Służba Zdrowia - strona główna
SZ nr 27–48/2024
z 30 czerwca 2024 r.
>>> Wyszukiwarka leków refundowanych

Cyberbezpieczeństwo w sektorze zdrowia. Kluczowa rola centralizacji

Krystian Magdziarz, Agnieszka Magdziarz

Raport roczny CERT Polska [1] potwierdził prognozy wielu specjalistów dotyczące dalszych wzrostów zgłaszanych incydentów w sieciach informatycznych. Jednocześnie cyberataki stają się na tyle intensywne i skuteczne, że przechodzą do mainstreamu. Ciągłe wycieki danych z podmiotów medycznych, tj. nieautoryzowany dostęp do danych z centrów medycznych All-Med. [2], pojawienie się danych pacjentów ALAB w darknet [3] czy ostatnie włamanie na serwery Medily [4], budzą coraz większe wątpliwości co do efektywności wykorzystania środków z rządowych dotacji na cyberbezpieczeństwo [5]. Wszystkie te wydarzenia mają miejsce w cieniu wprowadzenia nowej dyrektywy unijnej NIS2.

Dyrektywa NIS2: Wymogi i terminy wdrożenia


Dyrektywa NIS2 (Network and Information Systems Directive) jest nowym unijnym aktem prawnym, mającym na celu podniesienie ogólnego poziomu cyberbezpieczeństwa w krajach członkowskich. Jej implementacja w polskim systemie prawnym musi nastąpić do 17 października 2024 roku. Dyrektywa ta nakłada na podmioty z sektora zdrowia, w tym szpitale, obowiązek wprowadzenia zaawansowanych środków ochrony danych oraz procedur zarządzania incydentami bezpieczeństwa. Szpitale będą musiały dostosować swoje systemy IT do nowych wymogów, co obejmuje m.in. regularne audyty bezpieczeństwa, zgłaszanie incydentów oraz stosowanie najlepszych praktyk w zakresie zarządzania ryzykiem. Wprowadzenie NIS2 stwarza również szansę na centralizację usług IT, co może znacząco poprawić poziom cyberbezpieczeństwa i zgodność z nowymi regulacjami. Implementacja tych przepisów jest kluczowa, aby polskie szpitale mogły skutecznie chronić dane pacjentów i przeciwdziałać zagrożeniom w cyberprzestrzeni.

Dotacje rządowe


W ostatnich latach rząd przeznaczył znaczące środki na poprawę poziomu cyberbezpieczeństwa w sektorze zdrowia. Ministerstwo Zdrowia uruchomiło programy dofinansowania, które mają na celu wsparcie szpitali i innych placówek medycznych w implementacji zaawansowanych systemów zabezpieczeń. Przykładem takiej inicjatywy jest fundusz o wartości ponad 260 milionów złotych6, który został przeznaczony na zwiększenie ochrony danych pacjentów oraz modernizację infrastruktury IT w szpitalach.

Te środki pozwalały na zakup nowoczesnych systemów monitorowania, szkolenia personelu w zakresie cyberbezpieczeństwa oraz przeprowadzenie niezbędnych audytów i testów penetracyjnych. Dzięki tym inwestycjom placówki medyczne mają być lepiej przygotowane na ataki cybernetyczne – czy w istocie tak jest?

Należy pamiętać, że jednorazowe dotacje mogą stanowić istotny krok w kierunku poprawy cyberbezpieczeństwa, jednak zapewnianie pełnej ochrony to proces ciągły, który wymaga regularnych aktualizacji, monitoringu i adaptacji do nowych zagrożeń. Chociaż fundusze przeznaczone na modernizację infrastruktury IT i szkolenia personelu są niezbędne, ich efektywność może być ograniczona, jeśli nie będą wspierane przez długofalowe strategie zarządzania bezpieczeństwem. Stąd konieczność stałego wsparcia finansowego i organizacyjnego, aby zapewnić, że placówki medyczne są przygotowane do przeciwdziałania ewoluującym zagrożeniom i utrzymania wysokiego poziomu ochrony danych pacjentów na co dzień.

