Bezpieczny szpital przyszłości. Jak chronić pacjentów w świecie cyfrowych zagrożeń

Debata była przestrzenią wymiany doświadczeń i poszukiwania praktycznych rozwiązań pozwalających wzmacniać bezpieczeństwo szpitali – zarówno w wymiarze infrastrukturalnym, jak i cyfrowym. W dobie rosnącej liczby incydentów cybernetycznych to właśnie ochrona systemów IT oraz danych pacjentów coraz częściej decyduje o zdolności placówek do nieprzerwanego działania.

Cyberbezpieczeństwo jako element bezpieczeństwa pacjenta

Podczas panelu „Infrastruktura, technologia, cyberbezpieczeństwo – odporność ochrony zdrowia na zagrożenia” Weronika Dejneka zwróciła uwagę, że cyberbezpieczeństwo przestaje być wyłącznie domeną działów IT, a staje się integralną częścią bezpieczeństwa operacyjnego placówek medycznych.

– Ataki są dziś coraz bardziej złożone – od phishingu i smishingu, przez próby infekowania infrastruktury złośliwym oprogramowaniem, aż po zaawansowane kampanie ransomware wymierzone w systemy szpitalne i bazy danych. Każde z tych zagrożeń może prowadzić do paraliżu działalności operacyjnej. W PZU Zdrowie odpowiadamy na nie poprzez centralizację infrastruktury, inwestycje w nowoczesne zabezpieczenia oraz systematyczne budowanie świadomości pracowników – podkreślała Weronika Dejneka.

Eksperci obecni na debacie zgodnie wskazywali, że rosnąca liczba cyberataków wymaga traktowania bezpieczeństwa IT na równi z innymi elementami bezpieczeństwa szpitali – takimi jak ochrona fizyczna czy procedury postępowania kryzysowego.

Placówki medyczne stały się jednym z najbardziej atrakcyjnych celów cyberprzestępców. Wynika to z połączenia wysokiej wartości danych zdrowotnych, zaawansowanej cyfryzacji procesów oraz presji na nieprzerwaną dostępność systemów. Ransomware czy kampanie phishingowe mogą dziś realnie zagrozić ciągłości leczenia pacjentów.

Dodatkowym wyzwaniem jest dynamiczny rozwój sztucznej inteligencji. Z jednej strony AI ułatwia automatyzację ataków i tworzenie wiarygodnych fałszywych treści, z drugiej – odpowiednio wykorzystywana może znacząco poprawić zdolność organizacji do wykrywania zagrożeń i reagowania na incydenty. Kluczowe staje się więc odpowiedzialne zarządzanie technologią oraz budowanie dojrzałej kultury bezpieczeństwa.

Jak podkreślano podczas debaty, nawet najbardziej zaawansowane rozwiązania technologiczne nie zastąpią świadomego pracownika. To czynnik ludzki najczęściej decyduje o powodzeniu ataku.

- Regularne szkolenia z zakresu cyberbezpieczeństwa przestały być dodatkiem, a stały się elementem niezbędnym. Cyberbezpieczeństwo zaczyna się od ludzi, dlatego świadomy pracownik, który potrafi zachować czujność w codziennej pracy, właściwie reaguje na nietypowe sytuacje i zna podstawowe procedury bezpieczeństwa stanowi dla organizacji wartość nie mniejszą niż nowoczesne zabezpieczenia techniczne - zaznaczała Weronika Dejneka.

Odporność infrastrukturalna i ciągłość działania

W PZU Zdrowie bezpieczeństwo realizowane jest w sposób kompleksowy – od planowania i projektowania systemów, przez wybór dostawców i testy bezpieczeństwa, aż po stały monitoring i reagowanie na incydenty. Wszystkie aplikacje są analizowane pod kątem ryzyk i objęte ciągłym nadzorem, co pozwala traktować cyberbezpieczeństwo jako proces, a nie jednorazowe działanie.

Szkolenia z zakresu cyberbezpieczeństwa i reagowania na incydenty obejmują zarówno centralę, placówki własne i spółki zależne, jak i dedykowane sesje dla członków zarządu. Ich istotnym elementem są praktyczne przykłady i symulacje rzeczywistych ataków.

Wraz z rozwojem organizacji PZU Zdrowie zdecydowało się na budowę własnych, wyspecjalizowanych struktur cyberbezpieczeństwa, ściśle współpracujących z zespołami odpowiedzialnymi za infrastrukturę IT i bezpieczeństwo fizyczne.

- Budowanie odporności placówek PZU Zdrowie opiera się na połączeniu przygotowania organizacyjnego i technologicznego. Priorytetem pozostaje ciągłość kluczowych usług medycznych i bezpieczeństwo informacji. Gotowość placówek jest regularnie weryfikowana w ramach szerokiego systemu zarządzania ciągłością działania. Obejmuje on ćwiczenia, przeglądy procedur i doskonalenie kompetencji pracowników. Scenariusze zdarzeń masowych różnią się skalą i dynamiką, dlatego odporność traktujemy jako ciągły proces. – podkreślił Krzysztof Stachowicz, Kierownik Zespołu Cyberbezpieczeństwa w Biurze IT PZU Zdrowie.

Doświadczenia Grupy PZU jako fundament zarządzania ryzykiem

PZU Zdrowie korzysta z wieloletnich doświadczeń Grupy PZU w obszarze zarządzania ryzykiem, przenosząc sprawdzone standardy do realiów ochrony zdrowia. Obejmuje to m.in. odporność cyfrową, bezpieczeństwo informacji i podejście do ryzyka operacyjnego, gdzie kluczowe jest utrzymanie ciągłości działania i ochrona pacjenta.

Inwestycje w redundancję realizowane są tam, gdzie mają największy wpływ na bezpieczeństwo pacjentów i ciągłość świadczeń. Obejmują m.in. wielowarstwowy model ochrony, porządkowanie obszaru tożsamości i dostępu oraz wzmacnianie odporności operacyjnej systemów IT.

Wnioski dla szpitali

Najważniejszą rekomendacją jest traktowanie bezpieczeństwa nie jako kosztu, lecz partnera ciągłości działania. Odporność powinna być procesem – obejmującym standardy, narzędzia, kompetencje i konsekwentne zarządzanie ryzykiem.

Debata „Bezpieczny Szpital Przyszłości” odbyła się pod honorowym patronatem Ministerstwa Spraw Wewnętrznych i Administracji oraz Ministra Zdrowia. Jednym z partnerów wydarzenia była Grupa PZU. Spotkanie potwierdziło, że tylko międzysektorowa współpraca oraz nowoczesne technologie pozwolą zbudować odporny system ochrony zdrowia, zdolny sprostać współczesnym i przyszłym zagrożeniom.

PZU Zdrowie jest jednym z największych ogólnopolskich operatorów medycznych. Sieć medyczna firmy liczy około 130 placówek własnych oraz ponad 4000 partnerskich w blisko 700 miastach w Polsce. Dysponuje własną infolinią medyczną, portalem pacjenta mojePZU oraz Centrum Telemedycznym. Zapewnia opiekę zdrowotną w formie ubezpieczeń i abonamentów medycznych dla firm oraz klientów indywidualnych. Centra medyczne PZU Zdrowie są dostępne także dla pacjentów nieposiadających pakietów.