Cyberatak w Instytucie Centrum Zdrowia Matki Polki (ICZMP), który doprowadził do przełożenia planowanych badań i prowadzenia dokumentacji medycznej w postaci papierowej, skierował naszą uwagę na kwestie zabezpieczenia danych wrażliwych w systemach elektronicznej dokumentacji medycznej.  

Incydent spowodował, że czasowo wyłączono systemy informatyczne, aby zminimalizować skalę ataku. W przywróceniu stanu do normy zaangażowano zespół IT ICZMP, Ministerstwo Zdrowia, Centrum e-Zdrowia i NASK.

W czasie cyberataku najbardziej ucierpiały badania w pracowni radiologicznej: tomografie komputerowe i rezonansy magnetyczne. Te nowoczesne urządzenia są całkowicie skomputeryzowane i bez podłączenia do sieci nie działają.

Należy przypomnieć, że do wycieku czy kradzieży danych nie musi dochodzić przy użyciu wyrafinowanych, skomplikowanych, długo przygotowywanych cyber­ataków, choć takowe często się zdarzają.

Najsłabszym ogniwem w najbardziej zaawansowanych systemach bezpieczeństwa jest człowiek. Na co z punktu widzenia przeciętnego użytkownika komputera zwrócić szczególną uwagę, aby nie paść ofiarą cyberprzestępców? Jak wymagania dotyczące bezpieczeństwa teleinformatycznego stosować w praktyce?

Czytaj też: Dotacje na cyberbezpieczeństwo z Funduszu Przeciwdziałania COVID-19»

Aby nie dopuścić do instalacji złośliwego oprogramowania na naszym komputerze, nie otwierajmy niesprawdzonych załączników czy linków z niezamówionej czy podejrzanej korespondencji e-mailowej, np. o niezapłaconej fakturze, nieodebranej paczce, zawierającej komunikat o zablokowaniu dostępu do bankowości internetowej, a nawet zawiadomienie o wszczęciu kontroli skarbowej. Może to spowodować zainfekowanie komputerów złośliwym oprogramowaniem szpiegującym. Umożliwi ono hakerom przejęcie władzy nad naszym komputerem, zablokuje lub zaszyfruje pliki.

Przy instalowaniu dodatkowych aplikacji często ryzykujemy niejawną instalację takich programów (ang. spyware).
Gdy nasz komputer np. zaczyna działać zbyt wolno, cały czas pojawiają się wyskakujące reklamy, zmienione są ustawienia, przeglądarka zawiera dodatkowe składniki, których nie instalowaliśmy, może padliśmy ofiarą ataku.

Często nasze dyski są szyfrowane. Jeśli nie robimy regularnie kopii bezpieczeństwa, to odzyskanie dostępu do danych może się wiązać z zapłaceniem dużego haraczu. Dlatego dobrze przyglądajmy się adresowi nadawcy. Czasem dostrzeżemy w nim niewielkie różnice w nazwie, inną literę czy domenę, a czasami zupełnie przypadkowe adresy e-mailowe nadawcy.

Przestępca może się też podszywać pod inną osobę lub instytucję, żeby wyłudzić określone informacje (np. dane logowania, szczegóły karty kredytowej) bądź nakłonić ofiarę do określonych działań.

Spotykamy również strony internetowe łudząco podobne do niektórych firm, instytucji, programów. Najczęściej ofiarami padają klienci banków czy użytkownicy portali społecznościowych. Można spotkać się z fałszywymi stronami np. programu Rodzina 500+ czy rabatowymi kuponami o wartości 100 zł do KFC i McDonald’s. Nie należy im wierzyć pod żadnym pozorem.

Pojawiały się też już fałszywe domeny jak np. www.abwgov.pl, www.cbagov.pl czy nawet www.gusgov.pl. Bez kropki przed gov. Ktoś, kto na to nie zwrócił uwagi, wysyłał często poufne informacje, bynajmniej nie do ABW czy CBA. Nie logujmy się więc nigdzie z poziomu wyszukiwarki. Uważajmy na to, co ściągamy z Internetu, jakie strony odwiedzamy i jakie aplikacje uruchamiamy.

