Podatność to „słabość aktywu lub zabezpieczenia, która może być wykorzystana przez jedno lub więcej zagrożeń”, natomiast zagrożenie to „potencjalna przyczyna niepożądanego incydentu, którego skutkiem może być szkoda dla systemu lub insty-tucji” [PN-ISO/IEC 27000:2014].
Urządzenia medyczne mogą być narażone na ataki cyberprzestępców [Bisson 2015]. Scott Erven i Mark Collao, wykorzystując przeglądarkę Shodan, przeprowadzili bada-nia, na podstawie których zidentyfikowali słabe punkty podmiotów wykonujących działalność leczniczą. Dodatkowo skonfigurowali 10 testowych urządzeń i podłączyli je do sieci, aby przyciągnąć uwagę cyberprzestępców. W ciągu 6 miesięcy odnotowano dziesiątki tysięcy prób logowania, 299 prób użycia złośliwego oprogramowana oraz 24 ataki z wykorzystaniem eksploitów. Inny przykład zaprezentował Siergiej Lożkin [ Bro-ok 2016, Lożkin 2016]. W swoim badaniu sprawdzał zabezpieczenia jednego ze szpi-tali. Za pomocą przeglądarki Shodan udało mu się zidentyfikować podatne na ataki
urządzenia medyczne. Następnie w szpitalu uzyskał dostęp do sieci bezprzewodowej i mógł połączyć się oraz przejąć kontrolę nad urządzeniem MRI. Lożkin zwrócił uwagę na trzy podstawowe błędy: urządzenia medyczne często połączone są bezpośrednio z Internetem, bez odpowiedniego uwierzytelnienia, nie są zabezpieczone przed do-stępem z sieci lokalnej oraz występują luki w zabezpieczeniach na poziomie aplikacji. W roku 2016 firma Deloitte przeprowadziła badanie 24 szpitali w 9 krajach pod kątem bezpieczeństwa urządzeń medycznych podłączonych do sieci, z którego wynika, że więcej niż połowa badanych szpitali posiadała urządzenia medyczne podłączone do sieci, które korzystają z domyślnych haseł [Ludwiszewski 2016]. W odniesieniu do infra-struktury sieciowej należy pamiętać o: odpowiednich zabezpieczeniach sieci lokalnej przewodowej i bezprzewodowej, stosowaniu silnych haseł, aktualizacji oprogramowa-nia urządzeń sieciowych oraz zmianie domyślnych haseł, wprowadzeniu monitoringu sieci wraz z analizą nieudanych prób logowania, prowadzeniu testów bezpieczeństwa. Niezwykle istotne jest również budowanie świadomości na temat zagrożeń wśród personelu medycznego. Pracownicy podmiotu prowadzącego działalność leczniczą powinni być odpowiednio przeszkoleni z zakresu bezpieczeństwa informacji i stoso-wać się do wdrożonych polityk, procedur i instrukcji. Również pacjenci powinni być przygotowani na ataki ze strony cyberprzestępców, którzy mogą podszywać się pod lekarzy. Dysponując danymi wykradzionymi na przykład ze szpitala mają oni możli-wość wygenerowania maili phishingowych i wysłania ich do pacjentów z informacją np. o wynikach badania bądź potwierdzeniem wizyty i prośbą o kliknięcie w zamiesz-czony w wiadomości link. Ponieważ informacje o stanie zdrowia przekazywane są le-karzowi, to taka wiadomość wydaje się wiarygodna i pacjent nie spodziewa się ataku.