Centralizacja kluczowych usług IT w ochronie zdrowia


Nie ma się co oszukiwać, że dotacje podniosą na stałe poziom bezpieczeństwa w sektorze ochrony zdrowia. Szpitale często nie dysponują wystarczającymi środkami na skuteczną rekrutację specjalistów odpowiedzialnych za cyberbezpieczeństwo (konkurencja jest na tym rynku ogromna z uwagi na fakt ciągłego niedoboru wykwalifikowanej kadry oraz stale rosnących wyzwań w tym sektorze), a cykliczne audyty zlecane przez każdy podmiot z osobna nie są ani efektywne finansowo, ani nie zapewniają skutecznej ochrony. W obliczu tych wyzwań centralizacja kluczowych usług IT może stanowić klucz do poprawy bezpieczeństwa danych pacjentów oraz zwiększenia efektywności zarządzania zasobami w sektorze zdrowia.

Centralizacja części usług IT w sektorze ochrony zdrowia mogłaby być realizowana poprzez inicjatywę rządową, która obejmowałaby stworzenie jednolitej platformy do zarządzania stronami internetowymi szpitali i innymi kluczowymi zasobami cyfrowymi, przez nowo powołaną lub istniejącą instytucję rządową. Obecnie Ministerstwo Cyfryzacji, we współpracy z Centralnym Ośrodkiem Informatyki, ma odpowiednie kompetencje i mogłoby opracować oraz wdrożyć centralny system, który zapewniałby jednolite standardy bezpieczeństwa i zarządzania danymi. Taki system mógłby oferować szpitalom gotowe do użycia szablony stron internetowych, regularnie aktualizowane pod kątem bezpieczeństwa, co pozwoliłoby na szybką adaptację do nowych zagrożeń. Dodatkowo centralizacja umożliwiłaby skonsolidowanie zasobów i narzędzi do monitorowania zagrożeń oraz prowadzenia audytów bezpieczeństwa, co nie tylko obniżyłoby koszty, ale także zwiększyłoby skuteczność ochrony. Centralny system zarządzania mógłby również oferować szkolenia oraz wsparcie techniczne, pomagając placówkom medycznym w utrzymaniu wysokich standardów cyberbezpieczeństwa na co dzień.

Wytwarzanie oprogramowania obejmuje nie tylko aspekty cyberbezpieczeństwa, ale także wiele innych kluczowych wymagań, takich jak zgodność z WCAG 2.0, zapewnienie odpowiedniego interfejsu użytkownika (UX/UI), automatyzacja procesów oraz inne czynniki wpływające na efektywność i użyteczność. Centralizacja usług IT mogłaby skutecznie adresować te potrzeby poprzez wdrożenie jednolitych standardów i wytycznych. Dzięki centralizacji możliwe byłoby stworzenie spójnych, dostępnych i intuicyjnych interfejsów, które spełniałyby kryteria dostępności dla osób z niepełnosprawnościami. Ponadto automatyzacja procesów aktualizacji oprogramowania i monitorowania zagrożeń mogłaby znacznie zwiększyć efektywność zarządzania stronami internetowymi. Centralne zarządzanie umożliwiłoby również konsolidację zasobów i narzędzi, co przyczyniłoby się do podniesienia jakości i bezpieczeństwa oprogramowania w całym sektorze zdrowia.

Chociaż nie można nałożyć obowiązku korzystania z centralnie wytworzonego oprogramowania na podmioty medyczne, istnieje szereg środków, które mogą skutecznie zachęcić je do stosowania tych rozwiązań. Przede wszystkim, centralizacja może przynieść znaczne oszczędności finansowe poprzez eliminację potrzeby indywidualnych inwestycji w rozwój i utrzymanie infrastruktury IT. Ponadto centralnie zarządzane oprogramowanie, które spełnia najwyższe standardy cyberbezpieczeństwa oraz zgodności z WCAG 2.0, może oferować bardziej profesjonalne i bezpieczne rozwiązania niż te tworzone samodzielnie przez poszczególne jednostki.

