Jak poprawić cyberbezpieczeństwo w szpitalu i innych podmiotach leczniczych?

W jakim miejscu znajduję się Informatyzacja i cyberbezpieczeństwo w szpitalach w Polsce? Jak zwiększyć cyberbezpieczeństwo w obszarze zdrowia, na co warto zwrócić uwagę i czym różnią się placówki ochrony zdrowia od innych jednostek? Zapraszamy do lektury materiału przygotowanego przez Krzysztofa Bogusławskiego – eksperta Krajowego Instytutu Cyberbezpieczeństwa oraz wieloletniego praktyka w procesach zarządzania infrastrukturą i systemami IT w służbie zdrowia.

Jak zwiększyć cyberbezpieczeństwo w szpitalach

Zacznijmy od tego do jakiego stanu powinny zmierzać placówki służby zdrowia w Polsce. Problemem informatyzacji w służbie zdrowia jest przede wszystkim finansowanie tego obszaru. W Polsce mamy około 1000 szpitali, a poziom informatyzacji we wszystkich jest bardzo zróżnicowany. Mamy szpitale, które są dofinansowane oraz takie, które posiadają ogromne problemy w obszarze IT, a wiemy, że celem powinno być minimum bezpieczeństwa, jeśli chodzi o dane chorych.

Czym różnią się placówki ochrony zdrowia od innych jednostek w obszarze cyberbezpieczeństwa?

Placówki ochrony zdrowia przede wszystkim przetwarzają dane wrażliwe o zdrowiu swoich pacjentów. Jeśli np. wycieknie nasz adres mailowy, to mówiąc kolokwialnie jakoś to przeżyjemy, jeśli natomiast wyciekną nasze dane o stanie zdrowia, to ktoś może chcieć je wykorzystać np. w pracy. Warto przypomnieć, iż są to dane wrażliwe i powinny być należycie zabezpieczone.

Od czego zatem powinna zacząć słabo zinformatyzowana placówka oraz na jakie obszary powinna zwrócić szczególną uwagę. Są to:
– sprzęt i infrastruktura
– zespół, który będzie w stanie zarządzać IT
– wyznaczenie zasad i obszarów bezpieczeństwa i cyberbezpieczeństwa danych.

Wszystkie te punkty mają istotne znaczenie, ponieważ jaki sens będzie miało wdrożenie nowoczesnego oprogramowania do analizy ataków, jeśli będziemy mieli słabą i nie uporządkowaną infrastrukturę sieciowo – sprzętową. Wszystkie etapy dojścia do maksymalnego poziomu bezpieczeństwa muszą być wdrażane w odpowiedniej kolejności. Co nam dadzą super zabezpieczenia, jeśli nie wdrożymy polityki haseł i tym samym zostawimy przysłowiową „dziurę w płocie” dla potencjalnego ataku.

Podsumowując, w pierwszej kolejności musimy posiadać dobrze opłacany zespół IT. W kolejnym etapie dbamy o odpowiedni sprzęt i infrastrukturę, a następnie procedury bezpieczeństwa. Na końcu tworzymy narzędzia umożliwiające monitorowanie posiadanego środowiska. Oczywiście wszystkie, poszczególne etapy rozbijają się na wiele mniejszych, ale to jest temat na kolejne rozmowy.

Czy szkolenia dla personelu mają wpływ na poziom cyberbezpieczeństwa placówek?

Oczywiście, że tak. Obszarem bardzo newralgicznym, najważniejszym, jeśli chodzi o bezpieczeństwo danych jest użytkownik. Co nam z tego, że wdrożymy super systemy i rozwiązania, jeśli nasi użytkownicy hasła do tychże systemów będą zostawiali przy biurku na karteczkach? Jeśli takie hasło wpadnie w „niepowołane ręce” potencjalny atakujący zyskuje pełny dostęp do danych, a w przypadku personelu medycznego jest to duży obszar. Takimi sposobami sami wpuszczamy „złodzieja” do domu. Więc jeśli ktoś pyta czy szkolenia z zakresu bezpieczeństwa i stosowania dobrych praktyk są ważne to odpowiadam, że są jednym z najważniejszych elementów tej układanki.

Z jakimi problemami boryka się personel IT w placówkach ochrony zdrowia?

Przede wszystkim jeśli chodzi o zespoły IT w ochronie zdrowia to są one zdecydowanie za małe i słabo finansowane na tle rynku. Czego możemy wymagać od informatyka zarabiającego 2 500 zł na rękę? Albo jak ze swoich zadań ma wywiązywać się zespół np. trzech osób, które mają do obsłużenia 300 komputerów, kilka serwerów i 500 użytkowników? Ci ludzie nie nadążają nad naprawą posiadanego sprzętu, a co dopiero mówić o monitorowaniu posiadanego środowiska. Osoby zarządzające muszą zrozumieć, iż dzisiaj awaria infrastruktury wiąże się z ogromnymi ograniczeniami jeśli chodzi o realizację świadczeń, a nawet z zamknięciem placówki.
Na co powinny zwrócić uwagę placówki przy wyborze rozwiązań dla bezpieczeństwa, a następnie wyborze wykonawcy audytu cyberbezpieczeństwa?

Przy wyborze rozwiązań, tak jak wspomnieliśmy na wstępie, należy dobrać odpowiedni zespół do realizacji zadań, uporządkować infrastrukturę, wdrożyć procedury bezpieczeństwa oraz uruchomić systemy do monitorowania zasobów.

Jeśli chodzi o audyt należy wybrać firmę, która poza audytem wskaże drogę placówce jaką powinna dążyć w celu maksymalizacji bezpieczeństwa przy posiadanym budżecie. Dobrą praktyką jest jeśli firma zostawi w placówce mapę dojścia do zakładanych celów.

Samo podniesienie poziomu bezpieczeństwa możemy osiągnąć instalując na jednym z posiadanych komputerów system antywirusowy, ale nie o to w tym wszystkim chodzi. Trzeba też pamiętać, że jest to żmudny i bardzo pracochłonny proces, ale proszę mi uwierzyć że warto…

Copyright @2024. All Rights Reserved.