Eksperci dzielili się wiedzą

W dobie cyfryzacji i coraz większego uzależnienia sektora medycznego od technologii informatycznych, kwestia cyberbezpieczeństwa staje się kluczowa dla funkcjonowania placówek ochrony zdrowia. W odpowiedzi na te wyzwania, 30 września w Białymstoku odbyło się specjalistyczne szkolenie poświęcone temu zagadnieniu, gromadząc przedstawicieli szpitali, placówek medycznych oraz ekspertów z całego kraju.

Białystok 30.09.2024

Szkolenie było okazją do wysłuchania prelekcji wybitnych specjalistów w dziedzinie cyberbezpieczeństwa i prawa medycznego:

• Dr Paweł Kaźmierczyk przedstawił prezentację pt. “Cyberbezpieczeństwo w ochronie zdrowia okiem prawnika”. Omówił aktualne regulacje prawne, ze szczególnym uwzględnieniem dyrektywy NIS2, oraz wskazał na obowiązki placówek medycznych w zakresie ochrony danych pacjentów. Podkreślił, jak istotne jest przestrzeganie przepisów RODO, zwracając uwagę na niedawne przypadki nałożenia przez Urząd Ochrony Danych Osobowych (UODO) wysokich kar na szpitale za naruszenia. Wspomniał o sankcjach sięgających nawet 1,4 miliona złotych, co stanowi poważne ostrzeżenie dla wszystkich podmiotów medycznych. Dr Kaźmierczyk omówił także praktyczne aspekty minimalizowania ryzyka naruszeń oraz procedury, które powinny być wdrożone w placówkach medycznych.

• Piotr Rybicki MBA MPA, bezpośredni przedstawiciel Centrum e-Zdrowia, zaprezentował “Skuteczną strategię cyberbezpieczeństwa w ochronie zdrowia”. Podkreślił znaczenie kompleksowego podejścia do bezpieczeństwa cyfrowego i przedstawił praktyczne wskazówki dotyczące wdrażania efektywnych strategii w szpitalach. Jako reprezentant Centrum e-Zdrowia, omówił również inicjatywy podejmowane przez tę instytucję w celu wsparcia placówek medycznych w zakresie cyberbezpieczeństwa. Zwrócił uwagę na znaczenie współpracy między jednostkami medycznymi a organami państwowymi w celu tworzenia spójnego i skutecznego systemu ochrony danych pacjentów.

• Piotr Welenc skupił się na “Wymaganiach formalnych dla akredytacji w ramach NIS2”. Wyjaśnił proces dostosowywania się do nowych standardów i podkreślił ich znaczenie dla zapewnienia ciągłości działania placówek medycznych. Zwrócił uwagę, że każda placówka medyczna, która chce przygotować się do spełnienia wymogów dyrektywy NIS2, powinna przeprowadzić zewnętrzny audyt. Taki audyt pozwoli na zidentyfikowanie słabości organizacji, ale jednocześnie przyczyni się do wskazania potencjalnych projektów do realizacji w ramach Krajowego Planu Odbudowy (KPO). Podkreślił, że audyt zewnętrzny jest nie tylko narzędziem oceny obecnego stanu bezpieczeństwa, ale również kluczowym elementem planowania strategicznego i pozyskiwania funduszy na niezbędne inwestycje. Dzięki temu placówki medyczne mogą skutecznie przygotować się do spełnienia wymogów NIS2, jednocześnie optymalizując swoje procesy i infrastrukturę.

• Michał Szczypiński, przedstawiciel Zakładu Ubezpieczeń Społecznych (ZUS) i naczelnik Departamentu Certyfikatów Wydawanych Lekarzom, omówił “Prawne aspekty nadużyć certyfikatów eZLA i RODO”. Zwrócił uwagę na potencjalne ryzyka związane z elektronicznymi zwolnieniami lekarskimi (e-ZLA) oraz sposoby minimalizacji zagrożeń w kontekście ochrony danych osobowych. Podkreślił, że nadużycia w obszarze e-ZLA mogą prowadzić do poważnych konsekwencji prawnych i finansowych zarówno dla placówek medycznych, jak i samych lekarzy. Michał Szczypiński przedstawił również praktyczne rozwiązania i procedury, które mogą pomóc w zapobieganiu nieuprawnionemu dostępowi do certyfikatów oraz weryfikacji autentyczności wystawianych dokumentów. Wskazał na znaczenie regularnych szkoleń personelu medycznego w zakresie bezpiecznego korzystania z systemów informatycznych oraz przestrzegania zasad ochrony danych osobowych zgodnie z RODO.