Profesjonalizacja tych rozwiązań nie tylko podnosi poziom ochrony danych, ale również zwiększa efektywność operacyjną, co jest kluczowe dla placówek medycznych. Co więcej, prowadzenie kampanii informacyjnych i szkoleniowych mogłoby zwiększyć świadomość korzyści płynących z centralizacji, w tym lepszego wsparcia technicznego, regularnych aktualizacji oraz ciągłego monitorowania zagrożeń.

Skuteczna strategia komunikacyjna, podkreślająca zarówno ekonomiczne, jak i operacyjne zalety centralizacji, może przekonać zarządy placówek medycznych do przyjęcia tych rozwiązań, co w dłuższej perspektywie przyczyni się do podniesienia ogólnego poziomu bezpieczeństwa i efektywności w całym sektorze ochrony zdrowia.

Strony WWW bramą do systemów teleinformatycznych szpitali


Strony internetowe szpitali stanowią krytyczny punkt dostępu do ich systemów teleinformatycznych, co czyni je potencjalnym celem dla cyberprzestępców. W ramach jednego hostingu często obsługiwane są również inne kluczowe usługi, takie jak poczta e-mail, co zwiększa ryzyko kompromitacji całej infrastruktury IT. Naruszenie bezpieczeństwa strony WWW może prowadzić do uzyskania nieautoryzowanego dostępu do kont e-mail, a następnie umożliwić przeprowadzenie zaawansowanych ataków typu spear phishing [7]. Tego rodzaju incydenty mogą skutkować przejęciem kontroli nad systemami szpitalnymi, co niesie ze sobą poważne konsekwencje dla integralności i poufności danych pacjentów oraz stabilności operacyjnej placówki medycznej.

W celu zrozumienia obecnego stanu zabezpieczeń stron internetowych szpitali przeprowadzono analizę używanego oprogramowania oraz potencjalnych podatności. W tabeli 1 przedstawiono zestawienie systemów zarządzania treścią (CMS) i dedykowanych rozwiązań stosowanych przez różne placówki medyczne. Tabela zawiera również informacje o wykrytych podatnościach, co pozwala na ocenę ryzyka związanego z obecnym stanem bezpieczeństwa stron WWW tych jednostek.



Brak informacji o podatnościach


Powyższe zestawienie pokazuje różnorodność używanego oprogramowania oraz wskazuje na potencjalne luki w zabezpieczeniach, które mogą być wykorzystane przez cyberprzestępców. Ujednolicenie i centralizacja systemów zarządzania treścią mogłyby znacznie poprawić stan cyberbezpieczeństwa w tych placówkach.

Case Study: Sukces Ministerstwa Obrony Narodowej w centralizacji


Ministerstwo Obrony Narodowej (MON) jest przykładem skutecznej centralizacji usług IT. Dzięki temu osiągnięto znaczące korzyści w obszarze cyberbezpieczeństwa. Strony internetowe jednostek wojskowych w MON są skupione w ramach kilku wewnętrznych platform. Kluczowe dowództwa wojskowe prowadzą swoje strony w domenie wojsko-polskie.pl na bazie zunifikowanej platformy zarządzania treścią. Następnie MON, poprzez utworzenie Dowództwa Komponentu Wojsk Obrony Cyberprzestrzeni, zintegrowało zarządzanie systemami informacyjnymi oraz innymi kluczowymi zasobami teleinformatycznymi [8]. Dzięki temu podejściu Ministerstwo może osiągnąć wysoki poziom zabezpieczeń, zminimalizować ryzyko nieautoryzowanego dostępu oraz zwiększyć efektywność zarządzania infrastrukturą IT.

Centralizacja pozwala na wdrożenie spójnych standardów bezpieczeństwa oraz regularne aktualizacje oprogramowania, co znacząco utrudnia potencjalnym napastnikom przeprowadzenie skutecznych ataków. Centralizacja oznacza także skuteczniejszy rozwój funkcjonalności, z uwagi na możliwość zaangażowania większej liczby dedykowanych jednej platformie deweloperów. Dodatkowo, skonsolidowane zasoby i centralne monitorowanie zagrożeń umożliwiają szybką reakcję na incydenty oraz lepsze zarządzanie ryzykiem (za poziom bezpieczeństwa stron WWW odpowiada między innymi powołany CSIRT MON [9]). MON może zyskiwać także na efektywności finansowej, eliminując redundancję w zatrudnianiu specjalistów IT przez poszczególne jednostki organizacyjne i optymalizując koszty związane z utrzymaniem infrastruktury.

Sukces Ministerstwa Obrony Narodowej w centralizacji usług IT pokazuje, że podobne podejście mogłoby przynieść znaczne korzyści w sektorze ochrony zdrowia. Wprowadzenie centralnego zarządzania stronami internetowymi szpitali mogłoby poprawić bezpieczeństwo danych pacjentów, zwiększyć efektywność operacyjną oraz obniżyć koszty związane z zarządzaniem IT. Dość powiedzieć, że w tym kierunku prawdopodobnie zmierza także Komenda Główna Policji [10]. Czy sektor ochrony zdrowia jest na to gotowy? Czy kolejne unijne akty prawne zmuszą sektor ochrony zdrowia do gigantycznych zmian w organizacji usług IT? Jakie kroki należy podjąć, aby przygotować się na te wyzwania?


Przypisy:
  1. CERT Polska jest specjalistycznym zespołem działającym w strukturach NASK – Państwowego Instytutu Badawczego, którego rdzeniem działalności jest obsługa incydentów bezpieczeństwa cybernetycznego. Źródło raportu: https://cert.pl/uploads/docs/Raport_CP_2023.pdf.
  2. Źródło: https://niebezpiecznik.pl/post/wyciek-danych-centrum-all-med-w-lodzi-o-co-tu-chodzi/.
  3. Źródło: https://niebezpiecznik.pl/post/dane-z-alab-znow-w-darknecie-uporzadkowane-numerami-pesel/.
  4. Źródło: https://cyberdefence24.pl/cyberbezpieczenstwo/wyciek-danych-pacjentow-z-40-klinik-prezes-uodo-podejmie-dzialania.
  5. Środki można było pozyskiwać między innymi w ramach Zarządzenia nr 8/2023/BBIICD Prezesa Narodowego Funduszu Zdrowia z dnia 16.01.2023 r. Dotacje przyznawane były do 30.09.2023 r.
  6. Źródło: https://www.rynekzdrowia.pl/E-zdrowie/260-mln-zl-na-cyberbezpieczenstwo-w-szpitalach-Beda-tez-szkolenia-dla-POZ,238471,7.html.
  7. Spear phishing to wysoce ukierunkowana forma phishingu, która polega na oszukiwaniu konkretnych osób lub organizacji w celu uzyskania nieautoryzowanego dostępu do poufnych informacji. W przeciwieństwie do tradycyjnego phishingu, który jest masowym atakiem rozsyłanym do szerokiej grupy odbiorców, spear phishing jest precyzyjnie zaplanowany i skierowany do określonej osoby lub grupy osób, często wykorzystując informacje personalne zebrane wcześniej o ofiarach.
  8. Źródło: https://www.youtube.com/watch?v=bITdjAcO2Mg.
  9. Zadania zespołów CSIRT możemy znaleźć na https://sip.lex.pl/akty-prawne/dzu-dziennik-ustaw/krajowy-system-cyberbezpieczenstwa-18746756/roz-6.
  10. Komenda Główna Policji ogłosiła przetarg publiczny na zakup usługi serwisu pogwarancyjnego CMS dla 825 serwisów. Źródło: https://www.przetargi.egospodarka.pl/20004572401_Zakup-uslugi-serwisu-pogwarancyjnego-Systemu-Zarzadzania-Trescia-CMS-WebAdministrator-GOLD-825-serwisow-na-okres-24-miesiecy-oraz-nowych-funkcjonalnosci-systemu-CMS_2021_2.html.




