123RF
Nowe technologie medyczne to także nowe zagrożenia
Autor: Jacek Janik
Data: 18.12.2023
Tagi: | cyberbezpieczeństwo, haker, hakerzy, cyberatak, wyciek danych, szpital, sztuczna inteligencja, Aneta Sieradzka |
Nowe technologie medyczne to nowe możliwości, ale i niebezpieczeństwa, które stały się codziennością.
Jak mówiła w czasie zabrzańskiej XXI Konferencji Roboty Medyczne Aneta Sieradzka, autorka prawie 50 prac z zakresu prawa medycznego i ochrony danych osobowych, przestępcy lubują się w pozyskiwaniu cennych danych o naszym zdrowiu.
Najsłabsze ogniwo
Zakres danych dotyczących zdrowia, pozyskiwanych w sposób nielegalny – który jest atrakcyjny dla cyberprzestępców – jest bardzo szeroki. Niezwykle ważna jest więc dbałość o cyberbezpieczeństwo. Jest ono tak silne jak jego najsłabsze ogniwo.
– Czy w ogóle da się zagwarantować w ochronie zdrowia cyberbezpieczeństwo? A może jedynie można maksymalnie minimalizować ryzyko? Zawsze powtarzam – cała medycyna jest oparta na ryzyku. Nie da się w medycynie go zlikwidować. Oczywiście dokładamy na wszystkich polach najwyższych starań, aby to ryzyko jak najbardziej ograniczać, ale zawsze ono jakieś będzie. Podobnie jest w świecie nowych technologii, które nas coraz powszechniej otaczają. Im większe możliwości sztucznej inteligencji, które jednych fascynują, innych przerażają, tym większe są zagrożenia – mówiła prawniczka.
Jak podkreślała, rozwojowi nowych technologii nieodłącznie towarzyszy rozwój różnych zagrożeń. To idzie ze sobą w parze, a wszystkim wynalazkom, powstającym nowym technologiom, które sprawiają, że medycyna staje się nowoczesna, mniej inwazyjna i bardziej komfortowa dla pacjentów i lekarzy, powinno towarzyszyć powstawanie przepisów prawa, które wszystkim uczestnikom tego procesu daje poczucie bezpieczeństwa na tyle, na ile jest to możliwe.
Jako konieczność ewoluowania przepisów prawa Aneta Sieradzka podała przykład, który może mieć odniesienie do robotyki medycznej – sytuacja wydarzyła się w wagonach firmy Newag, określanym mianem CyberCASE Newag, które w wyniku działalności hakerskiej ulegały awariom, a koszty ich napraw szły w miliony złotych.
– To pokazuje, jak na przykładzie zhakowania w Polsce pociągów, że pojawiają się nowe pytania — o to, kto odpowiada za takie przypadki, za oprogramowanie podatne na atak hakerski, o to, jak prawo powinno ewoluować, aby się zabezpieczyć przed takimi zdarzeniami. To można odnieść do całej sfery medycznej. Warto zwracać uwagę na jakość umów, jakie podpisuje lekarz, szpital czy inny podmiot medyczny. Umów nie zawiera się bowiem na dobre czasy, ale powinny one nas zabezpieczać przed różnymi zagrożeniami. Dlatego tak niezwykle ważna jest świadomość prawa, zakresu odpowiedzialności i możliwych zagrożeń – argumentowała prawniczka.
Przepisy prawa a rzeczywistość
Jak podkreślała ekspertka, w Polsce w zakresie przepisów prawa i cyberbezpieczeństwa mamy znowelizowaną ustawę o Krajowym Systemie Cyberbezpieczeństwa oraz wiele innych przepisów w tym zakresie.
– Patrząc na cyberprzestępczość w prawie karnym, to katalog przepisów jest imponujący. Trzeba jednak mieć na uwadze to, że rozwój nowych technologii będzie generował jej wzrost, której nie jesteśmy w stanie nawet przewidzieć. Zapewne za kilka lat zapewne pojawią się nowe rodzaje przestępstw i nowych przepisów – mówiła Sieradzka.
Zwracała też uwagę na to, że w ostatnim czasie obserwujemy wręcz lawinę kradzieży tożsamości lekarzy, polegających na tym, że w mediach wykorzystywano ich wizerunek, autorytet, dorobek naukowy, publikując wywiady, których nigdy by nie udzielili, w których reklamowali konkretne leki czy suplementy.
