najmniej jednej odizolowanej w celu uniknięcia jej zaszyfrowania w przypadku ataku hakerskiego.
2. Zabezpieczenie poczty elektronicznej – dostęp zarówno do poczty, jak również do używanych w szpitalu systemów powinien być uwierzytelniony, autoryzowany oraz zaszyfrowany. Warto jest wprowadzić dwuetapową weryfikację tożsamości. Pracownicy powinni pamiętać o tym, aby nie otwierać e-maili o podejrzanej treści oraz nie pobierać niezidentyfikowanych załączników. Dodatkowo w przypadku przesyłania e-maili zawierających dane wrażliwe konieczne jest stosowanie szyfrowania w celu uniemożliwienia przechwycenia zawartych tam danych.
3. Zabezpieczenie sprzętu – istotnymi elementami ochrony są tutaj:
• wdrożenie ochrony brzegu sieci – zainwestowanie w urządzenia typu firewall, zapewnienie ich aktualizacji oraz odpowiedniej konfiguracji,
• wdrożenie ochrony stacji roboczych – zastosowanie narzędzi takich jak EDR, który skutecznie izoluje poszczególne urządzenia od całej infrastruktury systemu oraz dokonuje detekcji ukrytych zagrożeń, instalacja programów antywirusowych, programów informujących administratora na bieżąco o zaistnieniu incydentu oraz reagujących w czasie rzeczywistym,
• bieżąca aktualizacja oprogramowania i konfiguracji użytkowanych systemów,
• zabezpieczenie sieci wewnętrznej oraz zewnętrznej w postaci VPN oraz oddzielenie tych sieci od siebie (segmentacja sieci),
• bieżące monitorowanie zdarzeń w sieci,
• wprowadzenie kontroli dostępu oraz uwierzytelniania wieloskładnikowego,
• w przypadku ataku – zapewnienie możliwości odseparowania poszczególnych urządzeń od sieci,
• regularne audyty bezpieczeństwa. W swojej codziennej działalności szpitale powinny także czynnie współpracować z Zespołem Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT NASK).
Jest to zespół ekspertów ds. bezpieczeństwa informatycznego. Jego głównym zadaniem jest reagowanie na incydenty dotyczące bezpieczeństwa komputerowego, a także przeciwdziałanie wystąpieniu kolejnych zdarzeń. Celem takiej współpracy jest budowanie jednolitego systemu ochrony danych medycznych. Warto również śledzić wszelkiego rodzaju działania podejmowane przez państwo, które mają na celu poniesienie poziomu cyberbezpieczeństwa w placówkach medycznych. Dla przykładu, w 2022 roku Narodowy Fundusz Zdrowia uruchomił program dofinansowania działań w celu podniesienia poziomu bezpieczeństwa systemów teleinformatycznych w szpitalach oraz innych jednostkach medycznych. Program ten umożliwia refundację m.in. zakupionych urządzeń, oprogramowania oraz usług teleinformatycznych, mających na celu zapobieganie, wykrywanie i zwalczanie cyberataków, takich jak np. systemy do tworzenia kopii zapasowych danych, programów antywirusowych, urządzeń umożliwiających wprowadzenie cyberbezpieczeństwa oraz monitorowanie i identyfikowanie zagrożeń czy organizowanie szkoleń z cyberbezpieczeństwa dla pracowników szpitali. W ramach programu placówki medyczne mogą uzyskać nawet do 900 tys. zł.
Konsekwencje niezastosowania się do obowiązków związanych z cyberbezpieczeństwem
Placówka medyczna musi pamiętać, że możliwe skutki cyberataku to niejedyne konsekwencje, jakie mogą ją spotkać, jeśli nie zastosuje się do obowiązków i nie wdroży działań, na które wskazują aktualnie obowiązujące przepisy. Samo niewypełnienie obowiązków prawnych, nawet przy braku wystąpienia cyberataku rodzi odpowiedzialność w postaci chociażby kar finansowych. Za naruszenie przepisów z zakresu cyberbezpieczeństwa szpital może być ukarany karą finansową, która przy najcięższych przewinieniach może wynieść nawet do 200 tys. zł. W przypadku uporczywych naruszeń na szpital może zostać nałożona kara nawet 1 mln zł. W niektórych sytuacjach odpowiedzialność finansową mogą ponieść również członkowie kadry zarządzającej. Tutaj wymierzona kara nie może być wyższa niż 200 proc. miesięcznego wynagrodzenia.