Czytaj też: Powierzenie danych osobowych w świetle specyfiki sektora medycznego»

Pamiętajmy, że oryginalna, szyfrowana strona powinna zaczynać się od https:// (nie od http:// jak zwykle). Powinien znajdować się na niej symbol zamkniętej kłódki widoczny na pasku adresu wykorzystywanej przeglądarki. Po kliknięciu kłódki zapoznajmy się z informacjami na temat certyfikatu bezpieczeństwa danej witryny.

Przed zalogowaniem się sprawdźmy, czy w adresie strony nie ma literówki, cyfry udającej literę itp. Cyberprzestępcy celowo rejestrują domeny z literówkami w nazwach oraz bez kropki między www a właściwą częścią adresu (np. wwwgazeta.pl). Liczą na to, że użytkownik oryginalnej witryny nie zauważy różnicy.

Czasami nie trzeba programu szpiegującego, aby ujawnić cenne czy chronione informacje. Jeśli jesteśmy nieostrożni lub zbyt łatwowierni, wystarczy, że otrzymamy e-maila o urzędowej treści lub telefon od funkcjonariusza czy inspektora.

Następnie w zdenerwowaniu lub kierując się chęcią pomocy, przekażemy informacje, których nie powinniśmy przekazać, osobie nieuprawnionej. Miejmy zawsze na uwadze, że nigdy do końca nie jest wiadomo, kto jest po drugiej stronie telefonu czy skrzynki e-mailowej.

Do akcji dezinformacyjnych, SPAM-u czy nieuczciwych ofert handlowych służą m.in. przepisy dotyczące ochrony danych i ich niedostateczna znajomość. Nie dajmy się więc zastraszyć.
Jeden z najlepszych hakerów powtarzał: „nie trzeba łamać haseł, wystarczy złamać (podejść) człowieka”.

Używajmy odpowiednio silnych, trudnych do złamania, ale łatwych do zapamiętania haseł. Nie przyklejajmy karteczek z hasłami do monitora czy obudowy komputera. Nie ujawniajmy ich też w inny sposób, nie pożyczajmy. Stosujmy także hasła lub inne środki kryptograficznej ochrony do danych chronionych, które przekazujemy drogą teletransmisji. Zabezpieczmy załącznik e-maila hasłem, które wyślemy inną drogą, np. sms-em.

Gdy przesyłamy dane podlegające ochronie, korespondencja e-mailowa nie jest bezpiecznym kanałem komunikacji. Przy wysyłaniu wiadomości drogą elektroniczną, zwłaszcza gdy chce się jedną wiadomość przesłać do wielu osób, często zdarza się karygodny błąd i adresy wszystkich odbiorców wkleja się do paska adresowego lub „do wiadomości”.

W cyfrowym świecie każdy adres e-mail to dane osobowe i przy takiej wysyłce będą ujawnione. Jeśli wiadomość dotyczy kwestii wrażliwych, związanych chociażby ze stanem zdrowia, ujawnimy też dane wrażliwe.

Skutki i konsekwencje takiego błędu mogą być kosztowne, zwłaszcza w perspektywie obowiązywania ogólnego rozporządzenia UE o ochronie danych osobowych. Musimy więc być świadomi zagrożeń, umieć bezpiecznie korzystać z Internetu.

Jeżeli padniemy ofiarą przestępstwa internetowego, napotkamy w sieci nielegalne bądź obraźliwe treści, możemy zgłosić incydent do jednego z funkcjonujących w Polsce Zespołów Reagowania na Incydenty Komputerowe (CERT – Computer Emergency Responce Team):

1) https://www.cert.pl/ – dla wszystkich użytkowników polskiego Internetu,

2) https://www.cert.orange.pl/ – dla użytkowników sieci Orange Polska,

3) http://www.cert.gov.pl/ – dla użytkowników sieci administracji publicznej.

Czytaj też: Bezpieczeństwo dokumentacji medycznej – jakie są najważniejsze obowiązki placówki medycznej»