Sektor ochrony zdrowia jest narażony na coraz większą liczbę cyberataków, tymczasem nie wszystkie placówki medyczne wdrożyły odpowiednie zabezpieczenia. W roku 2025 wejdzie w życie nowelizacja ustawy o KSC, szpitale będą także mogły skorzystać ze środków w ramach KPO.
W sektorze ochrony zdrowia może dochodzić do różnego rodzaju incydentów związanych z naruszeniem cyberbezpieczeństwa, mogą to być między innymi oszustwa komputerowe czy wycieki danych. Jedno z najbardziej powszechnych zdarzeń to ataki ransomowe, polegające na instalowaniu złośliwego oprogramowania, które blokuje użytkownika i żąda zapłaty za przywrócenie dostępu. Liczba takich zdarzeń rośnie. W roku 2024 przekroczyła ich liczbę z trzech lat wcześniejszych.
Prawie połowa szpitali nie zatrudnia informatyka
Z danych zbieranych przez Centrum e-Zdrowia od roku 2021 i pochodzących z 700 szpitali wynika, że zabezpieczenia przed cyberatakami w wielu placówkach pozostawiają wiele do życzenia. W ponad 43 procent podmiotów brakuje etatu informatyka, tylko 64 procent dyrektorów szpitali przeszło szkolenie w zakresie cyberbezpieczeństwa.
– To się z pewnością zmieni, ponieważ nowelizacja ustawy o KSC przewiduje kary dla kierujących placówkami, jeżeli nie będą realizować obowiązujących przepisów – mówił Tomasz Jeruzalski, dyrektor Pionu Eksploatacji Systemów Teleinformatycznych Centrum e-Zdrowia podczas konferencji Cybersec & Compliance w Zdrowiu, która miała miejsce 4 marca 2025 roku.
Z danych Centrum wynika także, że prawie 40 procent dyrektorów szpitali nie zna wyników analizy ryzyka, czyli nawet jeżeli taka analiza jest dokonywana, kierujący placówką nie zapoznaje się z jej wynikami, nie mówiąc o podejmowaniu na tej podstawie decyzji. Prawie 30 procent podmiotów nie opublikowało nigdy takiego dokumenty jak polityka cyberbezpieczeństwa.
Za minimum w zakresie cyberbezpieczeństwa uznawane są takie rozwiązania jak firewall, rozwiązanie klasy EDR (systemy monitorujące poszczególne urządzenia pod kątem podejrzanej aktywności) oraz systemy antywirusowe. Jednak nie wszystkie placówki medyczne mają nawet minimalne zabezpieczenia, nie wspominając nawet o bardziej zaawansowanych. Na przykład rozwiązania TLP, czyli systemu oznaczania informacji, który określa zakres, w jakim potencjalnie wrażliwe informacje mogą być udostępniane przez odbiorców, nie posiada 75 procent jednostek.
– Trzeba się zastanowić, jak te braki uzupełniać, jeżeli mamy brak kompetencji na poziomie szpitali, to jak je nadrobić, czy będą to rozwiązania na poziomie rządowym, na przykład przez usługi skierowane do określonego sektora, czy powstaną centra usług wspólnych. Jeżeli widzimy brak kompetencji w zakresie przeszkolenia, to czy nie przygotować na przykład dofinansowania na ten cel dla jednostek medycznych – mówił Tomasz Jeruzalski.
Nowelizacja ustawy o KSC
Obecny rok będzie kluczowy dla systemów cyberbezpieczeństwa, ponieważ wejdzie w życie nowelizacja ustawy o KSC (Krajowym Systemie Cyberbezpieczeństwa), która będzie miała duży wpływ na działalność podmiotów medycznych.
Krajowy System Cyberbezpieczeństwa to kompleksowy system, którego celem jest zapewnienie cyberbezpieczeństwa na poziomie krajowym, który utworzony został na podstawie ustawy z 5 lipca 2018 roku. Obejmuje operatorów usług kluczowych, czyli przedsiębiorstwa z sektorów – energetycznego, transportowego, finansowego, ochrony zdrowia oraz wodociągów, a także dostawców usług cyfrowych, czyli platformy handlowe, usługi chmurowe oraz wyszukiwarki internetowe, zespoły CSIRT odpowiedzialne za obsługę incydentów bezpieczeństwa na poziomie krajowym a także instytucje państwowe odpowiedzialne za nadzór nad cyberbezpieczeństwem,.
Sektor ochrony zdrowia jest specyficzny, ponieważ obejmuje zarówno jednostki działające w sferze rządowej, samorządowej oraz komercyjnej, i nie wszystkie są ze sobą współzależne. Również rozwiązania IT działające w sektorze ochrony zdrowia są zarówno publiczne, których działalność łatwiej regulować, jak i komercyjne.
Środki z PKO dla szpitali
W najbliższym czasie uruchomiony zostanie przez Ministerstwo Zdrowia konkurs, który będzie dotyczył środków z KPO i jednym z komponentów będzie możliwość pozyskania środków na cyberbezpieczeństwo. Będą tam określone minimalne wymagania dla jednostek, które będą chciały z tych środków skorzystać.
– Konkursy będą w taki sposób skonstruowane, że wsparcie dostaną zarówno podmioty, które potrzebują go w celu spełniania podstawowych wymogów jak i podmioty bardziej doświadczone, które przeżyły już cyberataki. Także takim jednostkom trzeba pozwolić na uzupełnienie zasobów czy wymianę poszczególnych elementów oraz rozszerzenie zakresu cyberbezpieczeństwa. – mówił Tomasz Jeruzalski.
Centrum e-Zdrowia rozpoczęło już przygotowanie dokumentów dotyczących standardów i minimalnych wymagań, które można będzie wykorzystać jako formularze gotowe do wypełnienia, między innymi w celu wprowadzenia systemu zarządzania polityką bezpieczeństwa. W planach jest także rozwinięcie projektu cyberkaretki, uruchomiona zostanie platforma do szkoleń w zakresie cyberbezpieczeństwa.
Organizatorami konferencji byli wZdrowiu, Koalicja AI i Innowacji w Zdrowiu oraz Polska Federacja Szpitali, wraz z Centrum Kształcenia Podyplomowego Uczelni Łazarskiego.