Cyberterroryści szantażują przychodnie i szpitale

Ataki przy użyciu złośliwego oprogramowania, wymuszającego okup, zwane ransomware, są rodzajem współczesnego terroryzmu. A jeśli stroną zaatakowaną jest szpital, pogotowie ratunkowe, przychodnia zdrowia - to podobnie, jak przy zamachach terrorystycznych, mogą zginąć ludzie.

Oficjalnie w 2022 roku w porównaniu z rokiem poprzednim trzykrotnie (do 43) wzrosła liczba zaatakowanych placówek medycznych w Polsce.

Tak naprawdę usłyszeliśmy tylko o dwóch przypadkach. W lutym ubiegłego roku na ponad tydzień zostało sparaliżowane Lotnicze Pogotowie Ratunkowe. Nie działały systemy przesyłania informacji o prowadzonych interwencjach, strona www i poczta elektroniczna. Przestępcy zadeklarowali, że odblokują system po wpłacie 390 tys. dolarów.
W listopadzie ubiegłego roku dramatyczne chwile przeżyli pacjenci Centrum Zdrowia Matki Polki. Lekarze nie mogli wystawiać skierowań na badania oraz recept. Nie były także dostępne wyniki badań pacjentów. Trzeba było przesuwać zabiegi i przechodzić z dokumentacji elektronicznej na papierową.

Po ataku hakerskim system został zawieszony przez dyrekcję szpitala. Nie wiadomo jednak czy i ile wrażliwych informacji o chorych trafiło wcześniej w ręce przestępców.

Nieoficjalnie słyszę o kolejnej zaatakowanej przychodni. - Był to podmiot trochę większy, ze specjalistyką - opowiada mój rozmówca.

- Żądali okupu, nie dostali. Placówka przez miesiąc nie funkcjonowała. Okazało się, że koszt odzyskania danych porównywalny był z żądanym okupem.

Ataki na placówki medyczne to problem ogólnoświatowy. Ostatnio głośno było o ewakuacji szpitali w Wersalu, w Indiach czy w Nowym Jorku.

- Rosyjscy hakerzy zaatakowali jedną z trzech australijskich firm ubezpieczeniowych, która miała dane 7 milionów pacjentów - opowiada dr Andrzej Sokołowski, prezes Ogólnopolskiego Stowarzyszenia Szpitali Prywatnych. - Przez 5 miesięcy ściągano z jej komputerów dane i kiedy już hakerzy zakończyli swoją „pracę”, zażądali od firmy jednego dolara za jednego pacjenta. Prawo australijskie zakazuje jednak płacenia haraczu. Aby wymusić okup, hakerzy najpierw wrzucili do Internetu dane 250 znanych osób, które leczyły się z alkoholizmu. Potem zebrali 150 kolejnych nazwisk osób równie popularnych, którzy nie chcieli pokazywać swoich chorób.

PRZECZYTAJ TEŻ: Wydawanie e-recept i zdalnych zwolnień lekarskich zostanie ograniczone?

Cyberterroryści zarabiają nie tylko na okupach. Sama informacja o chorych może być towarem. W jednym z raportów amerykańskiej strony Fierce Healthcare czytamy, że za wykradzione dane medyczne pojedynczego pacjenta przestępcy są gotowi zapłacić nawet tysiąc dolarów.U nas jest bezpiecznie?

Na portalu politykazdrowotna.com (artykuł z grudnia 2022) czytamy, że „prób złamania zabezpieczeń w placówkach opieki zdrowotnej bywa nawet tysiące dziennie”. Z drugiej strony trudno znaleźć informację, czy i jakie placówki zostały zaatakowane w naszym województwie.

- Nie słyszałem o pomorskich placówkach ochrony zdrowia, które by dosięgnął cyberatak. Takie informacje do mnie nie dotarły - mówi dr Jerzy Karpiński, pomorski lekarz wojewódzki. Podkreśla jednak, że ataki hakerskie są szczególnie niebezpiecznym, zwłaszcza dla pacjentów, zjawiskiem.

Pod koniec maja 2022 r. Narodowy Fundusz Zdrowia ogłosił program wsparcia cyberbezpieczeństwa w placówkach medycznych. Jednostki ochrony zdrowia mają otrzymać od 300 tys. do 900 tys. zł na podniesienie bezpieczeństwa systemów teleinformatycznych

- Bywają pojedyncze przypadki - przyznaje dr Andrzej Zapaśnik, prezes przychodni BaltiMed, ekspert Federacji Porozumienie Zielonogórskie. - Zdarzyło się to u kolegi w Słupsku, któremu hakerzy zablokowali dostęp do dokumentacji medycznej i zażądali opłaty. Musiał całą dokumentację odtworzyć. Dlatego jesteśmy świadomi, że musimy się zabezpieczyć. Centrum e-Zdrowia organizuje dla placówek poz bezpłatne szkolenia, sprawdzają nasze zabezpieczenia.

Jan Tumasz, szef przychodni Aksamitna w Gdańsku i przewodniczący Pomorskiego Związku Pracodawców Ochrony Zdrowia potwierdza: - Szkolimy się. Federacja PZ nawiązała kontakt z realizatorami szkolenia NASK, którzy jeżdżą po kraju, szkoląc pracowników w systemie jeden na jednego. Nasz personel jest już po szkoleniu.

Pytany o ataki na pomorskie szpitale, dr Tadeusz Jędrzejczyk, dyrektor Departamentu Zdrowia Urzędu Marszałkowskiego, stwierdza oględnie: - Zdarzają się takie przypadki. Przez szpitale są raportowane jako „zdarzenia niepożądane”. Na szczęście, po weryfikacji, okazuje się, że ryzyko dla szpitali było niewielkie. Są to głównie maile, których autorom zależy na wyłudzeniu danych bądź zainstalowaniu złośliwego oprogramowania. Najczęściej tego typu maile są usuwane już na poziomie serwerów.

ZOBACZ TEŻ: Tanio już było. Ile zapłacimy za wizytę u lekarza specjalisty?

Pod koniec maja 2022 r. Narodowy Fundusz Zdrowia ogłosił program wsparcia cyberbezpieczeństwa w placówkach medycznych. Jednostki ochrony zdrowia mają otrzymać od 300 tys. do 900 tys. zł na podniesienie bezpieczeństwa systemów teleinformatycznych.

- Zarządy wszystkich szpitali są oczywiście w pełni świadome zagrożeń - słyszę od dr. Jędrzejczyka. - Przy okazji wdrażania Pomorskiego e-Zdrowia te elementy także są uwzględniane. Dodatkowa okazja, jaką był konkurs Ministerstwa Zdrowia, to także oczywiście szansa na dalsze poprawienie bezpieczeństwa, zakup dodatkowego sprzętu lub oprogramowania.

Pieniądze na sprzęt i szanse przeszkolenia pracowników dostają szpitale. Przychodnie - tylko na szkolenia. Jak poinformowało nas Biuro Komunikacji Ministerstwa Zdrowia, do końca maja 2023 r. 85 proc. podmiotów podpisało umowy o finansowanie podniesienia poziomu bezpieczeństwa systemów teleinformatycznych.

Cyberataki. Nie ma się czym chwalić?

Andrzej Sokołowski, prezes Ogólnopolskiego Stowarzyszenia Szpitali Prywatnych, nie dziwi się, że mimo starań nie zdobyłam listy zaatakowanych placówek medycznych z Pomorza.

- Ataki są coraz częstsze i mniej bezpieczne - tłumaczy.- Społeczeństwo ma niewielką tego świadomość z prostego powodu - nikt do ataku nie chce się przyznać, żeby nie stracić zaufania pacjentów. Na pytanie, czy państwa napadli, usłyszy pani: - Nie. Wszystko mamy zabezpieczone.

Pytam więc, czy zna publiczne szpitale, POZ-y i specjalistyczne przychodnie Pomorza, poszkodowane przez hakerów.

- Tak - odpowiada krótko. - Znam, ale nie podam. Wiem z informacji poufnych, że sobie tego nie życzą.