Możliwe skutki prawne cyberataku
Oprócz konsekwencji finansowych z tytułu niewypełnienia obowiązków z zakresu cyberbezpieczeństwa, skutki cyberataku są daleko idące. Ataki hakerskie blokują działalność szpitali, a to stanowi naruszenie przepisów prawa w zakresie zgodności działania szpitala z przepisami o działalności leczniczej, przepisami mającymi na celu ochronę praw pacjenta czy przepisami określającymi współpracę z NFZ. Naruszenia w tym zakresie mogą być podstawą wielu roszczeń skierowanych przez pacjenta do placówki. Cyberatak stwarza utrudnienia w następujących obszarach:
• rejestracja pacjentów – obowiązkiem placówki medycznej (zwłaszcza działającej w oparciu o współpracę z NFZ) jest rejestracja pacjentów w stanie ciągłym. Nie ma podstaw, które uzasadnią choćby czasową odmowę ich rejestracji na podstawie zgłoszenia osobistego, telefonicznego, za pośrednictwem osoby trzeciej lub też drogą elektroniczną. Wyjątkiem może być jedynie okoliczność przerwy w udzielaniu świadczeń opieki zdrowotnej,
• obsługa pacjentów – w przypadku cyberataku wszystkie czynności od przyjęcia pacjenta do placówki medycznej, które są wykonywane zdalnie musiałyby odbywać się w formie tradycyjnej, papierowej,
• prowadzenie i wykorzystanie elektronicznej dokumentacji medycznej, która jest niezbędna do udzielania świadczeń ratujących zdrowie i życie pacjentów. Skoro nie jest możliwe wykorzystanie elektronicznej dokumentacji medycznej to wszystkie dokumenty, w tym recepty, czy skierowania są wypisywane w formie papierowej, co niewątpliwie powoduje dalsze utrudnienia w obsłudze pacjenta,
• ujawnienie danych pacjentów znajdujących się w elektronicznej dokumentacji medycznej, w tym informacji o stanie ich zdrowia,
• realizowanie zaplanowanych do wykonania badań i innych świadczeń zdrowotnych – większość urządzeń do wykonywania badań jest całkowicie skomputeryzowana i nie działa bez podłączenia do sieci. To z kolei powoduje brak możliwości wykonywania badań pacjentom w ustalonym terminie,
• działanie systemów administracyjnych – w wyniku cyberataku może dojść do zablokowania m.in. systemu księgowego placówki medycznej. Z tym z kolei wiąże się wstrzymanie dostaw wyrobów medycznych oraz leków, a także wstrzymanie płatności, do których zobowiązana jest placówka medyczna.
Brak sprawnego działania szpitala w wymienionych obszarach może skutkować:
• indywidualnymi roszczeniami pacjenta z tytułu naruszenia jego praw,
• roszczeniami pacjentów do sądu cywilnego z tytułu poniesionej szkody na skutek nieudzielenia świadczenia zdrowotnego w terminie,
• skargami indywidualnymi pacjenta do Rzecznika Praw Pacjenta,
• uznaniem przez Rzecznika Praw Pacjenta, iż doszło do naruszenia zbiorowych praw pacjentów (kary pieniężne do 50 000 zł),
• karami finansowymi nałożonymi przez NFZ z tytułu nieprawidłowej realizacji umowy o udzielanie świadczeń zdrowotnych,
• odpowiedzialnością karną, zawodową oraz cywilną właścicieli szpitala i personelu medycznego.
