Treść głównego artykułu

Abstrakt

Przedmiotem niniejszego artykułu jest próba usystematyzowania wiedzy o data breach występujących w ochronie zdrowia i fluktuacjach, jakim podlega ono w czasie. Omówione zostały standardy administrowania danymi medycznymi oraz najczęstsze przyczyny ich wycieku. Analizie poddana została literatura traktująca o cyberbezpieczeństwie sektora ochrony zdrowia. Cyberataki są obecnie bardziej wyrafinowane i lepiej finansowane, rośnie również ich liczba. Jedną z przyczyn jest wzrastającą wartość danych medycznych na czarnym rynku, natomiast w warunkach polskich jest to przede wszystkim niska świadomość zagrożeń, skutkująca lekceważącym podejściem do raportowania incydentów, niewystarczające kwalifikacje personelu medycznego w obrębie cyberhigieny oraz nieprzejrzystość polityki informacyjnej służb. W obliczu aktualnie występującej pandemii COVID-19 i coraz szybciej postępującej cyfryzacji branży medycznej, problem ten
może dodatkowo narastać. Niezbędne jest nawiązanie dialogu między ekspertami od spraw cyberbezpieczeństwa a specjalistami związanymi z branżą medyczną.

Słowa kluczowe

cyberbezpieczeństwo ochrona zdrowia dane wrażliwe bezpieczeństwo informacji elektroniczna dokumentacja medyczna

Szczegóły artykułu

Referencje

  1. Centrum Systemów Informacyjnych Ochrony Zdrowia. (2017). Rekomendacje Centrum Systemów Informacyjnych Ochrony Zdrowia w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania dokumentacji medycznej w postaci elektronicznej. Warszawa: Centrum Systemów
  2. Informacyjnych Ochrony Zdrowia. Dostęp: https://cez.gov.pl/fileadmin/user_upload/rekomendacje_csioz_bezpieczenstwo_wrzesien2017_59cd1e951e9ba.pdf [15.09.2020].
  3. Clarke, R. i Youngstein, T. (2017). Cyberattack on Britain’s National Health Service — A Wake-up Call for Modern Medicine. New England Journal of Medicine, 377(5), 409–411. DOI: https://doi.org/10.1056/NEJMp1706754
  4. Corvus Insurance. (b/d). Security Report. Health Care – Hospitals, Providers and more. Boston: Corvus Insurance Holdings. Dostęp: https://info.corvusinsurance.com/hubfs/Security%20Report%202.2%20-%20Health%20Care%20.pdf [14.09.2020].
  5. CSIOZ/Rynek Zdrowia. (2017, 6 czerwca). Radziwiłł: niewiele ponad 40 procent szpitali jest zinformatyzowanych. Rynek Zdrowia. Dostęp: https://www.rynekzdrowia.pl/Technologie-informacyjne/Radziwill-niewiele-ponad-40-procent-szpitali-jest-zinformatyzowanych,173509,7.html [27.10.2020].
  6. Deane-McKenna, C. (2017, 13 maja). NHS ransomware cyber-attack was preventable. The conversation.com. Dostęp: https://theconversation.com/nhs-ransomware-cyber-attack-was-preventable-77674 [27.10.2020].
  7. Falessi, N., Gavrila, R., Klejnstrup, M.R. i Moulinos, K. (2012). National Cyber Security Strategies Practical Guide on Development and Execution. Heraklion: European Network and Information Security Agency. Dostęp: https://www.enisa.europa.eu/publications/national-cyber-security-strategies-animplementation-guide [28.10.2020].
  8. Gordon, W.J., Fairhall, A. i Landman, A. (2017). Threats to Information Security – Public Health Implications. The New England Journal Of Medicine, 377(8), 707–709. DOI: https://doi.org/10.1056/NEJMp1707212
  9. Gordon, W.J., Wright, A., Aiyagari, R., Corbo, L., Glynn, R. J., Kadakia, J. i Landman, A. (2019). Assessment of Employee Susceptibility to Phishing Attacks at US Health Care Institutions. JAMA Network Open, 2(3). DOI: https://doi.org/10.1001/jamanetworkopen.2019.0393
  10. Grealish, G. (2016, 20 czerwca). The top 5 cybersecurity threats hospitals need to watch for. Becker Hospital Review. Dostęp: https://www.beckershospitalreview.com/healthcare-information-technology/the-top-5-cybersecurity-threats-hospitals-need-to-watch-for.html [06.09.2020].
  11. HealthIT.gov. (b/d). Laws, Regulation, and Policy. Dostęp: https://www.healthit.gov/topic/laws-regulationand-policy [06.09.2020].
  12. Hoffman, S.A.E. (2020). Cybersecurity Threats in Healthcare Organizations: Exposing Vulnerabilities in the Healthcare Information Infrastructure. Information Security: Emerging Voices, 24(1). Dostęp: https://worldlibraries.dom.edu/index.php/worldlib/article/view/588 [06.09.2020].
  13. Humer, C. i Finkle, J. (2014, 24 września). Your medical record is worth more to hackers than your credit card. Reuters. Dostęp: https://www.reuters.com/article/us-cybersecurity-hospitals/your-medical-recordis-worth-more-to-hackers-than-your-credit-card-idUSKCN0HJ21I20140924 [09.09.2020].
  14. IBM. (2020). Raport z badania kosztów naruszeń ochrony danych w 2020 roku. Dostęp : https://www.ibm.com/pl-pl/security/data-breach [27.10.2020].
  15. Jalali, M.S. i Kaiser, J.P. (2018). Cybersecurity in Hospitals: A Systematic, Organizational Perspective. Journal of Medical Internet Research, 20(5). DOI: https://doi.org/10.2196/10059
  16. Jarrett, M.P. (2017). Cybersecurity – A Serious Patient Care Concern. JAMA, 318(14). DOI: https://doi.org/10.1001/jama.2017.11986
  17. Jiang, J. (Xuefeng) i Bai, G. (2019). Evaluation of Causes of Protected Health Information Breaches. JAMA Internal Medicine, 179(2), 265–267. DOI: https://doi.org/10.1001/jamainternmed.2018.5295
  18. KPMG. (2015). Health care and cyber security: increasing threats require increased capabilities. Dostęp: https://assets.kpmg/content/dam/kpmg/pdf/2015/09/cyber-health-care-survey-kpmg-2015.pdf [13.09.2020].
  19. Kramer, D.B. i Fu, K. (2017). Cybersecurity Concerns and Medical Devices: Lessons From a Pacemaker Advisory. JAMA, 318(21), 2077–2078. DOI: https://doi.org/10.1001/jama.2017.15692
  20. Kruse, C.S., Frederick, B., Jacobson, T. i Monticone, D.K. (2017). Cybersecurity in healthcare: A systematic review of modern threats and trends. Technology and Health Care, 25(1), 1–10. DOI: https://doi.org/10.3233/THC-161263
  21. Lastdrager, E.E. (2014). Achieving a consensual definition of phishing based on a systematic review of the literature. Crime Science, 9. DOI: https://doi.org/10.1186/s40163-014-0009-y
  22. Liu, V., Musen, M.A. i Chou, T. (2015). Data Breaches of Protected Health Information in the United States. JAMA, 313(14). DOI: https://doi.org/10.1001/jama.2015.2252
  23. Liveri, D., Sarri, A. i Skouloudi, C. (2015). Security and Resilience in eHealth Security Challenges and Risks. Heraklion: European Network and Information Security Agency. DOI: http://doi.org/10.2824/217830
  24. Majdan, K. (2017, 12 czerwca). Nazwiska, numery PESEL i ubezpieczeń, historia badań. Duży wyciek danych z polskiego szpitala. Business Insider. Dostęp: https://businessinsider.com.pl/technologie/nowetechnologie/spzoz-w-kole-wyciek-danych-pacjentow/dbk7zzf [06.09.2020].
  25. Makuch, J., Guziak, M., Karolak, N. i Korczak, M. (2020). Medycyna. W: Raport: Nowe otwarcie w edukacji o cyberbezpieczeństwie 2020–2021. Warszawa: The Bridge Foundation. Dostęp: https://98145a31-5189-415e-8474-41672cd6acb7.filesusr.com/ugd/2b3cfe_872f87ae3dd44675be1b7c7c75077e4f.pdf [27.10.2020].
  26. Murray, K. (2019, 24 października). Why Healthcare Organizations are Easy Targets for Cybercrime. Webroot.com. Dostęp: https://www.webroot.com/blog/2019/10/24/why-healthcare-organizations-areeasy-targets-for-cybercrime/ [09.09.2020].
  27. Najbuk, P., Kaźmierczyk, P., Dziomdziora, W. i Marczuk, P. (2017). Cyberbezpieczeństwo w sektorze ochrony zdrowia. Warszawa : DZP & Microsoft. Dostęp: https://www.dzp.pl/files/shares/Publikacje/Cyberbezpieczen%CC%81stwo%20w%20sektorze%20oz.pdf [15.10.2020].
  28. NASK PIB/CERT Polska. (2019). Krajobraz bezpieczeństwa polskiego internetu. Raport roczny 2019 z działalności CERT Polska. Dostęp: https://www.nask.pl/pl/raporty/raporty/3873,Raport-CERT-2019.html [27.10.2020].
  29. NIK. (2016). Tworzenie i udostępnianie dokumentacji medycznej. Informacja o wynikach kontroli nr 199/2015/P/15/061/KZD. Dostęp: https://www.nik.gov.pl/plik/id,10736,vp,13069.pdf [27.10.2020].
  30. NIK. (2019). Wdrożenie przez podmioty lecznicze regulacji dotyczących ochrony danych osobowych. Informacja o wynikach kontroli nr 149/2019/P/19/063/LBI0. Dostęp: https://www.nik.gov.pl/plik/id,21467,vp,24109.pdf [27.10.2020].
  31. O’Gorman, G. i McDonald, G. (2012). Ransomware: A Growing Menace. Dostęp: https://web.gccaz.edu/~davna92721/cis105/ransomware-a-growing-menace.pdf [27.10.2020].
  32. Parlament Europejski i Rada Unii Europejskiej (2016). Dyrektywa Parlamentu Europejskiego i Rady UE nr 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. Urz. Unii Europejskiej L194 z 19.07.2016). Dostęp: http://data.europa.eu/eli/dir/2016/1148/oj [20.10.2020].
  33. Perakslis, E.D. (2014). Cybersecurity in health care. The New England Journal of Medicine, 371(5), 395–397. DOI: https://doi.org/10.1056/NEJMp1404358
  34. Privacy Rights Clearinghouse. (b/d). Data Breaches. Dostęp: https://privacyrights.org/data-breaches [27.10.2020].
  35. Protenus. (2017). Breach barometer report: Year in review (2016). Baltimore: Protenus Inc. & DataBreaches.net. Dostęp: https://cdn2.hubspot.net/hubfs/2331613/Breach_Barometer/2016/2016%20Year%20in%20Review/Protenus%20Breach%20Barometer-2016%20Year%20in%20Review-%20final%20version.pdf [29.09.2020].
  36. Regional Cyber Labs. (2020). Raport: Nowe otwarcie w edukacji o cyberbezpieczeństwie 2020–2021. Warszawa: Bridge Foundation. The Bridge Foundation. Dostęp: https://98145a31-5189-415e-8474-41672cd6acb7.filesusr.com/ugd/2b3cfe_872f87ae3dd44675be1b7c7c75077e4f.pdf [27.10.2020].
  37. Schatz, D., Bashroush, R. i Wall, J. (2017). Towards a More Representative Definition of Cyber Security. The Journal of Digital Forensics, Security and Law, 12(2), 53–74. DOI: https://doi.org/10.15394/jdfsl.2017.1476
  38. Seh, A.H., Zarour, M., Alenezi, M., Sarkar, A.K., Agrawal, A., Kumar, R. i Ahmad Khan, R. (2020). Healthcare Data Breaches: Insights and Implications. Healthcare, 8(2). DOI: https://doi.org/10.3390/healthcare8020133
  39. Stack, B. (2017, 6 grudnia). Here’s How Much Your Personal Information Is Selling for on the Dark Web. Experian.com. Dostęp: https://www.experian.com/blogs/ask-experian/heres-how-much-your-personalinformation-is-selling-for-on-the-dark-web/ [09.09.2020].
  40. Ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia, (Dz. U. 2011, nr 113, poz. 657 ze zm.).
  41. von Solms, R. i van Niekerk, J. (2013). From information security to cyber security. Computers & Security, 38, 97–102. DOI: https://doi.org/10.1016/J.COSE.2013.04.004
  42. Walker, T. (2017, 10 grudnia). Interoperability a must for hospitals, but it comes with risks. Managed Healthcare Executive. Dostęp: https://www.managedhealthcareexecutive.com/view/interoperabilitymust-hospitals-it-comes-risks [27.10.2020].
  43. Wamala, F. (2011). The ITU National Cybersecurity Strategy Guide. Geneva: International Telecommunication Union. Dostęp: http://www.itu.int/ITU-D/cyb/cybersecurity/docs/itu-national-cybersecurity-guide.pdf [06.09.2020].
  44. Zurkus, K. (2018, 10 maj). Healthcare Prone to Attack, Still Unprepared. Infosecurity Magazine. Dostęp: https://www.infosecurity-magazine.com/news/healthcare-prone-to-attack-still/ [09.09.2020].