Treść głównego artykułu

Abstrakt

Elektroniczna Dokumentacja Medyczna (EDM) stała się domyślnym sposobem gromadzenia i przechowywania danych w sektorze ochrony zdrowia. Dane medyczne, agregowane w ten sposób są jednak szczególnie podatne na zagrożenia cybernetyczne, ostatnio szczególnie nasilone w obliczu wojny na Ukrainie. Stwarza to nowe wyzwania dla sektora ochrony zdrowia i wymaga wzmożonych środków zarówno w celu ochrony EDM, jak i cyberbezpieczeństwa całego sektora. W artykule dokonano przeglądu literatury oraz raportów instytucji rządowych i międzynarodowych w okresie 2013–2023. Przeszukano bazy danych PubMed i Google Scholar, w oparciu o terminy związane z cyberbezpieczeństwem sektora ochrony zdrowia i danymi medycznymi. Zebrane materiały poddane zostały analizie krytycznej. Dodatkowo przy użyciu Google Search dokonano przeglądu doniesień medialnych opisujących naruszenia cyberbezpieczeństwa polskiego systemu ochrony zdrowia w 2023 r. Autorzy wykazują, że w 2023 r. infrastruktura szpitalna w dalszym ciągu pozostawała podatna na cyberzagrożenia. Sektor ochrony zdrowia często był celem ataków cybernetycznych, a personel medyczny stał się ich celem głównym. Polskie instytucje medyczne odnotowały 405 incydentów zagrożeń cybernetycznych, a ransomware był najczęstszym typem ataku. Analiza incydentów wskazuje na znaczną różnorodność ataków. Do najbardziej znaczących zdarzeń w 2023 r. należały: atak na infrastrukturę serwerową Centrum Medycznego TW-DS. oraz atak ransomware na ALAB Laboratoria. Liczba incydentów zagrożeń cybernetycznych w sektorze ochrony zdrowia utrzymuje się na wysokim poziomie. W obliczu wyzwań konieczne są skuteczne działania, aby zapewnić bezpieczeństwo danych pacjentów. Wskazujemy na znaczną rolę edukacji personelu w tym zakresie. Współpraca pomiędzy instytucjami medycznymi i ekspertami ds. cyberbezpieczeństwa wydaje się kluczowa dla zapewnienia skutecznej ochrony danych medycznych w erze rosnących zagrożeń cybernetycznych.

Słowa kluczowe

ochrona danych cyberbezpieczeństwo elektroniczna dokumentacja medyczna ochrona zdrowia data protection cybersecurity electronical health records healthcare

Szczegóły artykułu

Jak cytować
Guziak, M., & Ziarnik, K. (2024). Przegląd naruszeń cyberbezpieczeństwa danych medycznych w polskim sektorze ochrony zdrowia w 2023 roku. Rocznik Bezpieczeństwa Międzynarodowego, 18(2), 109–123. https://doi.org/10.34862/rbm.2024.2.6

