Sfera IT jest obszarem o strategicznym znaczeniu z perspektywy każdej branży, w tym również ochrony zdrowia. Bezpieczeństwo informacji oraz integralność systemów komputerowych, to elementy które nie tylko wpływają na ciągłość funkcjonowania szpitalnictwa, lecz także chronią prywatność pacjentów i reputację placówek.

– Szpitale nie mogą sobie pozwolić na pracę bez bieżącego dostępu do kluczowych danych, dlatego skuteczny atak w ich przypadku skutkuje większym prawdopodobieństwem wymuszenia okupu. Stąd m.in. duże zainteresowanie sektorem zdrowia wśród przestępców – mówi Aleksander Kostuch, inżynier Stormshield, wytwórcy rozwiązań z obszaru bezpieczeństwa IT.

Rosnąca liczebność grup przestępczych, lepszy sprzęt, analiza podatności na błędy nowego oprogramowania czy rozwój usług jak Ransomware-as-a-Service i Malware-as-a-Service, to realia, w których funkcjonuje sektor. Przestępcom sprzyja fakt, że wiele podmiotów medycznych jest niedofinansowanych w obszarze IT, co objawia się na przykład brakiem stosownej i jasno określonej polityki bezpieczeństwa, regulaminów oraz procedur.

Dzięki technologii przeciwdziałanie zaawansowanym zagrożeniom staje się bardziej efektywne. Dla przykładu głęboka analiza protokołów przemysłowych używanych w sektorze opieki zdrowotnej umożliwia identyfikację oraz reakcję na ewentualne nieprawidłowości lub zagrożenia i ataki w sieciach medycznych. Obejmuje ona analizę ruchu medycznego sprzętu, takiego jak aparatury do monitorowania pacjentów czy systemów informatycznych używanych w placówkach medycznych.

– Ochrona sieci to złożone wyzwanie, zwłaszcza w dobie ciągle ewoluujących zagrożeń. Tych z wewnątrz czy powstających w wyniku nieroztropności pracownika, który albo popełnił błąd, bądź dał się zwieść socjotechnicznym sztuczkom przestępców. Antidotum na podobne zagrożenia ma przynieść podniesienie poziomu bezpieczeństwa, czemu służy m.in. dyrektywa NIS2 – mówi Aleksander Kostuch.

Dokument przyjęty w grudniu 2022 roku ma zapewnić wysoki poziom ochrony sieci i systemów informatycznych oraz minimalizować ryzyko cyberataków. W myśl założeń dyrektywy do katalogu podmiotów kluczowych zalicza się m.in. instytucje publiczne świadczące usługi w sektorze niezbędnym dla utrzymania podstawowych funkcji społeczeństwa i gospodarki, co obejmuje ochronę zdrowia. Z kolei wytwórcy farmaceutyków czy urządzeń medycznych klasyfikowani będą jako podmioty istotne. Założenia NIS2 obejmują szereg obowiązków dla podmiotów objętych jej postanowieniami: zgłaszania incydentów i zagrożeń, zarządzania kryzysowego, opracowania odpowiednich polityk oraz procedur testowania i audytów czy implementacja rozwiązań technologicznych adekwatnych do ryzyka.

– Wobec zakresu dyrektywy NIS2, wprowadzenie określonych w niej rozwiązań będzie dużym wyzwaniem technologicznym a jednocześnie odnoszącym się do zasobów ludzkich. Wymaga odpowiedniej liczby specjalistów wyposażonych w określone kompetencje – komentuje Aleksander Kostuch, ekspert Stormshield.

Ujęty w NIS2 obowiązek zarządzania kryzysowego w opinii ekspertów przyczyni się do tworzenia jednostek typu Security Operations Center (SOC), kluczowego elementu strategii bezpieczeństwa organizacji. SOC to centralne miejsce, w którym z pomocą kombinacji rozwiązań technologicznych i zestawu procesów, analizowane są dane z różnych źródeł, monitorowane systemy, a w razie wykrycia potencjalnych zagrożeń podejmowane są odpowiednie działania zaradcze. Dostawcy rozwiązań do ochrony sieci dostrzegają rosnące zainteresowanie tą problematyką a jednocześnie dostosowują technologie do nowych wymagań prawnych, w tym tworzenia SOC. Stormshield wprowadził rozwiązanie SIEM SLS dokupowane do firewalli UTM i umożliwił zapewnienie prawidłowego funkcjonowania wewnętrznych SOC za pomocą zwirtualizowanego rozwiązania.

