Μιλώντας στην ειδική έκδοση της «Ν», η πρόεδρος του Ελληνικού Ινστιτούτου Κυβερνοασφάλειας, Στέλλα Τσιτσούλα, μας εξηγεί ότι οι επιπτώσεις μιας παραβίασης είναι πολλαπλές, καθώς υπάρχουν τεράστιες οικονομικές απώλειες, καθυστερήσεις στις υπηρεσίες αλλά και υπονόμευση της εμπιστοσύνης των πολιτών. Και δυστυχώς, τα τελευταία χρόνια οι επιθέσεις σε υποδομές και παρόχους υγείας έχουν αυξηθεί δραματικά.
Κυρία Τσιτσούλα η κυβερνοασφάλεια από τεχνικό ζήτημα έχει εξελιχθεί σε σοβαρή υπόθεση δημόσιας ασφάλειας, δεοντολογίας αλλά και εμπιστοσύνης;
Ο τομέας της υγειονομικής περίθαλψης ψηφιοποιείται ραγδαία και η προστασία των ιατρικών δεδομένων και των πληροφοριακών υποδομών αποτελεί θεμέλιο για την εύρυθμη λειτουργία των υπηρεσιών και την ασφάλεια των ασθενών. Ωστόσο, όσο προχωρά ο ψηφιακός μετασχηματισμός, βλέπουμε καθημερινά ότι οι υποδομές, αλλά και τα δεδομένα να αντιμετωπίζουν πολύ σοβαρές απειλές από κυβερνοεπιθέσεις.
Οι επιπτώσεις μιας παραβίασης είναι πολλαπλές καθώς υπάρχουν τεράστιες οικονομικές απώλειες, καθυστερήσεις στις υπηρεσίες αλλά και υπονόμευση της εμπιστοσύνης των πολιτών. Δυστυχώς, τα τελευταία χρόνια οι επιθέσεις σε υποδομές και παρόχους υγείας έχουν αυξηθεί δραματικά. Η κυβερνοασφάλεια δεν είναι πλέον ζήτημα αποκλειστικά τεχνικό, αλλά αποτελεί υπόθεση δημόσιας ασφάλειας, δεοντολογίας αλλά και εμπιστοσύνης.
Σύμφωνα με στοιχεία της Ευρωπαϊκής Επιτροπής ο τομέας της υγειονομικής περίθαλψης συγκαταλέγεται σ’ αυτούς που στοχοποιούνται περισσότερο από κυβερνοεπιθέσεις, με τον αριθμό των περιστατικών να αυξάνεται συνεχώς τα τελευταία χρόνια —περισσότερα απ’ ό,τι σε οποιονδήποτε άλλο κρίσιμο τομέα. Σχεδόν το 54 % των κυβερνοεπιθέσεων στον τομέα της υγείας αφορούν ransomware (επίθεση με κακόβουλο λογισμικό που χρησιμοποιείται για εκβιασμούς ζητώντας λύτρα).
Χαρακτηριστική είναι η επίθεση που δέχτηκε το 2023, πάροχος που υποστηρίζει το εθνικό σύστημα υγείας στο Ηνωμένο Βασίλειο που δέχθηκε κυβερνοεπίθεση, προκαλώντας διακοπές σε υπηρεσίες ασθενοφόρων και ψυχικής υγείας διακόπτοντας πάνω από 3.000 ραντεβού ασθενών. Παρόμοια περιστατικά είχαμε και το 2024 στη Ρουμανία όπου πάροχοι υγείας και 25 νοσοκομεία δέχτηκαν επίθεση ransomware, με αποτέλεσμα να σταματήσει η λειτουργία των εγκαταστάσεων, αλλά και των ιατρικών μηχανημάτων που ήταν συνδεδεμένα στο Internet (μαγνητικοί τομογράφοι, υπέρηχοι κ.α.). από αρκετές ώρες μέχρι και ημέρες.