Bibliografia

  1. ALAB laboratoria. (2023, 27 listopada). Komunikat: incydent naruszenia bezpieczeństwa danych osobowych. https://www.alablaboratoria.pl/19811-komunikat-incydent-naruszenia-bezpieczenstwa-danych-osobowych
  2. Aldawood, H., & Skinner, G. (2020). Analysis and Findings of Social Engineering Industry Experts Explorative Interviews: Perspectives on Measures, Tools, and Solutions. IEEE Access, 8, pp. 67321-67329. https://doi.org/10.1109/ACCESS.2020.2983280
  3. Bentz, L., Pirard, P., Motreff, Y., Vandentorren, S., Baubet, T., Fabre, R., Touboul Lundgren, P., & Pradier, C. (2019). Health outcomes of the July 14, 2016 Nice terror attack among hospital-based professionals and students: the «ECHOS de Nice» health survey protocol. BMC Public Health, 19(1), 1163. https://doi.org/10.1186/s12889-019-7489-3
  4. Bochyńska, N. (2023, 9 lutego). Cyberatak na Centralny Szpital Kliniczny w Łodzi [AKTUALIZACJA]. https://cyberdefence24.pl/cyberbezpieczenstwo/cyberatak-na-centralny-szpital-kliniczny-w-lodzi-aktualizacja
  5. Branch, L., Eller, W., Bias, T., Mccawley, M., Myers, D., Gerber, B., & Bassler, J. (2019). Trends in Malware Attacks against United States Healthcare Organizations, 2016-2017. Global Biosecurity, 1, 15. https://doi.org/10.31646/gbio.7
  6. Braquehais, M. D., & Vargas-Cáceres, S. (2023). Psychiatric Issues Among Health Professionals. The Medical Clinics of North America, 107(1), 131–142. https://doi.org/10.1016/j.mcna.2022.04.004
  7. Burke, W., Stranieri, A., Oseni, T., & Gondal, I. (2024). The need for cybersecurity self-evaluation in healthcare. BMC Medical Informatics and Decision Making, 24(1), 133. https://doi.org/10.1186/s12911-024-02551-x
  8. Centrum Medyczne TW-MED. (2024, 8 kwietnia). Komunikat o naruszeniu ochrony danych osobowych w Centrum Medycznym TW-MED. http://www.tw-med.pl/?page_id=717
  9. Coventry, L., & Branley, D. (2018). Cybersecurity in healthcare: A narrative review of trends, threats and ways forward. Maturitas, 113, 48–52. https://doi.org/10.1016/j.maturitas.2018.04.008
  10. Croke, L. (2020). Protecting your organization from e-mail phishing and ransomware attacks. AORN Journal, 112(4), P10–P12. https://doi.org/10.1002/aorn.13229
  11. Diaz, N. (2022, 21 stycznia). 50% of internet-connected hospital devices vulnerable to cyberattacks. Direct line between hospital cyberattacks and patient mortality, report shows. The Becker's Hospital Review. https://www.beckershospitalreview.com/cybersecurity/50-of-internet-connected-hospital-devices-vulnerable-to-cyberattacks.html
  12. Evans, M. (2018, 12 marca). Why Data Is The Most Important Currency Used In Commerce Today. Forbes. https://www.forbes.com/sites/michelleevans1/2018/03/12/why-data-is-the-most-important-currency-used-in-commerce-today/
  13. Guziak, M., & Bastrzyk, Z. (2023). Sektor ochrony zdrowia w obliczu konfliktu zbrojnego. Rocznik Bezpieczeństwa Międzynarodowego, 17(1), 33–50. https://doi.org/10.34862/rbm.2023.1.3
  14. Hakerzy ujawnili kolejną część danych wykradzionych z ALAB Laboratoria – sprawdź czy Twoje dane zostały upublicznione. (2023, 12 grudnia). Baza wiedzy. Pobrano 1 marzec 2024, z https://www.gov.pl/web/baza-wiedzy/hakerzy-ujawnili-kolejna-czesc-danych-wykradzionych-z-alab-laboratoria--sprawdz-czy-twoje-dane-zostaly-upublicznione
  15. HealthIT.gov. (b. d.). Electronic Health Record (EHR).The Basics. https://www.healthit.gov/faq/what-information-does-electronic-health-record-ehr-contain
  16. HealthIT.gov. (2019, 10 sierpnia). What Are Electronic Health Record (EHR)? https://www.healthit.gov/faq/what-electronic-health-record-ehr
  17. IBM Security. (2024). Cost of a Data Breach Report 2023. Pobrano 1 marzec 2024, z https://tiny.pl/53jpyr42
  18. Instytut. (b.d.). Pobrano 22 grudzień 2024, z https://nask.pl/instytut/
  19. Ktoś atakuje polskie placówki ochrony zdrowia “na wyciek z NFZ”. (2023, 20 marca). NieBezpiecznik.pl. https://niebezpiecznik.pl/post/ktos-atakuje-polskie-placowki-ochrony-zdrowia-na-wyciek-z-nfz/
  20. Kuneva, M. (2009, 31 marca). Meglena Kuneva - European Consumer Commissioner - Keynote Speech - Roundtable on Online Data Collection, Targeting and Profiling. [Tekst]. European Commission. Pobrano 15 marzec 2024, z https://ec.europa.eu/commission/presscorner/detail/en/SPEECH_09_156
