KSC dla szpitali, czyli jak zapewnić bezpieczeństwo i ochronę przed cyberatakami

Cyberataki na publiczne i prywatne placówki medyczne w Polsce są faktem – świadczą o tym doniesienia medialne oraz statystyki. Jednak nie liczby są tu ważne, a skutki tych ataków. Brak dostępu do systemów informatycznych to nie tylko spore utrudnienia w bieżącej obsłudze pacjentów i zapewnieniu im dostępu do świadczeń, ale też poważne zagrożenia dla ochrony danych osobowych. Jak temu zapobiec? Odpowiedzią jest ustawa o krajowym systemie cyberbezpieczeństwa, która nakłada na szpitale konkretne obowiązki.

Sporo się mówi o tzw. przyjaznym szpitalu, który ma zaspokajać potrzeby pacjentów i dbać o ich komfort. Warto w tym momencie wspomnieć o jeszcze innym aspekcie – bezpieczeństwie. Bezpieczeństwo to dotyczy nie tylko pewności co do tego, że placówka dobrze się pacjentem zaopiekuje, zapewni swobodny dostęp do wysokiej jakości świadczeń, ale też pewności, że dane pacjenta są bezpieczne. Kluczowa staje się dbałość o zaplecze techniczne, w tym infrastrukturę teleinformatyczną oraz system zarządzania bezpieczeństwem, zwłaszcza w obliczu cyberzagrożeń. To właśnie reguluje m.in. ustawa o KSC, czyli krajowym systemie cyberbezpieczeństwa. Ma ona wspomóc wdrażanie działań wykrywających, zapobiegających i minimalizujących skutki ataków ze strony cyberprzestępców.

Czego wymaga ustawa o KSC od szpitali?

Postęp technologiczny wprawdzie jest obiecującym trendem, ponieważ wiąże się ze sporymi ułatwieniami i unowocześnieniem usług, ale nie możemy zapominać o zagrożeniach. Brak odpowiednich zabezpieczeń sieci teleinformatycznych to łatwy cel dla hakerów, którzy sięgają do coraz bardziej wyrafinowanych metod i codziennie pojawiają się nowe odmiany złośliwego oprogramowania. Na ataki szczególnie narażone są szpitale, ponieważ dane medyczne są niezwykle cenne na nielegalnym rynku, dlatego też ich ochrona staje się niezwykle istotna.

Dodajmy do tego, że wprawdzie szpitale były narażone na cyberataki już wcześniej, ale incydenty nasiliły się po napaści Rosji na Ukrainę. Dowodzą tego statystyki, alarmują o tym specjaliści, mówią rzecznicy oddziałów NFZ oraz media. Wystarczy przypomnieć kilka poważniejszych incydentów.

Jedną z głośniejszych spraw był atak hakerski na klinikę „Budzik” przy warszawskim Centrum Zdrowia Dziecka. Pod koniec 2019 roku cyberprzestępcy zaatakowali system informatyczny, który został zablokowany. Sparaliżowało to pracę placówki, m.in. niemożliwe było sporządzenie obligatoryjnego raportu dla NFZ, co groziło utratą miesięcznych funduszy. Na szczęście specjalistom udało się ograniczyć skutki cyberataku, ale warto odnotować, że placówka mogła zostać sparaliżowana na co najmniej miesiąc, nie wspominając o ryzyku utracenia środków z NFZ. Ułatwieniem dla hakerów była tu przestarzała infrastruktura informatyczna, która opierała się na rozwiązaniach z 2012 roku.

Pod koniec października 2022 roku Instytut Centrum Zdrowia Matki Polki w Łodzi padł ofiarą hakerskiego cyberataku, podczas którego doszło do naruszenia danych osobowych. Placówka musiała wyłączyć wszystkie systemy informatyczne. Wprawdzie nadal przyjmowano pacjentów, ale ich obsługa była znacząco utrudniona i spowolniona, podobnie jak wykonywanie czynności diagnostycznych. Większość prac była wykonywana tradycyjnymi metodami, ręcznie i na papierze, bez dostępu do centralnej bazy, np. badanie było dostarczane do kliniki na nośniku. Pojawiły się spore opóźnienia w wydawaniu wyników i problemy z wypisami. Po ataku szpital zdecydował się na zbudowanie nowej sieci, co trwało kilka tygodniu i było odczuwalne przez pacjentów, m.in. przesuwane były zaplanowane hospitalizacje.

