Viac ako polovica slovenských lekárov by nerozoznala hackerský útok
Uviedli to úprimne v anonymnom prieskume, či už išlo o malé ambulancie alebo veľké polikliniky. Pätnásť percent priznalo, že nezálohujú dáta a len tretina zariadení by vedela obnoviť prevádzku po ransomvéri.
Vyjasnime si to na úvod
V minulom roku zaznamenal sektor zdravotníctva na Slovensku najvyšší rast kyberincidentov. Podľa Národného bezpečnostného úradu v správe o kybernetickej bezpečnosti to „odráža zvýšený záujem útočníkov o citlivé údaje a často slabšiu technickú pripravenosť zdravotníckych zariadení.“
Monika Palušková, prezidentka Asociácie všeobecných lekárov potvrdzuje, že od lekárov a sestier z ambulantnej praxe prichádzajú informácie o raste kybernetických incidentov. Snahou útočníkov je dostať sa do ambulantných softvérov a potom k citlivým informáciám.
Krajné situácie
„Je až neuveriteľné, že sektor, v ktorom sa rozprávame o tých najcitlivejších dátach, je na chvoste v oblasti kybernetickej bezpečnosti. Osobne si neviem predstaviť citlivejšie dáta ako práve tie, ktoré sú v zdravotníctve,“ hovorí skúsený kyberbezpečnostný profesionál Michal Srnec.
V lepšom prípade si vaše zdravotné údaje číta správca siete u daného lekára. V tom horšom prípade si ich čítajú kyberzločinci a ste potenciálnym objektom vydierania. Asi iba málokto chce, aby sa o jeho psychických či intímnych problémoch dozvedel jeho zamestnávateľ alebo nebodaj všetci.
Keď si nevyberiete
Lekárom posielame, alebo dostávame od nich výsledky vyšetrení. Mailom, správami, cez aplikácie. Neskúmame, alebo nás nezaujíma, aké je zabezpečenie a ochrana údajov.
„Boli sme v šoku, keď sme v prieskume zistili, že viac ako šesťdesiat percent lekárov používa súkromný mail na služobné účely. Je to najčastejšia cesta, ako naletieť cez phishing. Súkromný účet, ktorý lekár využíva aj na posielanie pracovných mailov, sa môže stať vstupnou bránou pre útočníka,“ vysvetľuje Roman Varga, manažér kybernetickej bezpečnosti v zdravotnej poisťovni Dôvera.
Benjamín Würfl zo spoločnosti Eviden Slovakia zhŕňa to, čo všetci vedia. Najväčším problémom v slovenských nemocniciach je popri finančných limitoch aj nedostatok kvalifikovaného personálu, ktorý by dokázal zabezpečovať IT a bezpečnostné služby.
Nočná mora bezpečákov
Phishingové útoky rastú, sú stále sofistikovanejšie a platí to pre celý zdravotnícky ekosystém. Nezabúdajme tu na laboratória, lekárne, poisťovne aj špecializované pracoviská. Komunikujú navonok aj medzi sebou. Uchovávajú diagnózy, anamnézy, výsledky testov ale aj údaje o zdravotnom poistení či platbách.
Jeden dobre cielený phishingový mail dokáže neodvolateľne nabúrať celý tento ekosystém. Následkami incidentu môžu byť úniky údajov, porušenie GDPR, strata dôvery pacientov či poistencov a vysoké finančné pokuty. Ide totiž o údaje so zvýšenou ochranou.
Citlivé a citlivejšie
„Z hľadiska povahy údajov sú citlivo vnímané všetky zdravotné údaje, obzvlášť však závažnejšie diagnózy,“ vysvetľuje Zuzana Valková predsedníčka Úradu na ochranu osobných údajov. Z hľadiska manipulácie s osobnými údajmi upozorňuje na bezpečné uchovávanie lekárskych záznamov a zdravotnej dokumentácie a prístup výlučne len pre „oprávnené osoby“.
S nastupujúcou digitalizáciou zdravotníctva bude úrad venovať zvýšenú aj pozornosť procesom, ktoré súvisia s ochranou údajov. Patria sem poradenstvo na diaľku či internetové služby na objednávanie pacientov a komunikáciu.
Neznalosť neospravedlňuje
Neznalosť legislatívy či technológie môže priviesť používateľa na hranicu deliktu aj pri spracovaní osobných údajov. „Hovoríme o digitálnej identite a ľudia ani nevedia, čo to znamená. Páchateľom sa môžete stať aj z nevedomosti či naivity,“ varuje Jaroslav Oster zo spoločnosti Info Consult na základe skúseností zo súdneho znalectva aj vzdelávacích kurzov.
A keďže zdravotnícke zariadenie je prevádzkovateľom osobných údajov, všetci zamestnanci, ktorí prichádzajú do kontaktu s osobnými údajmi musia byť poučení. A tým sa myslia nielen lekári a sestry, ale aj administratíva a bezpečnostné a upratovacie služby.
Citlivé informácie by mali byť chránené heslom, alebo šifrované. Prípadne by sa mali vymieňať cez dôveryhodné úložisko, ktoré zriadi zdravotnícke zariadenie.
Svet miluje biohacking
Ľudia si napríklad scanujú kožné ochorenie a aplikácia vyhodnocuje závažnosť problému. Odvážnejší pacienti si fotia lekársku správu do AI aplikácie a žiadajú o vysvetlenie. Alebo používatelia sociálnych sietí zdieľajú správu a nechtiac publikujú rodné číslo alebo inú identifikáciu.
“Ľudia sa ani nezamýšľajú, kde sa tie dáta archivujú, či sa s nimi obchoduje a ako sa ďalej využívajú,” upozorňuje kyberbezpečnostný profesionál Tomáš Vobruba. Dnes si ešte ani nevieme predstaviť, ako sú tie údaje zneužiteľné v budúcnosti, či už ide o vydieranie alebo diskrimináciu.
Čomu pomohli sťažnosti
Úrad na ochranu osobných údajov každoročne prešetruje viaceré sťažnosti, či podnety v oblasti ochrany osobných údajov aj v zdravotníctve. Za ostatné roky ubúdajú sťažnosti na nediskrétne správanie zdravotníckych pracovníkov a úrad pozitívne hodnotí kiosky umiestnené v čakárňach, kde pacienti získavajú poradové číslo anonymne.
Zuzana Valková pripomína, že moderné zdravotníctvo stojí nielen na špičkovej medicíne, ale aj na zodpovednom prístupe k ochrane osobných údajov pacientov. Úroveň bezpečnosti bude rásť tak, ako dokáže zdravotníctvo spojiť zákonné požiadavky, kyberbezpečnostné opatrenia, organizačné procesy a etický prístup.
Sektorová kyberbezpečnosť
Národný bezpečnostný úrad v súvislosti s doručenými kyberbezpečnostnými auditmi za ostatné roky upozorňuje na významné rozdiely medzi súkromnými a štátnymi zdravotníckymi zariadeniami. Z hľadiska sektorov zdravotníctvo stále „výrazne zaostáva“.
A čo by najviac urýchlilo progres v kyberodolnosti zdravotníctva? Ako uvádza v stanovisku Asociácia nemocníc Slovenska, na základe odporúčaní a skúseností z praxe by najsilnejšími akcelerátormi boli systémové vzdelávanie a kultúra bezpečnosti.
Zamestnancom chýba pozitívna podpora, vzdelávanie a zavedenie základných štandardov kyberhygieny v každej nemocnici. V každom prípade je dobrou správou, že samotná asociácia zaznamenáva v povedomí štatutárov zdravotníckych zariadení už badateľný posun.