MENEDŻER ZDROWIA
ZAMÓW NEWSLETTER
 
123RF

Wiedza kluczem do cyberbezpieczeństwa

Autor: Jacek Janik
 
Data: 06.05.2024
Źródło: Kurier Medyczny
Udostępnij:
Działy: Aktualności w Menedżer Zdrowia Aktualności
Tagi: Michał Zdunowski, IS Consulting, cyberbezpieczeństwo, haker, atak hakerski, incydent, zagrożenie bezpieczeństwa danych, ASCLEPIUS

Nowoczesne technologie odgrywają coraz większą rolę w medycynie. Bez narzędzi cyfrowych dzisiaj nie wyobrażamy sobie funkcjonowania systemu ochrony zdrowia. Wraz z postępem rosną jednak także cyfrowe zagrożenia. O tym, jak się przed nimi ustrzec, rozmawiamy z Michałem Zdunowskim, założycielem firmy IS Consulting.

  • Według szacunków Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA) 8 proc. wszystkich incydentów w zakresie cyberbezpieczeństwa dotyczyło obszaru ochrony zdrowia, który był trzecim najczęściej atakowanym
  • Aż 80 proc. ataków hakerskich rozpoczęło się od działań socjotechnicznych, co podkreśla znaczenie edukacji pracowników w zakresie identyfikacji i zgłaszania potencjalnych zagrożeń
  • Pracownicy ochrony zdrowia stają się pierwszą linią obrony przed hakerami wykorzystującymi elementy psychologii strachu, pilności czy zmęczenia
  • Dane pokazują, że podatność na ataki socjotechniczne w sektorze zdrowia wynosi średnio 38,2 proc. tam, gdzie nie wdrożono żadnego planu szkoleniowego, po jego wprowadzeniu średnio ten odsetek spada do 19,5 proc, a realizacja długofalowa zmniejsza go do 5,1 proc.
  • Dlatego tak istotne jest, by pracownicy ochrony zdrowia byli świadomi oraz przestrzegali podstawowych zasad cyberhigieny: używania antywirusów, dokonywania regularnych aktualizacji, weryfikacji podejrzanych e-maili i stosowania nowoczesnych metod uwierzytelniania

Postępująca cyfryzacja usług medycznych i wykorzystywanie w sektorze ochrony zdrowia nowoczesnych technologii z jednej strony oznaczają większą efektywność systemu, ale z drugiej większą podatność na zagrożenia cybernetyczne. W jakim miejscu pomiędzy postępem technologicznym a kreowanymi przez ten postęp niebezpieczeństwami obecnie się znajdujemy?
– W ostatnich latach, szczególnie pod wpływem pandemii, postęp technologiczny w sektorze ochrony zdrowia znacząco przyspieszył, przyjmując formę skokowego wzrostu. Widoczne było globalne zwiększenie wykorzystania usług chmurowych, co doprowadziło do migracji danych pacjentów i innych systemów z lokalnych centrów danych do infrastruktury chmurowej.

To natomiast wpłynęło na cyberbezpieczeństwo – firmy posiadające wyrafinowane technologicznie rozwiązania, takie jak Microsoft, Amazon czy Google, znacząco podniosły ochronę systemów i przetwarzanych danych.

Mimo to statystyki pokazują ciągle rosnącą liczbę cyberataków na sektor ochrony zdrowia. Według szacunków Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA) 8 proc. wszystkich incydentów dotyczyło sektora ochrony zdrowia, który był trzecim najczęściej atakowanym sektorem. Aż 80 proc. ataków rozpoczęło się od działań socjotechnicznych, co podkreśla znaczenie edukacji pracowników w zakresie identyfikacji i zgłaszania potencjalnych zagrożeń. To jest kluczowe dla ochrony organizacji, pacjentów oraz pracowników.

