Pandemia uzmysłowiła wszystkim, że narzędzia informatyczne w ochronie zdrowia to dziś obowiązek każdej placówki. I choć pieniądze na systemy IT się znajdują, to wciąż brakuje ich na pensje dla specjalistów, którzy potrafią je obsłużyć. Problem dotyczy też technologii zapewniających bezpieczeństwo danych medycznych. Skuteczną i niewymagającą zaangażowania informatyków opcją jest wdrożenie wieloskładnikowego uwierzytelniania (MFA) na koncie każdego pracownika przychodni czy szpitala. Takie rozwiązanie daje pewność, że po drugiej stronie ekranu znajduje się osoba uprawniona, a nie z złodziej, który chce przejąć wrażliwe informacje.
Zero zaufania, czyli koncepcja cyberbezpieczeństwa zwana „zero trust”, zakłada totalny brak zaufania dla użytkowników, systemów lub usług w obrębie sieci. Co to znaczy i jak się ma do bezpieczeństwa sektora ochrony zdrowia?
Dane medyczne są wyjątkowo atrakcyjne dla cyberprzestępców. Głównie dlatego, że ich kradzież może narazić reputację osób lub instytucji na ogromne szkody – mówi Tomasz Kowalski, CEO i współzałożyciel firmy Secfense, która opracowała rozwiązanie umożliwiające szybkie i kompleksowe wdrożenie wieloskładnikowego uwierzytelniania. – Właśnie dlatego wszystkie placówki medyczne muszą jak najszybciej przemodelować swoje podejście do bezpieczeństwa IT i oprzeć je na ścisłej autoryzacji użytkowników, zawężaniu uprawnień i ograniczaniu dostępu do medycznych zasobów zgodnie z zasadą: nigdy nie ufaj, zawsze weryfikuj.
Dobrze mówić, trudniej wykonać
Ostatnie lata faktycznie przyniosły dynamiczne zmiany w zakresie informatyzacji ochrony zdrowia w Polsce. Uruchomiono m.in. Elektroniczną Platformę Gromadzenia, Analizy i Udostępniania zasobów cyfrowych o Zdarzeniach Medycznych, Rejestr Zdarzeń Medycznych i teleporady. Niestety wciąż brakuje funduszy na obsługę tych zinformatyzowanych obszarów, m.in. na zatrudnianie odpowiedniej liczby informatyków dedykowanych do działów IT w szpitalach czy przychodniach. Dowodem na to jest list otwarty Polskiej Izby Informatyki Medycznej, który został wystosowany 5 listopada 2021 roku do ministra zdrowia Adama Niedzielskiego.
Problem ten dotyczy też często technologii zapewniających bezpieczeństwo danych medycznych. Zdarza się bowiem, że pomimo dużych inwestycji w ten właśnie obszar rozwiązania nie spełniają swojej funkcji, ponieważ nie ma ich kto odpowiednio skonfigurować albo regularnie dostosowywać ich funkcji zabezpieczających do wciąż rozrastającego się biznesu – w tym powiększającej się na przykład bazy danych.
Niewymagającą zaangażowania informatyków i skutecznie chroniącą zasoby placówek medycznych opcją jest wdrożenie wieloskładnikowego uwierzytelniania (MFA) na koncie każdego pracownika, który loguje się do systemów czy aplikacji należących do przychodni czy szpitala. Taka dodatkowa weryfikacja daje bowiem pewność, że po drugiej stronie ekranu znajduje się osoba uprawniona, a nie z złodziej, który chce przejąć wrażliwe informacje. – stwierdza Tomasz Kowalski.
Zweryfikowany podwójnie
Kradzież danych uwierzytelniających – haseł i loginów pracowników – jest dziś jedną z najczęstszych przyczyn ataków na instytucje medyczne. Cyberprzestępcy wybierają do tego zwykle pocztę elektroniczną, wysyłając e-mail mający na celu ich wyłudzenie. Dlaczego tak się dzieje? Pracownicy służby zdrowia należą do osób o najmniejszej wiedzy na temat zagrożeń cyfrowych, a zatem znacznie częściej padają ofiarą inżynierii społecznej i oszustw typu phishing. Oszuści wiedzą również, że ze względu na niedofinansowanie tego sektora gospodarki łatwo będzie się im dostać do wyjątkowo cennych informacji, za które np. mogą dostać sowity okup (ataki ransomware).
User Access Security Broker to podejście do cyberbezpieczeństwa spójne z podejściem zero trust. Polega na tym, że podczas sesji logowania do dowolnej aplikacji webowej szpitala czy przychodni – niezależnie od tego, czy logująca się osoba znajduje się aktualnie w placówce czy pracuje zdalnie, wymagane jest od niej wieloskładnikowe uwierzytelnienie. Pracownik zanim wejdzie do aplikacji czy systemu, musi wpisać np. jednorazowy kod SMS lub zweryfikować swoją tożsamość poprzez biometrię twarzy lub odcisk palca – dodaje Kowalski.
Co istotne, we wspomnianej metodzie User Access Security Broker integracja takiego wieloskładnikowego uwierzytelniania odbywa się bez programowania, może więc być zaimplementowana na kontach wszystkich pracowników w dowolnej liczbie aplikacji bez żadnej późniejszej obsługi informatyków, których w sektorze medycznym stale brakuje. Pozwala też na dogodne skalowanie – proste i szybkie dodawanie użytkowników i chronionych zasobów bez względu na ich liczbę i złożoność. To ważne w przypadku dynamicznie rozwijających się prywatnych szpitali i przychodni medycznych.
Organizacje nie muszą udostępniać żadnych swoich informacji stronom trzecim – silne uwierzytelnianie można bez problemu nakładać na bieżącą infrastrukturę bez długiego i żmudnego programowania – dodaje Tomasz Kowalski.
Cyberprzestępcy bardzo sprawnie wykorzystują pandemię i z wyjątkową precyzją celują w słabe punkty systemów używanych do świadczenia usług medycznych. Placówki medyczne muszą więc wreszcie odrobić bardzo trudne zadanie i objąć ochroną nie tylko wybrane, ale wszystkie aplikacje z których korzystają na co dzień ich pracownicy. Co więcej, muszą to zrobić nie korzystając ze sztabu informatyków – których po pierwsze w Polsce nie ma, a po drugie szpitali i przychodni zwyczajnie na nich nie stać.
Przemyślane wybory więc w tym kontekście naprawdę się opłacają – koszty ataków rosną wykładniczo, ponieważ przedłużone przestoje w pracy systemów nie tylko utrudniają, ale często paraliżują opiekę medyczną nad pacjentami.
