Cyberbezpieczeństwo w placówce medycznej ebook

Redakcja

Redaktor: Michał Kowalski

Menedżer produktu: Anna Konarzewska-Żuczek

Segment manager: Alina Sulgostowska

Projekt graficzny okładki: Piotr Fedorczyk

Korekta: Zespół

Koordynator produkcji: Magdalena Huta

Druk: KRM Druk

Skład i łamanie: Triograf Dariusz Kołacz

ISBN 978-83-8276-286-0

Copyright by Wiedza i Praktyka sp. z o.o.

Warszawa 2022

Wiedza i Praktyka sp. z o.o.

ul. Łotewska 9a, 03-918 Warszawa,

tel. 22 518 29 29, faks 22 617 60 10, e-mail: [email protected]

NIP: 526-19-92-256, KRS: 0000098264 – Sąd Rejonowy dla m.st. Warszawy w Warszawie,

XIII Wydział Gospodarczy Krajowego Rejestru Sądowego,

wysokość kapitału zakładowego 200.000 zł,

nr rejestrowy BDO: 000008579.

Publikacja „Cyberbezpieczeństwo w placówce medycznej” została przygotowana z zachowaniem najwyższej staranności i wykorzystaniem wysokich kwalifikacji, wiedzy oraz doświadczenia jej twórców. Zaproponowane w niej wskazówki, porady i interpretacje dotyczą sytuacji typowych. Ich zastosowanie w konkretnym przypadku może wymagać dodatkowych, pogłębionych konsultacji. Opublikowane rozwiązania nie mogą być traktowane jako oficjalne stanowisko organów i urzędów państwowych. W konsekwencji autorzy, konsultanci oraz redakcja nie mogą ponosić odpowiedzialności prawnej za zastosowanie zawartych w publikacji „Cyberbezpieczeństwo w placówce medycznej” wskazówek, przykładów, informacji itp. do konkretnych przypadków.

Autorzy

Piotr Glen

inspektor ochrony danych, ekspert ds. ochrony danych osobowych, audytor systemów zarządzania bezpieczeństwem informacji

Michał Grabiec

radca prawny, kancelaria GW Legal Grabiec & Wójcik sp. p.

Piotr Janiszewski

radca prawny. Audytem w obszarze ochrony danych osobowych zajmuje się od lat. Doświadczony były Administrator Bezpieczeństwa Informacji i trener. Certyfikowany audytor wewnętrzny według normy ISO 27001. Uczestnik inspekcji oraz postępowań administracyjnych prowadzonych przez organ nadzorczy. Autor licznych artykułów i opracowań dotyczących tematyki ochrony danych osobowych. Ekspert w zakresie informacji publicznej i tajemnicy przedsiębiorstwa

Agnieszka Kręcisz-Sarna

radca prawny, specjalista z zakresu ochrony danych osobowych

Przemysław Kucharzewski

VP Sales w Cypherdog – producent rozwiązań cyberbezpieczeństwa. Członek ISSA Polska, Rady Biznesu WSH. Od 25 lat w branży IT, związany z dystrybucją przez blisko 20 lat (JTT Computer, Incom, AB, Eptimo), Interim Manager u integratorów i producentów rozwiązań IT (Xopero, Newind), skupiony na budowie świadomości z zakresu cyberzagrożeń i rozwijania kanałów sprzedaży rozwiązań z obszaru cyberbezpieczeństwa

Maciej Lipka

prawnik i specjalista ds. danych osobowych, były pracownik departamentów skarg, legislacji i prasowego w Urzędzie Ochrony Danych Osobowych; na bazie swojego doświadczenia doradza, jak dostosować organizację do aktualnych przepisów oraz zdarzeń mających wpływ na przetwarzanie danych

Michał Nosowski

radca prawny, specjalizujący się w prawie nowych technologii i ochronie danych osobowych. www.michalnosowski.pl, www.wsroddanych.pl

Marzena Pytlarz-Pietraszko

radca prawny, absolwentka Wydziału Prawa i Administracji oraz studiów podyplomowych „Prawa gospodarczego i handlowego” Uniwersytetu Śląskiego w Katowicach. Uczestniczka studiów podyplomowych „Prawa medycznego i bioetyki” organizowanych na Wydziale Prawa i Administracji Uniwersytetu Jagiellońskiego w Krakowie. Kierownik działu prawnego w Centrum Nowoczesnej Rehabilitacji i Opieki TriVita, właściciel PCC Legal

Marcin Sarna

radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycz-nym

Jowita Sobczak

inspektor ochrony danych, doktor nauk prawnych, specjalista z zakresu ochrony danych osobowych, były ekspert w komisji do spraw reformy prawa ochrony danych osobowych w Unii Europejskiej w Biurze Generalnego Inspektora Ochrony Danych Osobowych

Od redakcji

Szanowni Czytelnicy,

Cyberprzestępczość nie jest obca także służbie zdrowia. Coraz częściej można bowiem spotkać się z próbami cyberataków na placówki medyczne. Niestety bywają one skuteczne, czego przykładem jest choćby niedawny incydent w Instytucie Centrum Zdrowia Matki Polki, który miał miejsce 4 listopada 2022 r. Cyberatak spowodował tam ograniczenia w funkcjonowaniu systemu IT, co z kolei przełożyło się na trudności w udzielaniu świadczeń zdrowotnych.

Przykład ten doskonale pokazuje, że atak na system IT placówki medycznej może sparaliżować jej funkcjonowanie. Poza tym placówki narażają się na kary administracyjne z powodu niedostatecznych zabezpieczeń, które mogą stanowić znaczne obciążenie dla ich budżetu.