• Dawid Dybuk i Tomasz Sochacki w prezentacji “Cyberbezpieczeństwo w ochronie zdrowia – nowe zagrożenia i strategie ochrony” przedstawili aktualne trendy w cyberprzestępczości oraz zaprezentowali nowoczesne technologie służące ochronie systemów medycznych. Omówili najnowsze typy ataków, takie jak ransomware czy phishing ukierunkowany na placówki medyczne, oraz pokazali, jak cyberprzestępcy wykorzystują pandemię i inne kryzysy do zwiększenia skuteczności swoich działań. Zaprezentowali również praktyczne strategie i narzędzia do ochrony przed tymi zagrożeniami, w tym systemy detekcji intruzów, rozwiązania do zarządzania tożsamością i dostępem oraz znaczenie regularnych aktualizacji i szkoleń personelu. Podkreślili, że skuteczna obrona wymaga nie tylko technologii, ale także świadomości i zaangażowania całej organizacji.

• Adam Pośpiech, Jan Palic oraz Piotr Rajski zaprezentowali studium przypadku pt. “Czy chmura może wzmocnić cyberbezpieczeństwo szpitala?”. Omówili korzyści płynące z wdrożenia rozwiązań chmurowych oraz podzielili się doświadczeniami z ich praktycznej implementacji. Przedstawili, jak migracja do chmury może poprawić bezpieczeństwo danych poprzez zastosowanie zaawansowanych mechanizmów ochrony oferowanych przez dostawców usług chmurowych, takich jak szyfrowanie danych, wielopoziomowe uwierzytelnianie czy ciągły monitoring bezpieczeństwa. Podzielili się również wyzwaniami, z jakimi musieli się zmierzyć podczas procesu migracji, takimi jak kwestie zgodności z przepisami czy integracja z istniejącymi systemami. Ich studium przypadku pokazało, że odpowiednio zaplanowane i przeprowadzone wdrożenie chmury może przynieść znaczne korzyści w zakresie cyberbezpieczeństwa, elastyczności i efektywności operacyjnej jednostek medycznych.

• Longin Mikołajczyk przedstawił temat “Realizacja wymagań technologicznych NIS2”, wskazując na konkretne narzędzia i technologie, które mogą pomóc placówkom medycznym w spełnieniu nowych wymogów prawnych. Omówił kluczowe elementy dyrektywy NIS2 dotyczące technologii, takie jak zarządzanie ryzykiem, ciągłość działania, raportowanie incydentów i bezpieczeństwo łańcucha dostaw. Zaprezentował rozwiązania techniczne, które mogą wspierać te obszary, w tym systemy zarządzania bezpieczeństwem informacji (ISMS), narzędzia do monitorowania sieci i systemów oraz mechanizmy uwierzytelniania i kontroli dostępu. Podkreślił również znaczenie współpracy z zaufanymi dostawcami i integratorami, którzy mogą pomóc w dostosowaniu infrastruktury IT do wymogów NIS2. Zwrócił uwagę na konieczność regularnej oceny i aktualizacji stosowanych technologii, aby nadążać za szybko zmieniającym się krajobrazem zagrożeń.

• Michał P. Dybowski omówił możliwości finansowania projektów cyfrowych w ochronie zdrowia, prezentując “Środki z KPO na projekty cyfrowe”. Odwołał się do opracowania Michała Czarnucha oraz jego zespołu, które dotyczyło wykorzystania dostępnych środków i wzorów konkursów w ramach Krajowego Planu Odbudowy (KPO). Podkreślił, że już 17 października można spodziewać się ogłoszenia nowych konkursów, co stwarza realne szanse dla placówek medycznych na pozyskanie funduszy na modernizację i zabezpieczenie infrastruktury. Dybowski zwrócił uwagę na konieczność odpowiedniego przygotowania się do składania wniosków. Podkreślił, że szpitale i organizacje powinny być gotowe jeszcze przed ogłoszeniem naborów, ze względu na wymagalną zgodę urzędów i potrzebę skompletowania niezbędnej dokumentacji. Wskazał, że wcześniejsze przygotowanie pozwoli na sprawne złożenie wniosku i zwiększy szanse na uzyskanie dofinansowania. Omówił również, jak placówki medyczne mogą skorzystać z dostępnych wzorów i wytycznych, aby poprawnie przygotować swoje projekty. Zaznaczył, że współpraca z ekspertami i konsultacje z organami odpowiedzialnymi za przyznawanie funduszy mogą być kluczowe dla sukcesu wniosków.