Podsumowanie
Z wyników badań przeprowadzonych przez ekspertów, które zostały przytoczone w artykule wynika, że w ostatnich latach wzrasta zainteresowanie przeprowadzaniem ataków cyberprzestępców na podmioty prowadzące działalność leczniczą. Dodatko-wo potwierdzono, że wiele urządzeń medycznych jest podatnych na zagrożenia i nie są one poprawnie zabezpieczone. Ponadto raporty NIK z przeprowadzonych kontroli potwierdzają, że podmioty te nie są odpowiednio przygotowane do zapewnienia po-ufności, integralności i dostępności informacji. Dodatkowo podmioty są zobowiązane do wprowadzenia systemów elektronicznej dokumentacji medycznej w terminie do 1 stycznia 2018 r. oraz zapewnienia odpowiedniego poziomu bezpieczeństwa tych sy-stemów. Powyższe twierdzenia implikują potrzebę przeprowadzenia badań stanu bez-pieczeństwa informacji w podmiotach prowadzących działalność leczniczą w Polsce.
Bibliografia
Barta J., Fajgielski P., Markiewicz R. (2004), Ochrona danych osobowych. Komentarz, Warszawa. Bisson D. (2015), Thousands of Medical Systems Exposed to Web Attacks, Find Researchers [on-line], https://www.tripwire.com/state-of-security/latest-security-news/thousands-of-medi-cal-systems-exposed-to-web-attacks-find-researchers/, dostęp: 01.02.2017.
Brook C. (2016), Sergey Lozhkin on How He Hacked His Hospital [online], https://threatpost. com/sergey-lozhkin-on-how-he-hacked-his-hospital/116314/, dostęp: 01.02.2017. Byczkowski M. (2007), Zarządzanie procesami przetwarzania danych osobowych (w:) Ochrona da-nych osobowych. Aktualne problemy i nowe wyzwania, red. G. Sibiga, X. Konarski, Warszawa, s. 17. CSIOZ (2016), Centrum Systemów Informacyjnych Ochrony Zdrowia, Wyniki badania an-kietowego „Badanie stopnia przygotowania podmiotów wykonujących działalność leczni-czą do obowiązków wynikających z ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia” [online], https://csioz.gov.pl/fileadmin/user_upload/wyniki_badania_ ankietowego_3_56aee58e9e098.pdf, dostęp: 01.02.2017.
Gazetakrakowska.pl (2015), Chrzanów. Rejestratorka zwolniona ze szpitala. To przez kradzieże i handel kartotekami pacjentów? [online], http://www.gazetakrakowska.pl/ artykul/9011549,chrzanow-rejestratorka-zwolniona-ze-szpitala-to-przez-kradzieze-i-han-del-kartotekami-pacjentow,id,t.html, dostęp: 01.02.2017.
IBM.com (2016), 2016 Cyber Security Intelligence Index [online], http://www-03.ibm.com/se-curity/data-breach/cyber-security-index.html, dostęp: 01.02.2017.
Józefiak B. (2016), Haker wykradł dane 10 milionów pacjentów. Żąda okupu za to, że ich nie ujawni [online], http://www.cyberdefence24.pl/414889,haker-wykradl-dane-10-milionow-pacjentow-zada-okupu-za-to-ze-ich-nie-ujawni, dostęp: 01.02.2017.
Kan M. (2016), How a healthcare hacker is pressuring victims to pay up [online], http://www.com-puterworld.in/news/how-healthcare-hacker-pressuring-victims-pay, dostęp: 01.02.2017. Lożkin S. (2016), Szpitale są celem ataków w 2016 roku [online], http://www.securelist.pl/ blog/7356,szpitale_sa_celem_atakow_w_2016_roku.html, dostęp: 01.02.2017.
Ludwiszewski M. (2016), Cyberprzestępcy mogą zagrozić zdrowiu pacjentów [online], http:// pulsmedycyny.pl/4643283,44047,cyberprzestepcy-moga-zagrozic-zdrowiu-pacjentow?utm_ source=copyPaste&utm_medium=referral&utm_campaign=Firefox, dostęp: 01.02.2017. Mcafee.com (2016), Cyberattacks are targeting the health care industry [online], http://www. mcafee.com/au/security-awareness/articles/health-warning.aspx, dostęp: 01.02.2017. Merkel R. (2016), Hack attack on a hospital IT system highlights the risk of still running Windows XP [online], http://www.psnews.com.au/qld/490/tech/hack-attack-on-a-hospital-it-system-highlights-the-risk-of-still-running-windows-xp, dostęp: 01.02.2017.