Właśnie ze względu na narastające zagrożenie cyberprzestępczością w służbie zdrowia oddajemy w Wasze ręce I wydanie publikacji „Cyberbezpieczeństwo w placówce medycznej”. W publikacji poruszamy najważniejsze zagadnienia tego aspektu działalności placówek. Poza omówieniem popularnych rodzajów cyberataków znajdziecie w niej praktyczne wskazówki dotyczące zabezpieczeń:

•systemów IT i oprogramowania,

•poczty e-mail,

•serwerów i sieci lokalnej.

Nie zabrakło także zagadnień specyficznych dla służby zdrowia, a mianowicie:

•systemu Zarządzania Bezpieczeństwem Informacji (oraz innych obowiązków placówek medycznych jako operatorów usług kluczowych),

•bezpieczeństwa dokumentacji medycznej,

•teleporad.

To wszystko okraszone zostało wzorami dokumentów i listami kontrolnymi, pomocnymi w organizacji zabezpieczeń w placówce.

Życzę owocnej lektury.

Michał Kowalski

radca prawny, redaktor publikacji

Rozdział 1. Rodzaje cyberataków w placówkach medycznych

Cyberatak stanowi działanie ukierunkowane na komputer lub jakikolwiek element komputerowego systemu informatycznego, mające na celu zmianę, zniszczenie lub kradzież danych albo wykorzystanie lub uszkodzenie sieci. Liczba cyberataków wzrasta wraz z postępującą cyfryzacją w działalności placówek medycznych, tj. przechowywania przez nie coraz większej ilości informacji w postaci zapisu komputerowego. Chociaż istnieją setki różnych rodzajów ataków, najpopularniejsze z nich można skatalogować według podobieństwa. Wiedza o poszczególnych rodzajach cyberataków jest kluczowa dla ich rozpoznawania i właściwej reakcji. Pomaga też wdrożyć odpowiednie zabezpieczenia.

1.1. Malware

Malware to ogólne pojęcie określające złośliwe oprogramowanie, które infekuje komputer i zmienia sposób jego działania w sposób zaplanowany przez atakującego: najczęściej niszczy dane lub szpieguje użytkownika. Malware może rozprzestrzeniać się z jednego urządzenia na drugie, ale też pozostawać na swoim miejscu, wpływając tylko na urządzenie gospodarza. Co istotne, aby malware zadziałało, musi dojść do działania ze strony użytkownika. Oprogramowanie musi bowiem zostać zainstalowane na urządzeniu docelowym.

Obok stosowania zapór sieciowych wykrywających malware bardzo ważne jest przeszkolenie personelu szpitala w zakresie:

•typów oprogramowania, których należy unikać,

•rodzajów linków, które należy sprawdzić przed kliknięciem,

•wiadomości e-mail i załączników, których nie należy otwierać.

1.2. DoS i DDoS

Ataki typu denial-of-service (DoS) stały się częste w 2022 roku w związku z agresją rosyjską na Ukrainę. Ataki DoS i DDoS różnią się od innych rodzajów ataków cybernetycznych, które umożliwiają hakerowi uzyskanie dostępu do systemu lub zwiększenie obecnie posiadanego dostępu. W przypadku ataków sieciowych DoS i DDoS celem jest po prostu przerwanie ciągłości świadczenia usług świadczonych przez ofiarę. Prowadzą one do przeciążania zasobów systemu do tego stopnia, że nie jest on w stanie odpowiadać na uzasadnione żądania usług. W wyniku ataku DoS strona docelowa jest zalewana żądaniami dostępu. Ponieważ witryna musi odpowiedzieć na każde żądanie, jej zasoby są błyskawicznie zużywane. W efekcie witryna nie jest w stanie obsługiwać użytkowników w normalnym trybie i często prowadzi to do jej tymczasowego zamknięcia.

Tak przedstawia się przebieg ataku DDoS:

1. Następuje wysłanie znacznej liczby żądań do usług z różnych miejsc w tym samym czasie.

2. Wygenerowany bardzo duży ruch sieciowy wyklucza obsłużenie zapytań (żądań) do usług pochodzących od rzeczywistych użytkowników (serwer ulega przeciążeniu).

3. Następuje utylizacja zasobów serwerów, zablokowanie dostępności do łączy, aplikacji, usług czy serwisów internetowych.

Odmianą ataku DoS jest distributed denial-of-service, czyli DDoS. Również ma on na celu wyczerpanie zasobów systemu. Atak typu DDoS jest inicjowany przez ogromną liczbę zainfekowanych złośliwym oprogramowaniem maszyn kontrolowanych przez atakującego. Ataki tego rodzaju są określane mianem „ataków typu odmowa usługi”, ponieważ witryna będąca ofiarą nie jest w stanie świadczyć usług tym, którzy chcą uzyskać do niej dostęp.

Więcej znajdziesz w wersji pełnej publikacji

Tematy publikacji w pełnej wersji

Rozdział 1. Rodzaje cyberataków w placówkach medycznych

Rozdział 2. Bezpieczeństwo oprogramowania i systemów IT w placówce medycznej

Rozdział 3. Bezpieczna poczta elektroniczna w placówce medycznej

Rozdział 4. Bezpieczne serwery i sieć lokalna

Rozdział 5. SZBI w publicznej placówce medycznej i inne obowiązki w krajowym systemie cyberbezpieczeństwa

Rozdział 7. Bezpieczna teleporada

Rozdział 8. Procedury, listy kontrolne i wzory dokumentów przydatne dla placówki medycznej

Rozdział 9. Wykaz aktów prawnych, na które powołano się w publikacji

Przygotowanie do wersji elektronicznej: RASTER studio, 603 59 59 71