Cyberbezpieczeństwo czy cyberszaleństwo? Zamiast na nasze leczenie, płacą krocie na ochronę przed złodziejami

W minionym roku, w ramach projektu rządowego na zakupy teleinformatyczne podnoszące poziom cyberbezpieczeństwa, szpital mógł wnioskować o dofinansowanie od 300 tys. zł, a poradnie psychiatryczne od 25 tys. zł. Maksymalna kwota dofinansowania, zależna od wysokości kontraktu z NFZ, wyniosła 900 tys. zł.

Do tej pory stosowne umowy z NFZ podpisało 613 placówek medycznych na kwotę aż 261 mln zł! Ale to tylko część wydatków na ten cel, bo placówki, chcąc podnieść standardy bezpieczeństwa cyfrowego celem dostosowania ich do obecnych wymogów, pozyskiwały fundusze z własnych budżetów a także z innych źródeł.

Tymczasem to dopiero początek problemu. 16 stycznia 2023 roku weszła w życie tzw. dyrektywa NIS2 dotycząca ochrony przed cyberprzestępcami. Kraje UE, w tym Polska, mają czas na jej implementację do października 2024 roku. Celem nowych zapisów jest zapewnienie wysokiego poziomu ochrony sieci i systemów informatycznych oraz minimalizowanie ryzyka cyberataków.

Dyrektywa wprowadza m.in. obowiązek raportowania incydentów a także bezpośrednią odpowiedzialność kierownictwa firmy za zarządzanie ryzykiem. - Placówki będą musiały wdrożyć środki ochrony, adekwatne do ryzyka a także sprostać nowym wymaganiom w zakresie zarządzania, obsługi i ujawniania luk w zabezpieczeniach. Będą też zobowiązane do testowania cyberbezpieczeństwa, między innymi planu ciągłości działania. Zostają też zobligowane do efektywnego wykorzystywania szyfrowania – wyjaśnia Aleksander Kostuch, ekspert w dziedzinie cybersecurity z firmy Stormshield.

Koszty wdrożenia NIS2 dla dużego szpitala mogą wynosić od kilkuset tysięcy do nawet kilku milionów złotych. Duża przychodnia potrzebuje „zaledwie” od kilkudziesięciu tysięcy do kilkuset tysięcy złotych.

Dla jednostek medycznych, borykających się z brakiem pieniędzy czasem na podstawowe wydatki, będą to kwoty olbrzymie. A co w przypadku niedostosowania się do nowych regulacji? Zarządy firm, z własnej kieszeni, zapłacą... do 10 mln euro kary lub równowartość 2 proc. rocznego obrotu.

Przeprowadziliśmy sondę wśród szpitali w naszym regionie i nadesłane maile sprowadzają się do jednego: obecna ochrona jest, w ich ocenie, na wystarczającym poziomie, a kolejnych milionów na dostosowanie się do NIS2 nie mają.
Oto przykładowe odpowiedzi: - Dotąd nie zanotowano w naszym szpitalu incydentów naruszenia bezpieczeństwa informacji związanych z przełamywaniem zabezpieczeń technicznych. Owszem w przeszłości odnotowaliśmy incydentalne ataki typu ransomware ale nie powodowały one utraty danych - zauważa Ewa Przybylska ze szpitala Rydygiera w Krakowie.

Agnieszka Marzęcka ze szpitala im. Narutowicza poinformowała, że że obecne zabezpieczenia w szpitalu są wystarczające – nie było przypadków włamania do systemu ani wycieku danych - niemniej wymagają one rozbudowy i kolejnych nakładów finansowych.

Tomasz Poręba z lecznicy w Nowym Sączu stwierdził, że były próby włamań, np. nieautoryzowane logowania do usług wymagających autoryzacji. - Zdarzały się też ataki DDoS na usługi "webowe" szpitalne mające na celu obciążenie lub przeciążenie, mogące powodować zatrzymanie usług. Wszystkie próby są automatyczne "wyłapywane" i analizowane i nigdy nie doszło do skutecznego włamania do systemu. Nigdy nie doszło też do wycieku danych - podkreśla Poręba.

Maria Włodkowska ze Szpitala Uniwersyteckiego przesłała nam maila następującej treści:„W ocenie szpitala udzielanie odpowiedzi na pytania dotyczące obszaru bezpieczeństwa informacji może się wiązać z ujawnieniem istotnych wskazówek na temat wdrożonych zabezpieczeń, co z kolei może przełożyć się na naruszenie bezpieczeństwa zasobów informacyjno – infrastrukturalnych Szpitala Uniwersyteckiego. Z tego powodu niestety nie udzielimy odpowiedzi na zadane pytania, jak również prosimy o nie powoływanie się na szpital w artykule”

Zwróciliśmy się również do naszych Czytelników zadając im pytanie, czy woleliby, aby pieniądze przeznaczane na ochronę ich danych zostały wydane na skrócenie kolejek i efektywność leczenia, czy też nie. Przy czym z analizy wyłączyliśmy PESEL i adres, które oszuści mogą znacznie łatwiej pozyskiwać z innych, niż szpitalne, źródeł. Na 18 osób aż 16 udzieliło odpowiedzi twierdzącej, tylko dla 2 ochrona ich danych medycznych jest tak samo ważna jak szybkość i jakość udzielonego świadczenia.

Trzeba jednak pamiętać, że potencjalna kradzież informacji o pacjentach nie jest jedynym zagrożeniem. Może bowiem mieć miejsce sytuacja, w której cyberprzestępcy zablokują kluczowe systemy medyczne - także te używane na oddziałach intensywnej terapii, gdzie ich odcięcie zagraża zdrowia i życiu chorego - żądając pieniędzy za ich ponowne uruchomienie. Zdarza się to jednak niezwykle rzadko. Na ogół złodzieje wykradają dane personalne, domagając się za nie okupu.

Rynek wykreował tak wysokie koszty zabezpieczeń?

Rzecz jasna, cyberprzestępcy stale się doskonalą i obecne, wystarczające systemy w przyszłości mogą okazać się zawodne. Czy jednak ich modyfikacja musi aż w takim stopniu obciążać szpitalne budżety? Nasi rozmówcy mają co do tego wątpliwości. - To rynek wykreował tak wysokie koszty zabezpieczeń i ich cena wydaje się być nieadekwatna do wartości technologii – zauważa Michał Kural, pełnomocnik dyrektora ds.cyberbezpieczeństwa i ochrony Uniwersyteckiego Szpitala Dziecięcego w Krakowie. I dodaje: - W naszym szpitalu dyrekcja prawidłowo szacuje ryzyko. Zabiegając o środki na leczenie małych pacjentów na najwyższym poziomie, równocześnie zapewnia właściwy poziom ochrony.

O znalezienie „złotego środka” apelują również eksperci. - Nie dajmy się zwariować. Nagle kwestia bezpieczeństwa danych stała się jednym z najważniejszych tematów w medycynie. Tworzymy problem, na rozwiązanie którego musimy potem znajdować pieniądze. Tymczasem rolą szpitali - obecnie przecież ogromnie zadłużonych – jest szukanie pieniędzy na leczenie ludzi, nie zaś na spełniane coraz to nowych standardów z zakresu zabezpieczeń - komentuje dr Jerzy Gryglewicz, ekspert d.s. systemów ochrony zdrowia. I przytacza powiastkę, w której pracownik firmy zajmującej się opracowywaniem i sprzedażą programów antywirusowych, sam wypuszcza wirusy, by mieć jeszcze więcej pracy...

Bolt nagra pasażerów