Na ważny temat

Jak bronić szpitale przed hakerami

Konrad Wojciechowski

W dobie pandemii koronawirusa szpitale są narażone nie tylko na wysoki odsetek zakażeń personelu medycznego SARS-CoV-2. Może im także grozić paraliż z powodu ataków hakerów, które destabilizują pracę i zagrażają bezpośrednio życiu pacjentów. Czy polskie szpitale i podmioty medyczne są odpowiednio zabezpieczone?

W nocy z 12 na 13 marca szpital uniwersytecki w Brnie padł ofiarą hakerów. Z powodu ataku na system informatyczny placówki, szpitalne komputery przestały działać, co m.in. zakłóciło pracę laboratoriów, w których przeprowadzano testy na obecność koronawirusa. Nie można było wysyłać wyników badań do systemu baz danych. Szpital musiał przełożyć planowane operacje.

Dzień później hakerzy z grupy cyberprzestępczej Maze zaatakowali brytyjską firmę Hammersmith Medicines Research, która prowadzi badania m.in. nad szczepionką na koronawirusa. Do internetu wyciekły dane ponad 2 tys. byłych pacjentów korzystających z produktów lub usług HMR, w tym kopie paszportów i numery ubezpieczenia społecznego. Tylko w marcu szyfrujące oprogramowanie Ryuk kilka razy zainfekowało systemy amerykańskich szpitali.

Ponadto należy wspomnieć o atakach typu DDoS (przeciążenie i blokowanie strony internetowej), które zostały wykryte, gdy zaatakowano szpitale w Paryżu, powodując m.in. problemy z dostępem do niektórych zasobów oraz korzystaniem ze skrzynek e-mail.

Jak się bronić przed takimi atakami?

W polskim prawie obowiązuje Ustawa z 5 lipca 2018 roku o krajowym cyberbezpieczeństwie. Obejmuje ona podmioty z kilku sektorów: energii, transportu, bankowości i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną oraz jej dystrybucję, infrastruktury cyfrowej – które mogą zostać uznane (po spełnieniu ściśle określonych w prawie kryteriów) za operatorów usług kluczowych (OUK). Operatora wskazuje w drodze administracyjnej właściwy organ nadzorujący, odpowiedzialny za dany sektor. W przypadku ochrony zdrowia jest to Ministerstwo Zdrowia. To ono decyduje, na podstawie kryteriów i wykazu usług kluczowych, czy określony szpital, właściciel apteki, wytwórca albo importer produktu leczniczego/substancji czynnej wykonuje usługę, która jest istotna dla całego sektora. A w myśl ustawy, sama usługa, bez związku z wykorzystaniem do jej świadczenia systemu teleinformatycznego, nie może być uznana za kluczową.

Operator usług kluczowych musi spełniać wiele ustawowych wymogów. Ma obowiązek w sposób systemowy zaprojektować i zintegrować system zarządzania bezpieczeństwem informacji oraz ciągłości działania, który będzie zgodny z uznanym międzynarodowo stan...

Do góry