Jak twierdził słynny haker Kevin Mitnick, „to ludzie, a nie technologie, są najsłabszym ogniwem bezpieczeństwa”. Jak przygotowani są pracownicy ochrony zdrowia, którzy na co dzień korzystają ze zdobyczy technologicznych, do tego, aby być pierwszą linią obrony przedzagrożeniami cybernetycznymi?
– Trudno się z tym nie zgodzić, aczkolwiek należy pamiętać, że za technologią też stoją ludzie. Osobiście pokusiłbym się o stwierdzenie, że to styl życia, jaki prowadzimy w ostatnim czasie, w największym stopniu przyczynił się do pogorszenia ogólnego stanu cyberbezpieczeństwa. Rosnący trend pracy zdalnej oraz wszechobecny stres i pośpiech to czynniki bezpośrednio wpływające na zwiększoną liczbę ataków.

Pracownicy ochrony zdrowia stają się pierwszą linią obrony przed hakerami wykorzystującymi elementy psychologii strachu, pilności czy zmęczenia. Przykład ataku na firmę diagnostyczną ALAB z 19 listopada 2023 r., który skutkował wyciekiem ponad 270 tys. rekordów, pokazuje, jak socjotechnika może być użyta do wpuszczenia ransomware, a następnie zaszyfrowania i kradzieży danych. Hakerzy często inicjują swoje ataki przez fałszywe e-maile, wysyłając malware w załącznikach w postaci faktury lub linku do spreparowanej strony.

Dlatego tak istotne jest, by pracownicy ochrony zdrowia byli świadomi oraz przestrzegali podstawowych zasad cyberhigieny: używania antywirusów, dokonywania regularnych aktualizacji, weryfikacji podejrzanych e-maili i stosowania nowoczesnych metod uwierzytelniania. Podobnie jak rutynowe mycie rąk przed zabiegiem – te proste działania mogą radykalnie zwiększyć ich bezpieczeństwo oraz bezpieczeństwo pacjentów w cyberprzestrzeni. To podkreśla ich rolę jako pierwszej linii obrony.



Michał Zdunowski, założyciel firmy IS Consulting specjalizującej się w tworzeniu spersonalizowanych strategii cyberbezpieczeństwa.

Bez wątpienia rośnie świadomość, że aby tworzyć bezpieczeństwo w sektorze ochrony zdrowia, obok odpowiednich narzędzi konieczna jest przede wszystkim wiedza. Nie tylko informatyków, ale pracowników każdego szczebla. W jaki sposób budować wśród nich świadomość zagrożeń i zasad, których trzeba bezwzględnie przestrzegać?
– Jak wynika z danych od naszych partnerów technologicznych, podatność na ataki socjotechniczne w sektorze wynosi średnio 38,2 proc. w organizacjach, które nie wdrożyły żadnego planu szkoleniowego. Efekty wprowadzenia takiego programu widać już po 90 dniach – średnio ten odsetek spada do 19,5 proc. Długofalowe programy mogą zmniejszyć ryzyko ataku aż do 5,1 proc.

Już jakiś czas temu zauważyliśmy, że suche programy szkoleniowe, które nie angażują aktywnie w proces budowania świadomości, nie zdają egzaminu. Żeby program był skuteczny, musi wpływać bezpośrednio na emocje osoby szkolonej. Aby taki cel osiągnąć, można wykorzystać specjalne platformy e-learningowe, dzięki którym możemy nie tylko przypisywać tematyczne szkolenia, lecz także angażować pracowników do współzawodnictwa w grach, oglądania miniseriali, a nawet do symulacji ataków.

Tego typu platformy pozwalają też na pełną personalizację szkoleń, dzięki czemu możemy opracować konkretne szkolenia dla konkretnych działów po wcześniej analizie ich pracy. Możemy zweryfikować, na jakie ataki pracownicy są najbardziej narażeni, tak aby szkolenie było maksymalnie efektywne. Prowadząc szkolenia w firmach, zawsze staramy się proponować interaktywne warsztaty, dzięki czemu uczestnicy mają okazję zobaczyć od kuchni, jak łatwo jest przeprowadzić atak oraz ile wysiłku wymaga zniwelowanie skutków takiego incydentu.

