Branża medyczna coraz bardziej obawia się cyberataków i wycieku danych

• Przedstawiciele branży ochrony zdrowia, farmaceutycznej oraz biotechnologii wskazują cyberataki oraz naruszenie bezpieczeństwa danych jako najistotniejsze ryzyka dla ich działalności – wynika z raportu Aon „Globalne badanie zarządzania ryzykiem 2023”.
• Koszty incydentów cyber mogą być szczególnie dotkliwe dla sektora medycznego – wszystko przez wrażliwy charakter danych, jakie przetwarzają.
• Eksperci ubezpieczeniowi spodziewają się w 2024 r. wzrostu zainteresowania branży polisami od cyberryzyk, które obejmują m.in. potencjalne koszty kar administracyjnych czy okupu dla hakerów, a także zapewniają dostęp do usług kancelarii prawnej, informatyków śledczych czy agencji PR.

Koszt pojedynczego naruszenia danych w przedsiębiorstwie wzrósł w latach 2022 – 2023 do historycznego maksimum wynoszącego prawie 4,5 miliona dolarów. W firmach, które nie wykorzystują sztucznej inteligencji i automatyzacji w ramach swoich działań związanych z bezpieczeństwem, wyniósł około 5,4 miliona dolarów (Aon, „2023 Cyber Resilience Report”).

Z jeszcze większymi kosztami należy się liczyć, gdy dojdzie do ujawnienia danych osobowych, zwłaszcza wrażliwych, m.in. dotyczących zdrowia. Zgodnie z RODO, na podmiot naruszający przepisy, np. placówkę medyczną, laboratorium czy firmę farmaceutyczną, może zostać nałożona kara administracyjna w wysokości 20 mln EUR lub 4% łącznych, światowych obrotów. A to nie jedyne konsekwencje finansowe związane z naruszeniem bezpieczeństwa danych.

- Coraz większa skala i koszty cyberataków na infrastrukturę informatyczną firm oraz naruszeń bezpieczeństwa danych sprawiły, że na świecie i w Europie zagrożenie cyber znalazło się na pierwszym miejscu najistotniejszych dla biznesu ryzyk. Tak wynika z przeprowadzonego przez Aon „Globalnego badania zarządzania ryzykiem 2023”. Ranga ataków cyber wzrosła również w Polsce, gdzie odnotowały skok na 3. pozycję z 18. zaledwie dwa lata wcześniej. Szczególnie wyczulone na tego typu niebezpieczeństwa są firmy z branży medycznej, które wskazują to ryzyko w pierwszej kolejności. W ich przypadku konsekwencje naruszenia bezpieczeństwa mogą być naprawdę dotkliwe – mówi Paweł Krak, Practice Director, Financial & Professional Lines, Aon Polska.

Bezpieczeństwo danych a czynnik ludzki – branża medyczna szczególnie zagrożona

Według Aon „2023 Cyber Resilience Report” można się spodziewać, że do 2025 r. ponad połowa zdarzeń cybernetycznych będzie spowodowana czynnikiem ludzkim. Na takie błędy narażone są przede wszystkim podmioty szeroko pojętej służby zdrowia. Ma to związek z nagłym charakterem przypadków medycznych, mobilnością pracowników pracujących w wielu jednostkach i potrzebą natychmiastowego dostępu do danych.

- Analiza dostępnych danych pozwala stwierdzić, że najczęstszymi atakami w Polsce są zdarzenia DDoS, polegające na zablokowaniu możliwości korzystania ze strony internetowej, poczty czy sklepu internetowego. Częste są także phishing czy ransomware – głośny ostatnio w związku z atakiem grupy RA World na sieć laboratoriów ALAB. Hakerzy, którzy dokonali tego niestety spektakularnego ataku, mają oczekiwać okupu rzędu kilkuset tysięcy dolarów za odszyfrowanie danych i niepublikowanie większej ich liczby. Kwota okupu, którego ewentualna płatność oczywiście nie gwarantuje spełnienia obietnic hakerów związanych z zakończeniem tego kryzysu, jest jednak kroplą w morzu potencjalnych kosztów, jakie spółka może ponieść w związku z tym atakiem – tłumaczy Piotr Rudzki, Senior Broker, Financial & Professional Lines, Aon Polska.

