Rośnie liczba wyrafinowanych cyberataków na placówki medyczne i inne organizacje sektora zdrowia w Europie. “Cyber Resilience Act” – europejskie rozporządzenie o cyberodporności wejdzie w życie do końca 2024 roku i wymusi na przedsiębiorcach zmiany. Tylko 27 proc. europejskich podmiotów sektora opieki zdrowotnej posiada program obrony przed złośliwym oprogramowaniem ransomware.
Wytyczne polityki Unii Europejskiej na lata 2024-2029 zakładają zwiększenie wysiłków na rzecz zapobiegania cyberatakom na system opieki zdrowotnej. Parlament Europejski am zająć się wykrywaniem zagrożeń i reagowaniem kryzysowym w przestrzeni cyfrowej. Przewodnicząca KE Ursula von der Leyen zobowiązała Europarlament do przygotowania planu działania w zakresie cyberbezpieczeństwa dla szpitali i innych dostawców usług medycznych, który będzie przedstawiony w pierwszych 100 dniach nowej kadencji. Unia pracuje nad stworzeniem jednolitej bazy danych. Europejska przestrzeń danych medycznych (EHDS) jest pierwszą taką inicjatywą dotyczącą konkretnego obszaru i tworzy solidną strukturę prawną umożliwiającą wykorzystywanie danych medycznych. EHDS zapewnia uproszczone, jasne i spójne ramy prawne dla przedsiębiorstw i administracji, tak aby mogły wykorzystywać dane medyczne na potrzeby badań, innowacji, inicjatyw oraz kształtowania polityki i regulacji.
Szpitale są głównym celem cyberprzestępców. Podmioty medyczne wyjątkowo często padają ofiarą cyberataków. Według Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) w latach 2021 -2023 aż 53 proc. wszystkich przestępstw cyfrowych w UE dotyczyło dostawców usług opieki zdrowotnej. Same szpitale były celem 42 proc. ataków, zaś przemysł farmaceutyczny – 9 proc. Najczęstsza forma ataku cyfrowego w sektorze opieki zdrowotnej polega na oprogramowaniu eransomware (54 proc.) i jest obecnie największym zagrożeniem również dla wydajności opieki zdrowotnej. 43 proc. ataków ransomware wiązało się z naruszeniem lub kradzieżą danych. Najczęściej kradzione są informacje o zdrowiu pacjentów oraz dane identyfikujące osobę są najczęściej kradzionymi aktywami. Główną motywacją ataków ransomware jest zysk finansowy (53 proc.) – skradzione dokumentacje medyczne mogą być sprzedawane na czarnym rynku nawet 10 razy drożej niż na przykład numery kart kredytowych.
Jak podaje ENISA, tylko 27 proc. organizacji objętych badaniem w sektorze opieki zdrowotnej posiada program obrony przed atakiem ransomware. Prawie wszystkie organizacje objęte badaniem w tym sektorze napotykają spore wyzwania podczas przeprowadzania oceny ryzyka cyfrowego a 46 proc. z nich nigdy nie przeprowadziło analizy takiego ryzyka. Placówka dotknięta cyberatakiem mierzy się z zakłóceniem realizacji usług medycznych. Na szali ryzyka stoi bezpieczeństwo pacjenta, ponieważ utrata dostępu do dokumentacji medycznej i ratujących życie urządzeń medycznych może uniemożliwić opiekę nad pacjentami. W ramach ataków może również dojść do celowej lub nieumyślnej zmiany danych, które rzutują na zdrowie i wyniki leczenia pacjentów. Wskutek takiego działania, placówka medyczna jest narażona na kary finansowe oraz niepoliczalne szkody związane z utratą reputacji. Badanie ENISA z 2022 r. wskazuje, że mediana kosztów poważnego incydentu bezpieczeństwa w europejskim sektorze opieki zdrowotnej wynosi około 300 tys. euro.
American Hospital Association oszacowała, że koszt naprawy naruszenia danych w sektorze opieki zdrowotnej jest prawie trzy razy wyższy niż w innych branżach — średnio 408 dolarów za skradzioną dokumentację medyczną w porównaniu do 148 dolarów za skradzioną dokumentację niemedyczną. “Niezwykle ważne jest, aby postrzegać cyberbezpieczeństwo jako kwestię bezpieczeństwa pacjenta, ryzyka przedsiębiorstwa i priorytet strategiczny. Należy wdrożyć rozwiązania do istniejących ram przedsiębiorstwa, zarządzania ryzykiem i nadzoru szpitala” – uważa John Riggi, Senior Advisor for Cybersecurity and Risk, American Hospital Association.
Cyber Resilience Act – nowe standardy bezpieczeństwa
Do końca 2024 roku EU opublikuje treść nowego rozporządzenia “Cyber Resilience Act”. Natomiast już od sierpnia zaczęło obowiązywać europejskie rozporządzenie regulujące wykorzystywanie sztucznej inteligencji w biznesie, mające na celu zarządzanie ryzykiem i zapobieganie potencjalnym zagrożeniom związanym z technologią maszynowego uczenia. Producenci AI będą mieli 3 lata na dostosowanie swoich procesów do nowych zasad, czyli m.in. uzupełnienie dokumentacji produktów już wprowadzonych na rynek, zgłoszenia wszelkich incydentów nadużycia cyfrowego do ENISA oraz aktualizacje systemu wraz z nowo pojawiającymi się zagrożeniami.
Dostosowanie procesów biznesowych do nowych realiów prawnych będzie kosztowne, ale zdaniem unijnych urzędników i ekspertów może okazać się opłacalnym przedsięwzięciem. Firmy mogą projektować dodatkowe funkcjonalności produktu związane z bezpieczeństwem cyfrowym lub zmniejszeniem ryzyka wyrządzenia krzywdy pacjentowi. Produkty cyfrowe, które zapewnią bezpieczeństwo korzystania, są atrakcyjne dla klientów i inwestorów. Inwestorzy chętniej zapłacą wyższą cenę za bezpieczny biznes.
Ponieważ koszty naruszeń danych stale rosną, firmy powinny wykorzystać dostępne technologie bezpieczeństwa cyfrowego oraz przygotować odpowiedni plan reagowania na incydenty. Taką technologią jest m.in. komputerowa symulacja katastrof wynikających z cyberataków, która testuje możliwości reagowania i przywrócenia bezpieczeństwa organizacji. Polega na stworzeniu hipotetycznego incydentu cyfrowego a następnie symulowaniu reakcji firmy. Symulacje mogą pomóc w zidentyfikowaniu niezgodności z procedurami. Mogą również oszacować podatność firm na ataki i wskazać obszary wymagające wzmocnienia obrony. Regularne symulacje pomagają pracownikom zrozumieć ich role w sytuacjach awaryjnych i budować pewność siebie w zakresie zdolności do skutecznego reagowania.