W ramach Centrum E-zdrowie tworzona jest instytucja, która będzie zajmować się cyberatakami i wspierać placówki w przypadku ataku – poinformował podczas VIII Kongresu Wyzwań Zdrowotnych (Katowice, 9-10 marca) Piotr Węcławik, dyrektor Departamentu Innowacji Ministerstwa Zdrowia. Według oficjalnych danych skala cyberataków na zbiory danych jednostek ochrony zdrowia jest w Polsce niewielka, bo sprowadza się do kilkunastu przypadków.

Jednak strzeżonego Pan Bóg strzeże, a z zabezpieczeniami szpitalnych systemów informatycznych jest jak jest, czyli daleko do ideału.

– Wspólnie z Ministerstwem Cyfryzacji realizujemy program dla szpitali w zakresie ochrony przed cyberatakami. Jest to finansowe wsparcie Piotr Węcławik.

To dobra inicjatywa, bo nie trzeba być wybitnym znawcą problemu, że w wielu jednostkach systemu sytuacja finansowa sprawia, że bezpieczeństwo informatyczne schodzi na dalszy plan. Nie dlatego, że kierujący takimi placówkami je bagatelizują, ale dlatego, że priorytetowe są wydatki na bieżącą ich działalność.

Rok temu Krzysztof Groyecki (wiceprezes Asecco Poland) tak opiniował tę rzeczywistość:

– Uważam, że nie jesteśmy bezpieczni. Nie dlatego, że producenci nie mają w ofercie odpowiednich narzędzi informatycznych zabezpieczających dane przez e-złodziejem lub e-terrorystą. Jednostki ochrony zdrowia nie inwestują w cyberbezpieczeństwo, bo nie mają na to pieniędzy.

I w ciągu dwunastu miesięcy niewiele zmieniło się na lepsze w tej materii.

Jest jednak koło ratunkowe.

Można ubiegać się o wsparcie zewnętrzne, jeśli tylko używany system jest zgodny z modelem referencyjnym autorstwa Ministerstwa Zdrowia i Centrum E-Zdrowia.

Jeśli ten warunek jest spełniony, to eksperci Centrum przeprowadzają w danej jednostce audyt, by móc wykazać, czego używanemu systemowi brakuje.

Zgodnie z zarządzeniem prezesa NFZ w sprawie finansowania działań w celu podniesienia poziomu bezpieczeństwa teleinformatycznego u świadczeniodawców z 16 stycznia 2023 roku, finansowaniem mogą zostać objęte:
• zakup lub rozwój systemu kopii zapasowych;
• zakup lub rozwój systemów firewall;
• zakup lub rozwój systemu poczty elektronicznej wraz z systemem bezpieczeństwa;
• zakup lub rozwój systemów opartych na rozwiązaniach co najmniej klasy Endpoint Detection and Response w architekturze serwera

Ponadto finansowaniem może zostać objęte szkolenia w zakresie cyberbezpieczeństwa.

Kwoty dofinansowania sięgają od kilkudziesięciu do nawet 900 tys. złotych.

Poza tym zaatakowanym jednostkom mają pomóc specjaliści z powstającej w Centrum spec-komórki. Przyjadą, zabezpieczą, sprawią, że dane nie wyciekną – zapewnia resort.

Rzecz w tym, że najczęstszą formą cyberataku (nie tylko na szpitalne systemy informatyczne) jest używanie tzw. złośliwego oprogramowania, czyli ransomware. Z jego pomocą e-przestępcy szyfrują zawartość twardych dysków serwerach, zakładają na nie hasło i proponują jego ujawnienie za odpowiedniej wysokości „wynagrodzenie”. I nie są to drobne sumki, ale idące (w przypadku tych kilkunastu ataków wspomnianych przez dyrektora Węcławika) co najmniej w setki tysięcy złotych, a i nawet w miliony.