Cyberbezpieczeństwo a sektor ochrony zdrowia
Tradycyjnie przyjmuje się, że na ataki cyberprzestępców są narażone sektory finansowy, energetyczny czy transportowy. Tymczasem zgodnie z przewidywaniami Europolu w 2017 r. pierwszoplanowym obiektem ataków będą wrażliwe dane medyczne pacjentów przechowywane w słabo zabezpieczonych systemach szpitalnych. Blokada systemu informatycznego czy też wyciek danych o pacjentach mogą zdezorganizować prace jednostki medycznej w takim stopniu, że nie będzie ona w stanie leczyć pacjentów, dopóki nie zapłaci wysokiego okupu cyberprzestępcom. Czy można uchronić się przed takim scenariuszem?
Skuteczność leczenia zależy od niezawodności systemów informatycznych
Po wielu latach starań sektor zdrowia ulega informatyzacji i nie ma wątpliwości, że proces ten będzie kontynuowany. Dane medyczne są przechowywane w postaci elektronicznej w szpitalnych systemach komputerowych. Lada dzień spodziewane są kolejne udogodnienia związane z e-receptą i e-zwolnieniem lekarskim. Dynamicznie rozwija się telemedycyna, w ramach której dane diagnostyczne pacjenta mogą być przesyłane do specjalistów znajdujących się w wielu lokalizacjach. Powstają też różnorodne aplikacje medyczne do samodzielnego używania przez pacjentów. Roboty medyczne wspomagają chirurgów, umożliwiając im przeprowadzanie coraz bardziej skomplikowanych operacji. Nowe rozwiązania Internetu Rzeczy w znacznej części zastępują czynności personelu medycznego, umożliwiając bezpośrednią komunikację pomiędzy urządzeniami medycznymi i automatyczne ustawianie właściwych parametrów, np. dawkowania pacjentom insuliny. Stało się jasne, że powodzenie w leczeniu zależy w większym niż kiedykolwiek stopniu właśnie od bezpieczeństwa informatycznego szpitali.
Dane medyczne to najdroższy towar na nielegalnym rynku Darknet
Ciemną stroną skoku technologicznego jest zwiększone ryzyko utraty danych w wyniku działalności cyberprzestępców. Jak pokazuje październikowe zdarzenie z Wielkiej Brytanii1, scenariusz tzw. ataków ransomowych najczęściej jest następujący. Do pracowników szpitala wysyłana jest seria maili z pozornie legalną treścią (np. zawiadomienie o kongresie naukowym, zaproszenie do udziału w atrakcyjnym projekcie badawczym itd.). Po otwarciu maila w komputerze automatycznie instaluje się nielegalne oprogramowanie (tzw. malware), które skanuje zawartość sieci, do której podłączony jest komputer, blokuje dostęp do danych pacjentów i przesyła je w zaszyfrowanej formie do komputera, z którego pochodzi atak. Wobec utraty danych oraz blokady systemu szpital musi zawiesić działalność medyczną, a dyrekcja otrzymuje e-mail z żądaniem zapłaty określonej sumy w zamian za zwrot danych oraz odblokowanie systemu.
Cyberbezpieczeństwo kosztuje dużo, ale jego brak jeszcze więcej
W 2015 r. w USA zanotowano około 111 milionów cyberataków w sektorze ochrony zdrowia, które dotknęły w sumie 35% amerykańskiego społeczeństwa2. W największym do tej pory tego typu zdarzeniu – ataku na firmę Anthem – doszło do jednorazowego wycieku ponad 78 milionów danych pacjentów. Szacuje się, że w latach 2017-2021 globalna wartość strat wynikających z działalności cyberprzestępców na świecie wyniesie 6 bilionów USD, a konieczne wydatki związane z zapewnieniem cyberbezpieczeństwa w tym okresie pochłoną co najmniej 1 bilion USD3.
Tymczasem w szpitalach nadal niska jest świadomość dotycząca skali zagrożenia cyberatakami. Efektem jest brak stosownych procedur wewnętrznych mających na celu ochronę systemów informatycznych, a to z kolei jest bezpośrednią przyczyną niewystarczającego zabezpieczenia wrażliwych danych pacjentów.
Tworzone regulacje prawne
Opracowanie i wdrożenie przepisów chroniących przed cyberprzestępczością to wieloletni proces wymagający zaangażowania zarówno ustawodawcy europejskiego, jak i krajowego oraz dialogu z podmiotami z różnych sektorów gospodarki, w tym ochrony zdrowia. Wobec skali i złożoności zjawiska cyberprzestępczości niezbędne jest opracowanie interdyscyplinarnego systemu specjalistycznych przepisów, obejmujących przede wszystkim przepisy regulacyjne oraz z zakresu ochrony danych osobowych.
W 2016 r. uchwalono dwa kluczowe dla zabezpieczenia systemów informatycznych oraz przechowywanych w nim danych akty prawne, tj.:
- dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków mających na celu zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji na terytorium Unii (dyrektywa NIS), oraz
- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Jak pisaliśmy w poprzednich publikacjach, dyrektywa NIS ma na celu stworzenie ram prawnych i instytucjonalnych w zakresie cyberbezpieczeństwa. Obliguje ona państwa UE do opracowania krajowych strategii bezpieczeństwa cybernetycznego, zidentyfikowania operatorów tzw. kluczowej infrastruktury (m.in. szpitali) oraz zbudowania krajowych systemów reagowania na cyberataki opartych o Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT)4.