– Z jednej strony lekarze mają zakaz reklamowania wyrobów medycznych, leków, co regulują bardzo restrykcyjne przepisy, a z drugiej jednak to zjawisko narasta. Mamy w takich przypadkach do czynienia nie tylko z przestępstwem karnym, kwestią naruszenia dóbr osobistych, lecz także z naruszeniem przepisów o ochronie danych osobowych. Jest to zatem łamanie prawa nie tylko karnego, ale także cywilnego. Trzeba na takie przypadki zdecydowanie reagować – podkreślała prawniczka.
– Na gruncie przepisów cyberbezpieczeństwo w Polsce wygląda zupełnie nieźle, ale jak zderzymy to z rzeczywistością, spojrzymy na nasze miejsca pracy, na szpitale, różne instytucje, w których funkcjonujemy, to tworzymy wokół siebie swego rodzaju fikcję. Dlatego powinno zależeć nam na tym, aby to było bezpieczeństwo faktyczne. Jest to bardzo trudne, bo stopień biurokratyzacji w ochronie zdrowia jest przerażający. Obraliśmy kierunek tworzenia „opasłych” procedur, systemu, w którym jedna procedura goni inną. Nawet nie wiemy o ich części, jakie funkcjonują w szpitalach, często ich nie rozumiemy, bo są napisane w niezrozumiały sposób. To ma swoje konsekwencje – dodała.
AI nie jest w żaden sposób regulowana
Mówiąc o cyberbezpieczeństwie, prawniczka powołała się na niedawny atak hakerski i wyciek danych – jak oszacowano – nawet 200 tys. pacjentów ALAB Laboratoriów.
– Oficjalnych danych tego ataku zapewne nie poznamy, bo mam wątpliwości, czy firma sama wie, ile ich wyciekło. To pokazuje, że takie przestępstwa rozgościły się na naszym polskim podwórku. Powstaje pytanie, czy jesteśmy przygotowani na tego rodzaju cyberprzestępczość – i jeśli tak, to w jaki sposób. Na razie, przy doniesieniach medialnych, dotyczących wycieku danych medycznych, widzimy działania ratujące wizerunek firmy. To jest jednak reakcja działająca tylko „na chwilę”, nierozwiązująca zasadniczego problemu – zaznaczyła Sieradzka.
Jak wskazywała ekspertka, unijne przepisy AI ACT, dotyczące sztucznej inteligencji, nad którymi trwają już bardzo zaawansowane prace, są niezwykle potrzebne także w Polsce.
– Rozporządzenie będzie regulowało kwestie sztucznej inteligencji na poziomie Unii Europejskiej, bo gdyby dzisiaj zapytać, który polski akt prawny odnosi się do AI, to odpowiedź będzie krótka – żaden! Nasz ustawodawca zachował się jak niedźwiedź, który poszedł spać i nic w tym zakresie do tej pory nie zrobił. Nadzieja jest w unijnym ustawodawstwie, tworzącym swego rodzaju parasol, który będzie obligował kraje członkowskie do tego, aby przygotowały się do ogólnie przyjętych norm dotyczących AI i wyznaczyły kierunki dla regulacji krajowych – przekazała ekspertka.
Zdaniem Anety Sieradzkiej cyberprzestępczość stała się już dzisiaj naszą codziennością. Działa na różnych poziomach. Dostajemy niechciane SMS-y, e-maile, informacje o nieopłaconych rzekomo fakturach, niebezpieczne załączniki, ukryte odnośniki do infekujących nasze komputery i telefony stron internetowych. Z pozoru te niewinne działania niejednokrotnie uszczupliły budżety różnych firm i instytucji o setki tysięcy złotych.
Jak podkreślała ekspertka, nawet najnowocześniejsze i najdroższe zabezpieczenia cyfrowej infrastruktury jednak nie będą gwarancją pełnego bezpieczeństwa, bo są one tak silne jak jego najsłabsze ogniwo – człowiek.
– Jak przekuć tę słabość w siłę? Najważniejsza jest edukacja. Nie ma dzisiaj lepszego narzędzia. Nie przekazywanie jakichś informacji ad hoc, ale systematyczne uwrażliwiane i budowanie odpowiedniej świadomości. Tak, jak po jednym kursie nie można się stać świetnym chirurgiem, tak nie nauczymy się świadomości prawnej, nie nauczymy się nawyków w zakresie cyberbezpieczeństwa tylko po jednym szkoleniu.
