Cyberatak w szpitalu nie jest tylko problemem technicznym. Dla pacjenta może oznaczać przerwane leczenie, utraconą szansę czy dodatkowy lęk - podkreślali eksperci w dyskusji o cyberbezpieczeństwie podczas konferencji Tech4Life. Ich zdaniem skupiając się na ochronie danych powinniśmy odejść od myślenia o samej infrastrukturze IT. Jak zatem spojrzeć na ten problem z perspektywy ciągłości terapii, odpowiedzialności prawnej i zaufania do placówki?
W centrum dyskusji pojawił się scenariusz, który nakreśliła Katarzyna Fortak-Karasińska, radca prawny i partner w kancelarii F/K Legal.
- Wyobrażam sobie pacjenta, który staje przed sądem i mówi „nie uzyskałem świadczenia, uzyskałem je miesiąc później, odłożono mi zabieg, mój proces leczniczy w związku z tym nie mógł biec tak jak to powinno być”. Wyobraźcie sobie Państwo, co się może w takiej sytuacji zdarzyć u pacjentów kardiologicznych - podkreślała.
Prawniczka zwróciła uwagę, że dla sądu najważniejsze będzie nie to, że doszło do ataku, ale czy szpital dochował należytej staranności w reagowaniu na niego. Jej zdaniem w pozwach coraz częściej mogą pojawiać się roszczenia budowane nie na klasycznym błędzie medycznym, ale na zaniechaniu organizacyjnym związanym z cyberbezpieczeństwem. To nowa kategoria ryzyka dla szpitali, która bezpośrednio dotyka relacji budowanej między placówką a pacjentem. Co w takiej sytuacji może powiedzieć przed sądem pełnomocnik szpitala?
- Ja się nie będę tłumaczyła żadnym atakiem. Ja mogę tylko powiedzieć, że reprezentowana przeze mnie placówka dopełniła wszelkich formalności i procedur, a ludzie zachowali się tak jak powinni - przekonywała Fortak-Karasińska.
To oznacza, że z perspektywy zarządzających liczy się coś więcej niż posiadanie systemów zabezpieczeń. Musi istnieć kompletny łańcuch reagowania na takie sytuacje. Procedury, ich wdrożenie, przeszkolenie personelu, prowadzenie dokumentacji działań w czasie incydentu to elementy, które zapewniają bezpieczeństwo wszystkim stronom.
Czym zajmuje się informatyk?
Na poziomie organizacyjnym ważnym wątkiem była rola pełnomocnika ds. cyberbezpieczeństwa. W dyskusji wybrzmiało wyraźnie, że dla operatorów usług kluczowych jest to obowiązek ustawowy, ale dla pozostałych placówek - podstawa odpowiedzialnego zarządzania ryzykiem.
Kolejne wyzwanie leży w edukacji zespołów w placówkach medycznych. I nie chodzi tu wyłącznie o zespoły medyczne czy pracowników wsparcia, ale także o managerów placówek.
- Pracując z szefami placówek medycznych, kiedy pytam o cyberbezpieczeństwo, to oni mówią "no przecież mam informatyka". Ale informatyk o cyberbezpieczeństwie nawet nie musi dużo wiedzieć. To jest inna branża - podkreślała.
Ten cytat dobrze pokazuje błąd strukturalny, który prosto przekłada się na ryzyko dla pacjentów. Informatyk utrzymuje systemy. Oficer ds. cyberbezpieczeństwa powinien niezależnie je nadzorować, egzekwować polityki, zarządzać ryzykiem i raportować do kierownictwa. Bez oddzielenia roli kontrolnej od operacyjnej trudno mówić o rzeczywistym nadzorze.
Prof. Paweł Ptaszyński, Zastępcaca Dyrektora ds. Medyczno-Organizacyjnych zwracał uwagę, że zgodnie z przepisami operatorzy usług kluczowych muszą taką funkcję mieć.
- Przypominamy, że nie powinien to być ktoś z zespołu IT, bo jego się nadzoruje - podkreślił.
To bezpośrednio dotyka modelu, w jakim myślimy o układaniu pracy w placówkach medycznych. Jeśli cyberbezpieczeństwo ma być elementem zarządzania doświadczeniem pacjenta, musi mieć przypisanego właściciela na poziomie zarządczym, a nie "przy okazji" w pionie IT.
Człowiek jako krytyczny element
Obok roszczeń pacjentów ważnym wątkiem było finansowanie. Atak, który zatrzymuje pracę szpitala, natychmiast przekłada się na brak przychodów. Do tego dochodzi obowiązek zgłoszenia zaprzestania udzielania świadczeń do NFZ i wojewody.
To daje nam prostą sekwencję - cyberatak zatrzymuje leczenie, pacjent doświadcza opóźnienia, szpital traci przychody, a zarządzający ponosi odpowiedzialność za brak zgłoszenia. Z perspektywy troski o pacjenta to pełen łańcuch zdarzeń, w którym technologia jest tylko jednym z elementów. Reszta to zarządzanie, prawo, komunikacja i odpowiedzialność.
W trakcie panelu wielokrotnie powracał motyw człowieka jako najsłabszego ogniwa i jednocześnie jedynej realnej "tamy" dla wielu ataków. Chodzi zarówno o kliknięte maile phishingowe, korzystanie z poczty prywatnej i portali zakupowych na komputerach z dostępem do danych medycznych, jak i brak podstawowej cyberhigieny. Jeremi Olechnowicz z Centrum e-Zdrowia przypomniał z kolei, że dla bezpieczeństwa systemu najważniejsze jest odseparowanie środowiska pracy od prywatnej aktywności użytkowników.
- Z mojego punktu widzenia oczywiste jest, że na takim komputerze w żadnym razie nigdy nie mogą pojawić się dane prywatne ani dostęp do systemów, które nie są używane służbowo. Po prostu nie powinny istnieć takie okoliczności - mówił Olechnowicz.
To uderza w codzienność wielu placówek, gdzie komputer jest urządzeniem "do wszystkiego". Z punktu widzenia pacjenta taka praktyka to prosta droga do incydentu, który może przerwać leczenie wielu osób jednocześnie.
Wielopoziomowa edukacja
Odpowiedzią na ryzyka związane z zachowaniami ludzi ma być systemowa edukacja. Magdalena Janus-Hibner, Dyrektor ds. Projektów, Rozwoju i Organizacji Onkologii ze szpitala im. Kopernika w Łodzi zwracała uwagę, że potrzebne są programy obejmujące zarówno zarząd, personel medyczny, jak i działy IT. Tutaj z pomocą przyszedł Jeremi Olechnowicz.
- Od dłuższego czasu prowadzimy podstawowe, cykliczne szkolenia, żeby promować świadomość na temat cyberzagrożeń. Najpierw szkolenia były przeznaczone specjalnie dla kadry kierowniczej. Później dodaliśmy szkolenie dla kadry IT. Pokazujemy, jak sobie radzić z ransomware, jak się wcześniej przygotować - zapewniał.
Celem jest zbudowanie świadomości, że cyberbezpieczeństwo nie jest jednorazową akcją, tylko stałą praktyką. Olechnowicz wspomniał o tworzonej platformie e-learningowej, która ma oferować materiały dostosowane do trzech grup - personelu medycznego, kadry kierowniczej i działów IT. To kierunek, który ma obniżyć ryzyko, jeśli zostanie połączony z egzekwowaniem polityk w praktyce.
Roman Łożyński, Dyrektor Centrum Informatyki Resortu Finansów przypomniał przy tym, że testy bezpieczeństwa także muszą być procesem, a nie jednym projektem wdrożeniowym.
- System jest bezpieczny wtedy, kiedy okresowo, co jakiś czas sprawdzamy, czy działa. Problemem jest to, że bardzo często kupujemy system, wdrażamy go, używamy przez lata i już później nie sprawdzamy wielu rzeczy. A potem nagle odkrywamy, że ktoś od 100 dni siedzi w naszym zasobie. To nie może tak działać – podkreślał Łożyński.
Dla zarządzających oznacza to konieczność myślenia o cyberbezpieczeństwie tak samo, jak o jakości medycznej, czyli jak o ciągłym cyklu monitorowania, korygowania i doskonalenia.
Standardy, centralizacja, chmura
W dyskusji pojawił się również wymiar systemowy. Adam Wieczorek, wiceprezydent Łodzi odpowiedzialny za miejską ochronę zdrowia, mówił o roli samorządu w wyznaczaniu standardów i nadzorze nad placówkami.
- Rolą samorządu są dwie rzeczy. Nadzór i kontrola w obszarze stosowania przepisów oraz wyznaczenie standardów. My poprzez systemy wdrażane od dwóch, prawie trzech dekad, mamy ogrom doświadczenia i ten element standaryzacji staramy się przekładać na miejską ochronę zdrowia - mówił.
Wieczorek zwrócił też uwagę, że bezpieczeństwo danych staje się nowym, czwartym filarem oczekiwań mieszkańców wobec władz - obok transportu publicznego, czystości i jakości dróg.
Na poziomie państwowym Roman Łożyński mówił o potrzebie budowy rządowej chmury obliczeniowej z wysokowydajną infrastrukturą, zdolnej obsługiwać centralne systemy i mechanizmy sztucznej inteligencji dla administracji i ochrony zdrowia.
- Pora uruchamiać chmury, które nie są chmurami publicznymi, nie pochodzą od big techów, tylko są naszym krajowym rozwiązaniem i udostępnione są administracji publicznej. Gdzieś ten zasób, o który się ciągle boimy, powinien być profesjonalnie chroniony i udostępniany - argumentował Roman Łożyński.
Z kolei Andrzej Sokołowski, prezes Ogólnopolskiego Stowarzyszenia Szpitali Prywatnych, postawił tezę o potrzebie centralnego systemu HIS, który objąłby całą ochronę zdrowia. Choć to postulaty wymagające ogromnej zmiany, kierunek jest jasny - rozproszenie systemów i standardów podnosi koszty, zwiększa dług technologiczny i utrudnia spójne zarządzanie bezpieczeństwem.H