Kolejny atak na szpital – znów przez błąd pracownika - Proste to RODO ochrona danych w medycynie

Kolejny atak na szpital - znów przez błąd pracownika

Kolejny atak na szpital – znów przez błąd pracownika – warto jest zadawać sobie to pytanie, co doprowadziło, co mogło doprowadzić, do danego zdarzenia. Bez najmniejszego problemu można przytaczać dane statystyczne, które jednoznacznie wskazywać będą i potwierdzać problem zaniedbań w obszarze cyberbezpieczeństwa podmiotów medycznych. Niestety jednak tego rodzaju działania, nie do końca, albo inaczej, nie zawsze, odnoszą oczekiwany skutek. Wciąż spotkać można się ze stanowiskiem, które charakteryzuje się założeniem, iż problem ataków nie dotyczy danego podmiotu medycznego, szpitala, przychodni, gabinetu … bo nigdy do tej pory nie stał on się jego ofiarą. Tylko, czy takie podejście jest prawidłowe …

Problem jest wciąż bagatelizowanie problemu ... Podmioty medyczne nie dostrzegają zagrożeń związanych z ich funkcjonowaniem w przestrzeni cyfrowej. Zdarza im się bagatelizować obowiązki związane z zapewnieniem cyberbezpieczeństwa. Wciąż dostrzegalne są braki, jeśli chodzi o przygotowanie personelu do radzenia sobie w kryzysowych sytuacjach.

Centrum Medyczne TW-MED Sp.J.

Data 15 stycznia 2023r. cyt.: „(…) Naruszenie to polega na tym, że w dniu 13 stycznia 2023r. doszło do ataku hackerskiego na infrastrukturę serwerową Centrum Medycznego TW-MED, w wyniku którego nieuprawniony podmiot dokonał zaszyfrowania danych zgromadzonych za serwerze w sposób uniemożliwiający Centrum Medycznemu TW-MED dostęp do danych, w tym wykonanie kopii bezpieczeństwa. (…) Zakres zaszyfrowanych danych obejmuje bazę wszystkich pacjentów Centrum Medycznego TW-MED z lat 2018 – 2023, w tym takie dane jak: imię i nazwisko, numer PESEL, dane kontaktowe, wyniki badań i inne dane zgromadzone w dokumentacji medycznej pacjenta, w tym w szczególności dane dotyczące stanu zdrowia. (…) Naruszenie to zostało zgłoszone do Prezesa Urzędu Ochrony Danych Osobowych oraz organom ścigania.(…)”.

Instytut "Centrum Zdrowia Matki Polki"

Data 07 listopada 2022 r. cyt.: „(…) w wyniku ataku hakerskiego doszło do zaszyfrowania danych plików maszyn wirtualnych ransomware LockBit3. oraz zaszyfrowania danych na serwerze BACKUP, o czym niezwłocznie Instytut zawiadomił Urząd Ochrony Danych (…) Konsekwencją ewentualnego wycieku danych może być w szczególności utrata poufności danych osobowych chronionych tajemnicą zawodową”, „Powyższe może skutkować wysokim ryzykiem naruszenia praw lub wolności osób fizycznych których dane dotyczą”

Samodzielny Publiczny ZOZ w Pajęcznie

Data 10 lutego 2022 r. cyt.: „(…) w związku z niespodziewaną awarią systemu informatycznego, mogą dziś (tj. w czwartek 10.02) pojawić się utrudnienia z dostępem do cyfrowej kartoteki. Nad usunięciem awarii pracują nasi specjaliści. Szpital i poradnie SPZOZ w Pajęcznie realizują usługi medyczne bez zmian, a za ewentualne utrudnienia serdecznie przepraszamy.” Jak wynika z doniesienia prasowego zamieszczonego na łamach serwisu twojepajeczno.pl cyt.: „(…)Samodzielny Publiczny Zespół Opieki Zdrowotnej w Pajęcznie padł ofiarą hakerów. Teraz cyberprzestępcy żądają od placówki dużego okupu. (…) Cyberprzestępcy włamali się do systemu informatycznego i zaszyfrowali niemal wszystkie pliki. Za odzyskanie danych SP ZOZ miałby zapłacić przestępcom duży okup.(…)”.

Jak radzić sobie w obecnej rzeczywistości ...

Przede wszystkim należy sobie uświadomić istnienie zagrożenia ... Aby minimalizować ryzyko związane z możliwością ataku na podmiot medyczny,. zarządzający placówkami powinni uświadomić sobie pewne fakty i w konsekwencji powyższego podejmować zdecydowane działania. Uczciwie należy to powiedzieć, iż każdy podmiot medyczny narażony jest na ataki ze strony cyberprzestępców i w rzeczywistości każdy może stać się ofiarą celowanego bądź losowego ataku.

Co można zrobić ...

Na początek warto jest zadać sobie kilka pytań i uczciwie na nie odpowiedzieć …

Czy w podmiocie respektowane są przepisy Ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne?
Kiedy, albo czy w ogóle, wykonany został wewnętrzny audyt bezpieczeństwa informacji (Audyt KRI)?
Czy wdrożono w podmiocie dokumentację będącą Systemem Zarządzania Bezpieczeństwem Informacji?
Kiedy, albo czy w ogóle, pracownicy podmiotu uczestniczyli w szkoleniu z cyberbezpieczeństwa?

Potrzebujesz funduszy na cyberbezpieczeństwo ...

Często podmioty medyczne zasłaniają się, tłumaczą się brakiem środków finansowych na podniesienie poziomu cyberbezpieczeństwa w sowich placówkach. Warto jest śledzić na bieżąco realizowane projekty, które dają możliwości pozyskiwania dotacji bezzwrotnych, czy dofinansowań, właśnie na zabezpieczenie podmiotów medycznych. Wsparcie w ubieganiu się o dofinansowanie.

Szkolenie dla personelu podmiotu medycznego ...

Przygotowaliśmy szkolenie dedykowane dla pracowników podmiotów medycznych w całości poświęcone tematyce cyberbezpieczeństwa. W ramach szkolenia pokazujemy dobre praktyki, jak również uświadamiamy, na jakiego rodzaju formy ataków narażone są podmioty medyczne. W warsztatach można uczestniczyć na żywo, można także pobrać nagranie szkoleniowe do odtworzenia.

Jak poprawnie wykonać Audyt KRI ...

Przygotowaliśmy dla Państwa szkolenie poświęcone praktycznym aspektom wykonywania wewnętrznego audytu bezpieczeństwa informacji. W ramach warsztatów Uczestnicy otrzymują niezbędną wzorcową dokumentację audytową zawierającą m.in. listy pytań kontrolnych i wzory protokołów z Audytu KRI. Prowadzący precyzyjnie i szczegółowo omawia zagadnienia, jak również pokazuje jak pracować z przekazanymi wzorami, jak wykonać zadanie audytowe.