Szpitale wobec cyberzagrożeń: między brakiem kadr a rosnącą odpowiedzialnością

MM: Podczas debaty „Bezpieczny Szpital (wobec zagrożeń) Przyszłości” mówił Pan o cyberbezpieczeństwie w szpitalach. W rozmowach kuluarowych ta tematyka wywołała duże zainteresowanie. O co pytali Pana szefowie szpitali?

PD: Dla wielu uczestników była to okazja, żeby spojrzeć na ten temat z innej perspektywy. Widać, że często brakuje rzetelnej wiedzy, a opinie są budowane na ogólnych hasłach czy teoriach tworzonych przez osoby bez praktycznego doświadczenia. Szpitale często wychodzą z założenia, że warto inwestować we własną infrastrukturę serwerową – podczas debaty to przekonanie zostało podważone. W efekcie jednym z najczęściej powracających tematów w rozmowach było pytanie o zasadność takich inwestycji oraz o to, czy bardziej racjonalnym kierunkiem nie są rozwiązania zewnętrzne, w tym chmurowe.

MM: Temat cyberataku na szpital MSWiA w Krakowie i case wychodzenia z tego kryzysu, w czym aktywnie pomagaliście, wywołał duże zainteresowanie. Co w kontekście bezpieczeństwa szpitala, na podstawie tych doświadczeń, jest według Pana kluczowe?

PD: Zdecydowanie czas odtworzenia systemu. Powrót do normalnego funkcjonowania szpitala. Jak pamiętamy, w marcu 2025 szpital MSWiA w Krakowie zmierzył się z atakiem typu ransomware, który całkowicie unieruchomił systemy informatyczne i doprowadził do zaszyfrowania danych. W tej sytuacji niezwykle istotne było szybkie powołanie zespołu projektowego, który odpowiadał za zabezpieczenie danych oraz wsparcie działań prowadzonych zgodnie z wytycznymi służb. Dzięki natychmiastowemu zgłoszeniu incydentu oraz sprawnej koordynacji między szpitalem a odpowiednimi instytucjami, możliwe było szybkie opanowanie sytuacji i rozpoczęcie odbudowy infrastruktury.

Te doświadczenia jasno pokazują, jak ważne jest dbanie o podstawowe standardy bezpieczeństwa oraz regularne szkolenie pracowników. Działania prewencyjne są zawsze skuteczniejsze niż reagowanie na skutki problemów. Przede wszystkim jednak system musi być odpowiednio zaprojektowany. Musi być odporny na ludzkie błędy i podatności, takie jak choćby nieostrożne kliknięcie w niezabezpieczony link.

MM: Mając własne serwery takie szybkie odtworzenie systemu, bazując na niedawnych atakach, jest możliwe?

PD: Szybkie niestety nie. Może trwać to tygodniami.

MM: Jakie rozwiązanie byłoby optymalne?

PD: Coraz większą rolę powinien odgrywać model „security as a service”, czyli bezpieczeństwo jako usługa. To podejście, w którym za cyberbezpieczeństwo odpowiadają wyspecjalizowane firmy zewnętrzne. W mojej opinii, takie rozwiązania byłyby najkorzystniejsze dla szpitali.

MM: A jakie obawy pojawiają się w tym kontekście?

PD: Często pojawia się pytanie: „Czy ja w ogóle mogę mieć te dane u was?”. Odpowiedź brzmi - tak. Posiadamy świadectwo bezpieczeństwa przemysłowego, nasze obiekty data center, na których opierają się rozwiązania chmurowe, spełniają najwyższe standardy bezpieczeństwa oraz posiadają odpowiednią certyfikację, a systemy są zabezpieczone zgodnie z obowiązującym prawem. Dane przechowywane są w chmurze, ale fizycznie znajdują się w Polsce.

MM: A co z kosztami?

PD: Rozwiązania chmurowe są docelowo tańsze. Przede wszystkim dlatego, że nie wymagają utrzymywania przez klienta dużych zespołów. Może wydawać się, że po zakupie serwerów nie trzeba już ponosić większych wydatków, ale to nieprawda. Głównym kosztem wcale nie jest zakup sprzętu. Największe koszty to licencje, aktualizacje, utrzymanie infrastruktury oraz wynagrodzenia dla ludzi odpowiedzialnych za jej działanie. A mówimy tu o całych zespołach informatyków i specjalistów m.in. od cyberbezpieczeństwa. To koszty, które należy uwzględnić w porównywaniu cen. Kosztem jest też zarządzanie rotacją pracowników, ich szkolenia, aby stale podnosili kompetencje i stałe zapewnianie im pola do rozwoju.

MM: Patrząc na polską ochronę zdrowia, czy widzi Pan potrzebę zmian systemowych w zakresie cyberbezpieczeństwa?

PD: Tak, bardzo istotna jest kwestia unifikacji. Obecnie każdy podmiot działa inaczej. Ma inne systemy, inne procedury zarządzania i utrzymania infrastruktury. Unifikacja pozwoliłaby podejść do bezpieczeństwa w sposób systemowy. W Polsce są instytucje, które mogłyby odegrać w tym procesie ważną rolę. Pojawiają się inicjatywy centralne i uważam, że to bardzo dobry kierunek, który warto wspierać.

Przekonanie, że „muszę mieć wszystko u siebie, swoich ludzi i pełną kontrolę”, jest już nieaktualne. Szpitale w UE również przechodzą w kierunku rozwiązań chmurowych, oczywiście z zachowaniem rygorów prawnych i ochrony danych wrażliwych.