Najpopularniejsze artykuły

Ciemna strona eteru

Zabrania się sprzedaży eteru etylowego i jego mieszanin – stwierdzał artykuł 3 uchwalonej przez sejm ustawy z dnia 22 czerwca 1923 r. w przedmiocie substancji i przetworów odurzających. Nie bez kozery, gdyż, jak podawały statystyki, aż 80 proc. uczniów szkół narkotyzowało się eterem. Nauczyciele bili na alarm – używanie przez dzieci i młodzież eteru prowadzi do ich otępienia. Lekarze wołali – eteromania to zguba dla organizmu, prowadzi do degradacji umysłowej, zaburzeń neurologicznych, uszkodzenia wątroby. Księża z ambon przestrzegali – eteryzowanie się nie tylko niszczy ciało, ale i duszę, prowadząc do uzależnienia.

Ile trwają studia medyczne w Polsce? Podpowiadamy!

Studia medyczne są marzeniem wielu młodych ludzi, ale wymagają dużego poświęcenia i wielu lat intensywnej nauki. Od etapu licencjackiego po specjalizację – każda ścieżka w medycynie ma swoje wyzwania i nagrody. W poniższym artykule omówimy dokładnie, jak długo trwają studia medyczne w Polsce, jakie są wymagania, by się na nie dostać oraz jakie możliwości kariery otwierają się po ich ukończeniu.

Diagnozowanie insulinooporności to pomylenie skutku z przyczyną

Insulinooporność początkowo wykrywano u osób chorych na cukrzycę i wcześniej opisywano ją jako wymagającą stosowania ponad 200 jednostek insuliny dziennie. Jednak ze względu na rosnącą świadomość konieczności leczenia problemów związanych z otyłością i nadwagą, w ostatnich latach wzrosło zainteresowanie tą... no właśnie – chorobą?

Testy wielogenowe pozwalają uniknąć niepotrzebnej chemioterapii

– Wiemy, że nawet do 85% pacjentek z wczesnym rakiem piersi w leczeniu uzupełniającym nie wymaga chemioterapii. Ale nie da się ich wytypować na podstawie stosowanych standardowo czynników kliniczno-patomorfologicznych. Taki test wielogenowy jak Oncotype DX pozwala nam wyłonić tę grupę – mówi onkolog, prof. Renata Duchnowska.

Najlepsze systemy opieki zdrowotnej na świecie

W jednych rankingach wygrywają europejskie systemy, w innych – zwłaszcza efektywności – dalekowschodnie tygrysy azjatyckie. Większość z tych najlepszych łączy współpłacenie za usługi przez pacjenta, zazwyczaj 30% kosztów. Opisujemy liderów. Polska zajmuje bardzo odległe miejsca w rankingach.

Czy NFZ może zbankrutować?

Formalnie absolutnie nie, publiczny płatnik zbankrutować nie może. Fundusz bez wątpienia znalazł się w poważnych kłopotach. Jest jednak jedna dobra wiadomość: nareszcie mówi się o tym otwarcie.

10 000 kroków dziennie? To mit!

Odkąd pamiętam, 10 000 kroków było złotym standardem chodzenia. To jest to, do czego powinniśmy dążyć każdego dnia, aby osiągnąć (rzekomo) optymalny poziom zdrowia. Stało się to domyślnym celem większości naszych monitorów kroków i (czasami nieosiągalną) linią mety naszych dni. I chociaż wszyscy wspólnie zdecydowaliśmy, że 10 000 to idealna dzienna liczba do osiągnięcia, to skąd się ona w ogóle wzięła? Kto zdecydował, że jest to liczba, do której powinniśmy dążyć? A co ważniejsze, czy jest to mit, czy naprawdę potrzebujemy 10 000 kroków dziennie, aby osiągnąć zdrowie i dobre samopoczucie?

Soczewki dla astygmatyków – jak działają i jak je dopasować?

Astygmatyzm to jedna z najczęstszych wad wzroku, która może znacząco wpływać na jakość widzenia. Na szczęście nowoczesne rozwiązania optyczne, takie jak soczewki toryczne, pozwalają skutecznie korygować tę wadę. Jak działają soczewki dla astygmatyków i na co zwrócić uwagę podczas ich wyboru? Oto wszystko, co warto wiedzieć na ten temat.