W służbie zdrowia może dojść do wielu przypadków incydentów bezpieczeństwa, w tym:

• Intencjonalnych naruszeń – dokonanych przez pracowników/współpracowników jednostek, w celu dalszej sprzedaży lub dokonania wymuszeń na pacjentach na podstawie wiedzy o wynikach badań zdrowia pacjentów. W przypadku badań klinicznych wyniki mogą zostać skradzione i przekazane konkurencji ze względu na istotną wartość handlową.
  
  
• Niezamierzonych naruszeń – dokonanych przez pracowników/współpracowników, klikających na przekazane przez nieznane osoby linki lub w wyniku pozostawienia niezabezpieczonego komputera w miejscu ogólnodostępnym dla nieuprawnionych osób. Do tego dochodzi ogólnie dostępna np. w szpitalach sieć WiFi czy wreszcie korzystanie z niezabezpieczonej sieci pacjentów w przypadku wizyt domowych. Nadal częstym błędem jest także dzielenie hasła w przypadku nieobecności kolegi/koleżanki w pracy, w celu umożliwienia dostępu do danych pacjentów.
  
  
• Ataków grup hakerskich – dla których uzyskanie dostępu do danych wrażliwych może i często jest środkiem bezprawnego wzbogacenia w postaci wymuszonego okupu. Dane wrażliwe maja wysoką wartość, również przez możliwe kary za ich naruszenia podczas przetwarzania.

Jak uchronić firmę przed kosztownymi konsekwencjami incydentów cyber?

Koszty związane z koniecznością zapłaty kary w związku z RODO czy okupu dla hakerów, to dopiero początek wydatków firmy, w której doszło do podobnego incydentu. Administrator danych powinien jak najszybciej poinformować o wycieku poszkodowaną osobę. W przypadku gdy naruszenie dotyczy kilkudziesięciu tysięcy klientów, przekłada się to na znaczące koszty obsługi prawnej i przygotowania korespondencji. Gdyby osoby te poniosły z tego tytułu szkodę (np. ktoś weźmie na ich dane „chwilówkę”), należy liczyć się z roszczeniami odszkodowawczymi. Poszkodowani mają także prawo zamówić usługi monitorowania aktywności kredytowej, zwracając się do podmiotu odpowiedzialnego za naruszenie o pokrycie kosztów. Należy także pamiętać o szkodach niemajątkowych oraz o ewentualnym zadośćuczynieniu z tytułu naruszenia dóbr osobistych.

Pomocnym narzędziem transferu ryzyka w narażonych przedsiębiorstwach będzie więc polisa ubezpieczenia od cyberryzyk.

- Wszystkie koszty ataku mogą podlegać ochronie ubezpieczeniowej, włącznie z karą administracyjną czy samą kwotą okupu oczekiwanego przez hakerów. Polisa może zapewnić także dostęp do usług kancelarii prawnej, informatyków śledczych czy nawet firmy specjalizującej się w usługach PR, ponieważ utrata reputacji może okazać się równie kosztowna. Dostępność do oferty ubezpieczenia od cyberryzyk jest jednak ograniczona, zwłaszcza gdy mamy do czynienia ze służbą zdrowia. Szczególnie publiczne placówki, których budżety na bezpieczeństwo IT są często nieadekwatne, mogą spotkać się z odmową ubezpieczycieli.  Nieco łatwiej powinno być podmiotom, które świadomie zarządzają tym ryzykiem. Niemniej także i one powinny wykazać dbałość o odpowiednie zabezpieczenie swoich systemów – dodaje Piotr Rudzki.