Postępująca digitalizacja usług medycznych wiąże się z rosnącym zagrożeniem cyberataków na szpitale czy poradnie zdrowia. Wykorzystywane przez takie podmioty systemy informatyczne, zapewniające ciągłość świadczenia usług czy przechowujące dane pacjentów, muszą spełniać odpowiednie standardy bezpieczeństwa. To nie tylko dobra praktyka i wyraz profesjonalizmu, ale też wymóg określony w przepisach prawa.
Misja niesienia pomocy potrzebującym przez jednostki ochrony zdrowia jest nacechowana potrzebą przetwarzania danych wrażliwych np. dotyczących stanu zdrowia czy przebiegu leczenia. Dane te są niezbędne zarówno personelowi medycznemu, jak również samym pacjentom.
- Rozwój cyfryzacji umożliwia wspieranie się szpitali i poradni systemami teleinformatycznymi podnoszącymi jakość obsługi pacjenta, przyśpiesza to też wymianę danych medycznych pomiędzy placówkami czy specjalistami. Wdrożenie takich systemów z jednej strony wymuszone jest chęcią podnoszenia jakości obsługi, a z drugiej przez wymagania prawne zmierzające do zdigitalizowania dokumentacji medycznej – mówi Tomasz Szczygieł, ekspert ds. cyberbezpieczeństwa DEKRA.
Coraz powszechniejsze wdrażanie cyfrowych rozwiązań podnosi jakość świadczonych usług medycznych, ale jednocześnie ukazuje słabości wykorzystywanych dotychczas systemów informatycznych. Obecność nowych technologii w ochronie zdrowia doprowadziła do zwiększenia częstotliwości cyberataków w tym sektorze. Ze statystyk CERT Polska wynika, że liczba cyberataków na rodzime szpitale i poradnie wzrosła w ostatnich latach niemal trzykrotnie – z 53 incydentów z 2019 roku do 150 incydentów w 2021 roku.
Digitalizacja ochrony zdrowia musi być bezpieczna
Wszystkie zalety digitalizacji procesów medycznych nie mogą więc przysłonić istnienia zagrożeń związanych z cyfrowym niebezpieczeństwem. Atak cyberprzestępców na infrastrukturę informatyczną szpitala czy przychodni może znacznie utrudnić lub uniemożliwić udzielanie pomocy pacjentom. W Polsce w 2022 roku odnotowano chociażby atak ransomware LockBit 3.0 na Instytut Centrum Zdrowia Matki Polki w Łodzi. Zaszyfrowane zostały wówczas dane w systemie prowadzącym dokumentację medyczną pacjentów. W tym samym roku ukradziono też dane medyczne znajdujące się na dyskach w systemie Lotniczego Pogotowia Ratunkowego.
Podmioty medyczne są narażone nie tylko na ataki z zewnątrz, ale również działania osób posiadających dostęp do krytycznych systemów. Chociażby w 2019 roku głośną sprawą było skopiowanie przez byłego pracownika pewnej placówki leczniczej danych osobowych pacjentów w celu ich późniejszego wykorzystania do sprzedaży swoich usług.
- Wszystkie te zdarzenia uzasadniają potrzebę budowy systemu bezpieczeństwa informacji, który będzie minimalizował ryzyko wycieków lub kradzieży danych medycznych. Jednocześnie musi on zapewnić komfort pracy, dostęp do nich osobom realizującym procedury medyczne oraz samym pacjentom – dodaje Tomasz Szczygieł.
Cyberbezpieczeństwo w medycynie – dobra praktyka i wymóg prawny
Budowa systemu bezpieczeństwa dla danych medycznych jest nie tylko dobrą praktyką, która ma podnieść jakość świadczenia usług medycznych. Stanowi wymóg prawny nałożony na podmioty z sektora ochrony zdrowia przez art. 32 rozporządzenia RODO oraz rozporządzenia Ministra Zdrowia w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania.
W myśl tego rozporządzenia zabezpieczenie elektronicznej dokumentacji medycznej wymaga stałego szacowania ryzyka zagrożeń oraz zarządzania tym ryzykiem, a także m.in. opracowania i stosowania procedur bezpieczeństwa, bieżącej kontroli oraz rozwoju systemów, w których przechowywane są dane medyczne. Pomocne mogą być także standard ISO/IEC 27001:2022 oraz norma ISO/IEC 27701 określające dodatkowe wymagania w zakresie tworzenia i zarządzania systemem bezpieczeństwem informacji oraz pozwalające systematycznie weryfikować jego skuteczność.
- Budowa zgodnego z wymaganiami systemu bezpieczeństwa informacji w placówkach medycznych pozwala zminimalizować prawdopodobieństwo wystąpienia incydentu bezpieczeństwa, a w przypadku jego wystąpienia na skuteczną odpowiedź adekwatną do zaistniałej sytuacji. To zapewnia komfort bezpiecznego świadczenia pacjentom usług medycznych. Poprzez ciągłe doskonalenie takich systemów redukuje się też ryzyko wystąpienia naruszeń ochrony danych skutkujących odpowiedzialnością cywilną lub karną pracowników i zarządzających placówkami medycznymi za błędy popełnione podczas zabezpieczanie przetwarzanych danych – podsumowuje ekspert.
Źródło: IP