Sankcje za naruszenie RODO
Cyberatak może narazić szpital także na poważne konsekwencje wynikające z naruszenia przepisów RODO. Naruszenie RODO może polegać na wycieku danych, naruszeniu praw pacjenta związanych z ochroną jego danych, np. nieprawidłowym przetwarzaniu jego danych osobowych czy braku lub niestosowaniu się do dokumentacji dotyczącej ochrony osobowych w ramach instytucji. Placówka medyczna w ramach swojej działalności bez wątpienia przetwarza dane osobowe, a zatem musi przestrzegać odpowiednich zasad i wymogów ich dotyczących, w tym poprzez zapewnienie odpowiedniego bezpieczeństwa przetwarzanych danych. W przypadku, gdy dojdzie do incydentu bezpieczeństwa np. wycieku danych, dyrektor szpitala winien przede wszystkim:
• ocenić, czy doszło do naruszenia danych osobowych, a jeśli takie naruszenie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych – zgłosić w odpowiednim terminie takie naruszenie do organu nadzorczego, którym jest prezes Urzędu Ochrony Danych Osobowych,
• niekiedy dodatkowo poinformować osoby fizyczne, na które to naruszenie wywiera wpływ,
• zarejestrować każde naruszenie ochrony danych w wewnętrznej dokumentacji szpitala.
W przypadku wystąpienia nieprawidłowości prezes Urzędu Ochrony Danych Osobowych może wszcząć postępowanie wyjaśniające w celu ustalenia, czy doszło do naruszenia przepisów o ochronie danych osobowych, a jeśli uzna, że tak – za takie naruszenie może zostać nałożona administracyjna kara pieniężna. Postępowanie może zostać również wszczęte z własnej inicjatywy urzędu lub na wniosek osoby, która złożyła skargę, jeśli naruszenie jej bezpośrednio dotyczyło. Maksymalna wysokość kary, która grozi szpitalowi, to 20 000 000 euro (w przypadku przedsiębiorstwa – maksymalnie 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa). Wysokość kary zależy od wielu czynników, tj. stopnia i wagi naruszenia przepisów, kategorii i rodzaju danych osobowych, których dotyczyło naruszenie, czy kształtu współpracy z organem nadzorczym w trakcie trwania postępowania wyjaśniającego. Co ważne, kara pieniężna za zaistniałe naruszenie ochrony danych może zostać nałożona nawet wtedy, gdy nieprawidłowości zostaną usunięte przed zakończeniem postępowania przed urzędem. Jeśli z okoliczności danej sprawy wyniknie, że nałożenie kary nie jest konieczne, organ nadzorczy może poprzestać na środkach niepieniężnych, zmierzających do usunięcia naruszenia i przywrócenia stanu zgodnego z prawem. Dodatkowo RODO przewiduje również roszczenia z tytułu odpowiedzialności cywilnej. Osoba poszkodowana w wyniku naruszenia przepisów RODO ma prawo uzyskać odszkodowanie za poniesioną stratę. Przepisy nie precyzują maksymalnych kwot takiego odszkodowania. Jego wysokość będzie zależała od oceny danego stanu faktycznego, a stopień m.in. współpracy z organem nadzorczym oraz działania naprawcze, podejmowane przez podmiot, u którego wystąpiło naruszenie, z pewnością mogą mieć znaczący wpływ na ocenę sprawy.
Podsumowanie
W obecnych czasach szpitale nie są wolne od obowiązku budowania świadomości na temat zagrożeń nadchodzących ze strony cyberświata. W związku z tym na każdym ze szpitali spoczywa powinność wdrożenia licznych działań – prawnych, proceduralnych, systemowych oraz innych, które zminimalizują skutki potencjalnego cyberataku. Tylko kompleksowe wprowadzenie rozwiązań zwiększających i gwarantujących bezpieczeństwo, może przynieść oczekiwany skutek. Wybiórcze zastosowanie takich środków może doprowadzić do powstania luk, których znalezienie zajmie hakerowi bardzo mało czasu, a które będą prostym środkiem do przedostania się do danych szpitala. Wypełnienie obowiązków prawnych w obszarze cyberbezpieczeństwa zabezpiecza nie tylko samą placówkę medyczną, jej właścicieli czy personel medyczny, ale chroni pacjenta i jego dane. Konsekwencje naruszeń w tym zakresie mogą być i poważne, i drogie.
Pamiętaj – cyberbezpieczeństwo szpitala to bezpieczeństwo pacjenta.
Jak działać w przypadku cyberataku?
Środki bezpieczeństwa zostały wdrożone, ale jednak hakerowi udało się dostać do szpitalnego systemu… Co zrobić? Trzeba działać!
Do kogo zgłosić incydent? Zgłoszenie należy przesłać do CERT Polska. Jest to jeden z trzech Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego na poziomie krajowym (w skrócie CSIRT od ang. Computer Security Incident Response Team).