Przeczytaj także: „Cyberodporność potrzebna od zaraz” i „Po co szpitalom to całe cyberbezpieczeństwo?”.
Najsłabsze ogniwo
Zakres danych dotyczących zdrowia, pozyskiwanych w sposób nielegalny – który jest atrakcyjny dla cyberprzestępców – jest bardzo szeroki. Niezwykle ważna jest więc dbałość o cyberbezpieczeństwo. Jest ono tak silne jak jego najsłabsze ogniwo.
– Czy w ogóle da się zagwarantować w ochronie zdrowia cyberbezpieczeństwo? A może jedynie można maksymalnie minimalizować ryzyko? Zawsze powtarzam – cała medycyna jest oparta na ryzyku. Nie da się w medycynie go zlikwidować. Oczywiście dokładamy na wszystkich polach najwyższych starań, aby to ryzyko jak najbardziej ograniczać, ale zawsze ono jakieś będzie. Podobnie jest w świecie nowych technologii, które nas coraz powszechniej otaczają. Im większe możliwości sztucznej inteligencji, które jednych fascynują, innych przerażają, tym większe są zagrożenia – mówiła prawniczka.
Jak podkreślała, rozwojowi nowych technologii nieodłącznie towarzyszy rozwój różnych zagrożeń. To idzie ze sobą w parze, a wszystkim wynalazkom, powstającym nowym technologiom, które sprawiają, że medycyna staje się nowoczesna, mniej inwazyjna i bardziej komfortowa dla pacjentów i lekarzy, powinno towarzyszyć powstawanie przepisów prawa, które wszystkim uczestnikom tego procesu daje poczucie bezpieczeństwa na tyle, na ile jest to możliwe.
Jako konieczność ewoluowania przepisów prawa Aneta Sieradzka podała przykład, który może mieć odniesienie do robotyki medycznej – sytuacja wydarzyła się w wagonach firmy Newag, określanym mianem CyberCASE Newag, które w wyniku działalności hakerskiej ulegały awariom, a koszty ich napraw szły w miliony złotych.
– To pokazuje, jak na przykładzie zhakowania w Polsce pociągów, że pojawiają się nowe pytania — o to, kto odpowiada za takie przypadki, za oprogramowanie podatne na atak hakerski, o to, jak prawo powinno ewoluować, aby się zabezpieczyć przed takimi zdarzeniami. To można odnieść do całej sfery medycznej. Warto zwracać uwagę na jakość umów, jakie podpisuje lekarz, szpital czy inny podmiot medyczny. Umów nie zawiera się bowiem na dobre czasy, ale powinny one nas zabezpieczać przed różnymi zagrożeniami. Dlatego tak niezwykle ważna jest świadomość prawa, zakresu odpowiedzialności i możliwych zagrożeń – argumentowała prawniczka.
Przepisy prawa a rzeczywistość
Jak podkreślała ekspertka, w Polsce w zakresie przepisów prawa i cyberbezpieczeństwa mamy znowelizowaną ustawę o Krajowym Systemie Cyberbezpieczeństwa oraz wiele innych przepisów w tym zakresie.
– Patrząc na cyberprzestępczość w prawie karnym, to katalog przepisów jest imponujący. Trzeba jednak mieć na uwadze to, że rozwój nowych technologii będzie generował jej wzrost, której nie jesteśmy w stanie nawet przewidzieć. Zapewne za kilka lat zapewne pojawią się nowe rodzaje przestępstw i nowych przepisów – mówiła Sieradzka.
Zwracała też uwagę na to, że w ostatnim czasie obserwujemy wręcz lawinę kradzieży tożsamości lekarzy, polegających na tym, że w mediach wykorzystywano ich wizerunek, autorytet, dorobek naukowy, publikując wywiady, których nigdy by nie udzielili, w których reklamowali konkretne leki czy suplementy.