Najwyższa Izba Kontroli (2016), Informacja o wynikach kontroli „Tworzenie i udostępnianie do-kumentacji medycznej”, Warszawa 28.04.2016 r.
PN-EN-ISO/IEC 27799:2016 Informatyka w ochronie zdrowia – Zarządzanie bezpieczeństwem informacji w ochronie zdrowia z wykorzystaniem ISO/IEC 27002
PN-ISO/IEC 27000:2014 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarzą-dzania bezpieczeństwem informacji – Przegląd i terminologia
Scmagazine.com (2016), Ransomware holds data hostage in two German hospitals [online], https://www.scmagazine.com/ransomware-holds-data-hostage-in-two-german-hospitals/ article/528823/, dostęp: 01.02.2017.
Securityawarness.pl (2016), O tym jak szpital dobrowolnie zapłacił hakerom 17 tys. $ [online], https://securityawareness.pl/o-tym-jak-szpital-dobrowolnie-zaplacil-hakerom-17-tys#.WD-rC1lxSE7I, dostęp: 01.02.2017.
Szewc A. (1999), Z problematyki ochrony danych osobowych, cz. III, Radca Prawny 1999, nr 5, s. 15. Tvn24.pl (2015a), Znaleźli kilkaset porzuconych kart pacjentów [online], http://www.tvn24. pl/wroclaw,44/wroclaw-straznicy-miejscy-znalezli-porzucona-dokumentacje-medycz-na,583602.html, dostęp: 01.02.2017.
Tvn24.pl (2015b), Dokumenty z danymi pacjentek w śmietniku. Ginekolog sprzątał w garażu? [online], http://www.tvn24.pl/wroclaw,44/opolszczyna-dokumenty-z-danymi-pacjentek-wyladowaly-w-smietniku,544679.html, dostęp: 01.02.2017.
Tvn24.pl (2015c), Szpital psychiatryczny opublikował dane pacjentów. „Działamy zgodnie z prawem” [online], http://www.tvn24.pl/wroclaw,44/dane-pacjentow-szpitala-psychia-trycznego-trafily-do-internetu,590135.html, dostęp: 01.02.2017.
Zajdel R. (2016), Zasady prowadzenia, udostępniania i archiwizowania dokumentacji medycz-nej – zagadnienia praktyczne, w: J. Zajdel (red.), Prawo medyczne, WoltersKluwer.
Akty prawne
[RwSMW] Rozporządzenie Ministra Zdrowia z dnia 14 sierpnia 2013 r. w sprawie minimal-nych wymagań dla niektórych systemów teleinformatyczminimal-nych funkcjonujących w ramach systemu informacji w ochronie zdrowia (Dz. U. z 2013 r. poz. 999).
[RwSRDM] Rozporządzenie Ministra Zdrowia z 9 listopada 2015 r., w sprawie rodzajów, za-kresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania (Dz. U. z 2015 r., poz. 2069).
[RwSWSIM] Rozporządzenie Ministra Zdrowia z 28 marca 2013 r., w sprawie wymagań dla Systemu Informacji Medycznej (Dz. U. z 2013 r., poz. 463).
[UoDzL] Ustawa z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz. U. z 2015 r., poz. 618, ze zm.).
[UoODO] Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922).
[UoPP] Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2015 r., poz. 186, ze zm.).
[UoSIM] Ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz. U. z 2015 r. poz. 636, z późn. zm.).
Jacek Jakieła |
jjakiela@prz.edu.plPolitechnika Rzeszowska, Wydział Budowy Maszyn i Lotnictwa
Joanna Wójcik |
jwojcik@wsiz.rzeszow.plWyższa Szkoła Informatyki i Zarządzania w Rzeszowie, Wydział Informatyki Stosowanej