Ochrona informacji przed nieautoryzowanym dostępem, wykorzystaniem i ujawnieniem
Z uwagi na szczególny charakter i wrażliwość danych medycznych ich ochrona wymaga kompleksowego zaprojektowania, wdrożenia i monitorowania. Coraz powszechniej stosowana elektroniczna dokumentacja medyczna zwiększa ryzyko ataku cybernetycznego na szpitale, przychodnie czy prywatne praktyki lekarskie.
Oprócz kradzieży danych, cyberprzestępcy mogą odebrać podmiotowi ochrony zdrowia dostęp do jego krytycznych danych i żądać okupu. Cyberbezpieczeństwo w ochronie zdrowia obejmuje ochronę informacji i zasobów elektronicznych przed nieautoryzowanym dostępem, wykorzystaniem i ujawnieniem. Przeciwdziałanie tym zagrożeniom obejmuje potrzebę ochrony poufności, integralności i dostępności informacji.
- Hakerzy atakują podmioty z sektora ochrony zdrowia, wywierając dodatkową presję na branżę, która zmaga się z wieloma trudnościami i została jeszcze osłabiona przez pandemię. Zagrożenia te pochodzą od zorganizowanych grup przestępczych specjalizujących się w wymuszeniach finansowych (ang. ransomware), oszustów finansowych i hakerów działających na zlecenie obcych państw - wylicza Krzysztof Dyki, ekspert ds. cyberbezpieczeństwa ComCERT w Grupie Asseco.
Zaznacza, że świadczeniodawcy i ich partnerzy biznesowi muszą równoważyć potrzebę ochrony prywatności pacjentów, zapewniając jednocześnie wysokiej jakości opiekę nad pacjentem i spełniając surowe wymogi regulacyjne, zgodnie z ogólnym rozporządzeniem o ochronie danych osobowych (RODO).
Najważniejsze zagrożenia dla bezpieczeństwa cybernetycznego w ochrony zdrowia
- Informacje o pacjencie powinny być bezpieczne, dostępne tylko dla upoważnionych osób i wykorzystywane wyłącznie do autoryzowanych celów, jednak do każdego podmiotu objętego dyrektywą należy określenie, jakie środki bezpieczeństwa zastosować, aby osiągnąć te cele - podkreśla ekspert.
Najważniejsze obszary zagrożeń bezpieczeństwa cybernetycznego w ochrony zdrowia:
Urządzenia medyczne połączone z IoT (internet rzeczy) Mobilne technologie zdrowotne i telemedyczne Zdalna komunikacja z pacjentem Niedobory kadrowe i niedofinansowane działy bezpieczeństwa oraz IT Brak szkoleń z zakresu bezpieczeństwa cybernetycznegoChronione informacje zdrowotne należą do najbardziej wrażliwych (cennych dla przestępców) prywatnych danych.
Wytyczne dla świadczeniodawców opieki zdrowotnej i innych organizacji, które przetwarzają informacje o pacjencie zawierają surowe wymagania dotyczące ochrony danych. Podmiot zobowiązany, który naruszy te wymagania musi liczyć się z wysokimi karami finansowymi.
Podstawowe standardy cyberbezpieczeństwa
Rosnące wymagania regulacyjne dotyczące ochrony danych w systemie ochrony zdrowia wymagają aktywnego podejścia do wdrażania najlepszych praktyk w zakresie bezpieczeństwa. Dzięki temu można zapewnić stałą zgodność z przepisami i mniejsze ryzyko naruszenia bezpieczeństwa oraz potencjalnych kar finansowych.
Wewnętrzne reguły bezpieczeństwa powinny określać wytyczne i standardy dotyczące operacyjnego, fizycznego i technicznego postępowania z danymi wrażliwymi. Informacje te nie powinny być ujawniane nieupoważnionym stronom trzecim bez uprzedniej zgody pacjenta. Najlepsze praktyki w zakresie cyberbezpieczeństwa w ochronie zdrowia powinny być oparte na bieżącym dostosowaniu poziomu bezpieczeństwa do zmieniającego się krajobrazu zagrożeń, reagowania na zagrożenia prywatności i ochrony danych na punktach końcowych i w chmurze oraz ochronę danych podczas ich przesyłania, przechowywania i użytkowania.Wymaga to całościowego podejścia do bezpieczeństwa. Łatwym punktem ataku dla hakerów są luki w zabezpieczeniach sieci bezprzewodowych, ponieważ sieci te mają kluczowe znaczenie dla szpitali i przychodni, ułatwiając dostęp do informacji o pacjencie. W skrajnych przypadkach umożliwiają dostęp do wszystkich danych przetwarzanych przez dany podmiot.Jak budować bezpieczeństwo cybernetyczne placówki ochrony zdrowia
Aby odpowiednio chronić dane przed cyberprzestępcami, jednostki ochrony zdrowia i partnerzy biznesowi powinni wdrożyć solidne środki bezpieczeństwa w celu ochrony danych pacjentów przed rosnącą liczbą i różnorodnością zagrożeń.