Z kolei ogólne rozporządzenie o ochronie danych przewiduje zaostrzone obowiązki podmiotów administrujących danymi oraz je przetwarzającymi (np. szpitali) w zakresie ochrony przechowywanych danych osobowych. Brak adekwatnych do stopnia zagrożenia zabezpieczeń będzie mógł być podstawą do nałożenia przez Głównego Inspektora Ochrony Danych Osobowych surowych kar pieniężnych wynoszących w zależności od rodzaju naruszenia do 10 albo 20 milionów euro, a w przypadku przedsiębiorstwa – 2% albo 4% całkowitego rocznego przychodu w poprzednim roku obrotowym (patrz np. tutaj).
Zakładając optymistyczny scenariusz, zgodnie z którym państwa unijne implementują dyrektywę NIS na czas, to i tak przepisy obu aktów prawnych zaczną być stosowane najwcześniej w maju 2018 r. Jednostki ochrony zdrowia muszą się przygotować do wejścia w życie nowych przepisów i już teraz stosować nieobowiązkowe standardy ochrony przed cyberatakami.
6 kroków do bezpieczeństwa
Istnieje wiele standardów i dobrych praktyk wypracowanych przez różnego rodzaju instytucje5. Do najpopularniejszych należy Standard Reagowania na Incydenty Bezpieczeństwa Komputerowego (ang. Computer Security Incidents Handling Guide), czyli tzw. norma NIST 800-61 opracowana przez Narodowy Instytut Standardów i Technologii przy amerykańskim Departamencie Handlu6. Jest to standard uniwersalny, który może być stosowany w sektorze ochrony zdrowia.
W największym uproszczeniu, zgodnie z normą NIST 800-61, kroki do zapewnienia cyberbezpieczeństwa są następujące.
- Przygotowanie. To kluczowy i czasochłonny krok wymagający zidentyfikowania potencjalnych źródeł incydentów komputerowych, zbadania słabych stron zabezpieczenia komputerów i ich sieci, wyznaczenia osób odpowiedzialnych za zapewnienie cyberbezpieczeństwa (np. wyznaczenia wewnętrznego lub zewnętrznego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT)) wraz z określeniem zakresów odpowiedzialności poszczególnych osób oraz opracowaniem procedur postępowania i zasad raportowania w przypadku zaistnienia incydentu.
- Identyfikacja incydentu. Jeżeli monitoring działania systemu wykaże odstępstwa od normy, istnieje ryzyko, że nastąpił cyberatak. Wyzwaniem jest nie tylko jego zidentyfikowanie, ale też określenie rodzaju i skali spowodowanego zagrożenia dla bezpieczeństwa danych.
- Odpowiedź na incydent. Musi być nie tylko adekwatna do zagrożenia, ale też szybka, aby ograniczyć do minimum skalę szkód. Na przykład odcięcie od systemu komputera zainfekowanego nielegalnym oprogramowaniem pozwoli ograniczyć wyciek informacji do danych przechowywanych na tym komputerze, a nie we wszystkich komputerach w sieci.
- Eliminacja przyczyny. Po jej ustaleniu niezbędne jest wyłączenie czynnika ryzyka na przyszłość, np. zaktualizowanie oprogramowania antywirusowego, przeszkolenie pracowników w zakresie bezpiecznego korzystania z poczty elektronicznej.
- Powrót do normalnej działalności. W zależności od skali cyberataku powrót do normalnej działalności może przebiegać w kilku etapach, np. powrót do świadczenia doraźnej pomocy medycznej, potem powrót do wykonywania niezbędnych zabiegów ratujących życie, a dopiero później wznowienie zabiegów planowych. Od strony informatycznej będzie to wymagało odzyskania dostępu do dokumentacji medycznej oraz wykonania niezbędnych kopii zapasowych.
- Usprawnienie systemu. To krok ostatni, o którym nie można zapominać, ponieważ każdy cyberincydent w długofalowej perspektywie powinien przyczyniać się do wzmocnienia systemu ochrony danych pacjentów. Po wykonaniu wcześniejszych kroków rolą osoby odpowiedzialnej za cyberbezpieczeństwo jest przygotowanie raportu podsumowującego dla dyrekcji szpitala, zawierającego wnioski i rekomendacje dotyczące zapobiegania analogicznym incydentom w przyszłości. Oznacza to zwykle, że praca nad sześcioma krokami zaczyna się od nowa.
Dodatkowe źródła:
- IOCTA 2016
- Critical Controls – Center for Internet Security
- Verizon Data Breach report 2016
- Handbook for CSIRTs
- Creating a CSIRT
- Cyber Fusion Center model
- Expectations from CSIRT
- US DoD Cyber Strategy
Joanna Krakowiak, praktyka life science i postępowań regulacyjnych kancelarii Wardyński i Wspólnicy
Tekst jest rozszerzoną wersją prezentacji wygłoszonej podczas 60. Kongresu Międzynarodowej Unii Adwokatów (Union Internationale des Avocats), który odbył się w Budapeszcie w dniach 28 października – 1 listopada 2016 r.
4 W Polsce Ministerstwo Cyfryzacji opracowało projekt uchwały Rady Ministrów zawierającej Krajową Strategię Cyberbezpieczeństwa na lata 2016-2020. https://mc.gov.pl/konsultacje/projekt-uchwaly-rady-ministrow-w-sprawie-strategii-cyberbezpieczenstwa-rp-na-lata-2016
5 Np. Europejską Agencję Bezpieczeństwa Sieci i Internetu, ENISA https://www.enisa.europa.eu/publications/good-practice-guide-for-incident-management