Zarządzanie kryzysowe wyzwaniem dla ochrony zdrowia. W perspektywie implementacja dyrektywy NIS2

Po wyborach parlamentarnych trwa dyskusja o wyzwaniach, wobec których staje ochrona zdrowia. Jednym z nich jest zbliżająca się nieuchronnie konieczność zmierzenia się z wymogami dyrektywy NIS2. Dotyczy to również jednego z najbardziej krytycznych obszarów usług publicznych i jednego z najczęściej obieranych celów przestępczych działań.

Prawodawstwo UE nakłada na podmioty działające w sektorach gospodarki o szczególnym znaczeniu m.in. obowiązki związane z zarządzaniem kryzysowym w sferze cyfrowej. Zgodnie z przewidywaniami analityków branżowe wydatki na ten cel w perspektywie 2028 roku mają osiągnąć niemal 11,5 mld dolarów*, rosnąc rok do roku o około 11 proc. Ekspert Stormshield zwraca uwagę na kluczowe aspekty w kontekście uruchamiania Systemu Ochrony Sieci (SOC), podstawowego elementu strategii bezpieczeństwa IT.

Sfera IT jest obszarem o strategicznym znaczeniu z perspektywy każdej branży, w tym również ochrony zdrowia. Bezpieczeństwo informacji oraz integralność systemów komputerowych, to elementy które nie tylko wpływają na ciągłość funkcjonowania szpitalnictwa, lecz także chronią prywatność pacjentów i reputację placówek.

Szpitale nie mogą sobie pozwolić na pracę bez bieżącego dostępu do kluczowych danych, dlatego skuteczny atak w ich przypadku skutkuje większym prawdopodobieństwem wymuszenia okupu. Stąd m.in. duże zainteresowanie sektorem zdrowia wśród przestępców

Aleksander Kostuch,

inżynier Stormshield, wytwórcy rozwiązań z obszaru bezpieczeństwa IT

Rosnąca liczebność grup przestępczych, lepszy sprzęt, analiza podatności na błędy nowego oprogramowania czy rozwój usług jak Ransomware-as-a-Service i Malware-as-a-Service, to realia, w których funkcjonuje sektor. Przestępcom sprzyja fakt, że wiele podmiotów medycznych jest niedofinansowanych w obszarze IT, co objawia się na przykład brakiem stosownej i jasno określonej polityki bezpieczeństwa, regulaminów oraz procedur.

Dzięki technologii przeciwdziałanie zaawansowanym zagrożeniom staje się bardziej efektywne. Dla przykładu głęboka analiza protokołów przemysłowych używanych w sektorze opieki zdrowotnej umożliwia identyfikację oraz reakcję na ewentualne nieprawidłowości lub zagrożenia i ataki w sieciach medycznych. Obejmuje ona analizę ruchu medycznego sprzętu, takiego jak aparatury do monitorowania pacjentów czy systemów informatycznych używanych w placówkach medycznych.

Ochrona sieci to złożone wyzwanie, zwłaszcza w dobie ciągle ewoluujących zagrożeń. Tych z wewnątrz czy powstających w wyniku nieroztropności pracownika, który albo popełnił błąd, bądź dał się zwieść socjotechnicznym sztuczkom przestępców. Antidotum na podobne zagrożenia ma przynieść podniesienie poziomu bezpieczeństwa, czemu służy m.in. dyrektywa NIS2

Aleksander Kostuch,

inżynier Stormshield, wytwórcy rozwiązań z obszaru bezpieczeństwa IT

Kto objęty dyrektywą NIS2?

Dokument przyjęty w grudniu 2022 roku ma zapewnić wysoki poziom ochrony sieci i systemów informatycznych oraz minimalizować ryzyko cyberataków. W myśl założeń dyrektywy do katalogu podmiotów kluczowych zalicza się m.in. instytucje publiczne świadczące usługi w sektorze niezbędnym dla utrzymania podstawowych funkcji społeczeństwa i gospodarki, co obejmuje ochronę zdrowia. Z kolei wytwórcy farmaceutyków czy urządzeń medycznych klasyfikowani będą jako podmioty istotne. Założenia NIS2 obejmują szereg obowiązków dla podmiotów objętych jej postanowieniami: zgłaszania incydentów i zagrożeń, zarządzania kryzysowego, opracowania odpowiednich polityk oraz procedur testowania i audytów czy implementacja rozwiązań technologicznych adekwatnych do ryzyka.

Wobec zakresu dyrektywy NIS2, wprowadzenie określonych w niej rozwiązań będzie dużym wyzwaniem technologicznym a jednocześnie odnoszącym się do zasobów ludzkich. Wymaga odpowiedniej liczby specjalistów wyposażonych w określone kompetencje

Aleksander Kostuch,

inżynier Stormshield, wytwórcy rozwiązań z obszaru bezpieczeństwa IT

Zarządzanie kryzysowe własnym sumptem lub w formie usługi

Ujęty w NIS2 obowiązek zarządzania kryzysowego w opinii ekspertów przyczyni się do tworzenia jednostek typu Security Operations Center (SOC), kluczowego elementu strategii bezpieczeństwa organizacji. SOC to centralne miejsce, w którym z pomocą kombinacji rozwiązań technologicznych i zestawu procesów, analizowane są dane z różnych źródeł, monitorowane systemy, a w razie wykrycia potencjalnych zagrożeń podejmowane są odpowiednie działania zaradcze. Dostawcy rozwiązań do ochrony sieci dostrzegają rosnące zainteresowanie tą problematyką a jednocześnie dostosowują technologie do nowych wymagań prawnych, w tym tworzenia SOC. Stormshield wprowadził rozwiązanie SIEM SLS dokupowane do firewalli UTM i umożliwił zapewnienie prawidłowego funkcjonowania wewnętrznych SOC za pomocą zwirtualizowanego rozwiązania.