Czynnik ludzki jest jednym z największych zagrożeń dla bezpieczeństwa we wszystkich branżach, a szczególnie w ochronie zdrowia. Błąd ludzki lub zaniedbanie może spowodować poważne i kosztowne konsekwencje.
Dlatego tak ważne są szkolenia w zakresie świadomości bezpieczeństwa i zagrożeń, które pozwolą pracownikom ochrony zdrowia nabyć wiedzę niezbędną do podejmowania właściwych decyzji i zachowania odpowiedniej ostrożności podczas obchodzenia się z danymi pacjentów. Szczególnie istotne jest też wdrożenie kontroli dostępu, które wzmacnia ochronę danych medycznych, ograniczając dostęp do informacji o pacjencie i niektórych aplikacji tylko do tych użytkowników, którzy potrzebują dostępu do danych, aby wykonywać swoje codzienne obowiązki. Ograniczenia dostępu wymagają uwierzytelniania użytkowników, dzięki czemu tylko autoryzowani użytkownicy mają dostęp do chronionych danych. Zalecane jest uwierzytelnianie wieloskładnikowe, które wymaga od użytkowników potwierdzenia, że są faktycznie upoważnieni do dostępu do danych i aplikacji przy użyciu dwóch lub więcej metod sprawdzania poprawności. Jednostki ochrony zdrowia mogą także używać kontroli danych do blokowania określonych działań związanych z poufnymi danymi, takich jak przesyłanie w internecie, nieautoryzowane wysyłanie wiadomości e-mail, kopiowanie na dyski zewnętrzne lub drukowanie. Kluczowe znaczenie ma także rejestrowanie wszystkich danych dotyczących dostępu i użytkowania. Umożliwia dostawcom i partnerom biznesowym monitorowanie, którzy użytkownicy uzyskują dostęp do jakich informacji, aplikacji i innych zasobów, kiedy i z jakich urządzeń oraz lokalizacji. Informacje te są cenne do celów audytowych, pomagając zidentyfikować obszary budzące obawy i w razie potrzeby wzmocnić środki ochronne. Bardzo istotne jest także szyfrowanie danych, co podczas ich przesyłania i przechowywania utrudnia atakującym odszyfrowanie informacji o pacjencie. Nawet jeśli atakujący uzyska dostęp do danych, nie będzie w stanie ich odczytać.Co z urządzeniami mobilnymi
Coraz częściej świadczeniodawcy i podmioty objęte ubezpieczeniem korzystają z urządzeń mobilnych w swojej działalności. Zwiększenie bezpieczeństwa tych urządzeń można osiągnąć przykładowo poprzez:
Bieżące aktualizacje oprogramowania Ograniczenie uprawnień użytkownika urządzenia Monitorowanie kont e-mail i załączników Centralne zarządzanie wszystkimi urządzeniami, ustawieniami i konfiguracjami Wymuszanie używania silnych haseł oraz okresowej ich zmiany Umożliwienie zdalnego czyszczenia i blokowania zgubionych lub skradzionych urządzeń.Częste tworzenie zapasowych kopii danych
Przeprowadzanie regularnych ocen ryzyka pomaga identyfikować luki w zabezpieczeniach lub słabe punkty w bezpieczeństwie, a także niedociągnięcia w edukacji pracowników, niedoskonałości w stanie bezpieczeństwa dostawców i partnerów biznesowych oraz inne obszary budzące obawy.
Nawet klęska żywiołowa wpływająca na centrum danych szpitala czy przychodni może mieć katastrofalne konsekwencje, jeśli dane nie zostaną odpowiednio zarchiwizowane.
Dlatego zaleca się częste tworzenie kopii zapasowych danych poza siedzibą danej instytucji, ze ścisłą kontrolą szyfrowania danych, dostępu i innych najlepszych praktyk w celu zapewnienia bezpieczeństwa kopii zapasowych danych.
Materiał chroniony prawem autorskim - zasady przedruków określa regulamin.
Dowiedz się więcej na temat: