180 cyberataków na szpital w jeden dzień. "Działamy na komputerach z Windows 10"

• - 5 października zaatakowano nas około 180 razy. 5 razy dzień wcześniej, 6 razy dzień później - przyznał Tomasz Kopiec, dyrektor Samodzielnego Publicznego Szpitala Klinicznego w Warszawie
• - Mam ponad 100 komputerów z systemem Windows 10. Można sobie wyobrazić, jakie to zagrożenie - mówiła Wioletta Śląska-Zyśk, dyrektorka naczelna Warmińsko-Mazurskie Centrum Chorób Płuc w Olsztynie
• - Mamy ponad tysiąc placówek medycznych, z czego jedna trzecia dostała dofinansowanie na cyberbezpieczeństwo. Co z resztą? - pytał Aleksander Biernacki, dyrektor Departamentu Rynku Publicznego Exatel SA
• O cyberbezpieczeństwie polskich lecznic i pieniądzach z KPO przeznaczonych na ten cel rozmawiano podczas Forum Rynku Zdrowia 

"Zarządzanie szpitalem jest jak zarządzanie pożarem"

• Sebastian Błaźniak, prokurent Nexus Polska:

Zarządzanie szpitalem jest jak zarządzanie pożarem. Można pewne rzeczy podkręcać i starać się ograniczyć szkody, ale to jest żywioł, (...) otoczenie, w którym dzisiaj menadżerowie działają.

To jest ten czas, żeby osadzić w myśleniu, w zarządzaniu podmiotem leczniczym, kwestię szeroko pojętej informatyki jako procesu, który jest ciągły, który trzeba cały czas ulepszać i którym się trzeba cały czas zajmować, nie tylko ze względu na cyberbezpieczeństwo.

Coś, co interpretuje się w szpitalu jako zdarzenie niepożądane, kojarzące się z tym, że się ktoś poślizgnął przy łóżku pacjenta, w systemach informatycznych takich zdarzeń jest bardzo dużo. Menedżerowie nie mają dzisiaj na to czasu.

Tematem wiodącym jest Centralna e-Rejestracja, która jest na chwilę obecną dosyć dużym utrapieniem i producentów systemów informatycznych, i menadżerów placówek. Trzeba naprawdę wiele rzeczy zorganizować, a na razie efekt dla pacjenta jest trochę iluzoryczny. Po prostu trzeba się do tego pomalutku przygotować.

Chylę czoła przed wszystkimi menadżerami i kibicuję im, żeby w tym delikatnym chaosie, który właściwie towarzyszy nam prawie od zawsze, postarali się odnaleźć i (sobie) radzić.

Skoro mamy 200 aktualizacji systemu HIS w ciągu roku, w szpitalu powiatowym 2,5 informatyka, którzy mają jeszcze cyberbezpieczeństwo, tysiąc zmian prawnych, 600 komputerów i 30 różnych aparatów medycznych pod sobą, to to jest pożar. 

Cyberbezpieczeństwo w szpitalu. "Ponad 100 komputerów ma Windows 10"

• Wioletta Śląska-Zyśk, dyrektorka naczelna Warmińsko-Mazurskie Centrum Chorób Płuc w Olsztynie:

Przed menadżerami ochrony zdrowia w dzisiejszych czasach jest ogromne wyzwanie, bo my jesteśmy strażakami. Musimy gasić pożary, nie mamy czasu na to, żeby być architektami i opisywać, projektować mapy. Pracujemy tak, jakbyśmy operowali otwarte serce w biegu.

Serce bije swoim rytmem, ale my w trakcie musimy się dopasowywać do właśnie narzuconych jakichś wytycznych, przepisów. Bo np. jeśli chodzi o cyberbezpieczeństwo, odpowiedzialność ponosi dyrektor szpitala. My to bierzemy wszyscy dzielnie na klatę.

Choćby dyrektor szpitala pracował i nie spał, nie jest w stanie spełnić wszystkich standardów. Nie wiem ilu z nas ma pełnomocników do spraw cyberbezpieczeństwa.

Czekamy obecnie na pieniądze z KPO. Mam ponad 100 komputerów, które mają jeszcze system Windows 10. Można sobie wyobrazić, jakie to jest zagrożenie. Dlatego czekamy, żeby te umowy podpisać.

Tylko jedna trzecia szpitali z dofinansowaniem na cyberbezpieczeństwo

• Aleksander Biernacki, dyrektor Departamentu Rynku Publicznego Exatel SA:

Ponad 320 szpitali dostanie dofinansowanie z KPO, jeżeli chodzi o podniesienie poziomu cyfryzacji. Jako operator telekomunikacyjny zwróciłbym uwagę na to, że "podniesienie" tej całej cyfryzacji ma cztery wymiary.

Pierwszym wymiarem jest oczywiście rozwój czy wdrożenie sztucznej inteligencji. Drugim - digitalizacja dokumentacji medycznej. Trzecim - rozbudowa czy rozwój już obecnych systemów teleinformatycznych. Czwartym - podniesienie poziomu cyberbezpieczeństwa.

Zwracam uwagę na to, że ten czwarty element jest bardzo ważny i żeby on nie był potraktowany po macoszemu, ponieważ mamy codzienne doświadczenie, jeżeli chodzi o cyberataki. Mamy przykład bardzo dużego ataku w szpitalu Krakowie.

Kiedy zaczyna taki atak następować, zaczynają wyciekać dane medyczne, dane wrażliwe, idziemy w bardzo duże straty. Odtworzenie całości procesu, wszystkich systemów, kiedy z ręcznej pracy trzeba wrócić na te systemy, to są naprawdę wielomilionowe straty.

Spółka, którą reprezentuję, Exatel, ma w swojej gałęzi portfolio bardzo wiele różnego rodzaju odpowiedzi właśnie na takie cyberzagrożenia, cyberataki.

Jesteśmy dzisiaj gotowi naprawdę pomóc tym wszystkim placówkom medycznym. Pomóc, nie bez kozery używam takiego słowa, ponieważ nie jest to sprzedaż "jakiejś tam" usługi telekomunikacyjnej. 

W Polsce mamy ponad tysiąc placówek medycznych, z czego mniej więcej jedna trzecia dostała dofinansowanie na cyberbezpieczeństwo. Co z resztą tych placówek? Czy one nie są narażone na cyberataki? Czy są na tyle zabezpieczone przed takimi zagrożeniami? Śmiem wątpić.

W moim zespole mamy takie powiedzenie, że spółki dzielimy na dwie części. Pierwsza to jest ta, która została już zaatakowana, a druga ta, która dopiero będzie, bo wierzcie mi, jako operatorowi, że na pewno będzie.

Jako Exatel jesteśmy na ukończeniu programu Cyber Hospital jako odpowiedzi dla tych placówek, które z różnych powodów albo nie złożyły wniosku w konkursie, albo nie zdążyły, albo były jakieś tam błędy, bo wiemy, jak rygorystyczne są te rozliczenia, jeżeli chodzi o środki KPO.

Mam nadzieję, że oferta, którą przygotowujemy w zakresie bardzo elastycznego modelu finansowania, stopniowego podnoszenia poziomu cyberbezpieczeństwa dla tych placówek, zostanie naprawdę dobrze przyjęta i placówki medyczne będą mogły z tego swobodnie skorzystać.

180 cyberataków na szpital w jeden dzień

Tomasz Kopiec, dyrektor Samodzielnego Publicznego Szpitala Klinicznego im. prof. W. Orłowskiego Centrum Medycznego Kształcenia Podyplomowego w Warszawie:

Zawsze pieniądze są największym problemem. Jako szpitale publiczne otrzymujemy je na realizację świadczeń zdrowotnych i nie zawierają żadnych innych elementów, one nie są znaczone.

Przypomnę, że zaatakowany szpital MSWiA nie otrzymał pieniędzy na cyberbezpieczeństwo, nie zakwalifikował się w konkursie z KPO. To jest pierwszy paradoks.

Drugim paradoksem jest to, że rozmawiamy o komponencie cyfrowym - 130 szpitali zostało pozytywnie ocenionych w konkursie, ale zostało wykluczonych z finansowania. My nie rywalizujemy z nikim, a zwłaszcza ze sobą, żeby dostać pieniądze na cyberbezpieczeństwo.

Uważamy, że domeną państwa jest zapewnić bezpieczeństwo danych medycznych obywateli w sytuacji, w której pojawiają się pieniądze na rynku, w sytuacji geopolitycznej, która aktualnie występuje. 

5 października zaatakowano nas około 180 razy. 5 razy dzień wcześniej, 6 razy dzień później. Chcę wiedzieć, co jest tym nadrzędnym celem państwa. Leczymy pacjentów, nie mamy wykształconych kadr, oficerów, wojska, cyberwojska, które chroni mój szpital przed atakami zewnętrznymi.

To jest kwestia tego, czy możemy stworzyć warunki do bezpieczeństwa danych. A dzisiaj tych warunków nie mamy. Mamy możliwość sięgnięcia po pieniądze, natomiast jakie są kryteria w konkursach? Hospitalizacje z 2023 roku. Wtedy większość szpitali była jeszcze w czasie COVID-u, ewentualnie tuż po COVID-owej rzeczywistości.

Kryteria z 2023 roku, które brano pod uwagę przy cyberbezpieczeństwie, nijak odnoszą się do aktualnej rzeczywistości. A więc pytam, kto układał kryteria na cyberbezpieczeństwo dzisiaj, wyrzucające z tego finansowania ponad sto kilkadziesiąt szpitali? Kolejną kwestią było posiadanie akredytacji. Szpital MSWiA może jej nie posiada, ale jak widzieliśmy z punktu widzenia bezpieczeństwa, to cyberbezpieczeństwo jest mu niezbędne.

Spójrzmy na wzrost marż, które w systemie pojawiły się w ramach środków z KPO; czy to dotyczy obszaru "cyber", czy jakby całego e-zdrowia; czy to dotyczy konwencjonalnej rozbudowy szpitali. W każdym z tych obszarów zaobserwowaliśmy gigantyczne wzrosty marż, które zjadają nam dzisiaj pieniądze, z których mogłyby korzystać też inne szpitale.

Polski rynek gier komputerowych 4 mld zł. Utrzymania systemów klasy HIS - 10 razy mniej

Dariusz Śliwowski, zastępca dyrektora pionu ds. sprzedaży Asseco Poland SA:

75 proc. niepowodzeń wdrażania dużych projektów informatycznych szokuje. A nie powinno, bo taka jest mniej więcej statystyka. Kilkanaście lat temu miałem okazję uczestniczyć w projekcie wdrażania Customer Relationship Management (CRM) w dużej instytucji, w dużej firmie. W tym samym czasie trwały cztery projekty wdrażania tego samego systemu, tylko jeden zakończył się powodzeniem.

Wdrożenie dużych zintegrowanych systemów wielowymiarowego zarządzania dużym, złożonym przedsiębiorstwem udaje się w jednym na trzy (przypadki). Takiego, gdzie osiągnięto oczekiwany efekt przy zaplanowanych na to pieniądzach. To nie jest kwestia wiedzy tajemnej albo czegoś absolutnie trudnego. To kwestia podejścia, dobrego zdefiniowania kryteriów sukcesu, kwestia determinacji.

Wartość polskiego rynku gier komputerowych sięga 4 mld zł. Wartość rynku utrzymania systemów informatycznych klasy HIS to 10 razy mniej. A więc to pokazuje, że wybór, z kim i co się robi, jest kluczowy. Bo to nie jest rynek, na którym jest dostatecznie dużo pieniędzy, aby sobie pozwolić na różnego rodzaju eksperymenty albo, przepraszam za słowo, fanaberię.

To jest kwestia doboru wiarygodnego partnera oraz wiarygodnych i realnych celów, które chcemy osiągnąć. Nie zgodzę się z twierdzeniem, że zarządzanie informatyką w szpitalu to zarządzanie pożarem. Jeżeli będziemy tak do tego podchodzić, to rzeczywiście będziemy te pożary wywoływać. To jest zwyczajnie przedmiot konsekwentnej, systematycznej, profesjonalnej pracy.

Też nie zgodzę się z tym, że są dwa rodzaje klientów w szpitalu. Ci, którzy zostali zaatakowani lub ci, którzy zostaną zaatakowani. Są rzeczywiście dwa. Ci, którzy zostali zaatakowani i ci, którzy o tym jeszcze nie wiedzą.

Droga do cyfryzacji, droga do zmiany jest drogą do zrobienia wspólnie - w sposób planowy, systematyczny i konsekwentny.

Materiał chroniony prawem autorskim - zasady przedruków określa regulamin.