Jak wynika z raportu "Zdrowie i ochrona zdrowia w 2022 roku", przygotowanego przez Główny Urząd Statystyczny w 2022 r. w szpitalach hospitalizowano 6,9 mln pacjentów. To o około 563,7 tys. więcej niż w 2021 r.
Poza tym praktycznie każdy Polak jest zarejestrowany w publicznej lub prywatnej przychodni. Tu warto podkreślić, że oprócz informacji o chorobach, placówki medyczne przechowują także dane osobowe, takie jak imię, nazwisko, numer PESEL, dane z dowodu tożsamości czy adres zamieszkania. Niestety, z powodu chronicznego braku dofinansowania służby zdrowia, poziom ochrony tych danych jest bardzo niski.
Pięciokrotny wzrost cyberataków na placówki medyczne
Słabe zabezpieczenia coraz częściej wykorzystują przestępcy.
W Polsce liczba odnotowanych cyberataków w sektorze ochrony zdrowia w ciągu czterech lat wzrosła pięciokrotnie z 53 w 2019 do 251 w 2022 r. – wynika z raportu „Krajobraz bezpieczeństwa polskiego Internetu”, przygotowanego przez CERT Polska (Zespół Szybkiego Reagowania na Incydenty Komputerowe).
Co prawda procentowo liczba incydentów w placówkach medycznych jest niska (0,63 proc.) w porównaniu do pozostałych branż (np. 13,7 proc. w handlu), to w szpitalach i przychodniach są przechowywane dane wrażliwe, których wyciek jest bardzo niebezpieczny. W rezultacie jedno włamanie do podmiotu służby zdrowia może przynieść hakerom ogromne korzyści, ponieważ są w nich przechowywane numery PESEL pacjentów, a np. w sklepach internetowych nie.
Placówki medyczne gromadzą mnóstwo bezcennych informacji dla przestępców, zwłaszcza że poziom zabezpieczeń w dużej części z nich jest niewystarczający. W efekcie bardzo łatwo mogą uzyskać dostęp do imienia, nazwiska, numeru PESEL, dowodu tożsamości lub adresu zamieszkania setek pacjentów. Następnie wykradzione ze szpitala czy przychodni dane osobowe można wykorzystać do popełnienia przestępstwa. Co więcej, często wiele ataków w ogóle nie zostaje wykrytych. Oznacza to, że o wykradzeniu danych przez hakerów dowiemy się dopiero, gdy np. komornik zajmie nam rachunek bankowy za niespłacony kredyt lub pożyczkę zaciągniętą na nasze konto –ostrzega Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.
Okup za dane medyczne 220 tys. pacjentów
Jednak ten problem dotyka nie tylko Polski. Według raportu Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA), głównym powodem 83 proc. ataków na placówki medyczne w Europie jest dążenie hakerów do uzyskania korzyści finansowych, na przykład poprzez wymuszenia lub sprzedaż skradzionych danych.
Jak wynika z raportu ENISA hakerzy najczęściej atakują europejski sektor ochrony zdrowia za pomocą ransomware (54 proc.). Kolejnym rodzajem są cyberataki związane z danymi (46 proc.), włamania (13 proc.) czy DDos (9 proc.). W Polsce jednym z najbardziej znanych przypadków wycieku danych pacjentów w wyniku zastosowania ransomware był atak na znaną sieć laboratoriów w listopadzie 2023 r.
Najpierw przestępcy przejęli kontrolę nad systemem komputerowym placówki medycznej za pomocą złośliwego oprogramowania ransomware, a następnie zażądali okupu za jego odblokowanie. Jednak władze sieci laboratoriów odmówiły zapłaty, więc do Internetu trafiły dane około 220 tys. osób. Ale często przyczyną wycieku wrażliwych informacji dotyczących pacjentów nie musi być cyberatak, a ludzkie zaniedbanie – wyjaśnia ekspert ChronPESEL.pl.
Nieprzestrzeganie procedur równie groźne co cyberatak
Potwierdza to przypadek wycieku danych pacjentów, do którego doszło w marcu 2024 r. w jednym z wrocławskich centrów medycznych. Przyczyną było zaniedbanie i nie usunięcie kopii zapisanych informacji z testowego serwera. W związku z tym do Internetu trafiły dane około 180 tys. osób (w tym imiona, nazwiska, numery PESEL i telefonu, adresy zamieszkania, e-maile), które były przechowywane w 40 placówkach medycznych.
Jednak często do wycieku danych pacjentów może dojść również w wyniku pozornie niewielkiego zaniedbania ze strony personelu.
W styczniu 2024 r. jeden z wojewódzkich szpitali na Kujawach poinformował, że podczas naprawy komputera odkryto brak dysku twardego. Niestety, placówka nie jest w stanie określić, jakie dokładnie dane osobowe mogły się na nim znajdować w momencie zaginięcia. To tym bardziej niepokojące, ponieważ programy, za pomocą których logowano się z urządzenia, przetwarzały imiona, nazwiska czy numery PESEL pacjentów.
Tymczasem w jednym z powiatowych szpitali na Podkarpaciu od 19 listopada do 21 grudnia 2023 r. dane osobowe pacjentów były przekazywane na adres e-mail nieustalonej osoby trzeciej, która nie powinna mieć do nich dostępu. Na razie nie wiadomo, czy przechwycone w wyniku wycieku informacje zostały w jakikolwiek sposób wykorzystane. Nic więc dziwnego, że coraz więcej osób nie ma zaufania do poziomu zabezpieczeń danych zgromadzonych w szpitalach i przychodniach.
38 proc. Polaków obawia się wycieku danych osobowych z baz instytucji publicznych i firm prywatnych – wynika z przeprowadzonego w kwietniu 2023 roku przez serwis ChronPESEL.pl i Krajowy Rejestr Długów pod patronatem Urzędu Ochrony Danych Osobowych badania "Dane osobowe – czy wiemy, jak je chronić?". Zdaniem respondentów większe zagrożenie dla ich danych stanowią tylko fałszywe SMS-y, e-maile i telefony – uważa tak 42 procent badanych – komentuje Bartłomiej Drozd.