– Z jednej strony lekarze mają zakaz reklamowania wyrobów medycznych, leków, co regulują bardzo restrykcyjne przepisy, a z drugiej jednak to zjawisko narasta. Mamy w takich przypadkach do czynienia nie tylko z przestępstwem karnym, kwestią naruszenia dóbr osobistych, lecz także z naruszeniem przepisów o ochronie danych osobowych. Jest to zatem łamanie prawa nie tylko karnego, ale także cywilnego. Trzeba na takie przypadki zdecydowanie reagować – podkreślała prawniczka.
– Na gruncie przepisów cyberbezpieczeństwo w Polsce wygląda zupełnie nieźle, ale jak zderzymy to z rzeczywistością, spojrzymy na nasze miejsca pracy, na szpitale, różne instytucje, w których funkcjonujemy, to tworzymy wokół siebie swego rodzaju fikcję. Dlatego powinno zależeć nam na tym, aby to było bezpieczeństwo faktyczne. Jest to bardzo trudne, bo stopień biurokratyzacji w ochronie zdrowia jest przerażający. Obraliśmy kierunek tworzenia „opasłych” procedur, systemu, w którym jedna procedura goni inną. Nawet nie wiemy o ich części, jakie funkcjonują w szpitalach, często ich nie rozumiemy, bo są napisane w niezrozumiały sposób. To ma swoje konsekwencje – dodała.
AI nie jest w żaden sposób regulowana
Mówiąc o cyberbezpieczeństwie, prawniczka powołała się na niedawny atak hakerski i wyciek danych – jak oszacowano – nawet 200 tys. pacjentów ALAB Laboratoriów.
– Oficjalnych danych tego ataku zapewne nie poznamy, bo mam wątpliwości, czy firma sama wie, ile ich wyciekło. To pokazuje, że takie przestępstwa rozgościły się na naszym polskim podwórku. Powstaje pytanie, czy jesteśmy przygotowani na tego rodzaju cyberprzestępczość – i jeśli tak, to w jaki sposób. Na razie, przy doniesieniach medialnych, dotyczących wycieku danych medycznych, widzimy działania ratujące wizerunek firmy. To jest jednak reakcja działająca tylko „na chwilę”, nierozwiązująca zasadniczego problemu – zaznaczyła Sieradzka.
Jak wskazywała ekspertka, unijne przepisy AI ACT, dotyczące sztucznej inteligencji, nad którymi trwają już bardzo zaawansowane prace, są niezwykle potrzebne także w Polsce.
– Rozporządzenie będzie regulowało kwestie sztucznej inteligencji na poziomie Unii Europejskiej, bo gdyby dzisiaj zapytać, który polski akt prawny odnosi się do AI, to odpowiedź będzie krótka – żaden! Nasz ustawodawca zachował się jak niedźwiedź, który poszedł spać i nic w tym zakresie do tej pory nie zrobił. Nadzieja jest w unijnym ustawodawstwie, tworzącym swego rodzaju parasol, który będzie obligował kraje członkowskie do tego, aby przygotowały się do ogólnie przyjętych norm dotyczących AI i wyznaczyły kierunki dla regulacji krajowych – przekazała ekspertka.
Zdaniem Anety Sieradzkiej cyberprzestępczość stała się już dzisiaj naszą codziennością. Działa na różnych poziomach. Dostajemy niechciane SMS-y, e-maile, informacje o nieopłaconych rzekomo fakturach, niebezpieczne załączniki, ukryte odnośniki do infekujących nasze komputery i telefony stron internetowych. Z pozoru te niewinne działania niejednokrotnie uszczupliły budżety różnych firm i instytucji o setki tysięcy złotych.
Jak podkreślała ekspertka, nawet najnowocześniejsze i najdroższe zabezpieczenia cyfrowej infrastruktury jednak nie będą gwarancją pełnego bezpieczeństwa, bo są one tak silne jak jego najsłabsze ogniwo – człowiek.
– Jak przekuć tę słabość w siłę? Najważniejsza jest edukacja. Nie ma dzisiaj lepszego narzędzia. Nie przekazywanie jakichś informacji ad hoc, ale systematyczne uwrażliwiane i budowanie odpowiedniej świadomości. Tak, jak po jednym kursie nie można się stać świetnym chirurgiem, tak nie nauczymy się świadomości prawnej, nie nauczymy się nawyków w zakresie cyberbezpieczeństwa tylko po jednym szkoleniu.
Przeczytaj także: „Cyberodporność potrzebna od zaraz” i „Po co szpitalom to całe cyberbezpieczeństwo?”.