MM: Czy gdyby ostatnio zaatakowane szpitale korzystały z chmury, skala problemu byłaby mniejsza?

PD: Tak jak mówiłem wcześniej, najważniejszy jest czas przywracania systemów. I byłby on radykalnie krótszy. Zakładając oczywiście, że poziom zabezpieczeń byłby podobny, ale trzeba pamiętać, że już samo przejście do chmury wymusza wyższy standard bezpieczeństwa.

Jeśli infrastruktura jest u dostawcy, dzięki redundancji, atak powoduje separację zainfekowanego środowiska produkcyjnego i praktycznie natychmiast zostaje uruchomione środowisko zapasowe. Dane są replikowane w czasie rzeczywistym, więc ewentualna strata danych to maksimum kilka minut pracy. A być może takich strat w ogóle by nie było.

Jeśli mielibyśmy do czynienia z pełnym przejściem do chmury, poziom bezpieczeństwa byłby jeszcze wyższy, ponieważ dostawcy oferują dodatkowe zabezpieczenia, często w standardzie. W efekcie próg wejścia dla atakującego jest znacznie wyższy niż w przypadku infrastruktury lokalnej, co istotnie ogranicza ryzyko incydentów, a w wielu przypadkach może im wręcz zapobiec.

MM: Podczas wystąpienia mówił Pan także o rozwiązaniach telekomunikacyjnych, takich jak sieć kampusowa. Jakie korzyści może to rozwiązanie przynieść szpitalom i ich menedżerom?

PD: Sieć kampusowa, czyli prywatna sieć komórkowa 5G, daje ogromne możliwości. Przede wszystkim wyróżnia się bardzo wysoką wydajnością i szybkością działania, nieporównywalną z tradycyjnymi, ogólnodostępnymi sieciami. To nie jest tylko infrastruktura zapewniająca zasięg telefonii. Umożliwia np. bardzo precyzyjną lokalizację zasobów. W czasie rzeczywistym możemy sprawdzić, gdzie znajduje się konkretny sprzęt, łóżko szpitalne, lekarz czy pacjent. Wystarczy odpowiednie oznakowanie, np. chip i system zaczyna działać automatycznie.

MM: A co z bezpieczeństwem tego rozwiązania?

PD: Sieci tego typu są bardzo silnie szyfrowane, a mechanizmy zabezpieczeń są dynamiczne. W praktyce oznacza to, że dziś są one niezwykle trudne do złamania. Sieć kampusowa daje więc dwie kluczowe wartości: bezpieczeństwo i ogromne możliwości rozwoju.

MM: Czy w obecnej sytuacji geopolitycznej rośnie znaczenie takich rozwiązań również w kontekście bezpieczeństwa kryzysowego?

PD: Coraz częściej spotykamy się z potrzebami związanymi z tzw. komunikacją kryzysową. To bardzo szeroki obszar, obejmujący zarówno komunikację wewnętrzną, jak i zewnętrzną.

Mówimy tu o rozwiązaniach wielowarstwowych, od infrastruktury kablowej, przez prywatne sieci 5G, aż po systemy analogowe, takie jak krótkofalówki. Do tego dochodzi niezależne zasilanie, czyli generatory, systemy awaryjne, które zapewniają ciągłość działania nawet w sytuacjach kryzysowych.

Stosuje się także rozwiązania satelitarne. W zastosowaniach medycznych czy krytycznych w zakresie bezpieczeństwa potrzebne są profesjonalne instalacje: odpowiednie maszty, dedykowana infrastruktura i właściwe zasilanie.

Łączymy różne technologie, dobieramy je do konkretnych potrzeb i odpowiadamy za całość wdrożenia. Można powiedzieć, że specjalizujemy się w realizacji projektów „szytych na miarę”, również tych najbardziej wymagających, zarówno w sektorze medycznym, jak i w obszarach infrastruktury krytycznej.

Prywatna sieć komórkowa 5G – element polityki bezpieczeństwa i procesów cyfryzacji sektora medycznego.

Podstawowe zalety:

• Niezawodność i ciągłość działania

Stabilna łączność o niskich opóźnieniach, kluczowa dla środowisk krytycznych – sal operacyjnych, OIOM, diagnostyki obrazowej.

• Wysoka przepustowość i obsługa dużej liczby urządzeń

Jednoczesna obsługa dla systemów HIS/PACS, urządzeń IoT, monitoringu pacjentów, sprzętu mobilnego personelu oraz robotyki medycznej.

• Pełna kontrola i bezpieczeństwo danych

Specjalna infrastruktura, segmentacja sieci i ściśle definiowane polityki dostępu zwiększają ochronę wrażliwych danych medycznych.

• Automatyzacja procesów klinicznych i administracyjnych

Wsparcie dla zdalnego monitorowania pacjentów, lokalizacji sprzętu (RTLS), cyfrowego obiegu dokumentów, zarządzania zasobami i ruchem pacjentów.

• Skalowalność i gotowość na rozwój

Możliwość szybkiego wdrażania nowych usług – telemedycyny, rozwiązań AI w diagnostyce, rozszerzania środowisk IoT i modeli opieki opartych na danych.

• Wzrost efektywności operacyjnej

Krótszy czas reakcji personelu, ograniczenie przestojów sprzętu oraz lepsze wykorzystanie infrastruktury i zasobów placówki.

• Bezpieczeństwo, którego nie zapewnia żadna inna technologia mobilnej łączności w środowisku klinicznym.