Konsekwencje cyberataków na sektor ochrony zdrowia są bardzo poważne, zarówno dla funkcjonowania placówek, jak i stanu zdrowia samych pacjentów. W 56 proc. placówek medycznych dotkniętych cyberatakiem odnotowano gorsze wyniki leczenia pacjentów z powodu opóźnień w procedurach i badaniach, w 53 procent zaobserwowano wzrost złożoności w procedurze leczenia, a w 28 procent wzrost śmiertelności. 300 tys. euro – taki jest średni koszt pojedynczego ataku cyberprzestępców na ochronę zdrowia. Komisja Europejska reaguje i ogłasza plan naprawczy dla cyfrowego bezpieczeństwa tego sektora.
Ochrona zdrowia na celowniku
Sektor ochrony zdrowia należy do jednego z głównych celów cyberprzestępców. Potwierdzają to statystyki dotyczące ataków ransomware, czyli prób zaszyfrowania danych w celu uzyskania okupu. Według najnowszych danych Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) już 8% prób ataków ransomware dotyczy ochrony zdrowia. Większy odsetek ataków notuje się jedynie dla biznesu (18%) i przemysłu (17%).
Jednorazowy koszt to 300 000 euro
Przedstawiciele Unii Europejskiej widzą niezwłoczną potrzebę działania. Stavros Lambrinidis, ambasador Unii Europejskiej przy ONZ, podczas briefingu Rady Bezpieczeństwa opisał ataki ransomware na sektor opieki zdrowia jako „szybko rosnące zagrożenie o daleko idących konsekwencjach”. Podkreślił również, że takie ataki zdarzają się co 11 sekund, a ich częstotliwość może wzrosnąć do 2 sekund do 2031 roku. Tymczasem Polska stała się kluczowym obiektem ataków ransomware na świecie. Jak wynika z danych Threat Report ESET za II połowę 2024 r., liczba ataków tego typu wzrosła w naszym kraju o 36% i stanowimy drugi najchętniej atakowany przez cyberprzestępców kraj.
Atak, który kosztował miliard dolarów
O tym, jak kosztowne mogą być ataki ransomware, przekonało się społeczeństwo amerykańskie poprzez potężny atak na Ascension Healthcare, dostawcę opieki zdrowotnej. Cyberprzestępcy zaszyfrowali tysiące systemów komputerowych w 120 szpitalach, uniemożliwiając dostęp do elektronicznej dokumentacji medycznej i wpływając na kluczowe usługi diagnostyczne, w tym rezonans magnetyczny i tomografię komputerową.
Pielęgniarki utraciły dostęp do cyfrowej dokumentacji pacjentów i były zmuszone do przeszukiwania papierowych notatek. Ponadto lekarze nie mogli przesłać skanów wyników i zdjęć do chirurgów czekających na salach operacyjnych – każdy dokument musiał być wydrukowany i dostarczony osobiście. Przywrócenie funkcjonalności w szpitalach zajęło 37 dni, zarządzanie kryzysowe i zmiany procedur to koszt około 130 milionów dolarów, zaś przychód spółki na koniec roku spadł o 900 mln dolarów (dane Ascension Healthcare dla ONZ).
Unia reaguje i tworzy plan
Unia Europejska stworzyła pierwszą inicjatywę i plan będący odpowiedzią na zmasowane ataki cyberprzestępców na ochronę zdrowia. Zaproponowano w nim między innymi, aby ENISA do 2026 uruchomiła Ogólnoeuropejskie Centrum Wsparcia Cyberbezpieczeństwa dla szpitali i podmiotów świadczących opiekę zdrowotną, zapewniając im wytyczne, narzędzia, usługi i szkolenia.
Inicjatywa ta opiera się na szerszych planach UE mających na celu wzmocnienie cyberbezpieczeństwa w całej infrastrukturze krytycznej. Jednym z priorytetów będzie stworzenie do 2026 roku, usług wczesnego ostrzegania na poziomie UE oraz zbudowanie ścieżek współpracy z prywatnymi dostawcami usług, dostarczając ostrzeżenia o potencjalnych zagrożeniach cybernetycznych w niemal rzeczywistym czasie.
Ponadto w ramach planu mogą odbywać się krajowe ćwiczenia z zakresu cyberbezpieczeństwa oraz opracowanie podręczników, które będą pomagały organizacjom opieki zdrowotnej w odpowiedzi na specyficzne zagrożenia cyberbezpieczeństwa, w tym ransomware.
Unijna dyrektywa NIS2 wdrażana m. in. w Polsce i idąca za nią nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, nakłada na wiele sektorów, w tym na sektor opieki zdrowotnej, nowe, rygorystyczne obowiązki związane z cyberbezpieczeństwem. To o tyle istotne, że sektor zdrowia publicznego wraz z placówkami medycznymi został zakwalifikowany do tzw. kluczowych podmiotów, które muszą spełniać wymagania związane m.in. z: wprowadzeniem systemu zarządzania bezpieczeństwem informacji, wdrożeniem skutecznych zabezpieczeń, szacowaniem ryzyka związanego z cyberbezpieczeństwem, przekazywaniem informacji i raportowanie o poważnych incydentach oraz przeprowadzaniem audytów bezpieczeństwa systemów informacyjnych.