– Dzięki temu szpital czy przychodnia może wdrożyć odpowiednie rozwiązania i procesy przy okazji użytkowania firewalli. SOC jest wtedy dostosowany do konkretnych potrzeb i skutecznie monitoruje oraz reaguje na zdarzenia bezpieczeństwa poprzez automatyczne generowanie incydentów. Niestety przekonanie kierownictwa niektórych szpitali czy przychodni do wydatkowania środków na wdrożenie własnego SOC nie zawsze będzie łatwe – mówi Aleksander Kostuch.

Największą barierą w powstawaniu Security Operations Center (SOC) jest bowiem brak wystarczających zasobów, zarówno finansowych, jak i kadrowych.

– Brak środków finansowych utrudnia zakup dedykowanego oprogramowania i sprzętu oraz zatrudnienie i utrzymanie wysoko wykwalifikowanych pracowników SOC. Z kolei brak wystarczających zasobów kadrowych obniża możliwości monitorowania i reagowania na zdarzenia. Mamy zatem do czynienia z system naczyń połączonych – mówi Aleksander Kostuch.  

NIS2 rekomenduje, aby organizacje z sektorów krytycznych, jeśli nie są w stanie samodzielnie zapewnić odpowiedniego poziomu bezpieczeństwa, korzystały z zewnętrznego SOC. Takie centra mogą funkcjonować także w formie usług zewnętrznych. Dedykowani integratorzy i dystrybutorzy systemów cybersecurity mogą tworzyć własne centra (SOCaas – SOC as a service), które będą dzierżawić w chmurze. Informatyk połączy swojego firewalla z SOCaas w celu zautomatyzowanego zarządzania zdarzeniami. Centrum będzie zatem reagować na zdarzenia bezpieczeństwa wobec swojego klienta, a tym samym wpłynie na ochronę szpitali i przychodni przed atakami oraz spełni wymagania formalne NIS2. Choć technologia oferuje możliwości skutecznej obrony, to na przeszkodzie może stanąć wspomniany problem niedoboru kadr.

– Specjaliści z zakresu cyberbezpieczeństwa są i będą oni poszukiwani przez rynek, a podaż w tym przypadku zdecydowanie pozostaje w tyle za popytem. Ten niedobór szacuje się na poziomie 3,5 miliona osób w perspektywie 2025 roku, co tylko pokazuje skalę wyzwania z jakim będziemy musieli się zmierzyć. Ryzyko, że może zabraknąć specjalistów odpowiedzialnych za obsługę SOC istnieje – mówi Aleksander Kostuch.

Dlatego z myślą o własnym bezpieczeństwie sektor ochrony zdrowia powinien mocno inwestować w rozwój kompetencji pracowników. Istotne są dedykowane szkolenia, pomagające zwiększyć ich umiejętności i wiedzę w zakresie cyberbezpieczeństwa.

– Aby uzyskać dostęp do wykwalifikowanych specjalistów można również współpracować z zewnętrznymi dostawcami. Nie zapominajmy jednak, że nieodzownym elementem myślenia o bezpieczeństwie jest dbałość o wiedzę pracowników i właśnie cykliczne szkolenia. Powinny obejmować zachowania w konkretnych sytuacjach, takich jak zasady zarządzania hasłami czy w szczególności otwierania e-maili czy plików z nieznanych źródeł, co wciąż pozostaje bolączką – doradza Aleksander Kostuch.

Wdrożenie rekomendowanych rozwiązań będzie czasochłonne, a wobec skali wyzwania nawet uwzględnienie czasu przewidzianego w vacatio legis może okazać się niewystarczające.

– W tej sytuacji stosowanie już teraz adekwatnych do ryzyka mechanizmów ochronnych jest dobrym posunięciem. Oczywiście wiąże się to z inwestycjami, jednak zawsze lepiej przeciwdziałać zagrożeniom niż odczuwać skutki udanego ataku lub kar za niedopełnienie obowiązków. Podmioty, które nie będą przestrzegać dyrektywy, mogą między innymi zostać ukarane grzywnami – podsumowuje ekspert Stormshield.