Cyberhigiena: rola uwierzytelniania wieloskładnikowego (MFA) | Centrum e-Zdrowia

Infolinia CeZ 24h/7   19 239

Tłumacz PJM

Unia Europejska Flaga Unii Europejskiej

cyberkłódka lewitująca na tle układu zespolonego

Cyberhigiena: rola uwierzytelniania wieloskładnikowego (MFA)

W świecie, gdzie cyberataki stają się nieodłączną częścią rzeczywistości, bezpieczeństwo kont użytkowników sektora ochrony zdrowia z uwagi na przetwarzanie danych medycznych, nie może być kwestią przypadku. Wprowadzenie uwierzytelniania wieloskładnikowego (MFA) to dziś nie tylko opcja, ale konieczność dla zapewnienia odpowiedniego poziomu bezpieczeństwa. 

Firmy takie jak Microsoft oraz Google od lat udostępniają MFA jako standardową opcję, a dane pokazują, że jego wdrożenie może znacząco zmniejszyć ryzyko naruszenia bezpieczeństwa. Jest to stosowane również w bankowości.

Jak działa MFA

Czy wiesz, że w Polsce korzystanie z bankowości elektronicznej bez uwierzytelniania wieloskładnikowego (MFA) jest niemożliwe? Zgodnie z przepisami prawa, banki są zobowiązane do stosowania silnego uwierzytelniania klienta. Oznacza to, że logowanie do konta oraz autoryzacja transakcji muszą odbywać się z wykorzystaniem co najmniej dwóch niezależnych czynników uwierzytelniających takich jak np.:

  • Hasło - znane jedynie użytkownikowi
  • Kod SMS lub aplikacja uwierzytelniająca – każdorazowo generuje unikalny składnik  
  • Dane biometryczne - odcisk palca, skan siatkówki oka czy kształt twarzy     

Banki traktują MFA jako konieczność. Jest to mocny argument za tym, aby stosować tę samą zasadę w codziennym życiu - prywatnym i zawodowym. 

MFA w ochronie zdrowia

Ta sama metoda uwierzytelniania, która chroni nasze finanse, jest kluczowa w sektorze ochrony zdrowia. Dlaczego? Bo tutaj stawka jest jeszcze wyższa niż pieniądze – chodzi o zdrowie, a nawet życie ludzi. 
W ochronie zdrowia wykradzione dane często służą do kolejnych ataków, np. do wyłudzania loginów od lekarzy i pielęgniarek przez fałszywe strony (phishing). MFA jest kluczową ochroną, bo utrudnia kradzież kont i zapobiega nadużyciom, które wykorzystują autorytet pracownika ochrony zdrowia.

Dlaczego MFA jest ważne

  • Ochrona przed kradzieżą danych osobowych i medycznych:     
    Dzięki uwierzytelnianiu wieloskładnikowemu dużo trudniej jest nieuprawnionym osobom dostać się do poufnych informacji zdrowotnych. To sprawia, że rzadziej dochodzi do ich masowego ujawnienia i zmniejsza się ryzyko, że ktoś wykorzysta je do innych przestępstw. 
  • Zabezpieczenie systemów informatycznych:     
    MFA ogranicza ryzyko nieautoryzowanego dostępu do kont pracowników. Zapobiega to zakłóceniom w działaniu systemów medycznych oraz potencjalnym atakom, które mogłyby sparaliżować funkcjonowanie placówek ochrony zdrowia. 
  • Ograniczenie dalszych ataków i wyłudzeń:     
    Dzięki zastosowaniu MFA, nawet jeżeli wyciekną dane logowania pracowników ochrony zdrowia, znacznie trudniej jest przeprowadzić skuteczny atak. Stanowi to istotną barierę dla cyberprzestępców i ogranicza ryzyko wyłudzeń danych dostępowych do systemów medycznych oraz przejęcia tożsamości pacjentów i personelu.

Jak często wyciekają dane

Jak podaje jeden z portali branżowych, w 2024 roku liczba naruszeń kont użytkowników w skali globalnej przekroczyła 5,5 miliarda – to szokująca liczba. Badanie koncentrowało się na przypadkach, w których doszło do naruszenia lub wycieku danych uwierzytelniających, a każdy taki incydent został potraktowany jako odrębne naruszenie.    

Według innego serwisu, w wyniku udokumentowanych naruszeń bezpieczeństwa wyciekło już niespełna 15 miliardów poświadczeń. Informacje te, często obejmujące loginy i hasła, mogą jeszcze przez wiele lat pozostawać w obiegu i być wykorzystywane przez cyberprzestępców do przejmowania kont, w tym również tych należących do pracowników sektora ochrony zdrowia.

MFA w liczbach

Według danych Microsoft, MFA jest w stanie zablokować ponad 99,9% ataków na konta użytkowników. To liczba, która przemawia sama za siebie.     

Z kolei w 2021 roku Google włączyło automatyczną weryfikację wieloetapową dla ponad 150 milionów użytkowników oraz wymusiło jej stosowanie przez 2 milionów twórców na YouTube. W wyniku tych działań liczba przejęć kont wśród użytkowników objętych tą inicjatywą spadła o połowę. 

Jak wdrożyć MFA w podmiocie leczniczym

  • Wybór odpowiedniej technologii:
    Kod SMS, aplikacje uwierzytelniające, klucze sprzętowe czy metody biometryczne.     
  • Szkolenie pracowników:
    Przeprowadzaj cykliczne szkolenia, aby każdy pracownik rozumiał, jak działa MFA i dlaczego jest istotne.     
  • Weryfikacja wdrożenia:
    Upewnij się, że MFA jest włączone na wszystkich kluczowych kontach i systemach.

Podsumowanie

Nawet jeśli hasło pracownika zostanie przechwycone, atakujący nie uzyska dostępu bez dodatkowego składnika uwierzytelnienia. MFA dodaje warstwę zabezpieczeń, która skutecznie chroni przed nieautoryzowanym dostępem.      
Dodatkowo utrudnia podszywanie się pod użytkownika, ponieważ wymaga potwierdzenia tożsamości za pomocą czegoś, co posiada tylko on – np. aplikacji mobilnej, tokenu lub biometrii.  
Dzięki temu MFA minimalizuje ryzyko przejęcia konta wskutek ataków phishingowych i zapewnia lepszą ochronę danych w środowiskach zdalnych oraz przy pracy z wrażliwymi systemami.

Kompleksowe wdrażanie MFA to nie tylko zwiększenie bezpieczeństwa, ale także ochrona reputacji. To prosty krok, który może uchronić nie tylko Twoich pacjentów, ale także Twoją jednostkę przed kosztownymi konsekwencjami naruszenia bezpieczeństwa informacji.