Posted inCyberBezpieczeństwo

Cyberbezpieczeństwo dla placówek medycznych

Brak komentarzy.
cyberbezpieczenstwo dla placowek medycznych

Placówki medyczne mają jedną specyfikę, która od razu stawia je wyżej na liście celów cyberprzestępców. Tu nie chodzi tylko o dane klientów czy dokumenty finansowe. Chodzi o dokumentację medyczną, historię leczenia, wyniki badań, dane osobowe pacjentów i dostęp do systemów, od których często zależy ciągłość pracy całej placówki.

Znamy sytuacje, w których przychodnia czy szpital po cyberataku wracała do kartki i długopisu. Rejestracja przestawała działać, lekarze nie mieli dostępu do historii pacjentów, a telefony nie przestawały dzwonić. Właściciel czy dyrektor mówił wtedy jedno zdanie: „myślałem, że to dotyczy tylko dużych firm prywatnych”.

To błąd, który w sektorze medycznym pojawia się wyjątkowo często.

Dlaczego placówki medyczne są dziś łatwym celem

Małe i średnie placówki medyczne zwykle mają bardzo podobny schemat działania. Jest system medyczny, kilka komputerów w rejestracji, serwer gdzieś w zapleczu, do tego backup „gdzieś robiony” i antywirus, który nie jest zarządzany centralnie i nie aktualizowany od miesięcy.

Do tego dochodzi ogromna rotacja personelu, presja czasu i praca na danych, których nie można stracić ani udostępnić nikomu poza personelem.

Cyberprzestępcy to wiedzą. I wykorzystują to bardzo skutecznie.

Scenariusze ataku mogą być różne. Najczęściej będzie to phishing ale atakujący mogą też wykorzystać luki w oprogramowaniu, luki w urządzeniach brzegowych czy usługi niepotrzebnie udostępnione na zewnątrz.

Nie jest to scenariusz z filmów. To codzienność wielu firm, w tym placówek medycznych.

Dane medyczne to jeden z najcenniejszych zasobów

Dokumentacja medyczna ma ogromną wartość. Nie tylko dla samej placówki, ale też na czarnym rynku danych. Zawiera komplet informacji o pacjencie: dane osobowe, PESEL, adres, historię chorób, wyniki badań, recepty.

Utrata takich danych oznacza kilka rzeczy naraz:

  • paraliż pracy placówki
  • ryzyko naruszenia przepisów o ochronie danych osobowych
  • utratę zaufania pacjentów
  • realne straty finansowe

Największy problem polega na tym, że w wielu miejscach dane są rozsiane po różnych systemach. Część w systemie medycznym, część w mailach, część na komputerach lekarzy, a część na pendrive’ach.

Bez kontroli nad tym, gdzie dane trafiają i kto je wysyła, prędzej czy później coś wypłynie.

Kontrola danych – czyli co daje dobrze wdrożony system DLP

Jednym z elementów, który w placówkach medycznych robi największą różnicę, jest wdrożenie systemów kontrolujących przepływ danych.

Z mojej praktyki wynika, że najwięcej problemów powodują trzy rzeczy:

  • wysyłanie dokumentacji medycznej na prywatne skrzynki
  • kopiowanie danych na pendrive’y
  • udostępnianie plików bez kontroli uprawnień

Systemy klasy DLP pozwalają analizować treść wiadomości e-mail, załączniki oraz ruch danych w sieci. Jeśli ktoś próbuje wysłać dokument zawierający dane pacjenta poza firmę, system może to zablokować albo przynajmniej zarejestrować.

W placówkach medycznych to nie luksus. To jeden z podstawowych mechanizmów ochrony.

Backup danych – moment prawdy przy każdym incydencie

Jeśli miałbym wskazać jeden element, który decyduje o tym, czy firma podniesie się po ataku, czy będzie walczyć tygodniami, to jest nim backup, czyli kopia zapasowa danych.

W wielu miejscach backup polega na kopiowaniu danych na dysk podłączony do serwera. Problem polega na tym, że kiedy ransomware zaszyfruje serwer, zaszyfruje też backup.

