• Konsekwencje cyberataków na sektor ochrony zdrowia są bardzo poważne, zarówno dla funkcjonowania placówek, jak i stanu zdrowia samych pacjentów.
• W 56 proc. placówek medycznych dotkniętych cyberatakiem odnotowano gorsze wyniki leczenia pacjentów z powodu opóźnień w procedurach i badaniach, w 53 procent zaobserwowano wzrost złożoności w procedurze leczenia, a w 28 procent wzrost śmiertelności .
• 300 tys. euro – taki jest średni koszt pojedynczego ataku cyberprzestępców na ochronę zdrowia .
• Komisja Europejska reaguje i ogłasza plan naprawczy dla cyfrowego bezpieczeństwa tego sektora.
Ochrona zdrowia na celowniku
Sektor ochrony zdrowia od pandemii koronawirusa należy do jednego z głównych celów cyberprzestępców. Potwierdzają to statystyki dotyczące ataków ransomware, czyli prób zaszyfrowania danych w celu uzyskania okupu. Według najnowszych danych Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) już 8% prób ataków ransomware dotyczy ochrony zdrowia. Większy odsetek ataków notuje się jedynie dla biznesu (18%) i przemysłu (17%).
– Ochrona zdrowia to dla cyberprzestępców istotny cel z kilku powodów. Sektor ten przetwarza ogromną ilość danych, w tym przede wszystkim danych osobowych. Dynamika pracy personelu bywa zawrotna. Szacuje się, że każdego dnia pielęgniarki logują się na jednym komputerze aż 80 razy. W wielu przypadkach, by przyspieszyć działania, nie dbają o bezpieczeństwo cyfrowe np. dzielą się hasłami przyklejonymi na karteczkach przy komputerze. Co szczególnie ważne dla niektórych grup cyberprzestępców, atak wycelowany w ochronę zdrowia, czyli sektor należący do tzw. infrastruktury krytycznej, to szansa na destabilizację danego państwa – wystarczy wspomnieć, że 42% incydentów w tym sektorze stanowią ataki na szpitale – opisuje Kamil Sadkowski, analityk laboratorium antywirusowego ESET.
Jednorazowy koszt to 300 000 euro
Przedstawiciele Unii Europejskiej widzą niezwłoczną potrzebę działania. Stavros Lambrinidis, ambasador Unii Europejskiej przy ONZ, podczas briefingu Rady Bezpieczeństwa opisał ataki ransomware na sektor opieki zdrowia jako „szybko rosnące zagrożenie o daleko idących konsekwencjach”. Podkreślił również, że takie ataki zdarzają się co 11 sekund, a ich częstotliwość może wzrosnąć do 2 sekund do 2031 roku. Tymczasem Polska stała się kluczowym obiektem ataków ransomware na świecie. Jak wynika z danych Threat Report ESET za II połowę 2024 r., liczba ataków tego typu wzrosła w naszym kraju o 36% i stanowimy drugi najchętniej atakowany przez cyberprzestępców kraj.
– Według danych ENISA dla aż 83% cyberprzestępców główną motywacją do działania są finanse. Wystarczy nadmienić, że średni koszt incydentu bezpieczeństwa w ochronie zdrowia jest szacowany na 300 000 euro, nie wliczając potencjalnych kar nałożonych przez organy ochrony danych – wylicza Kamil Sadkowski.
Atak, który kosztował miliard dolarów
O tym, jak kosztowne mogą być ataki ransomware, przekonało się społeczeństwo amerykańskie poprzez potężny atak na Ascension Healthcare, dostawcę opieki zdrowotnej. Cyberprzestępcy zaszyfrowali tysiące systemów komputerowych w 120 szpitalach, uniemożliwiając dostęp do elektronicznej dokumentacji medycznej i wpływając na kluczowe usługi diagnostyczne, w tym rezonans magnetyczny i tomografię komputerową.
Pielęgniarki utraciły dostęp do cyfrowej dokumentacji pacjentów i były zmuszone do przeszukiwania papierowych notatek. Ponadto lekarze nie mogli przesłać skanów wyników i zdjęć do chirurgów czekających na salach operacyjnych – każdy dokument musiał być wydrukowany i dostarczony osobiście. Przywrócenie funkcjonalności w szpitalach zajęło 37 dni, zarządzanie kryzysowe i zmiany procedur to koszt około 130 milionów dolarów, zaś przychód spółki na koniec roku spadł o 900 mln dolarów (dane Ascension Healthcare dla ONZ).
– Jak wskazuje raport Ponemon Institute, najtrudniejsze są jednak konsekwencje dla zdrowia i życia pacjentów. Spośród placówek medycznych, które doświadczyły czterech najbardziej popularnych rodzajów cyberataków objętych badaniem (ransomware, ataki BEC, ataki na łańcuchy dostaw i na rozwiązania chmurowe), w 69 proc. z nich odnotowano zakłócenia w opiece nad pacjentami. W 56 proc. placówek zauważono pogorszenie wyników leczenia pacjentów z powodu opóźnień w procedurach i badaniach, w 53 proc. zaobserwowano wzrost złożoności procedur medycznych, a w 28 proc. wzrost śmiertelności pacjentów – uzupełnia Kamil Sadkowski.
Unia reaguje i tworzy plan
Unia Europejska stworzyła pierwszą inicjatywę i plan będący odpowiedzią na zmasowane ataki cyberprzestępców na ochronę zdrowia. Zaproponowano w nim między innymi, aby ENISA do 2026 uruchomiła Ogólnoeuropejskie Centrum Wsparcia Cyberbezpieczeństwa dla szpitali i podmiotów świadczących opiekę zdrowotną, zapewniając im wytyczne, narzędzia, usługi i szkolenia. Inicjatywa ta opiera się na szerszych planach UE mających na celu wzmocnienie cyberbezpieczeństwa w całej infrastrukturze krytycznej. Jednym z priorytetów będzie stworzenie do 2026 roku, usług wczesnego ostrzegania na poziomie UE oraz zbudowanie ścieżek współpracy z prywatnymi dostawcami usług, dostarczając ostrzeżenia o potencjalnych zagrożeniach cybernetycznych w niemal rzeczywistym czasie.
Ponadto w ramach planu mogą odbywać się krajowe ćwiczenia z zakresu cyberbezpieczeństwa oraz opracowanie podręczników, które będą pomagały organizacjom opieki zdrowotnej w odpowiedzi na specyficzne zagrożenia cyberbezpieczeństwa, w tym ransomware
Unijna dyrektywa NIS2 wdrażana m. in. w Polsce i idąca za nią nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, nakłada na wiele sektorów, w tym na sektor opieki zdrowotnej, nowe, rygorystyczne obowiązki związane z cyberbezpieczeństwem. To o tyle istotne, że sektor zdrowia publicznego wraz z placówkami medycznymi został zakwalifikowany do tzw. kluczowych podmiotów, które muszą spełniać wymagania związane m.in. z: wprowadzeniem systemu zarządzania bezpieczeństwem informacji, wdrożeniem skutecznych zabezpieczeń, szacowaniem ryzyka związanego z cyberbezpieczeństwem, przekazywaniem informacji i raportowanie o poważnych incydentach oraz przeprowadzaniem audytów bezpieczeństwa systemów informacyjnych.