Wyższa Szkoła Gospodarki Krajowejw Kutnie
Systemy informacji w ochronie zdrowia
Aleksandra Domaradzka nr indeksu 10442Natalia Iwaniak nr indeksu 10471Michał Lewandowski nr indeksu 10486 Aleksandra Łazińska nr indeksu 10485Tomek Ochman nr indeksu 10479Maciej Zakrzewski nr indeksu 10481Pielęgniarstwo II rok, III semestr
„Cyberbezpieczeństwo w podmiotach leczniczych”
Kutno, dn. 12.01.2021r.
Cyberbezpieczeństwo to ogół technik, procesów i praktyk stosowanych w celu ochrony sieci informatycznych, urządzeń, programów i danych przed atakami, uszkodzeniami lub nieautoryzowanym dostępem. Cyberbezpieczeństwo to odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Stanowi również zespół zagadnień związanych z zapewnianiem ochrony w obszarze cyberprzestrzeni. Z pojęciem cyberbezpieczeństwa związana jest między innymi ochrona przestrzeni przetwarzania informacji oraz zachodzących interakcji w sieciach teleinformatycznych.
Bezpieczeństwo w cyberprzestrzeni jest obecnie jednym z największych priorytetów, do którego powinniśmy dążyć w naszym kraju. Wraz z rozwojem Internetu natrafiamy na zagrożenia, które wynikają z jego niewłaściwego zabezpieczenia i niepoprawnego korzystania z zasobów sieci. Według raportu Najwyższej Izby Kontroli, polska cyberprzestrzeń jest źle chroniona i stale narażona na ataki. W ostatnim roku kalendarzowym 77% przedsiębiorstw doświadczyło ataku phishingowego, natomiast 58% organizacji uważa, że liczba ataków tego rodzaju wrośnie. Ponadto niemal 80% ataków przy pomocy złośliwego oprogramowania wynika z prób wyłudzenia informacji. Pracownicy są najsłabszym ogniwem w łańcuchu bezpieczeństwa i coraz częściej można zaobserwować, że większość naruszeń jest związana z zachowaniem pracowników.
Placówki medyczne wraz z rozwojem technologii na świecie, rozpoczęły podnosić wiedze kadry zarządzającej publicznymi placówkami medycznymi w zakresie obowiązków wynikających z ustawy o krajowym systemie cyberbezpieczeństwa. Dla placówek medycznych organizowane są warsztaty, które stanowią narzędzie do budowania świadomości wyzwań i obowiązków, zwłaszcza w obszarze cyber-zagrożeń związanych z prowadzeniem działalności w środowisku cyfrowym, w tym wdrażaniem nowych rozwiązań z zakresu e-zdrowia. Podczas takich spotkań prezentowane są m.in. - specjalistyczna wiedza z zakresu IT - kluczowe obowiązki podmiotów oraz zagrożenia dla funkcjonowania sieci i systemów informatycznych wynikających z postępującego procesu informatyzacji sektora ochrony zdrowia. Warsztaty mają ułatwić dyrekcji placówek ochronę przed zagrożeniami związanymi ze środowiskiem cyfrowym, w tym w odniesieniu do części podmiotów leczniczych, umożliwić jak najskuteczniejszą realizację obowiązków wynikających z ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, a w związku z tym ograniczyć ryzyko nieprawidłowości działania placówek.
Trwające na całym świecie zmagania z pandemią stawiają przed służbą zdrowia dodatkowe wyzwania związane z cyberbezpieczeństwem. Z okazji starają się bowiem skorzystać internetowi przestępcy, którzy błyskawicznie potrafią dostosować metody działania do panujących wokół warunków. Aktualna sytuacja w Unii Europejskiej i na świecie stanowi dla przestępców podatny grunt do prowadzenia kampanii phishingowych, czy ataków ransomware -(atakujący blokuje dane, powoduje paraliż całego systemu, czyniąc go niezdatnym do użytku. Użytkownik systemu zostaje zmuszony do zapłaty okupu, w zamian za przywrócenie kontroli nad systemem i dostępem do danych. Jednak udany atak cyfrowy może wiązać się nie tylko z wyciekiem danych czy ich zablokowaniem, ale także z ich manipulacją lub nawet przejęciem kontroli nad urządzeniami wykorzystywanymi w procesach technologicznych.)
Agencja ENISA, w oparciu o rozwój sytuacji i najpowszechniejsze incydenty, jakie obserwowano od początku pandemii, rekomenduje sektorowi medycznemu:
1. Dzielenie się informacjami z personelem medycznym w organizacji, budowanie świadomości na temat cyber-zagrożeń, a w przypadku ataku poproszenie personelu o odłączenie się od sieci, aby powstrzymać rozprzestrzenianie się złośliwego oprogramowania.
2. W przypadku naruszenia bezpieczeństwa systemu wstrzymanie wszelkich prowadzonych w nim działań, odłączenie zainfekowanych maszyn od innych oraz od zewnętrznych dysków lub urządzeń medycznych. Przejście do trybu offline z sieci. Niezwłoczne skontaktowanie się z krajowym zespołem CSIRT.