Prawidłowe podejście wygląda inaczej.

Backup powinien:

  • być wykonywany automatycznie
  • trafiać do odseparowanej lokalizacji
  • być regularnie testowany
  • umożliwiać szybkie odtworzenie danych

W praktyce oznacza to często backup do zewnętrznej infrastruktury oraz dodatkowe kopie offline. Jeśli nie masz infrastruktury aby przechowywać kopie zapasowe warto skorzystać z usług zarządzalnych backup jako usługa.

Najczęściej niestety dopiero podczas awarii okazuje się, czy backup był tylko wpisem w procedurze, czy faktycznym zabezpieczeniem.

Szkolenia personelu – najsłabszy punkt, którego nie da się ominąć

Można mieć najlepsze systemy zabezpieczeń, ale jeśli pracownik kliknie w złośliwy załącznik, problem wraca.

W placówkach medycznych szkolenia z cyberbezpieczeństwa są często traktowane jako formalność. Jedno spotkanie, prezentacja slajdów i podpis na liście obecności.

To nie działa.

Szkolenia powinny być praktyczne i odnosić się do codziennych sytuacji:

  • jak rozpoznać podejrzany e-mail
  • jak reagować na nietypowe komunikaty systemu
  • jak bezpiecznie przesyłać dokumentację
  • czego absolutnie nie robić na komputerze służbowym

Największy efekt widzę wtedy, kiedy pracownicy zaczynają zadawać pytania i sami zgłaszają podejrzane sytuacje.

To oznacza, że szkolenie zadziałało.

RODO w medycynie

Placówki medyczne operują na danych szczególnie chronionych. Każdy wyciek to nie tylko problem techniczny, ale też prawny.

W praktyce oznacza to konieczność:

Największy błąd, jaki widzę, to traktowanie RODO jako dokumentu w segregatorze. Tymczasem to powinien być zestaw procedur, które są wykorzystywane w codziennej pracy.

Bez tego nawet niewielki incydent może skończyć się poważnymi konsekwencjami.

Co najczęściej zawodzi w małych i średnich placówkach

Po latach pracy z różnymi organizacjami widzę pewien powtarzalny schemat.

Problemy nie wynikają z jednego wielkiego błędu. Zwykle to suma drobnych zaniedbań, które razem tworzą idealne warunki do ataku.

Najczęściej spotykam:

  • brak kontroli nad przepływem danych
  • backup, który istnieje tylko teoretycznie
  • brak testów odtwarzania danych
  • brak szkoleń lub szkolenia robione „na papierze”
  • zbyt szerokie uprawnienia użytkowników
  • brak procedur na wypadek incydentu

Każdy z tych elementów osobno nie wygląda groźnie. Razem tworzą środowisko, które bardzo łatwo sparaliżować.

Cyberbezpieczeństwo w medycynie to nie projekt, tylko proces

Największą zmianę widzę w tych placówkach, które przestają traktować bezpieczeństwo jako jednorazowe wdrożenie.

Bo prawda jest taka, że nie istnieje moment, w którym można powiedzieć „mamy to zrobione”. Systemy się zmieniają. Personel się zmienia. Zagrożenia się zmieniają.

Bezpieczeństwo musi nadążać.

W praktyce oznacza to:

  • regularne przeglądy zabezpieczeń
  • aktualizację systemów
  • kontrolę przepływu danych
  • testowanie backupów
  • cykliczne szkolenia personelu

To standard, który pozwala uniknąć sytuacji, w której cała placówka staje w miejscu, bo ktoś kliknął w zły plik.

Prowadzisz placówkę medyczną?

Chciałbyś dowiedzieć się więcej na temat ochrony danych medycznych? Chciałbyś przeszkolić pracowników z cyberbezpieczeństwa lub RODO?

Umów krótką konsultację i sprawdź, gdzie są najsłabsze punkty.

Odezwij się do nas!
Tags:

Komentarze

Nie ma jeszcze komentarzy. Może zaczniesz dyskusję?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *