Eksperci zajmujący się bezpieczeństwem infrastruktury IT muszą umieć reagować na pojawiające się nowe cyfrowe zagrożenia. Jednak osób z odpowiednią wiedzą i umiejętnościami brakuje. Luka kompetencyjna w tym obszarze jest poważnym wyzwaniem, z którym muszą mierzyć się firmy z różnych branż – od przemysłu po ochronę zdrowia.
80% przedsiębiorstw z całego świata doświadczyło w 2022 roku przynajmniej jednego cyberataku, którego można było uniknąć, gdyby nie zabrakło im wykwalifikowanych pracowników1. Wyzwaniem dla firm jest nie tylko znalezienie i zatrudnienie odpowiednich specjalistów, ale także zatrzymanie obecnie pracujących, którzy mogą chcieć zmienić miejsce pracy. Gdy firmy i inne podmioty nie posiadają odpowiedniego zespołu ekspertów ds. cyberbezpieczeństwa, ich sieci, dane klientów czy systemy o krytycznym znaczeniu są znacznie bardziej narażone na cyberzagrożenia.
Jednocześnie stale rośnie liczba i poziom zaawansowania cyberataków. W przypadku powodzenia, takie włamania mogą kosztować firmę setki tysięcy lub nawet miliony złotych, a przede wszystkim utratę poufnych informacji. Tymczasem odpowiednia liczba pracowników odpowiedzialnych za bezpieczeństwo IT zwiększa prawdopodobieństwo wykrycia włamań i zminimalizowania ich negatywnych skutków.
Luka kompetencyjna w placówkach ochrony zdrowia
Problem braku personelu odpowiedzialnego za cyberbezpieczeństwo istnieje także w placówkach ochrony zdrowia, w których od początku pandemii COVID-19 przechowywanych i przetwarzanych jest coraz więcej wrażliwych danych. Celem cyberprzestępców jest ich kradzież, a następnie wykorzystanie do włamywania się do innych systemów, sprzedania innym przestępcom lub zatrzymanie ich dla szantażu upublicznieniem, z nadzieją na otrzymanie okupu.
Jak wynika z badania przeprowadzonego przez firmę Fortinet, w 36% szpitali w Polsce brakuje dziś specjalistów ds. bezpieczeństwa IT. Z kolei w 16% placówek ich niedobór traktowany jest jako najpoważniejsze wyzwanie w zabezpieczaniu infrastruktury IT. W co szóstym szpitalu zatrudnienie specjalistów ds. cyberbezpieczeństwa jest najważniejszą potrzebą inwestycyjną.
Jednak, jak pokazuje badanie Fortinet, wydaje się, że luka kompetencyjna w polskich szpitalach powoli się zmniejsza. W prawie 25% placówek ochrony zdrowia w ciągu ostatniego roku wzrosła liczba zatrudnionych specjalistów IT. Ponadto, w czasie pandemii w ponad połowie placówek (54%) przeprowadzane były szkolenia dla pracowników w zakresie cyberhigieny.
Jak zlikwidować lukę kompetencyjną?
W sytuacji, gdy zatrudnienie specjalistów ds. cyberbezpieczeństwa jest wyzwaniem, firmy i instytucje mogą skoncentrować się na rozwijaniu umiejętności obecnych pracowników IT. Szkolenia, staże i programy treningowe w zakresie cyfrowego bezpieczeństwa pozwalają poszerzyć wiedzę i nie wymagają przechodzenia przez często długi proces rekrutacyjny.
Innym sposobem na zlikwidowanie luki kompetencyjnej w obszarze cyberbezpieczeństwa jest edukowanie młodych ludzi na temat zagrożeń związanych z wirtualną przestrzenią oraz zachęcanie zainteresowanych osób do dalszej nauki w tym obszarze. Firmy mogą skorzystać także z osiągnięć techniki – wprowadzanie w przedsiębiorstwach systemów bazujących na sztucznej inteligencji i uczeniu maszynowym pozwoli wykrywać zagrożenia szybciej, a personelowi umożliwi skupienie się na innych zadaniach.
Phishing i inne ataki socjotechniczne najczęstszym zagrożeniem dla szpitali
Od początku pandemii, a więc od marca 2020 roku, do prób naruszenia bezpieczeństwa infrastruktury IT doszło w 13% badanych placówek ochrony zdrowia. Na szczęście wśród respondentów, którzy tego doświadczyli, w 77% przypadków problem został wykryty tego samego dnia, w którym doszło do incydentu. Cyberprzestępcy najczęściej atakowali szpitale za pomocą metod socjotechnicznych, w tym phishingu (54%), ataków typu DDoS (15%) oraz z użyciem oprogramowania szpiegującego (8%). W 31% placówek, które doświadczyły próby naruszenia bezpieczeństwa, doszło do włamań na konta personelu.
