Cyfryzacja opieki zdrowotnej w Europie otwiera możliwości na poprawę jakości leczenia i obsługi pacjentów. Jednak rozwój technologii niesie ze sobą nowe wyzwania dla cyberbezpieczeństwa, wpływające na ochronę danych pacjentów i działalność placówek medycznych. W odpowiedzi na te wyzwania Komisja Europejska przedstawiła Europejski Plan Działania na rzecz Cyberbezpieczeństwa Szpitali i Dostawców Opieki Zdrowotnej.
Poniżej przedstawiamy kluczowe założenia tego planu oraz jego znaczenie dla sektora ochrony zdrowia.
Dlaczego cyberbezpieczeństwo w ochronie zdrowia jest priorytetem?
Sektor zdrowotny jest szczególnie podatny na cyberataki. Według danych Komisji Europejskiej, aż 54% incydentów cyberbezpieczeństwa w latach 2021–2023 dotyczyło ransomware – ataków blokujących systemy i wymuszających okup. W przypadku szpitali takie incydenty mogą prowadzić nie tylko do utraty danych, ale także do zagrożenia zdrowia i życia pacjentów. Przykładem tego jest atak na Szpital Uniwersytecki w Düsseldorfie, który w wyniku działań grup przestępczych nie mógł przyjmować pacjentów z nagłych wypadków. Kobieta, która potrzebowała pilnej pomocy, została przewieziona do dalszego szpitala w wyniku czego zmarła.
Na rodzimym rynku mamy przykład spółki ALAB, z której wyciekły dane medyczne kilkudziesięciu tysięcy pacjentów czy też Instytut Centrum Zdrowia Matki Polki w Łodzi, który w wyniku ataku musiał poprzekładać planowane badania i prowadzić dokumentację w wersji papierowej.
Dodatkowym wyzwaniem jest postępująca cyfryzacja. Elektroniczne karty zdrowia, systemy zarządzania szpitalami oraz urządzenia medyczne podłączone do internetu zwiększają powierzchnię ataku. Wiele placówek nadal boryka się z brakami w podstawowych zabezpieczeniach, co czyni je łatwym celem dla cyberprzestępców.
Kluczowe wyzwania w zakresie cyberbezpieczeństwa
Rosnące zagrożenie ransomware
Ataki ransomware powodują poważne zakłócenia w pracy placówek medycznych, co może prowadzić do opóźnień w leczeniu pacjentów.
Niedostateczne zabezpieczenia urządzeń i oprogramowania
Brak odpowiednich standardów w systemach ICT oraz urządzeniach medycznych zwiększa ryzyko nieautoryzowanego dostępu.
Niska świadomość cyberzagrożeń
Według Komisji Europejskiej, niemal 50% placówek zdrowotnych nie przeprowadziło kompleksowej analizy ryzyka w obszarze cyberbezpieczeństwa.
Deficyt specjalistów
Brak wykwalifikowanej kadry ogranicza możliwości wdrażania skutecznych rozwiązań zabezpieczających.
Złożoność łańcucha dostaw
Placówki medyczne często mają ograniczoną kontrolę nad bezpieczeństwem dostarczanych technologii i urządzeń.
Główne rekomendacje Komisji Europejskiej
Aby przeciwdziałać zagrożeniom, Komisja Europejska opracowała szereg zaleceń i inicjatyw.
Prewencja jako podstawa bezpieczeństwa
——————————————————————
Regularne aktualizacje oprogramowania.
Tworzenie kopii zapasowych danych.
Wdrożenie uwierzytelniania wieloskładnikowego.
Opracowanie wytycznych dla zakupów ICT, aby zapewnić zgodność z najwyższymi standardami bezpieczeństwa.
Szybka detekcja zagrożeń
——————————————————————
Stworzenie katalogu znanych podatności (KEV) dla urządzeń medycznych.
Wdrożenie unijnego systemu wczesnego ostrzegania, który będzie informował placówki o nowych zagrożeniach.
Promowanie współpracy w ramach ISAC (Information Sharing and Analysis Centres).
Reakcja na incydenty i odzyskiwanie danych
———————————————————————
Utworzenie unijnej Rezerwy Cyberbezpieczeństwa do wsparcia placówek podczas poważnych incydentów.
Opracowanie przewodników reagowania na incydenty.
Zapewnienie wsparcia technicznego i narzędzi deszyfrujących w ramach inicjatywy „No More Ransom”.
Edukacja i budowanie kompetencji
———————————————————————
Utworzenie Europejskiego Centrum Wsparcia Cyberbezpieczeństwa dla sektora zdrowotnego.
Organizacja szkoleń dla personelu medycznego.
Finansowanie voucherów na cyberbezpieczeństwo dla mniejszych placówek.
Współpraca międzynarodowa
———————————————————————
Wykorzystanie narzędzi dyplomacji cybernetycznej do zwalczania międzynarodowych zagrożeń.
Partnerstwo z globalnymi organizacjami, takimi jak G7 i ONZ.
Chcesz dowiedzieć się jak uzyskać voucher na dofinansowanie do cyberbezpieczeństwa?
Korzyści z realizacji Europejskiego Planu Działania
1. Większe bezpieczeństwo danych pacjentów
dzięki lepszym zabezpieczeniom technologicznym.
2. Zminimalizowanie ryzyka incydentów
poprzez skuteczne systemy detekcji i reagowania.
3. Budowa zaufania do systemów zdrowotnych
dzięki współpracy międzynarodowej i podnoszeniu
standardów ochrony.