Placówki medyczne coraz bardziej narażone na kradzież danych. Jaka jest sytuacja w Kujawsko-Pomorskiem?

W 2022 roku, tylko w szpitalach hospitalizowano 6,9 mln pacjentów. O około 563,7 tys. więcej niż w 2021 – wynika z raportu „Zdrowie i ochrona zdrowia w 2022 roku” GUS. – Placówki medyczne gromadzą mnóstwo bezcennych informacji dla przestępców, jednak poziom zabezpieczeń w dużej części z nich jest niewystarczający. W efekcie dość łatwo mogą oni uzyskać dostęp do imienia i nazwiska, numeru PESEL, dowodu tożsamości, adresu zamieszkania setek pacjentów – uważa Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl. I wskazuje: - Często, o wykradzeniu danych osobowych przez hakerów dowiadujemy się dopiero, gdy np. komornik zajmie nasz rachunek bankowy za niespłacony kredyt lub pożyczkę, zaciągniętą na nasze konto.

W regionie PESEL chronią, choć zdarzają się incydenty
W Wojewódzkim Szpitalu Specjalistycznym im. bł. ks. Jerzego Popiełuszki we Włocławku potwierdzono pozyskaną przez nas informację, że w placówce - w styczniu 2024 roku - ujawniono utratę jednego z nośników danych. - Ten twardy dysk o małej pojemności, był co do zasady terminalem dostępowym do aplikacji i nie służył do przechowywania danych osobowych. Sprawę zgłosiliśmy na policję i do Urzędu Ochrony Danych Osobowych. Opublikowaliśmy też stosowny komunikat – poinformowała Magdalena Adamek-Balcerowicz, Inspektor Ochrony Danych Osobowych w Wojewódzkim Szpitalu Specjalistycznym we Włocławku. Która podkreśliła, że „w toku postępowania przygotowawczego organy ścigania nie ujawniły, aby na dysku znajdowały się jakiekolwiek dane wrażliwe”. Jak i to, że „nie ma możliwości dostania się do programów szpitala za pośrednictwem ww. twardego dysku”. Magdalena Adamek-Balcerowicz: - Natomiast dane pacjentów są przechowywane nie na dyskach, ale na serwerze, gdzie dostęp do nich jest możliwy jedynie za pośrednictwem programów komputerowych z zabezpieczonymi - hasłami, dostępem i mechanizmem szyfrowania. Szpital nie ma wiedzy, aby w ostatnich latach dochodziło do naruszenia danych osobowych pacjentów. Takich też zgłoszeń, nie ma obecnie kujawsko-pomorska policja, o czym poinformowała mł. insp. Monika Chlebicz, rzecznik prasowy KWP w Bydgoszczy. 

- Oczywiście, jak każdy z podmiotów podłączonych do sieci Internet i nasz szpital jest narażony na próby włamań. Jednak w przypadku takich zdarzeń są one zawsze nam zgłaszane m. in. przez operatora i natychmiast blokowane, tak aby uniemożliwić potencjalnemu atakującemu dostęp do infrastruktury brzegowej szpitala – mówi dr n. med. Janusz Mielcarek, rzecznik prasowy Wojewódzkiego Szpitala Zespolonego im. Ludwika Rydygiera w Toruniu.

Placówka wykorzystuje wszelkie dostępne fundusze przeznaczone na poprawę cyberbezpieczeństwa. - Tylko w ramach dwóch ostatnich dofinansowań z NFZ zakupiliśmy systemy i sprzęt, które znacząco poprawiły poziom bezpieczeństwa w sieci. Infrastruktura szpitala jest stale monitorowana w zakresie cyberbezpieczeństwa przez firmę zewnętrzną. Uczestniczymy w ogólnopolskim systemie, który powiadamia podmioty o zagrożeniach, atakach występujących w kraju. 
W obydwu tych szpitalach prowadzi się też odpowiednie szkolenia personelu. I przeprowadza audyt danych osobowych pacjentów, co daje możliwość definiowania zagrożeń teleinformatycznych i ich zapobieganiu.

Nie tylko cyberatak, także nieprzestrzeganie procedur

Utraty danych osobowych pacjentów nie odnotowała do tej pory NZOZ Przychodnia Łomżyńska w Bydgoszczy. - Aby chronić te dane, postawiliśmy na sprzęt najwyższej jakości. Ale zdajemy sobie sprawę z tego, że ciągle jesteśmy narażeni na ich kradzież, choćby w celu uzyskania okupu, więc jesteśmy bardzo czujni – mówi lek. med. Waldemar Gadziński, NZOZ Przychodnia Łomżyńska, kujawsko-pomorski konsultant wojewódzki ds. medycyny rodzinnej.

W Polsce, jednym z najbardziej znanych wycieków danych pacjentów, był atak na ALAB Laboratoria w listopadzie 2023. – Najpierw przestępcy przejęli kontrolę nad systemem komputerowym tej placówki za pomocą złośliwego oprogramowania ransomware, a następnie zażądali okupu za jego odblokowanie. Jednak władze sieci laboratoriów odmówiły zapłaty, więc do Internetu trafiły dane około 220 tys. osób – przypomina ekspert Bartłomiej Drozd.

Równie groźne, jak cyberatak jest nieprzestrzeganie procedur bezpieczeństwa – to z kolei potwierdza wyciek danych pacjentów z 19 marca tego roku, we wrocławskim DCG Centrum Medycznym. Jak podaje serwis ChronPESEL.pl przyczyną „było duże zaniedbanie ze strony zewnętrznego dostawcy oprogramowania, który po zakończeniu umowy nie usunął kopii zapisanych informacji z testowego serwera”. W związku z tym do Internetu trafiły dane około 180 tys. pacjentów – imiona i nazwiska, numery PESEL i telefonu, adresy zamieszkania, terminy wizyt, e-maile.

Wycieku danych osobowych, z baz instytucji publicznych i firm prywatnych obawia się już 38 proc. Polaków – wynika z przeprowadzonego w 2023 roku badania „Dane osobowe – czy wiemy, jak je chronić?”, przez serwis ChronPESEL.pl i Krajowy Rejestr Długów, pod patronatem Urzędu Ochrony Danych Osobowych. Większe zagrożenie dla tych danych stanowią tylko fałszywe SMS-y, e-maile i telefony – tak uważa 42 proc. badanych.