76% badanych wskazało, że dostrzega wyzwania związane z zachowaniem cyberbezpieczeństwa w swojej placówce.
Wśród nich najwięcej dotyczyło czynnika ludzkiego. Najczęściej podkreślano niewystarczającą liczbę szkoleń (21%). Jednocześnie okazało się, że tylko w 16% placówek w ostatnich latach regularnie odbywały się działania edukacyjne dla personelu z zakresu cyberbezpieczeństwa, a okazjonalnie w 38%. W przypadku 1/3 badanych szpitali szkoleń nie było, lecz istnieją plany przeprowadzenia ich w przyszłości. Ponadto, według wyników badania, w więcej niż co trzecim szpitalu (36%) brakuje specjalistów zajmujących się infrastrukturą IT. Jest to stan, który utrzymuje się w ciągu ostatnich dwóch lat. W analizowanym okresie jedynie w 23% placówek liczba specjalistów wzrosła.
Utrzymująca się popularność zagrożeń socjotechnicznych sprawia, że konieczne staje się przyjęcie proaktywnego podejścia do bezpieczeństwa, zwłaszcza że cyberprzestępcy stale zmieniają swoje taktyki, a ich działania coraz częściej są zautomatyzowane i bazują na sztucznej inteligencji. Jako że phishing najczęściej dystrybuowany jest za pomocą poczty elektronicznej, warto, aby placówki ochrony zdrowia posiadały odpowiednie narzędzia zabezpieczające oraz budowały kulturę cyberświadomości wśród swojego personelu, zapewniając mu odpowiednią liczbę i zakres szkoleń.
Ocena stanu infrastruktury IT i jej bezpieczeństwa
Respondenci zgłaszają problemy związane z dostępnością specjalistów i brakiem szkoleń, są natomiast zadowoleni z obecnego ogólnego stanu infrastruktury IT w szpitalach (76%) oraz stanu jej bezpieczeństwa (74%).
Najpopularniejsze rozwiązania ochronne, obecne w niemal każdej badanej placówce, to: oprogramowanie antywirusowe (92% wskazań), firewalle (91%) i VPN (Virtual Private Network – 89%) (89%). Powszechne są także rozwiązania zapewniające bezpieczeństwo urządzeniom końcowym (komputerom, smartfonom, laptopom) – wskazało na nie 78% ankietowanych. W porównaniu z wynikami badania Fortinet z 2014 roku1 znacząco wzrosła popularność stosowania systemów VPN (z 64%). Więcej użytkowników zabezpiecza również urządzenia końcowe (wzrost z 72%). Uwagę zwraca natomiast stosunkowo niska popularność podejścia Zero Trust Access (26%).
Wśród rozwiązań ochronnych, które mają być wdrażane w przyszłości, respondenci wskazywali m.in. systemy wykrywania i zapobiegania włamaniom – IDS+IPS, a także systemy do ochrony urządzeń końcowych. Ankietowani specjaliści wskazali też najważniejsze potrzeby inwestycyjne w zakresie bezpieczeństwa IT. Na pierwszym miejscu znalazło się stworzenie środowiska i procedur gwarantujących ochronę przed utratą danych (25%), a w dalszej kolejności – oprogramowanie zabezpieczające urządzenia końcowe (18%) oraz rozwiązania chroniące infrastrukturę sieciową (16%).
Z uwagi na charakter danych, jakie przetwarzają jednostki ochrony zdrowia, bardzo istotne jest, aby dysponowały najnowocześniejszymi środkami ochronnymi, jak zapory sieciowe nowej generacji (NGFW), czy bazujące na sztucznej inteligencji oprogramowanie EDR/XDR do ochrony urządzeń końcowych. Rozwiązania te powinny być zunifikowane w ramach jednej platformy, która zapewni lepszy wgląd w stan bezpieczeństwa środowiska IT, pozwoli na jego dokładne monitorowanie i szybkie wykrywanie zagrożeń oraz odciąży pracowników odpowiedzialnych za bezpieczeństwo.
Równie ważne jest posiadanie polityki bezpieczeństwa, do której mieliby stosować się wszyscy pracownicy placówki oraz wdrażanie nowoczesnego podejścia do zachowania cyberbezpieczeństwa, jak Zero Trust Network Access, według którego wszystkie osoby, urządzenia i aplikacje łączące się z firmową siecią muszą być weryfikowane i uwierzytelniane. Zastosowanie tego modelu umożliwia odejście od konieczności używania tradycyjnych rozwiązań VPN w celu zabezpieczenia zasobów, do których potrzebny jest zdalny dostęp.
Szpitale chcą inwestować więcej w bezpieczeństwo infrastruktury IT
W czasie pandemii 67% placówek posiadało takie same środki na bezpieczeństwo IT jak wcześniej. Większym budżetem niż przed pandemią dysponuje niemal co trzeci badany podmiot (31%).
Można spodziewać się, że w przyszłym roku szpitale będą miały więcej pieniędzy na zapewnienie bezpieczeństwa infrastrukturze IT. Natomiast już teraz 46% zakłada, że ich budżet na te cele wzrośnie, a co trzeci jeszcze nie ma takiej wiedzy. Należy więc przypuszczać, że ostatecznie odsetek ten będzie wyższy. Wpływ na poprawę poziomu ochrony ma m.in. możliwość pozyskania dotacji z Narodowego Funduszu Zdrowia na zakup systemów cyberbezpieczeństwa. 93% respondentów deklaruje świadomość możliwości uzyskania takich środków, a 90% spośród nich – chęć skorzystania z tej formy wsparcia.
Dostępność sieci bezprzewodowej w polskich szpitalach
Współcześnie sieć Wi-Fi to również udogodnienie dla pacjentów, ułatwiające im m.in. kontakt z bliskimi. Jak wynika z badania zleconego przez Fortinet centrum badawczo-rozwojowemu Biostat, w ponad połowie szpitali w Polsce (51%) pacjenci nie mają dostępu do sieci bezprzewodowej. Tylko w co piątej placówce dostęp do internetu zapewniony jest w każdym jej miejscu. Korzystanie z sieci Wi-Fi częściej możliwe jest w placówkach publicznych niż prywatnych (odpowiednio 84% i 67%).
Badanie także wykazało w ilu szpitalach, w których obecnie brakuje sieci Wi-Fi, planowane jest jej wdrożenie. Ponad połowa respondentów z takich placówek przyznała, że nie ma planów jej instalacji w najbliższej przyszłości, a co ósmy nie potrafił udzielić jednoznacznej odpowiedzi. Co trzeci przyznał, że wdrożenie Wi-Fi jest planowane lub jest już w trakcie.
Tylko w 5% szpitali, w których Wi-Fi jest dostępne, pacjenci mogą korzystać z niego bez żadnych ograniczeń w każdym pomieszczeniu. W co trzeciej placówce dostęp zagwarantowany jest tylko w wybranych miejscach w budynku.
Z kolei w 25% szpitali Wi-Fi dostępne jest bez limitów lub konieczności podawania hasła, ale tylko w wydzielonych pomieszczeniach. Najpopularniejszym zabezpieczeniem dostępu do sieci bezprzewodowej, obecnym w 45% placówek, jest ogólnodostępne hasło.
Kluczowa rola zabezpieczania danych
Wraz z obecnością bezprzewodowego internetu w placówkach ochrony zdrowia oraz zwiększaniem liczby używanych urządzeń, rośnie ryzyko cyberataków na infrastrukturę IT. Wpływa na to także zjawisko nazywane Bring Your Own Device (BYOD), które polega na używaniu prywatnych urządzeń, np. smartfonów i tabletów, do łączenia się z firmową siecią. W sytuacji, gdy taki sprzęt zostanie zainfekowany złośliwym oprogramowaniem, cyberprzestępcy mogą uzyskać dostęp nie tylko do prywatnych danych użytkownika, ale za pośrednictwem tego urządzenia także do poufnych informacji placówki.
Oszuści mogą również stworzyć fałszywą sieć, o autentycznie brzmiącej nazwie, ale pozbawionej konieczności wprowadzania hasła. Podłączony do niej mechanizm zazwyczaj zbiera dane urządzeń podłączanych do sieci Wi-Fi przez nieświadomych użytkowników.
Cyberprzestępcy dysponują również wiedzą i narzędziami pozwalającymi włamać się do routerów, aby następnie zdalnie zainstalować w nich złośliwe oprogramowanie. Po połączeniu się z daną siecią, pacjenci mogą nieświadomie zainfekować swoje urządzenie, a korzystając np. z bankowości internetowej przekazać dane logowania oszustom.
Informacje o badaniu
Badanie zostało przeprowadzone metodą CATI w lipcu 2022 roku przez centrum badawczo-rozwojowe Biostat na próbie 100 placówek medycznych w Polsce, w skład których wchodziły zarówno podmioty prywatne, jak i publiczne.
3/5 badanych stanowiły szpitale powiatowe lub miejskie, co czwarty respondent wypowiadał się w imieniu wojewódzkiego szpitala specjalistycznego (25%). W badaniu udział wziął również jeden respondent wypowiadający się w imieniu instytutu badawczo-rozwojowego. Ankietowanymi były osoby odpowiedzialne za szpitalną infrastrukturę IT.
