Czy pacjenci mogą czuć się bezpiecznie? Systemy IT w służbie zdrowia celem ataków cyber-przestępców.
Służba zdrowia musi niezwłocznie wdrożyć profesjonalne rozwiązania zapewnienia bezpieczeństwa IT.
Zgodnie z obecnie obowiązującym stanem prawnym od dnia 1 sierpnia 2017 (czyli za niewiele więcej niż rok) dokumentacja medyczna będzie musiała być prowadzona wyłącznie w firmie elektronicznej.
Choć termin wejścia w życie zapisów dotyczących elektronicznych danych medycznych „Ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia” był już nieraz przesuwany, i tak może być i tym razem, musimy jednak liczyć się z tym, że ten moment nieuchronnie się zbliża i w końcu nastąpi.
Niewątpliwie wprowadzenie w życie postanowień Ustawy i rozporządzeń kolejnych Ministrów Zdrowia dotyczących elektronicznej dokumentacji medycznej narzuca na cały system opieki zdrowotnej gigantyczne i bardzo odpowiedzialne zadanie wdrożeniowe. Bardzo liczę na to, że całe przedsięwzięcie zakończy się sukcesem. Konsekwencją uruchomienia systemów elektronicznej informacji medycznej będą zwiększone wymagania w zakresie bezpieczeństwa systemów informatycznych w szpitalach, przychodniach i innych placówkach związanych ochroną zdrowia.
Można wymienić kilka istotnych miejsc w medycznych systemach informatycznych, które mogą być podatne i wrażliwe na cyber-zagrożenia:
- Bazy danych osobowych,
- Bazy danych dotyczące stanu zdrowia pacjentów,
- Systemy podtrzymywania życia i monitorowania stanu pacjentów,
- Systemy HIS (Health Information Systems) w części medycznej i administracyjnej,
- Urządzenia medyczne,
- Pozostałe systemy, które mogą mieć wpływ na realizację kluczowych procesów.
W styczniu 2016 rzecznik prasowy Szpitala w Ottawie poinformował, że 4 spośród prawie 10 tysięcy komputerów w szpitalu zostało zaatakowanych z użyciem oprogramowania ransomware. Ten typ złośliwego oprogramowania po kliknięciu na załącznik w przesyłce email, w łącze w emailu lub na stronie internetowej blokuje pliki na infekowanym komputerze. Po zapłaceniu okupu ofiara ataku otrzymuje klucz, który umożliwia ponowne otwarcie zaszyfrowanych plików. W przypadku tego ataku szpital nie zapłacił okupu, a służby informatyczne wyczyściły zawartość dysków i odtworzyły dane z użyciem kopii zapasowych. Szpital poinformował, że dane pacjentów nie były zagrożone.