Rośnie liczba cyberzagrożeń, ale czy zwiększa się wiedza na ich temat? Wnioski z badania Centrum e-Zdrowia
Wyniki najnowszej, VIII edycji „Badania stopnia informatyzacji podmiotów wykonujących działalność leczniczą” wskazują na rosnącą świadomość sektora ochrony zdrowia w zakresie cyberbezpieczeństwa. Mimo to wyniki badania możemy interpretować jako alarmujące.
Zespoły i specjaliści ds. cyberbezpieczeństwa
Pierwszym sygnałem alarmowym jest fakt, że zespoły ds. cyberbezpieczeństwa funkcjonują w jedynie 27,5% badanych placówek. Najczęściej działają w szpitalach (41,1%), podczas gdy w podmiotach świadczących ambulatoryjne świadczenia zdrowotne (AŚZ) ich obecność jest znacznie rzadsza (25,8%). W AŚZ częściej funkcjonują wewnętrzne zespoły współpracujące z podmiotami zewnętrznymi (13,9%). Natomiast szpitale w większości wykorzystują wewnętrzne, samodzielne zespoły ds. cyberbezpieczeństwa (24,4%). Warto też zwrócić uwagę, że większość z tych zespołów liczy maksymalnie 5 osób (97,1%).
Ogromna potrzeba cyberbezpieczeństwa
Jako alarmujący, choć równocześnie pozytywny wynik badania – w kontekście rosnącej świadomości zagrożeń – należy ocenić, że ponad połowa badanych placówek (52,2%) zgłosiła istotne potrzeby w zakresie cyberbezpieczeństwa. Wśród szpitali odsetek ten wyniósł aż 91,2%, co pokazuje, że to właśnie te jednostki odczuwają największe zagrożenia w tej dziedzinie.
Najczęściej wskazywane potrzeby obejmują:
- zwiększenie odporności na cyberataki (69,6%),
- zwiększenie ochrony danych osobowych (66%),
- poprawę stanu wiedzy o zagrożeniach informatycznych wśród pracowników (64,8%).
Szpitale oraz AŚZ szczególnie akcentowały potrzebę zwiększenia odporności na cyberataki (odpowiednio 85,8% i 66,2%), natomiast placówki stacjonarne i całodobowe inne niż szpitalne kładły większy nacisk na edukację personelu (79,8%).
Działania w zakresie cyberbezpieczeństwa
Działania na rzecz poprawy cyberbezpieczeństwa były podejmowane w 47,6% badanych placówek, przy czym w szpitalach odsetek ten wyniósł aż 92,3%. W większości przypadków finansowanie tych działań odbywa się ze środków własnych (84,8%). Szpitale natomiast częściej korzystają z finansowania ze środków NFZ (78,2%).
Priorytetowe obszary działań
Najważniejszymi obszarami wskazanymi przez respondentów w zakresie cyberbezpieczeństwa są:
- monitorowanie bezpieczeństwa teleinformatycznego (69,6%),
- szkolenia dla pracowników (64,2%),
- oszacowanie ryzyka związanego z zagrożeniami (46%).
Szkolenia dyrektorów placówek medycznych
Warto zauważyć, że według danych CSIRT CeZ w ciągu dwóch lat liczba dyrektorów placówek przeszkolonych w zakresie cyberbezpieczeństwa wzrosła aż o 25 punktów procentowych – z 11% w 2022 roku do 36% w roku ubiegłym. Świadczy to o konsekwentnej realizacji działań w tym obszarze, co przekłada się na wzrost świadomości zagrożeń cybernetycznych wśród kadry zarządzającej oraz lepsze przygotowanie placówek do przeciwdziałania potencjalnym atakom i incydentom bezpieczeństwa.
Podsumowanie
Wyniki VIII edycji badania jasno pokazują, że sektor ochrony zdrowia wciąż mierzy się z poważnymi wyzwaniami w obszarze cyberbezpieczeństwa. Niezbędne jest dalsze wzmacnianie struktur odpowiedzialnych za ochronę danych i systemów informatycznych. Kluczową rolę w tym zakresie odgrywa CSIRT CeZ, który wspiera placówki medyczne, realizując swoje ustawowe obowiązki w zakresie monitorowania zagrożeń, pomocy w reagowaniu na cyberataki oraz doradztwa w temacie bezpieczeństwa teleinformatycznego.
Wychodząc naprzeciw potrzebom sektora ochrony zdrowia, Akademia Centrum e-Zdrowia organizuje cykliczne szkolenia z cyberbezpieczeństwa. Są one skierowane do dyrektorów oraz menadżerów podmiotów związanych z tym sektorem. Ze szkoleń skorzystało już ponad 1300 osób.
2, 8 i 10 kwietnia br. przeprowadziliśmy również webinary dla podmiotów kluczowych z sektora ochrony zdrowia dotyczące obrony przed atakami typu ransomware. Kolejne, otwarte webinary odbędą się 29 kwietnia oraz 8 maja. Zachęcamy do zapisów.
Całe badanie jest dostępne na stronie cez.gov.pl.