  21. Lella, I., Ciobanu, C., Tsekmezoglou, E., Theocharidou, M., Magonara, E., Malatras, A., & Svetozarov Naydenov, R. (Eds.) (2023). ENISA threat landscape 2023: July 2022 to June 2023. European Union Agency for Cybersecurity. Publications Office of the EU. https://data.europa.eu/doi/10.2824/782573
  22. Maj, M. (2023, 12 czerwca). Jak można było podejrzeć dane osobowe diagnostów? I dlaczego PESEL to zawsze kiepskie hasło…. NieBezpiecznik.pl. https://niebezpiecznik.pl/post/logowanie-po-peselu-to-zlo-jak-izba-diagnostow-zespula-proces-aktualizacji-danych/
  23. Makuch, J., & Guziak, M. (2020). Cyberbezpieczeństwo sektora ochrony zdrowia. Przypadek Polski na tle tendencji światowych. Rocznik Bezpieczeństwa Międzynarodowego, 14(2), 86–102. https://doi.org/10.34862/rbm.2020.2.6
  24. Miliard, M. (2022, wrzesień 9). Direct line between hospital cyberattacks and patient mortality, report shows. Healthcare IT News. https://www.healthcareitnews.com/news/direct-line-between-hospital-cyberattacks-and-patient-mortality-report-shows
  25. Milieu Ltd. (2014, 23 lipca). Overview of the national laws on electronic health records in the EU Member States and their interaction with the provision of cross-border eHealth services. Final report and recommendations. https://health.ec.europa.eu/document/download/3eb04ec0-b1c3-4e01-8ffb-46765744c049_en?filename=laws_report_recommendations_en.pdf
  26. Ministerstwo Zdrowia. (2022, 26 października). Ponad 260 mln zł z Ministerstwa Zdrowia na cyberbezpieczeństwo w szpitalach. https://www.gov.pl/web/zdrowie/ponad-260-mln-zl-z-ministerstwa-zdrowia-na-cyberbezpieczenstwo-w-szpitalach
  27. Najwyższa Izba Kontroli [NIK]. (2019). Wdrożenie przez podmioty lecznicze regulacji dotyczących ochrony danych osobowych. Informacja o wynikach kontroli (P/19/063). https://bip.nik.gov.pl/kontrole/P/19/063/
  28. Nancy, M., & Maheswari, R. (2020). A Review on Unstructured Data in Medical Data. Journal of Critical Reviews, 7(13), 2202-2208.
  29. Narodowe Standardy Cyberbezpieczeństwa [NSC]. (b.d.). Baza wiedzy. Pobrano 1 marzec 2024, z https://www.gov.pl/web/baza-wiedzy/narodowe-standardy-cyber
  30. NASK. (2023, 5 czerwca). Raport roczny z działalności CERT Polska 2022. https://nask.pl/magazyn/raport-roczny-z-dzialalnosci-cert-polska-w-2022-roku/
  31. OECD. (1980/2013). OECD Privacy Guidelines (OECD/LEGAL/0188). Pobrano 15 marzec 2024, z https://www.oecd.org/sti/ieconomy/privacy-guidelines.htm
  32. Oszuści mogą zdobyć PESEL legalnie. (2021, 6 kwietnia). https://www.ey.com/pl_pl/serwis-audytorow-sledczych/2021/03/oszusci-moga-zdobyc-pesel-legalnie
  33. Otwarte Dane. (2024, 3 stycznia). Statystyki obsłużonych incydentów przez zespół CERT Polska – 01.01.2023-28.12.2023. https://dane.gov.pl/pl/dataset/1992/resource/53602,statystyki-obsuzonych-incydentow-przez-zespo-cert-polska-01012023-28122023/table
  34. Reddix-Smalls, B. (2012). Credit Scoring and Trade Secrecy: An Algorithmic Quagmire or How the Lack of Transparency in Complex Financial Models Scuttled the Finance Market. Business Law Journal, 12. https://blj.ucdavis.edu/archives/12/1/credit-scoring-and-trade-secrecy-algorithmic-quagmire-or-how-lack-transparency
  35. Rozporządzenie. (2016). Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Dz. U. UE L 119/1 z 4.5.2016. http://data.europa.eu/eli/reg/2016/679/oj
  36. Rozporządzenie. (2020). Rozporządzenie z 6 kwietnia 2020 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania. Dz. U. 2020, poz. 666 ze zm. https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20200000666
  37. Solecka, M. (2023, 23 lutego). Uchodźcy w systemie czy poza nim? Medycyna Praktyczna. http://www.mp.pl/social/article/317681
  38. TrapX Research Labs. (2018). MEDJACK.4 Medical Device Hijacking. https://www.trustdimension.com/wp-content/uploads/2015/02/MedJack.4-ilovepdf-compressed.pdf
  39. UODO. (b.d.). Zatwierdzone kodeksy postępowania. Urząd Ochrony Danych Osobowych. Pobrano 22 grudzień 2024, z https://uodo.gov.pl/pl/426/1110
  40. Ustawa. (2011). Ustawa z dnia 15 kwietnia 2011 r. o działalności leczniczej. Dz. U. 2011, nr 112, poz. 654 ze zm. https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=wdu20111120654
  41. Ustawa. (2018). Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, Dz. U. 2018, poz. 1560 ze zm. https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20180001560
  42. Vilakazi, K., & Adebesin, F. (2023, 26 maja). A systematic literature review on cybersecurity threats to healthcare data and mitigation strategies. https://doi.org/10.29007/hf15