Komisja Europejska przedstawiła w środę plan działania na rzecz zwiększenia cyberbezpieczeństwa unijnych szpitali i ośrodków zdrowia. W 2023 r. placówki ochrony zdrowia w UE zostały zaatakowane 309 razy i padały ofiarą hakerów częściej niż inne kluczowe instytucje.
Plan skuteczniejszej ochrony unijnych szpitali i ośrodków zdrowia przed atakami hakerskimi zapowiedziała w priorytetach na pierwsze 100 dni nowej kadencji szefowa Komisji Europejskiej Ursula von der Leyen.
Z danych przedstawionych w środę przez KE wynika, że państwa członkowskie w 2023 r. zgłosiły 309 ataków na placówki ochrony zdrowia. W ponad połowie z nich (54 proc.) użyto złośliwego oprogramowania, którego uruchomienie np. zakłóciło dostęp pacjentów do usług, opóźniło procedury medyczne lub zablokowało dostęp do izby przyjęć. Wielokrotnie też zdarzało się, że hakerzy szantażowali państwa członkowskie i żądali okupu za odblokowanie dostępu do usług zdrowotnych.
Problem w tym, że – jak pokazują statystyki – w szpitalach brakuje specjalistów od cyberbezpieczeństwa. Ponad cztery piąte (81 proc.) ośrodków zdrowia przyznało, że ma problemy z zatrudnieniem odpowiedniej osoby na tym stanowisku, a w 66 proc. szpitali i przychodni za cyberbezpieczeństwo odpowiadają osoby, które wcześniej pełniły inne role.
Z jednej strony unijny system zdrowotny staje się coraz bardziej zdigitalizowany (pacjenci mają m.in. coraz lepszy dostęp do telemedycyny i swojej dokumentacji medycznej w sieci), a z drugiej rośnie liczba ataków hakerskich, w tym z państw trzecich takich jak Rosja i Chiny. KE postanowiła więc poprawić wykrywalność zagrożeń i odpowiadanie na nie.
Przedstawiony w środę plan działania obejmuje cztery priorytety, w tym wzmocnienie prewencji, czyli stworzenie systemu, który pozwoliłby zapobiegać atakom. W ramach tej inicjatywy państwa unijne mogłyby np. wprowadzić tzw. bony cyberbezpieczeństwa, by w ten sposób pomagać w finansowaniu placówek.
Ponadto KE proponuje skuteczniejsze wykrywanie zagrożeń. Zgodnie z planem Agencja UE ds. Cyberbezpieczeństwa (ENISA) powołałaby unijne centrum wsparcia szpitali i ośrodków zdrowia, które do 2026 r. miałoby wprowadzić usługę wczesnego ostrzegania. Dzięki niej placówki otrzymywałyby informacje o nadchodzących atakach w czasie rzeczywistym.
Plan zakłada też skuteczniejsze reagowanie na cyberataki w sektorze zdrowia z wykorzystaniem nowe unijnej rezerwy cyberbezpieczeństwa, zapisanej już w unijnym akcie o cybersolidarności. Chodzi o zapewnienie, że w przypadku niebezpiecznych lub wielkoskalowych incydentów na prośbę państw członkowskich lub instytucji UE interweniować będą zaufane firmy prywatne, specjalizujące się w cyberbezpieczeństwie.
Czwarty, ostatni punkt planu przewiduje wzmocnienie systemu odstraszania, m.in. przez współpracę państw członkowskim przy wspólnej odpowiedzi dyplomatycznej UE na złośliwe ataki cybernetyczne.
KE zapowiedziała, że wkrótce rozpocznie konsultacje społeczne w sprawie tych propozycji. Proponowane rozwiązania miałyby być wdrażane stopniowo w latach 2025 i 2026.
To nie pierwsze działania UE na rzecz bezpieczeństwa w internecie. W grudniu ub.r. w życie weszła pierwsza unijna ustawa o cyberodporności, wprowadzająca obowiązkowe wymogi cyberbezpieczeństwa wobec produktów cyfrowych. Komisja wprowadziła również mechanizm w ramach aktu o cybersolidarności, wzmacniający solidarność UE i skoordynowane działania w walce z cyberzagrożeniami.
Z Brukseli Jowita Kiwnik Pargana (PAP)
jowi/ akl/