Jak to zrobić? Zgłoszenia najlepiej dokonać elektronicznie na stronie internetowej CSIRT NASK https://incydent.cert.pl/. Możesz także wypełnić odpowiedni formularz (znajdziesz go na stronie Biuletynu Informacji Publicznej NASK) i przesłać go za pośrednictwem poczty elektronicznej na adres cert@cert.pl.
Ile masz czasu? Trzeba to zrobić jak najszybciej, jednak nie później niż w ciągu 24 godzin od momentu wykrycia incydentu. Czas reakcji na zgłoszenie jest bardzo ważny z punktu widzenia rozwiązania zaistniałego problemu.
Co, jeśli nie masz wszystkich informacji, których podania wymaga formularz? Nie martw się! Przekaż informacje, jakie posiadasz. Jeśli będzie taka konieczność, zespół analizujący zgłoszenie dopyta cię o dodatkowe kwestie.
Co jeszcze powinieneś zrobić? Szpital ma obowiązek powiadomienia policji o dokonanym ataku hakerskim. Jeśli doszło do wycieku danych osobowych, konieczne jest także powiadomienie Urzędu Ochrony Danych Osobowych. Dobrze, aby szpital powiadomił o ataku prawnika, który będzie stanowił łącznik pomiędzy placówką a policją czy też Urzędem Ochrony Danych Osobowych i ułatwi przejście przez wszelkie procedury.
Czy jest coś, o czym dodatkowo musisz pamiętać? Przede wszystkim postaraj się nie wpadać w panikę. Pozwól specjalistom z zakresu cyberbezpieczeństwa i informatykom, z którymi współpracujesz, wdrożyć odpowiednie działania i środki techniczne, które zminimalizują skutki.
Środki bezpieczeństwa zostały wdrożone, ale jednak hakerowi udało się dostać do szpitalnego systemu… Co zrobić? Trzeba działać!
Do kogo zgłosić incydent? Zgłoszenie należy przesłać do CERT Polska. Jest to jeden z trzech Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego na poziomie krajowym (w skrócie CSIRT od ang. Computer Security Incident Response Team).
Jak to zrobić? Zgłoszenia najlepiej dokonać elektronicznie na stronie internetowej CSIRT NASK https://incydent.cert.pl/. Możesz także wypełnić odpowiedni formularz (znajdziesz go na stronie Biuletynu Informacji Publicznej NASK) i przesłać go za pośrednictwem poczty elektronicznej na adres cert@cert.pl.
Ile masz czasu? Trzeba to zrobić jak najszybciej, jednak nie później niż w ciągu 24 godzin od momentu wykrycia incydentu. Czas reakcji na zgłoszenie jest bardzo ważny z punktu widzenia rozwiązania zaistniałego problemu.
Co, jeśli nie masz wszystkich informacji, których podania wymaga formularz? Nie martw się! Przekaż informacje, jakie posiadasz. Jeśli będzie taka konieczność, zespół analizujący zgłoszenie dopyta cię o dodatkowe kwestie.
Co jeszcze powinieneś zrobić? Szpital ma obowiązek powiadomienia policji o dokonanym ataku hakerskim. Jeśli doszło do wycieku danych osobowych, konieczne jest także powiadomienie Urzędu Ochrony Danych Osobowych. Dobrze, aby szpital powiadomił o ataku prawnika, który będzie stanowił łącznik pomiędzy placówką a policją czy też Urzędem Ochrony Danych Osobowych i ułatwi przejście przez wszelkie procedury.
Czy jest coś, o czym dodatkowo musisz pamiętać? Przede wszystkim postaraj się nie wpadać w panikę. Pozwól specjalistom z zakresu cyberbezpieczeństwa i informatykom, z którymi współpracujesz, wdrożyć odpowiednie działania i środki techniczne, które zminimalizują skutki.
Artykuł opublikowano w opracowaniu „Dobre praktyki – cyberbezpieczeństwo w szpitalach” przygotowanym przez Pracodawców Medycyny Prywatnej i Ogólnopolskie Stowarzyszenie Szpitali Prywatnych.
Przeczytaj także: „Cyberbezpieczeństwo – czy da się je zapewnić w jednostkach ochrony zdrowia?” i „Cyberbezpieczeństwo w szpitalach”.