Onkologia – organizacja, dostępność, terapie

Jak usprawnić profilaktykę raka piersi, opiekę nad chorymi i dostęp do innowacyjnych terapii? – zastanawiali się eksperci 4 września br. podczas Forum Ekonomicznego w Karpaczu.

Zdrowa tarczyca, czyli wszystko, co powinniśmy wiedzieć o goitrogenach

Z dr. n. med. Markiem Derkaczem, specjalistą chorób wewnętrznych, diabetologiem oraz endokrynologiem, wieloletnim pracownikiem Kliniki Endokrynologii, a wcześniej Kliniki Chorób Wewnętrznych Uniwersytetu Medycznego w Lublinie rozmawia Antoni Król.

Cukrzyca: technologia pozwala pacjentom zapomnieć o barierach

Przejście od leczenia cukrzycy typu pierwszego opartego na analizie danych historycznych i wielokrotnych wstrzyknięciach insuliny do zaawansowanych algorytmów automatycznego jej podawania na podstawie ciągłego monitorowania glukozy w czasie rzeczywistym jest spełnieniem marzeń o sztucznej trzustce. Pozwala chorym uniknąć powikłań cukrzycy i żyć pełnią życia.

Jakie badania profilaktyczne są zalecane po 40. roku życia?

Po 40. roku życia wzrasta ryzyka wielu chorób przewlekłych. Badania profilaktyczne pozwalają wykryć wczesne symptomy chorób, które często rozwijają się bezobjawowo. Profilaktyka zdrowotna po 40. roku życia koncentruje się przede wszystkim na wykryciu chorób sercowo-naczyniowych, nowotworów, cukrzycy oraz innych problemów zdrowotnych związanych ze starzeniem się organizmu.

Aż 9,3 tys. medyków ze Wschodu ma pracę dzięki uproszczonemu trybowi

Już ponad 3 lata działają przepisy upraszczające uzyskiwanie PWZ, a 2 lata – ułatwiające jeszcze bardziej zdobywanie pracy medykom z Ukrainy. Dzięki nim zatrudnienie miało znaleźć ponad 9,3 tys. członków personelu służby zdrowia, głównie lekarzy. Ich praca ratuje szpitale powiatowe przed zamykaniem całych oddziałów. Ale od 1 lipca mają przestać obowiązywać duże ułatwienia dla medyków z Ukrainy.

Rzeczpospolita bezzębna

Polski trzylatek statystycznie ma aż trzy zepsute zęby. Sześciolatki mają próchnicę częściej niż ich rówieśnicy w Ugandzie i Wietnamie. Na fotelu dentystycznym ani razu w swoim życiu nie usiadł co dziesiąty siedmiolatek. Statystyki dotyczące starszych napawają grozą: 92 proc. nastolatków i 99 proc. dorosłych ma próchnicę. Przeciętny Polak idzie do dentysty wtedy, gdy nie jest w stanie wytrzymać bólu i jest mu już wszystko jedno, gdzie trafi.

Leki, patenty i przymusowe licencje

W nowych przepisach przygotowanych przez Komisję Europejską zaproponowano wydłużenie monopolu lekom, które odpowiedzą na najpilniejsze potrzeby zdrowotne. Ma to zachęcić firmy farmaceutyczne do ich produkcji. Jednocześnie Komisja proponuje wprowadzenie przymusowego udzielenia licencji innej firmie na produkcję chronionego leku, jeśli posiadacz patentu nie będzie w stanie dostarczyć go w odpowiedniej ilości w sytuacjach kryzysowych.

Dobra polisa na życie — na co zwrócić uwagę?

Ubezpieczenie na życie to zabezpieczenie finansowe w trudnych chwilach. Zapewnia wsparcie w przypadku nieszczęśliwego wypadku lub śmierci ubezpieczonego. Aby polisa dobrze spełniała swoją funkcję i gwarantowała pomoc, niezbędne jest gruntowne sprawdzenie jej warunków. Jeśli chcesz wiedzieć, na czym dokładnie powinieneś się skupić — przeczytaj ten tekst!



bot