Niestety, cyberataki zdarzały się, zdarzają i będą się zdarzać. Przestępcy są niejednokrotnie wyposażeni w najnowsze technologie i urządzenia, mają specjalistyczną wiedzę. Jak reagować na takie incydenty, jak minimalizować ich skutki?
– To prawda. Hakerzy wykorzystują nowoczesne technologie, często zanim my będziemy mogli je wykorzystać – świetnym przykładem jest AI. Dlatego tak ważne jest proaktywne działanie, które nie polega tylko na wdrażaniu nowoczesnych technologii, ale również na przygotowaniu organizacji na incydent. Podstawowym problemem jest pierwszy krok, czyli identyfikacja incydentu.

O ile na co dzień technologia wspomaga nas przy identyfikacji incydentów w systemach, o tyle w przypadku ataków socjotechnicznych to właśnie użytkownik jest kluczowym elementem całej układanki. Pracownicy bardzo często nie raportują incydentów i jest ku temu kilka przesłanek: strach przed konsekwencjami, wstyd z powodu popełnienia błędu, zbyt skomplikowane procedury raportowania. To najczęstsze przypadki, z jakimi się spotykamy.

Podstawową reakcją na każdy incydent jest zgłoszenie do odpowiedniego działu, niezależnie od tego, jak wstydliwy czy błahy jest powód. W sprawę incydentu zaangażowana jest cała organizacja, dlatego kultura i otwartość organizacji mają taki sam priorytet jak prostota procedur zgłaszania incydentów. Im wcześniej jako organizacja wykryjemy incydent, tym większe szanse na to, że uda nam się rozwiązać problem przed powstaniem większej szkody.

Wiedza o cyberzagrożeniach i o tym, jak się przed nimi ustrzec, to nie tylko bezpieczeństwo pracowników, pacjentów i baz danych, gromadzonych powszechnie w systemie. To także inne korzyści. Jakie?
– Nowoczesne technologie na dobre rozgościły się w naszych domach. Inteligentne urządzenia, takie jak telewizor, smartwatch czy nawet lodówka, zbierają dane o naszych upodobaniach, przyzwyczajeniach, a także o stanie zdrowia. Informacje o tym, gdzie mieszkamy, gdzie pracujemy, jakie stanowiska piastujemy, są publicznie dostępne w serwisach Facebook czy LinkedIn.

Do tej mieszanki wystarczy dodać fakt, że w większości serwisów korzystamy do logowania z naszego e-maila – i tragedia czyha za rogiem, na własne życzenie. Zdobyte umiejętności, wiedzę i nawyki bardzo łatwo możemy wdrożyć w życie domowe, dzięki czemu zmniejszamy swój ślad cyfrowy, zwiększając prywatność naszą i naszych najbliższych. Umiejętność tworzenia silnych haseł pozwala na zabezpieczenie domowych urządzeń przed przechwyceniem i wywołaniem awarii.

Jeśli już padniemy ofiarą ataku, wiedza o tym, gdzie należy się zgłosić, zwiększy nasze szanse na odzyskanie utraconych pieniędzy lub danych. Z cyberświatem jest trochę jak z przechodzeniem przez ulicę – jeśli nauczymy się, że przed wejściem na pasy należy zawsze spojrzeć w lewo, później w prawo i znów w lewo, to zwiększamy szanse, że nie wpadniemy pod samochód, nawet jeśli mamy zielone światło. Co ważniejsze, nie trzeba być zawodowym kierowcą, żeby znać podstawowe zasady ruchu drogowego.

Asklepios to postać z mitologii greckiej, bóg medycyny i uzdrowienia. To także metafora ochrony danych i systemów przed zagrożeniami cyfrowymi, która jest realizowana w projekcie ASCLEPIUS współfinansowanym ze środków unijnych. Jakie są założenia tego projektu, jak wygląda jego realizacja, jakie przynosi korzyści?
– W listopadzie 2023 r. uruchomiliśmy autorski projekt ASCLEPIUS, którego celem jest wdrożenie nowoczesnych technologii cyberbezpieczeństwa właśnie w sektorze ochrony zdrowia. Jednym z kluczowych celów jest poprawa wiedzy i świadomości w zakresie cyberbezpieczeństwa wśród pracowników ochrony zdrowia.