Są też dobre przykłady. W lutym 2023 roku Centralny Szpital Kliniczny Uniwersytetu Medycznego w Łodzi również stał się ofiarą ataku, ale dzięki efektywnemu systemowi zarządzania cyberbezpieczeństwem szybko zlokalizowano problem i profilaktycznie wyłączono systemy informatyczne szpitala. Dzięki temu odcięto dostęp hakerom i nie doszło ani do wycieku danych, ani do poważniejszych utrudnień w pracy placówki.

Dodajmy, że w marcu 2023 roku eksperci cyberbezpieczeństwa zwrócili uwagę na wzmożone działania grupy hakerskiej Killnet, która za cel wzięła sobie ataki na placówki opieki medycznej. Ta prorosyjska grupa specjalizuje się w atakach DdoS, które doprowadzają do braku dostępu do systemów. Ich ofiarą padł m.in. Parlament Europejski, organizacje rządowe, a nawet polska policja. Jest to o tyle niepokojące, że grupa Killnet oficjalnie „wypowiedziała wojnę w cyberprzestrzeni” kilku europejskim państwom, w tym Polsce. Według informacji Agencji Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) w listopadzie 2022 roku doszło do ok. 10-20 ataków dziennie, natomiast w lutym 2023 roku było to już 40-60 (26% to były szpitale). W kwietniu media obiegła informacja, że „Polska jest bombardowana przez hakerów” i doliczono się ponad 500 ataków hakerskich dziennie (!) na polskie firmy strategiczne.

Ważne: Zespół reagowania w NASK tylko w 2022 roku zarejestrował 43 incydenty bezpieczeństwa w sektorze ochrony zdrowia, co daje trzykrotny wzrost cyberataków w porównaniu do 2021 roku.

Wprawdzie nie zawsze jest możliwe uniknięcie cyberataku, ale możliwe jest za to zminimalizowanie jego skutków. Jak się przygotować? Pomaga w tym ustawa o KSC, która stawia konkretne wymagania do spełnienia przez operatorów usługi kluczowej, do których zaliczają się placówki ochrony zdrowia.

Czego wymaga ustawa o KSC od szpitali?

Ustawa o krajowym systemie cyberbezpieczeństwa została opublikowana 13 sierpnia 2018 roku (Dz. U. 2018 poz. 1560). Realizuje rozporządzenia tzw. unijnej dyrektywy NIS, która była odpowiedzią na silny rozwój cyfryzacji i rosnące zagrożenia w tym obszarze. Doczekaliśmy się obecnie dyrektywy NIS 2, która weszła w życie w drugiej połowie 2022 roku, zaostrzając niektóre wymagania i kary dla przedsiębiorców oraz podmiotów kluczowych, w tym placówek ochrony zdrowia. Tak na przykład w przypadku podmiotów kluczowych przewiduje się kary w wysokości do 10 mln EUR lub 2% łącznego światowego obrotu w poprzednim roku.

Więcej o dyrektywie NIS: NIS 2 – jakie nakłada obowiązki w sprawie cyberbezpieczeństwa? Jak się przygotować?

Ustawa o krajowym systemie cyberbezpieczeństwa (oraz NIS) wprowadza obowiązki dla operatorów usług kluczowych (w skrócie OUK) z sektora ochrony zdrowia. Co warto odnotować, dotyczą one tych podmiotów, które posiadają Szpitalny Oddział Ratunkowy lub też należą do Systemu Podstawowego Szpitalnego Zabezpieczenia Świadczeń Opieki Zdrowotnej, co może dotyczy 130 szpitali.

W skrócie operator usługi kluczowej powinien:

  • wyznaczyć osobę kontaktową z podmiotami krajowego systemu cyberbezpieczeństwa,
  • przeprowadzać działania obejmujące wykrywanie, rejestrowanie, analizowanie i odpowiednie klasyfikowanie incydentów,
  • zgłaszać incydent nie późnień niż w ciągu 24 godzin do właściwego CSIRT (ang. Computer Security Incident Response Team),
  • zapewnić dostęp do informacji właściwemu CSIRT, zwłaszcza o incydentach zakwalifikowanych jako krytyczne,
  • powoływać sektorowe zespoły cyberbezpieczeństwa ds. bezpieczeństwa i obsługi incydentów z zakresu usług kluczowych,
  • sporządzać dokumentację z dziedziny cyberbezpieczeństwa systemu informacyjnego, która powinna być uaktualniana i przechowywana przez co najmniej 2 lata,
  • przeprowadzać audyt zgodnie z terminami podanymi w ustawie.