Dzięki temu szpital czy przychodnia może wdrożyć odpowiednie rozwiązania i procesy przy okazji użytkowania firewalli. SOC jest wtedy dostosowany do konkretnych potrzeb i skutecznie monitoruje oraz reaguje na zdarzenia bezpieczeństwa poprzez automatyczne generowanie incydentów. Niestety przekonanie kierownictwa niektórych szpitali czy przychodni do wydatkowania środków na wdrożenie własnego SOC nie zawsze będzie łatwe

Aleksander Kostuch,

inżynier Stormshield, wytwórcy rozwiązań z obszaru bezpieczeństwa IT

Największą barierą w powstawaniu Security Operations Center (SOC) jest bowiem brak wystarczających zasobów, zarówno finansowych, jak i kadrowych.

Brak środków finansowych utrudnia zakup dedykowanego oprogramowania i sprzętu oraz zatrudnienie i utrzymanie wysoko wykwalifikowanych pracowników SOC. Z kolei brak wystarczających zasobów kadrowych obniża możliwości monitorowania i reagowania na zdarzenia. Mamy zatem do czynienia z system naczyń połączonych

Aleksander Kostuch,

inżynier Stormshield, wytwórcy rozwiązań z obszaru bezpieczeństwa IT

NIS2 rekomenduje, aby organizacje z sektorów krytycznych, jeśli nie są w stanie samodzielnie zapewnić odpowiedniego poziomu bezpieczeństwa, korzystały z zewnętrznego SOC. Takie centra mogą funkcjonować także w formie usług zewnętrznych. Dedykowani integratorzy i dystrybutorzy systemów cybersecurity mogą tworzyć własne centra (SOCaas - SOC as a service), które będą dzierżawić w chmurze. Informatyk połączy swojego firewalla z SOCaas w celu zautomatyzowanego zarządzania zdarzeniami. Centrum będzie zatem reagować na zdarzenia bezpieczeństwa wobec swojego klienta, a tym samym wpłynie na ochronę szpitali i przychodni przed atakami oraz spełni wymagania formalne NIS2. Choć technologia oferuje możliwości skutecznej obrony, to na przeszkodzie może stanąć wspomniany problem niedoboru kadr.

Specjaliści z zakresu cyberbezpieczeństwa są i będą oni poszukiwani przez rynek, a podaż w tym przypadku zdecydowanie pozostaje w tyle za popytem. Ten niedobór szacuje się na poziomie 3,5 miliona osób w perspektywie 2025 roku, co tylko pokazuje skalę wyzwania z jakim będziemy musieli się zmierzyć. Ryzyko, że może zabraknąć specjalistów odpowiedzialnych za obsługę SOC istnieje

Aleksander Kostuch,

inżynier Stormshield, wytwórcy rozwiązań z obszaru bezpieczeństwa IT

Dlatego z myślą o własnym bezpieczeństwie sektor ochrony zdrowia powinien mocno inwestować w rozwój kompetencji pracowników. Istotne są dedykowane szkolenia, pomagające zwiększyć ich umiejętności i wiedzę w zakresie cyberbezpieczeństwa.

Aby uzyskać dostęp do wykwalifikowanych specjalistów można również współpracować z zewnętrznymi dostawcami. Nie zapominajmy jednak, że nieodzownym elementem myślenia o bezpieczeństwie jest dbałość o wiedzę pracowników i właśnie cykliczne szkolenia. Powinny obejmować zachowania w konkretnych sytuacjach, takich jak zasady zarządzania hasłami czy w szczególności otwierania e-maili czy plików z nieznanych źródeł, co wciąż pozostaje bolączką

Aleksander Kostuch,

inżynier Stormshield, wytwórcy rozwiązań z obszaru bezpieczeństwa IT

Wdrożenie rekomendowanych rozwiązań będzie czasochłonne, a wobec skali wyzwania nawet uwzględnienie czasu przewidzianego w vacatio legis może okazać się niewystarczające.

W tej sytuacji stosowanie już teraz adekwatnych do ryzyka mechanizmów ochronnych jest dobrym posunięciem. Oczywiście wiąże się to z inwestycjami, jednak zawsze lepiej przeciwdziałać zagrożeniom niż odczuwać skutki udanego ataku lub kar za niedopełnienie obowiązków. Podmioty, które nie będą przestrzegać dyrektywy, mogą między innymi zostać ukarane grzywnami

Aleksander Kostuch,

inżynier Stormshield, wytwórcy rozwiązań z obszaru bezpieczeństwa IT

* SOC jako usługa będzie warty 11 mld dol. - CRN