Dzięki środkom z programu Cyfrowa Europa pracownicy będą mogli się zapisać na szkolenia i warsztaty w ramach naszej Akademii CyberSkills, aby zwiększyć swoje kompetencje w zakresie cyberbezpieczeństwa. Dodatkowo dla pracowników IT ochrony zdrowia przygotowaliśmy specjalne szkolenia przygotowujące do zdobycia renomowanych certyfikatów wraz z voucherami na egzaminy. Mamy również specjalną ofertę dla organizacji ochrony zdrowia, którym dajemy dostęp do nowoczesnej platformy e-learningowej rynkowego lidera.

Dzięki udziałowi w projekcie ASCLEPIUS aktywnie wspomagamy sektor ochrony zdrowia w zdobywaniu wiedzy i kompetencji potrzebnych do funkcjonowania w nowoczesnym cyberświecie. Projekt będzie trwał do października 2026 r. i jest przeznaczony dla całej Unii Europejskiej.

Na jakie kwestie związane z cyfrowymi zagrożeniami i cyberbezpieczeństwem położyłby pan szczególny nacisk? Jak zachęcić do zdobywania wiedzy w tym zakresie tych, którzy nie dostrzegają zagrożeń i uważają, że ich to nie dotyczy, że jakoś to będzie?
– Ochrona zdrowia doskonale wie, że ciągła edukacja pozwala nie tylko skutecznie leczyć, lecz także zapobiegać chorobom. Dzięki temu procesowi ludzie umieją sobie poradzić w przypadku zwykłego przeziębienia, ale też wiedzą, gdzie się udać po pomoc w cięższych przypadkach. W efekcie społeczeństwo jest zdrowsze, a średnia długość życia ciągle się zwiększa. Podobnie jest z cyberbezpieczeństwem. Wiedzę zdobytą na szkoleniach przenosimy do codziennego życia, dzięki czemu społeczeństwo jest w stanie lepiej identyfikować potencjalne zagrożenia, w szczególności socjotechniczne, które są tak powszechne jak przeziębienia.

Jako osoba borykająca się z otyłością, przez wiele lat ignorowałem tę sprawę, nie dbałem o dietę, bo uważałem, że problem mnie nie dotyczy i że jakoś to będzie. Po rutynowych badaniach krwi okazało się, że mam ogromny problem z tarczycą, a moje organy wewnętrzne były otoczone tłuszczem. Nauczyłem się zdrowiej odżywiać i uprawiać sport. Myślę, że każdy kiedyś zrozumie, że cyberzagrożenia dotyczą nas wszystkich, nawet jeśli nie mamy konta na Facebooku.

Rozmawiał Jacek Janik.

Wywiad pochodzi z „Kuriera Medycznego” 2/2024.

 
123RF
POLECAMY
Termedia
O Wydawnictwie Oferty Newsletter Kontakt Praca
Polityka prywatności Polityka reklamowa Napisz do nas Nota prawna Regulamin
Na skróty
Czasopisma Aktualności Książki eBooki Konferencje i webinary
Serwisy
KONGRES TOP MEDICAL TRENDS Koronawirus Zalecenia i rekomendacje Lekarz POZ Kurier Medyczny Dermatologia Diabetologia e-Praktyka Leczenia Ran Ginekologia Neurologia Onkologia Pulmonologia Reumatologia Lekarz specjalista Menedżer Zdrowia Warto wiedzieć
e-Akademia
e-Akademia Raka Płuca e-Akademia MAFLD e-Akademia Zaburzeń Mikrobioty e-Akademia POChP e-Akademia Chorób Naczyń e-Akademia Chorób Cywilizacyjnych Akademia Zapalenia typu 2 Akademia AZScience
© 2024 Termedia Sp. z o.o. All rights reserved.
Developed by Bentus.