OSSP zorganizowało w ostatnim czasie dla swoich członków trzy dostępne w sieci szkolenia internetowe pod hasłem (Nie)bezpieczny szpital. Uczestniczyli w nich m.in. przedstawiciel Ministerstwa Zdrowia, dyrektor Paweł Masiarz, dr inż. Jakub Syta - zastępca dyrektora Morskiego Centrum Cyberbezpieczeństwa z Akademii Marynarki Wojennej w Gdyni, Katarzyna Fortak-Karasińska, prawniczka, ekspertka w zakresie ochrony zdrowia. Oraz oczywiście informatycy - eksperci ds. bezpieczeństwa z firmy Koma Nord.

- W każdym szpitalu jest albo etatowy, albo dochodzący informatyk - mówi dr Sokołowski. - A potem coś się wali. Tymczasem różnica między informatykiem a informatykiem-ekspertem ds. bezpieczeństwa jest taka sama jak między lekarzem rehabilitantem a lekarzem ginekologiem.

Ataki są coraz częstsze i mniej bezpieczne. Społeczeństwo ma niewielką tego świadomość z prostego powodu - nikt do ataku nie chce się przyznać, żeby nie stracić zaufania pacjentów. Na pytanie, czy państwa napadli, usłyszy pani: - Nie. Wszystko mamy zabezpieczone.

dr Andrzej Sokołowski

Eksperci zwracają też uwagę na skromną, mimo szkoleń, świadomość zagrożeń wśród personelu medycznego. - Wie pan, jak zaatakować najprościej duży szpital? - spytał ostatnio jeden z nich mojego rozmówcę. I od razu mu odpowiedział: - Wystarczy rozrzucić w recepcji pięć drogich, pięknych pendrive'ów. Co najmniej jedna osoba postanowi - czy to z uczciwości, by dowiedzieć się czyja to zguba, czy też z pazerności - sprawdzić taki pendrive na firmowym komputerze. I już ich mamy...

Haker zawinił, ucierpi pacjent, zapłaci szpital

Konsekwencje ataku hakerskiego na placówki medyczne mogą być niewyobrażalne dla przeciętnego pacjenta. Katarzyna Fortak-Karasińska, partner F/K LEGAL, prawniczka z ponad 15-letnim doświadczeniem w doradztwie prawnymi biznesowym na rzecz podmiotów prowadzących działalność medyczną, podczas szkolenia dla OSSP wyliczyła zagrożenia wynikające z cyberataku.

- W pierwszej kolejności zagrożone są dane medyczne wielu pacjentów - stwierdziła prawniczka. - Także dane finansowe (karty kredytowe) mogą zostać zablokowanie, utracone, zniszczone. Wskutek ataku placówka musi przerwać udzielanie świadczeń zdrowotnych. Następuje blokada dostępu do danych. W praktyce - bardzo często dochodzi do zablokowania dostępu do dokumentacji elektronicznej. W przychodni lekarz nie widzi historii choroby. Zaczynają tworzyć się kolejki. Brak dostępu do wyniku badań może oznaczać, że nie jest możliwe przeprowadzenie zabiegu. I staje działalność szpitala. Konieczne jest także przejście na dokumentację papierową.

POLECAMY RÓWNIEŻ: Robot da Vinci asystował przy usunięciu raka z nerki

Dr Andrzej Sokołowski dodaje, że już samo niewykonanie zabiegu niesie za sobą konsekwencje prawne. Innym czarnym scenariuszem jest zablokowanie przez hakerów podłączonego do komputera narzędzia w trakcie operacji. - Proszę sobie wyobrazić skutki przejęcia przez cyberterrorystów sterowania np. robotem medycznym da Vinci i zrobienie ośmiu nieplanowanych obrotów głowicą! Kto za to odpowiada? Przestępca? Szpital? - pyta prezes OSSP.

Aby cyberterroryści za atak odpowiedzieli, trzeba najpierw ich znaleźć i zatrzymać. W przypadku ataków prowadzonych z innych państw, np. z Rosji, to ostatnie jest raczej niemożliwe. Za to lekarze i dyrekcja placówki medycznej są na miejscu. I choć wraz z pacjentami są ofiarami ataku, ponoszą dodatkowe kary. Przy czym ustawodawca rozróżnił, że podmiot publiczny będzie niżej karany, zaś prywatny zapłaci kilkakrotnie więcej.