Więcej o ustawie KSC: Ustawa o krajowym systemie cyberbezpieczeństwa

Problemy ochrony zdrowia w zakresie IT

Aby zapewnić wymagany poziom bezpieczeństwa i ochronę przed rozmaitymi atakami, polskie szpitale stoją przed wieloma wyzwaniami. Moc obliczeniowa potrzebna w systemach IT ulega dynamicznej zmianie, do tego placówki nie dysponują dedykowanymi narzędziami informatycznymi. Nie pomagają rosnące koszty informatyczne, brak wykwalifikowanego personelu IT oraz brak rzetelnej wiedzy kadry pracowniczej szpitala w zakresie świadczenia usług OUK.

W przypadku wdrożenia ustawy KSC dochodzą do tego kwestie związane z opracowaniem systemu bezpieczeństwa, niezbędnej dokumentacji i wyboru technologii. Co więcej – jest mało czasu na dostosowanie się do wymogów ustawy, w czym nie pomagają niedostateczne fundusze oraz pandemia COVID-19 i jej skutki.

Rozwiązanie? Sporym wsparciem jest tu działalność takich firm jak PBSG.

Rozwiązanie: wsparcie zewnętrznych ekspertów

Nasi specjaliści nie tylko pomagają polskim szpitalom stworzyć koncepcję systemu bezpieczeństwa, wdrażają go i szkolą pracowników, co upewniają się, że wszystkie założenia wynikające z ustawy KSC zostały uwzględnione i poprawnie wdrożone. Pomagamy w audytach KSC: pierwszy audyt powinien być zrealizowany od roku od otrzymania decyzji o zostaniu operatorem kluczowym, a później – przynajmniej co 2 lata. Oferujemy to jako osobną usługę, ponieważ zgodnie z dobrymi praktykami audyt powinien być przeprowadzany przez inną jednostkę niż ta, która wdrażała system zarządzania bezpieczeństwem.

Zapewniamy wsparcie w spełnieniu określonych w ustawie zadań odnoszących się do:

  • 8 – wsparcie w szacowaniu ryzyka
  • 9 i 14 – wyznaczenie osoby odpowiedzialnej za cyberbezpieczeństwa w organizacji
  • 10 – opracowanie i aktualizacja dokumentacji
  • 15 – audyt KSC po roku od decyzji oraz później przynajmniej co 2 lata

Co więcej, przeprowadzamy cykliczne szkolenia oraz zapewniamy pełne doradztwo, aby wesprzeć szpitale w zapewnieniu przez nich należytej staranności przy wdrożeniu wymogów prawnych w zakresie cyberbezpieczeństwa. Zdajemy sobie sprawę, że w obliczu zmian regulacyjnych i rosnącej listy obowiązków spełnienie tych wymogów może wydawać się problematyczne, ale uspokajamy – z odpowiednim doradcą wypracowanie optymalnego poziomu cyberbezpieczeństwa jest do osiągnięcia.

Projekt wdrożenia wymagań ustawy o KSC opiera się o na 4 etapach:

