Dane udostępnione przez Ministerstwo Cyfryzacji wskazują na trzykrotny wzrost zgłoszonych cyberataków na placówki ochrony zdrowia w Polsce (z 13 w 2021 r. do 43 w 2022 r.). Trudno ocenić, ilu ataków nie zgłoszono, a ilu nawet nie wykryto. Z kolei światowe dane udostępnione przez Check Point pokazują 74% wzrost liczby ataków na tę branżę, co świadczy o tym, że jest ona najczęściej atakowanym sektorem z blisko 1800 atakami tygodniowo.

Najczęstszymi cyberzagrożeniami są ataki typu ransomware polegające na szyfrowaniu zasobów i uniemożliwieniu dostępu do nich, oraz DDoS - czyli blokowanie serwerów poprzez wysyłanie do nich dużej ilości fałszywych zapytań. W wyniku innych ataków takich, jak na przykład phishing, dochodzi do wycieku danych osobowych i informacji medycznych na temat pacjentów. Nieautoryzowany dostęp do danych medycznych pacjentów narusza ich prywatność i może być wykorzystywany w celach dalszego szantażu lub kradzieży tożsamości.

Na polskim rynku ataki ransomware dotknęły już placówki medyczne, np. Centralny Szpital Kliniczny w Łodzi czy Centrum Zdrowia Matki Polki. W obu przypadkach doszło do znaczącego utrudnienia w funkcjonowaniu jednostek ochrony zdrowia, tj. czasowego braku możliwości korzystania z rozwiązań cyfrowych oraz dostępu do zgromadzonych danych medycznych, co pośrednio również mogło stać się zagrożeniem dla zdrowia i życia pacjentów. Głośny incydent dotyczący wycieku danych (nawet 200 tysięcy pacjentów) dotknął sieci laboratoriów diagnostycznych ALAB. W tym przypadku atakujący zażądali zapłaty w zamian za niepublikowanie tych danych publicznie.

Rośnie również liczba ataków DDoS przeprowadzanych na jednostki służby zdrowia. Ich ilość zwiększyła się znacząco wraz z rozpoczęciem wojny w Ukrainie. Ataki tego typu, choć nie prowadzą bezpośrednio do szyfrowania bądź utraty danych, mogą skutecznie paraliżować działanie placówek służby zdrowia.

Dyrektywa NIS2, która już wkrótce zacznie obowiązywać w Polsce, ma na celu zwiększenie odporności na ataki cybernetyczne zarówno poprzez wdrażanie skutecznych środków ochronnych oraz podniesienie świadomości w zakresie cyberbezpieczeństwa. Dyrektywa ta dzieli sektory gospodarki na kluczowe i ważne. Ochrona zdrowia, ze względu na swoją rolę dla społeczeństwa, została zakwalifikowana właśnie jako sektor kluczowy. Jakie są powody takiej kwalifikacji?

• Jednostki z sektora ochrony zdrowia są atrakcyjnym celem dla hakerów. Gromadzą wrażliwe dane, stosują najróżniejsze technologie i narzędzia cybernetyczne, korzystają z technologii zarówno najnowszej i wysoce specjalistycznej, jak również z popularnych i doskonale znanych rozwiązań wykorzystywanych do zarzadzania danymi. Złożone połączenia systemów informatycznych (IT) i technologii operacyjnych (OT) są niezbędne do zapewnienia kompleksowej opieki medycznej. Taka integracja jest jedną z przyczyn, dla których stanowią one potencjalny i łatwy cel dla cyberprzestępców. Jednocześnie musimy pamiętać o tym, że mówimy o sektorze, którego podstawowym celem jest troska o zdrowie i życie nas samych.


• W sieciach informatycznych, obsługujących jednostki służby zdrowia, mamy do czynienia z ogromną różnorodnością zainstalowanych urządzeń. Znajdziemy zarówno wysoce specjalistyczną, unikalną aparaturę, dostarczaną przez niszowych dostawców, jak również powszechne rozwiązania, które oferuje przynajmniej kilku różnych producentów. Urządzenia te działają na różnych systemach operacyjnych, często już nieobsługiwanych, co sprawia, że zarządzanie nimi i zapewnienie bezpieczeństwa jest ogromnym wyzwaniem. Znajdziemy tu zarówno najnowsze, jak i stare wersje systemu Windows, wiele dystrybucji Linux, mobilne systemy operacyjne, Sun Solaris, SunOS, własne systemy dostawców urządzeń i inne.

Raport przygotowany przez CISA (Cybersecurity & Infrastructure Security Agency) wskazuje, że ponad 60% wykorzystywanych do ataków podatności podawanych w katalogu KEV (Known Exploited Vulnerabilities) można znaleźć w urządzeniach wchodzących w skład sieci jednostek medycznych. Autorzy podają również, że około 14% tych urządzeń działa pod kontrolą systemów wycofanych z eksploatacji. Biorąc pod uwagę fakt, że urządzenia są dostarczane przez prawie czterystu dostawców, z których każdy może mieć unikalny program przygotowywania i dystrybucji poprawek, mamy do czynienia z niezbyt optymistycznym obrazem. A wszystko to dzieje się w sektorze, który pieniądze w pierwszej kolejności przeznacza na swoje podstawowe aktywności, co jest jak najbardziej zrozumiałe i wręcz oczekiwane. Taka sytuacja powoduje, że jednostki medyczne wykazują dużą ilość luk i podatności, które zgrabnie wykorzystują atakujący.