Za ujawnienie danych osobowych, wynikające z błędnego ich zabezpieczenia, UODO może nałożyć na placówkę karę do 10 lub 20 mln euro (maksymalnie do 2 lub 4 proc. całkowitego rocznego obrotu firmy z poprzedniego roku). Do tego dochodzą ewentualne roszczenia poszkodowanych. W razie wycieku danych mogą pojawić się również roszczenia pacjentów za błędy medyczne. W grę wchodzi opóźnienie zabiegu, gdy np. nie działa aparatura, jest błędna diagnostyka, brakuje dostaw wyrobów medycznych. Możliwe są również roszczenia z tytułu naruszenia praw pacjenta. Jeśli nie będzie działać rejestracja, placówka nie będzie mogła np. wydać chorym dokumentacji medycznej.

O swoje upomnieć się może Narodowy Fundusz Zdrowia. W razie przerwy w udzielaniu świadczeń lub zarzutu nieprawidłowego prowadzenia dokumentacji mogą pojawić się kary umowne lub może dojść do zerwania umowy z NFZ. Wówczas kary finansowe dla jednostki wynoszą od 20 tys. do 1 mln zł, dla kierownika do 200 proc. miesięcznego wynagrodzenia.

Kopuła ochronna nad polskim zdrowiem?

Na razie większość placówek medycznych korzysta z własnych systemów bezpieczeństwa. Ich tworzenie jest długotrwałe, pracochłonne i konieczne.

- Tarcze stają się coraz bardziej kosztowne - przyznaje dr Sokołowski. - A wojna cybernetyczna będzie się dalej toczyć. Zamiast płacić okupy i żeby szpitale mogły inwestować w sprzęt medyczny, a nie informatyczny - trzeba coś z tym zrobić. Najlepszą opcją byłoby stworzenie jednej kopuły ochronnej dla wszystkich gotowych wejść w to placówek. Znaleźliśmy zespół informatyków z Cyber360, którzy zaproponowali system najbardziej wymyślny i taki sam u wszystkich. Skonsultowaliśmy to z wojskiem, które ma najlepiej zorganizowany system cyberobrony, kontroluje całą Polskę i wie o wszystkich atakach w kraju. Współpracą z nami zainteresowani są eksperci z Akademii Marynarki Wojennej, zajmujący się przestępstwem internetowym. Chcemy stworzyć zewnętrzną tarczę i za niewielkie pieniądze podpinać do niej szpitale. To na pewno przyniesie bardziej konkretne efekty niż szkolenia.

Powstało już oprogramowanie, które w ciągu kilku dni można zamontować w dowolnym szpitalu i nadzorować je z zewnątrz. Szpitale, po przeprowadzeniu audytu, miałyby raz w roku uiszczać za ochronę opłatę zależną od liczby końcówek wstawionych do systemu. Im więcej placówek zgłosi się do programu, tym opłaty będą niższe.

Pierwszym krokiem w kierunku objęcia placówek medycznych wspólną tarczą było zorganizowane w ostatnią środę spotkanie w Kancelarii Prezesa Rady Ministrów, zwołane wspólnie przez współgospodarzy konferencji: płk. Łukasza Wojewodę, szefa Departamentu Cyberbezpieczeństwa i Andrzeja Sokołowskiego, prezesa OSSP. Zaproszono na nie zespół do spraw informatyzacji NASK, przedstawicieli Ministerstw Zdrowia i Cyfryzacji, NFZ i ekspertów.

- Kwestie techniczne spotkały się z dużym zainteresowaniem i mnóstwem pytań - mówi dr Sokołowski. - Wydaje się jednak, że problemem może być kwestia finansowania zabezpieczeń, zwłaszcza w przypadku placówek prywatnych. Zapomniano, niestety, że 95 proc. naszych pacjentów leczonych jest w ramach kontraktów z NFZ ze środków publicznych. I im także należy się ochrona.
Kolejne spotkanie w sprawie chroniącej przed hakerami tarczy zaplanowano na lipiec.