1 tydzień temu
Unijna dyrektywa NIS2 przenosi odpowiedzialność za cyberbezpieczeństwo na zarządy placówek medycznych. Tymczasem w 2024 r. aż 35 proc. instytucji ochrony zdrowia zostało zaatakowanych przez cyberprzestępców, którzy blokowali systemy szpitalne i za ich odblokowanie często żądali wielomilionowych okupów.
Placówki medyczne od lat znajdują się w czołówce firm i instytucji najczęściej atakowanych przez cyberprzestępców. W okresie od marca 2024 r. do lutego 2025 r. najwyższy średni koszt wycieków danych odnotowano właśnie w sektorze ochrony zdrowia. Przetwarzając ogromne ilości danych wrażliwych, szpitale i przychodnie coraz częściej stają się celem ataków ransomware, które paraliżują systemy i wymuszają szybkie decyzje pod presją czasu. Niedziałające systemy i aparatura medyczna, brak możliwości przesłania danych, a w efekcie odwołane zabiegi i pacjenci odsyłani do domu – to najczęstsze efekty cyberataków na placówki świadczące usługi medyczne. Dlatego też szpitale zostały uznane za infrastrukturę krytyczną, której zakłócenie może mieć realny wpływ na bezpieczeństwo obywateli.
Naruszanie bezpieczeństwa danych i cyberataki były postrzegane przez wiele lat głównie jako odpowiedzialność działu IT placówki medycznej lub zewnętrznego dostawcy usług. Dziś ta perspektywa przestaje obowiązywać. Rządowy projekt wdrażający dyrektywę NIS2 pokazał zasadniczą zmianę w podejściu do cyberataków. Odpowiedzialność nie kończy się już na poziomie technicznym, ale obejmuje całą organizację. Przepisy nie skupiają się na konkretnych technologiach czy zapisach w politykach wewnętrznych, ale na realnej gotowości do reagowania, zapewnieniu ciągłości działania usług kluczowych oraz możliwości wykazania, iż ryzyko jest świadomie zarządzane. W praktyce oznacza to, iż to zarządy placówek medycznych będą rozliczane z tego, jak przygotowany był szpital na cyberatak i jak poradził sobie z jego skutkami.
“Zarząd danej organizacji musi na bieżąco wiedzieć, jakie ryzyka istnieją, jak są kontrolowane i co dzieje się w momencie zdarzenia czy incydentu. Nowe przepisy kładą nacisk na to, co faktycznie działa w praktyce. Same procedury czy polityki bezpieczeństwa nie wystarczą, jeżeli nie są stosowane na co dzień. Podczas kontroli liczyć się będzie zdolność do szybkiego wykrycia ataku, sprawnej reakcji i – przede wszystkim – udokumentowania podjętych działań” – mówi Zbigniew Kniżewski, prezes polskiej firmy Cyber360, która pomaga swoim klientom budować ochronę przed zagrożeniami cyfrowymi i spełniać wymogi NIS2 i DORA. W praktyce największym problemem wielu placówek nie jest brak polityk bezpieczeństwa, ale luki operacyjne, w tym chociażby ograniczona widoczność tego, co dzieje się w systemach IT i aparaturze medycznej, brak całodobowego monitoringu, nieprzetestowane kopie zapasowe czy procedury reagowania, które istnieją jedynie na papierze. To właśnie te obszary najczęściej ujawniają się w momencie realnego ataku.
Dyrektywa NIS2 wymusza m.in. systematyczne zarządzanie ryzykiem, zdolność do wykrywania i obsługi incydentów, raportowanie poważnych zdarzeń w ściśle określonych terminach oraz zapewnienie ciągłości działania usług kluczowych. Zgodnie z nią, szpitale i inne placówki ochrony zdrowia mogą być obciążone wysokimi karami za brak zgodności z wymogami w zakresie zarządzania ryzykiem czy raportowania incydentów. Według nowych regulacji unijnych, poważne incydenty muszą być zgłaszane bez zbędnej zwłoki. To oznacza konieczność stałego monitorowania systemów i potrzebę gotowości do działania przez całą dobę. Dla wielu szpitali, które borykają się z brakami kadrowymi, nie jest to łatwe. “Największym problemem nie jest dziś brak narzędzi, ale brak ciągłości. Cyberataki nie zdarzają się w godzinach pracy administracji. Bez całodobowego nadzoru i jasnych procedur choćby dobrze przygotowana placówka może zareagować zbyt późno” – podkreśla Zbigniew Kniżewski.
W razie zdarzenia czy incydentu najważniejsze pytanie brzmi dziś: czy zarząd może wykazać, iż świadomie zarządzał ryzykiem cybernetycznym. jeżeli nie, cyberatak przestaje być problemem technicznym, a staje się poważnym kryzysem organizacyjnym. Cyberbezpieczeństwo powinno być zatem traktowane bardziej jako zapobieganie zagrożeniom, a nie tylko reakcja na ataki.
