Placówki medyczne to słabe ogniwo w systemie bezpieczeństwa danych

Placówki medyczne to słabe ogniwo w systemie bezpieczeństwa danych osobowych - zwraca uwagę ekspert serwisu ChronPESEL.pl Bartłomiej Drozd. Z badania przeprowadzonego przez portal wynika, że 38 proc. Polaków uważa, że wyciek danych z instytucji publicznych i firm jest większym zagrożeniem niż fałszywe SMS-y czy maile.

Od 17 listopada Polacy mogą zastrzec numer PESEL, co jest pierwszym etapem wprowadzania rozwiązania, które ma uniemożliwić np. zaciągnięcie kredytu na skradzione dane osobowe. System w pełni ma zacząć działać od czerwca 2024 roku, gdy wejdzie w życie ustawa o zmianie niektórych ustaw w celu ograniczania niektórych skutków kradzieży tożsamości. Od tego dnia banki, firmy pożyczkowe, operatorzy telekomunikacyjni, czy notariusze będą mieli obowiązek sprawdzania czy PESEL ich klienta nie jest zastrzeżony w specjalnym rejestrze.

Ekspert serwisu ChronPESEL.pl. Bartłomiej Drozd zwrócił uwagę, że słabym ogniwem w systemie bezpieczeństwa danych są polskie placówki medyczne, których słabą stroną jest niski poziom zabezpieczeń, luki w oprogramowaniu czy nieprzestrzeganie procedur przez pracowników.

Wskazał, że zarówno szpitale jak i przychodnie posiadają dane personalne milionów Polaków, którzy korzystali z ich usług. Chodzi tu nie tylko o informacje dotyczące chorób i leków, ale także numery PESEL czy adresy. Zauważył też, że w ostatnich latach to m.in. służba zdrowia stała się głównym celem cyberataków, zarówno w Polsce, jak i na świecie. Powołując się na dane Ministerstwa Cyfryzacji, powiedział, że liczba zgłoszonych cyberataków na placówki ochrony zdrowia wzrosła trzykrotnie w ciągu jednego roku – z 13 w 2021 do 43 w 2022. Przedstawił też dane firmy Check Point Research, z których wynika, że na placówki służby zdrowia na świecie notuje się ok. 1800 ataków tygodniowo, a w 2022 roku branża zanotowała wzrost liczby takich incydentów o 74 proc.

W Polsce - jak przypomniał Drozd - do najgłośniejszego ataku na placówkę medyczną doszło rok temu, gdy ofiarą hakerów padło Centrum Zdrowia Matki Polki. Kilka miesięcy później podobny atak został przeprowadzony na Centralny Szpital Kliniczny w Łodzi, jednak - jak dodał ekspert - specjaliści od cyberbezpieczeństwa w porę wykryli zagrożenie i profilaktycznie wyłączyli systemy informatyczne szpitala. W jego ocenie, przestępcy nie poprzestają tylko na atakowaniu dużych placówek, które zaczynają być lepiej chronione, ale na cele wybierają mniejsze ośrodki jak np. szpital w Pajęcznie w lutym 2022 roku, gdy cyberprzestępcy włamali się do systemu informatycznego. Dodał, że incydenty sektorze medycznym związane z tzw. przełamaniem zabezpieczeń regularnie są zgłaszane do Urzędu Ochrony Danych Osobowych.

Wagę problemu bezpieczeństwa danych osobowych w placówkach służby zdrowia potwierdza rzecznik UODO Adam Sanocki. "Z uwagi na kategorię danych objętych incydentem, generują one wysokie ryzyka dla praw lub wolności osób fizycznych" - wskazał.

Przyznał, że systemy informatyczne w niektórych placówkach zdrowia nadal nie spełniają wymogów zgodnych z ogólnym rozporządzeniem o ochronie danych (RODO). "Nie dziwi więc fakt, że liczba ataków nie maleje, a biorąc pod uwagę zapowiedzi kolejnych działań mających na celu digitalizację usług medycznych, należy spodziewać się wzrostu takich incydentów w kolejnych latach" – dodał Sanocki.

Rzecznik UODO zwrócił uwagę, że ataki hakerskie nie koncentrują się wyłącznie na dużych instytucjach medycznych, ale "na małych podmiotach, prowadzonych często przez osoby fizyczne, które nie wdrożyły na czas adekwatnych środków w celu ochrony swoich zasobów".

Serwis ChronPESEL.pl przywołuje też dane Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA). Z opublikowanego przez tę instytucję raportu pt.: "Health Threat Landscape", wynika, że ataki typu ransomware (polegające na stosowaniu złośliwego oprogramowania do szyfrowania ważnych plików przechowywanych na dysku lokalnym i sieciowym) stanowią ok 54 proc. wszystkich incydentów cybernetycznych, które miały miejsce od 2021 roku. Co więcej, 30 proc. z nich stanowiły dane pacjentów.

Eksperci od cyberbezpieczeństwa podkreślają, że stosunkowo niewielka w porównaniu z krajami zachodnimi liczba ujawnionych przypadków kradzieży danych osobowych z placówek medycznych w Polsce nie powinna nas uspokajać. "Jeśli w znacznie bogatszych i bardziej zaawansowanych technologicznie krajach Europy Zachodniej, Stanach Zjednoczonych czy Kanadzie odnotowuje się rosnącą liczbę skutecznych ataków na bazy danych placówek medycznych, to trudno się spodziewać że w Polsce takie zjawisko nie występuje. Raczej należy przyjąć założenie, że nie potrafimy go wykryć" - uważa Bartłomiej Drozd.

Dodano, że z przeprowadzonego w kwietniu 2023 roku przez serwis ChronPESEL.pl i Krajowy Rejestr Długów pod patronatem UODO badania pt. "Dane osobowe – czy wiemy, jak je chronić?" wynika, że wyciek danych z instytucji publicznych i firm prywatnych jest drugim pod względem liczby wskazań zagrożeniem dla danych osobowych identyfikowanym przez Polaków. "Obawy takie wyrażało 38 procent respondentów. Większe zagrożenie dla bezpieczeństwa danych osobowych widzieli tylko w fałszywych SMS-ach, e-mailach i telefonach – co stanowiło 42 procent wskazań" – poinformowano.

Warto zatem przypomnieć, że w najnowszym wycieku informacji z bazy firmy ALAB, ujawniono dane kilkudziesięciu tysięcy pacjentów, zawierające nie tylko wyniki badań medycznych, ale także pełne informacje osobowe, takie jak imię, nazwisko, PESEL i adres zamieszkania. Dodatkowo, umowy zawarte między firmą a jej kontrahentami znalazły się w rękach włamywaczy. Niepokojące jest także to, że część danych została udostępniona w łatwo dostępnym formacie PDF, co czyni je podatnymi na wykorzystanie przez osoby trzecie.

red./PAP