3. Zapewnienie skutecznych procedur tworzenia kopii zapasowych i przywracania systemu. Plany ciągłości działania powinny istnieć zawsze, gdy awaria systemu może zakłócić podstawowe usługi zapewniane przez szpital.
4. W przypadku ataku na urządzenia medyczne reagowanie na incydent w porozumieniu z producentem urządzenia. Współpraca z dostawcami w celu reagowania na incydenty w przypadku urządzeń medycznych lub szpitalnych systemów informacyjnych.
5. Wprowadzenie segmentacji sieci, dzięki której ruch sieciowy może być izolowany i/lub filtrowany w celu ograniczenia lub uniemożliwienia dostępu do poszczególnych
Zgodnie z ustawą o cyberbezpieczeństwie każdy szpital, który ma oddział ratunkowy i należy do tzw. sieci powinien zostać zakwalifikowany jako operator usług kluczowych. Aż dla 250 lecznic oznacza to nowe wydatki i obowiązki. Będą musiały m.in. stworzyć dokumenty związane z cyberbezpieczeństwem i co dwa lata przeprowadzać specjalistyczne audyty, które mogą kosztować ok. 100 tysięcy złotych. Jednym z kluczowych kierunków rozwoju polskiego systemu ochrony zdrowia jest cyfryzacja. Od początku poprzedniego roku placówki medyczne mają już ustawowy obowiązek prowadzić elektroniczną dokumentację medyczną, od 8 stycznia 2020 r. recepty będą wystawiane co do zasady jedynie w postaci elektronicznej. W kolejnych latach zasadą ma się stać wystawianie także e-skierowań oraz innych dokumentów medycznych. Pacjenci mają też zapewniony dostęp do danych dotyczących udzielanych im świadczeń w ramach Internetowe Konto Pacjenta. Przetwarzanie dużych ilości cyfrowych danych medycznych niesie szereg korzyści, ale wiąże się też z nowym typem zagrożeń. Nowe, cyfrowe zagrożenia dla systemów IT placówek medycznych, a tym samym dla dostępności i poufności danych pacjentów, stanowią realne ryzyko, przed którym należy się w przemyślany sposób zabezpieczyć. Poszukiwanie oszczędności w tym obszarze może bowiem przynieść opłakane skutki, narażając świadczeniodawcę na poważne konsekwencje prawne, finansowe i wizerunkowe. Warsztaty w prosty i przejrzysty dla każdego uczestnika sposób (niewymagający specjalistycznej wiedzy z zakresu IT) prezentują kluczowe zagrożenia dla funkcjonowania sieci i systemów informatycznych wynikające z postępującego procesu informatyzacji sektora ochrony zdrowia, przybliżają wymogi prawne w tym zakresie oraz przedstawiają informacje mogące usprawnić skuteczne wdrożenie nowych obowiązków.
Zapewnienie wysokiego poziomu bezpieczeństwa danych zawartych w elektronicznej dokumentacji medycznej jest niezmiernie ważne dla poprawnego funkcjonowania systemu ochrony zdrowia. Informacje te są narażone nie tylko na standardowe zagrożenia związane z siecią, ale także zaplanowane i wycelowane bezpośrednio w nie ataki hakerskie. W świetle dotychczasowych problemów polskich szpitali w tym zakresie bardzo ważne będzie właściwe przygotowanie się do nowych standardów wynikających z prawodawstwa unijnego, w szczególności z RODO. Właściwym uzupełnieniem nowych zasad będzie wdrożenie bardziej szczegółowych rozwiązań wynikających z sektorowych kodeksów postępowania oraz ram cyberbezpieczeństwa NIST. Zarządzający podmiotami wykonującymi działalność leczniczą powinni podjąć wysiłek dla podniesienia poziomu cyberbezpieczeństwa. Dotyczy to oczywiście kwestii informatycznych i technicznych ale również proceduralnych i regulacyjnych.
Bibliografia:
https://www.prawo.pl/zdrowie/jak-zapewnic-cyberbezpieczenstwo-w-placowkach-medycznych,491965.html
https://www.prawo.pl/zdrowie/warsztaty-dotyczace-wsparciadla-podmiotow-leczniczych-z-zakresu,495933.html
https://www.bsigroup.com/pl-PL/Cyber-Security-Information-Resilience-pl/
https://pl.wikipedia.org/wiki/Cyberbezpiecze%C5%84stwo
https://biotechnologia.pl/biotechnologia/dlaczego-cyberbezpieczenstwo-jest-wazne-dla-sektora-life-science,18495?fbclid=IwAR0qlx62z7AfhrFD-KffVf46_W7bIgLbVQVNFpEBWF8hSKEBrq-YxDMQXYU
https://dl.ptwp.pl/Y5LxKWRme8/raport-healthcare-po-zmianach.pdf
szwagiero1