  1. Analiza luk, czyli wstępny audyt sprawdzający, czy i w jaki sposób dana organizacja spełnia wymagania ustawy. Określamy elementy brakujące i wymagające doskonalenia. Badamy systemy, programy i inne elementy, aby zidentyfikować ich słabe punkty oraz zaplanować kolejne etapy prac wraz ze wskazaniem ich czasochłonności.
  2. Analiza wpływu i szacowanie ryzyka pomagają zidentyfikować systemy informatyczne niezbędne do niezakłóconego świadczenia usługi kluczowej. Analiza wpływu polega na identyfikacji potencjalnych zagrożeń i ich wpływu na rozmaite sytuacje, w tym ludzi, środowisko i ekonomię. Natomiast szacowanie ryzyka pomaga określić prawdopodobieństwo wystąpienia zagrożenia, ocenić jego wpływ i wskazać najlepsze środki zaradcze. Dzięki temu możemy określić, jakie działania powinny zostać podjęte, aby zminimalizować negatywne skutki wystąpienia zagrożenia.
  3. Opracowanie dokumentacji polega na spisaniu procedur odnoszących się do cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej oraz ochrony powiązanej infrastruktury. Może obejmować kontrolę dostępu do budynków lub systemu zarządzania kluczami. Bardzo ważne jest, aby procedury były skuteczne, dostosowane do danej organizacji, a także przejrzyste i zrozumiałe – to gwarantujemy w PBSG.
  4. Wdrożenie systemu i szkolenia są niezbędne, by zyskać pewność, że system jest właściwie zaprojektowany, umożliwia organizacji lepsze zarządzanie ryzykiem i poprawę bezpieczeństwa w sposób ciągły. Pomagamy zdefiniować cele dotyczące bezpieczeństwa, identyfikujemy zagrożenia, analizujemy ryzyko i wdrażamy skuteczne procedury, aby minimalizować te zagrożenia. System obejmuje wiele elementów, w tym polityki, procedury, instrukcje, kryteria oceny ryzyka, monitorowanie i raportowanie. Na koniec przeprowadzamy szkolenia, m.in. dla kadry kierowniczej, zespołu IT i zespołu odpowiedzialnego za cyberbezpieczeństwo.

Dodatkowo zapewniamy wsparcie przez rok od zakończenia projektu w ramach usługi Cyber Support. Jesteśmy elastyczni – ustalamy zakres usługi oraz liczbę godzin zgodnie z potrzebami placówki. Zakres prac może dotyczyć bezpieczeństwa informacji, ciągłości działania, cyberbezpieczeństwa i rekomendacji KNF. Oprócz tego w ramach ISO 31000, ISO 22301 i ISO 27001 zapewniamy pomoc w ramach naszych kompetencji, tj. audyty, szkolenia, doskonalenie dokumentacji, testy penetracyjne, testy socjotechniczne, analizę konfiguracji infrastruktury.

Dlaczego warto wybrać PBSG?

W samym tylko 2022 roku zrealizowaliśmy około 30 projektów w szpitalach w obszarze cyberbezpieczeństwa.

Zdajemy sobie sprawę, jak ważna w przypadku szpitali jest ciągłość działania, dlatego zapewniamy współpracę na dogodnych warunkach (zdalnie i w siedzibie z ustaloną liczbą godzin) bez przestojów i przerw w świadczeniu usług.

Sprawdź, w czym możemy Cię wesprzeć:

Sprawdź szkolenia
Szkolenie

Wprowadzenie do Ustawy o Sztucznej Inteligencji (AI Act)

Dowiedz się więcej
Szkolenie

DORA: Podstawy, Zarządzanie Ryzykiem i Przygotowanie Organizacji

Dowiedz się więcej
Szkolenie

Szkolenie dotyczące wymagań Dyrektywy NIS2

Dowiedz się więcej
CZYTAJ, OGLĄDAJ, SUBSKRYBUJ
Poradnik

Raportowanie ESG – kogo dotyczy i czy jest obowiązkowe?

Czytaj dalej
Poradnik

AI Act – jak klasyfikowane jest ryzyko? Poziomy ryzyka w ustawie o sztucznej inteligencji

Czytaj dalej
Poradnik

Ryzyka ESG i ich wpływ na biznes. Jakie są ryzyka i jak mogą zakłócić funkcjonowanie Twojej organizacji?

Czytaj dalej

O Autorze

Maciej Klichowski
Absolwent kierunku Zarządzanie, Uniwersytetu Ekonomicznego w Poznaniu, ze specjalizacją handel i marketing. Specjalista z kilkuletnim doświadczeniem w pracy jako sales manager. Ze sprzedażą związany od zawsze. W PBSG pracuje jako account manager, gdzie dalej rozwija swoje umiejętności handlowe. Nerd i sportowiec w jednej osobie. Od najmłodszych lat związany z konińskim klubem sportowym. Prywatnie aktywność sportowa i rozwój osobisty to to co go pochłania. Obecnie mieszka w Poznaniu, do którego przyjechał po opuszczeniu rodzinnego miasta – Konina.