Celem niniejszego artykułu jest przegląd kluczowych zagrożeń dla sektora medycznego w odniesieniu do incydentów, które już wystąpiły w innych krajach, wraz ze wskazaniem przykładowych działań, które mogą zapobiegać podobnym zagrożeniom w przyszłości.
Przetwarzanie danych osobowych, które należą do danych szczególnych kategorii, wiąże się z tym, że administrator danych musi stosować bardziej restrykcyjne środki bezpieczeństwa w celu zapewnienia odpowiedniego poziomu ochrony danych osobowych. Pracownicy oraz zewnętrzni dostawcy usług administratorów z sektora medycznego, którzy przetwarzają dane wrażliwe, muszą mieć na uwadze to, że wszelkie błędy popełnione przy przetwarzaniu danych osobowych mogą negatywnie wpłynąć na zdrowie lub życie pacjentów lub ich bliskich.
W sektorze medycznym dochodzi do przetwarzania danych osobowych szczególnych kategorii na dużą skalę i wszelkie błędy w prawidłowym funkcjonowaniu systemów teleinformatycznych lub naruszenia bezpieczeństwa mogą mieć tragiczne konsekwencje. W związku z tym niezbędna jest identyfikacja oraz zrozumienie kluczowych zagrożeń teleinformatycznych w sektorze medycznym oraz znalezienie balansu pomiędzy zapewnieniem bezpieczeństwa i prywatności pacjentów a zapewnieniem ciągłości w celu ochrony zdrowia lub życia ludzkiego.
Zagrożenia związane z ransomware
Administrator danych musi być świadomy tego, że skuteczne ataki ransomware polegające na zablokowaniu dostępu do pewnych danych lub urządzeń będą miały wpływ na zdrowie lub życie pacjentów. Ransomware o nazwie WannaCry skutecznie uderzył w brytyjskie placówki medyczne, przez co w 2017 r. minimum 6900 wizyt lekarskich zostało odwołanych, uwzględniając zabiegi, operacje oraz pilne wizyty dla 139 osób chorujących na raka1. W tym konkretnym przypadku żadne dane pacjentów nie zostały skradzione.
Warto zwrócić uwagę, że atak nigdy by się nie powiódł, gdyby jednostki dostosowały się do przekazanych zaleceń. Odpowiednie aktualizacje oprogramowania lub jego całkowite wycofanie udaremniłoby atak. Proces aktualizacji lub wycofania oprogramowania może być złożony i kosztowny, a bezpieczne zarządzanie aktualizacjami wymaga również szczególnej staranności z uwagi na to, że jedna aktualizacja może negatywnie wpłynąć na działanie krytycznego systemu z punktu widzenia ciągłości działania.
Zapewnienie bezpieczeństwa w relacjach z dostawcami usług IT
Administrator danych osobowych musi podjąć odpowiednie działania związane twarzania danych osobowych w relacjach z dostawcami usług. Oznacza to, że samo zawarcie umowy powierzenia przetwarzania danych osobowych z art. 28 rodo nie będzie wystarczające, aby zagwarantować odpowiedni poziom bezpieczeństwa przetwarzania. Istotne jest faktyczne wykorzystywanie narzędzi wskazanych przez art. 28 rodo w postaci monitorowania, edukacji i okresowej weryfikacji procesorów oraz ich subprocesorów. Proces ten wiąże się z dodatkowymi kosztami i obciążeniami, lecz w kontekście rodzaju przetwarzanych danych osobowych oraz ryzyk związanych z potencjalnymi naruszeniami ochrony danych może to być stosunkowo niewielki koszt.
Na jeden ze szpitali w Wielkiej Brytanii została nałożona administracyjna kara pieniężna w wysokości 200 000 funtów szterlingów w związku z tym, że nieprawidłowo przechowywane były informacje związane z in vitro. Szpital od około 2009 r. przekazywał procesorowi za pośrednictwem poczty elektronicznej nagrania audio, na których były zarejestrowane wywiady z pacjentami. Indyjski procesor był umownie zobowiązany do przepisywania nagrań audio do formy tekstowej, która była następnie przesyłana do szpitala. W tym przypadku procesor nie był w stanie prawidłowo zabezpieczyć nagrań audio oraz samych transkrypcji i w związku z nieprawidłową konfiguracją serwera dane te były powszechnie dostępne w internecie. W wywiadach pacjenci ujawniali informacje dotyczące płodności i możliwości leczenia. Nie przewidzieli, że takie informacje mogą być dalej udostępnione. Zabezpieczenie tego byłoby możliwe, gdyby procesor był odpowiednio wcześniej zweryfikowany pod kątem stosowanych zabezpieczeń2.
Internet of Things w sektorze medycznym
Urządzenia, które pomagają chorym normalnie funkcjonować w społeczeństwie, nie zawsze uwzględniają odpowiednie koncepcje związane z cyberbezpieczeństwem. Przykładem jest bioniczna trzustka, która może pomagać cukrzykom w związku z nadmiernymi wahaniami poziomu cukrów, co bezpośrednio podnosi jakość ich życia.
Najważniejszym aspektem działania tego typu systemu z punktu widzenia istniejącego ryzyka dla chorego jest zapewnienie dostępności urządzenia, czyli jego nieprzerwanego działania w każdej sytuacji.
Więcej informacji na stronie: