Cyberbezpieczeństwo placówki medycznej – 10 dobrych praktyk

Postępująca cyfryzacja nie ominęła branży ochrony zdrowia. Według Centrum e-Zdrowia aż 89% przebadanych podmiotów medycznych wykorzystuje systemy IT do prowadzenia dokumentacji medycznej. Jednak rozwój cyfrowy niesie za sobą poważne zagrożenia, zwiększając ryzyko cyberataków. A dane medyczne są dla przestępców niezwykle cenne, gdyż – w przeciwieństwie do danych z kart kredytowych – nie można ich zmienić w momencie wycieku. Jak zatem zadbać o cyberbezpieczeństwo placówki medycznej? Jak prawidłowo przechowywać informacje o pacjentach? Jak nie narazić się na kary RODO? Dowiesz się z naszego artykułu.

Branża medyczna stoi przed wieloma wyzwaniami

Pisaliśmy już o tym, przed jakimi wyzwaniami w zakresie cyberbezpieczeństwa stoi służba ochrony zdrowia. Warto jeszcze raz podkreślić, że cyberatak na branżę medyczną może być znacznie bardziej brzemienny w skutkach niż w przypadku innych sektorów. Jeśli systemy IT nie działają – a tym samym pojawiają się problemy z przyjmowaniem pacjentów i wykonywaniem zabiegów – dochodzi do zagrożenia życia ludzkiego. Tak jak w 2020 roku, gdy szpital w Düsseldorfie zmagał się z atakiem ransomware: jedna z kobiet, którą przekierowano do innej placówki, zmarła podczas transportu.

Dlatego dołóż starań, żeby zabezpieczyć placówkę medyczną na wszystkich frontach. Jak to zrobić? Dzielimy się zestawem dobrych praktyk i wskazówek wpływających pozytywnie na cyberbezpieczeństwo w ochronie zdrowia.

1. Przeanalizuj całą ścieżkę kontaktu z danymi.

Zastanów się, jak placówka zdrowotna gromadzi, wykorzystuje i przechowuje wrażliwe dane na trzech etapach: rejestracji medycznej, kontaktu personelu z pacjentem, archiwizacji dokumentacji. W jaki sposób rejestrują się pacjenci? Telefonicznie, osobiście, mailowo? Czy każda z tych ścieżek jest chroniona zgodnie z RODO? Czy istnieje możliwość wideorozmowy lub telekonsultacji z lekarzem? Za pomocą jakich narzędzi organizowane są konsultacje online? Kto ma dostęp do wyników badań diagnostycznych i kartotek pacjentów? Czy w placówce można odebrać e-receptę? Jakie poziomy dostępowe do systemu IT posiadają pracownicy? Każda z tych sytuacji może skutkować wyciekiem danych, jeżeli zabezpieczenia zawiodą.

2. Twórz hasła zgodnie z zasadami bezpieczeństwa.

Hasło to tarcza chroniąca cenne dane medyczne przed zagrożeniami. Jednak zbyt słaba albo dziurawa tarcza na niewiele się zda w starciu z doświadczonym cyberprzestępcą. Dlatego tworząc dane dostępowe do jakichkolwiek zasobów służbowych, zawsze pamiętaj o kilku rzeczach. Po pierwsze, wygeneruj długie hasło, czyli stanowiące kombinację minimum ośmiu znaków. Po drugie, zadbaj o jego skomplikowanie – niech zawiera małe i duże litery, cyfry i znaki specjalne. Po trzecie, miej na uwadze unikalność, a więc używaj danego hasła tylko do jednego konta. To pomoże zwiększyć bezpieczeństwo dokumentacji medycznej.

3. Zadbaj o ochronę istniejących haseł.

Jak jeszcze zapewnić bezpieczeństwo danych w placówce medycznej? Dołóż starań, by odpowiednio chronić stworzone przez siebie hasła. Nie zapisuj i nie przechowuj ich w miejscu, do którego może zajrzeć ktoś niepowołany (na przykład w notatniku na biurku). Nie przesyłaj takich danych mailem, SMS-em ani komunikatorem. Nie podawaj ich przez telefon. Najlepiej w ogóle nie dziel się swoimi hasłami z innymi osobami. Zmieniaj dane dostępowe za każdym razem, gdy zajdzie podejrzenie wycieku. Uczul cały personel, by postępował tak samo.

4. Stosuj politykę czystego biurka i czystego ekranu.

Zwróć uwagę na to, w jaki sposób przechowujesz dokumentację medyczną w miejscu pracy. Czy pacjent wchodzący do gabinetu może swobodnie przeczytać dokumenty znajdujące się na biurku? Czy osoby sprzątające natykają się na leżące na wierzchu kartoteki pacjentów? Zastanów się też, czy wystarczająco chronisz dane w systemie IT. Ustaw monitor tak, żeby siedzący obok pacjent nie widział, co się tam znajduje. Zabezpiecz urządzenie hasłem, by osoba niepowołana nie miała możliwości pod Twoją nieobecność zapoznać się z plikami. Nie przyczepiaj do monitora karteczek z hasłami.

5. Nie zaniedbuj kwestii RODO.

Jednym ze skutków wycieku danych medycznych może być kara ze strony Urzędu Ochrony Danych Osobowych. Pierwszą karę pieniężną dla polskiej placówki zdrowotnej za naruszenie ochrony danych osobowych pacjentów nałożono w 2021 roku. Ustalona kwota wyniosła 85 tys. złotych. Pamiętaj, że zgodnie z RODO podmioty medyczne muszą nie tylko przestrzegać obowiązujących przepisów, ale także potrafić to udowodnić – a to wiąże się z koniecznością skrupulatnie prowadzonej dokumentacji. Obowiązkowo wyznacz też inspektora ochrony danych.

6. Jak najszybciej zgłaszaj incydenty.

Mimo zabezpieczeń doszło do jakiegoś incydentu, na przykład utraty dokumentacji medycznej, wycieku danych pacjentów czy zaszyfrowania wszystkich informacji w wyniku ataku ransomware? Natychmiast poinformuj o tym fakcie prezesa UODO. Sprawna reakcja ograniczy straty, w tym ryzyko nałożenia kary RODO. Uczul też wszystkich pracowników, żeby dawali znać, jeśli w miejscu pracy zetknęli się z atakiem phishingowym lub jakimkolwiek naruszeniem zasad bezpieczeństwa.

7. Dostosuj uprawnienia pracowników do faktycznych potrzeb.

Jasno określ zasady dostępu każdego pracownika do pomieszczeń, sprzętów i danych osobowych  w placówce medycznej, biorąc pod uwagę wykonywane obowiązki. Przygotuj listę wszystkich zasobów wymagających dostępu pracowniczego (kartoteki pacjentów, dane osób zatrudnionych, dane dostępowe do kont bankowych, kody PIN do alarmu czy konkretnego pomieszczenia, monitoring itp.). Zadbaj, by kadrowe, osoby sprzątające lub podmioty zewnętrzne nie miały równie szerokiego zakresu uprawnień jak lekarze czy pielęgniarki. Dopasuj poziom dostępu personelu medycznego do danych osobowych pacjentów, patrząc na zakres wykonywanych zadań albo na hierarchię służbową. Pamiętaj też, by natychmiast cofać uprawnienia dostępu do systemów informatycznych osobom, z którymi placówka zakończyła współpracę. Jeden z portugalskich szpitali zapłacił 150 tys. euro kary za naruszenie RODO, gdy się okazało, że pracuje tam 296 lekarzy, a w systemie IT widnieje 985 kont.

8. Przeprowadź szkolenia dla całego personelu.

Nawet najbardziej wymyślne zabezpieczenia czy procedury udostępniania dokumentacji medycznej nie wystarczą, jeżeli nastąpi błąd ludzki. To od niego zaczyna się większość skutecznie przeprowadzonych cyberataków. Jeżeli jedna osoba w miejscu pracy pobierze załącznik z wiadomości phishingowej lub zaloguje się na spreparowanej przez hakerów stronie, może ucierpieć cała placówka. Pracownicy, którzy na co dzień mają styczność z danymi osobowymi pacjentów, powinni posiadać wiedzę, jak te dane chronić, także w sieci. Muszą umieć rozpoznawać zagrożenia i wiedzieć, w jaki sposób na nie reagować. Dobrze też, by byli świadomi skutków naruszenia zasad bezpieczeństwa dla placówki medycznej. Dlatego zadbaj o szkolenie z cyberbezpieczeństwa dla całego personelu.

9. Pobierz e-book poświęcony bezpieczeństwu danych medycznych.

Zajrzyj do bezpłatnego e-booka “Dane medyczne a bezpieczeństwo IT”. Ta lektura powie Ci, jak zminimalizować ryzyko cyberataków w branży ochrony zdrowia i uchronić się przed przykrymi skutkami incydentów. Łatwiej zidentyfikujesz punkty wysokiego ryzyka w swojej placówce i przyjrzysz się zadaniom, które warto potraktować priorytetowo.

10. Obejrzyj nagranie webinaru eksperckiego.

Chcesz jeszcze bardziej rozwinąć swoją wiedzę z zakresu ochrony danych medycznych? Zapoznaj się z bezpłatnym nagraniem webinaru “Cyberbezpieczeństwo placówki medycznej”. Dowiesz się między innymi, kto ponosi odpowiedzialność za bezpieczeństwo danych w placówce, zapoznasz się z obowiązującymi regulacjami prawnymi i dobrymi praktykami, a także sprawdzisz, jakich metod najczęściej używają hakerzy.

Jak dodatkowo zwiększyć bezpieczeństwo danych osobowych w placówce medycznej? Przeprowadź bezpłatny audyt cyberbezpieczeństwa, który odkryje luki w zabezpieczeniach i powie, co poprawić w pierwszej kolejności. Poza tym odwiedzaj regularnie naszego bloga, a także fanpage lub profil LinkedIn, gdzie dzielimy się przydatnymi informacjami na temat cyberochrony.

Do usłyszenia!

Zespół Sagenso