Οι επιθέσεις αυτές αναδεικνύουν τον παγκόσμιο χαρακτήρα της απειλής και την ανάγκη συστημικής αντιμετώπισης.
Από την πρόληψη πώς φτάνουμε στην ανθεκτικότητα;
Η ασφάλεια στον χώρο της υγείας απαιτεί πλάνο δράσης από τους ίδιους τους παρόχους τόσο στον ιδιωτικό όσο και στον δημόσιο τομέα. Η συνεχής εκπαίδευση όλου του προσωπικού αποτελεί ακρογωνιαίο λίθο στην κυβερνοασφάλεια. Η τακτική επιτήρηση και αναβάθμιση των συστημάτων, η χρήση τεχνολογιών και διαδικασιών για την προστασία από κακόβουλο λογισμικό, επιθέσεις phishing και άλλες κυβερνοαπειλές αλλά και η συμμόρφωση με πρότυπα όπως ο GDPR και το ISO/IEC 27001 αλλά και η οδηγία NIS2 θα πρέπει επίσης να θεωρούνται δεδομένα. Τα σχέδια αξιολόγησης κινδύνου, επιχειρησιακής συνέχειας και οι ασκήσεις προσομοίωσης επιθέσεων θα πρέπει να μπουν στην ατζέντα κάθε φορέα που δραστηριοποιείται στο χώρο της υγείας. Η ύπαρξη ενός καλά σχεδιασμένου σχεδίου για την αντιμετώπιση περιστατικών κυβερνοασφάλειας είναι απαραίτητη για την ελαχιστοποίηση των επιπτώσεων από μια επίθεση.
Για να το πετύχουν αυτό οι επιχειρήσεις έχουν πλέον πολλά τεχνολογικά εργαλεία στη φαρέτρα τους. Η τεχνητή νοημοσύνη για παράδειγμα, μπορεί να ενισχύσει την άμυνα, εντοπίζοντας πρότυπα επιθέσεων σε πραγματικό χρόνο, ενώ τεχνολογίες όπως το blockchain προσφέρουν διαφάνεια και ακεραιότητα. Επιπλέον, η Εθνική Αρχή Κυβερνοασφάλειας https://cyber.gov.gr, παρέχει βέλτιστες πρακτικές συμβουλές για τη διασφάλιση των συστημάτων υγείας.
Ποια είναι η απάντηση της Ευρώπης στις κυβερνοαπειλές στην υγεία;
Η Ευρωπαϊκή Επιτροπή, αντιλαμβανόμενη τον επείγοντα χαρακτήρα της κατάστασης, έρχεται να δώσει τη δική της θεσμική απάντηση στο θέμα, παρουσιάζοντας ένα σχέδιο δράσης ειδικά διαμορφωμένο για την ενίσχυση της κυβερνοασφάλειας στον τομέα της υγείας. Το σχέδιο αυτό εστιάζει στην πρόληψη και εκπαίδευση του προσωπικού, στη δημιουργία κέντρου υποστήριξης μέσω του Ευρωπαϊκού Οργανισμού Κυβερνοασφάλειας ENISA, το οποίο θα παρέχει υπηρεσίες και εργαλεία για τα νοσοκομεία, αλλά και μηχανισμούς ταχείας αντίδρασης και αποτροπής με συνεργασία δημόσιων και ιδιωτικών φορέων.
Μάλιστα έως το 2026 θα είναι έτοιμη και μια πανευρωπαϊκή υπηρεσία έγκαιρης προειδοποίησης για κυβερνοαπειλές σε πραγματικό χρόνο. Όλο αυτό σχέδιο λειτουργεί συμπληρωματικά στην Ευρωπαϊκή Οδηγία NIS2 για την ενίσχυση της κυβερνοασφάλειας που αφορά στις κρίσιμες υποδομές αλλά και στην Πράξη για την Κυβερνοανθεκτικότητα (Cyber Resilience Act) που αποσκοπεί στην ενίσχυση της κυβερνοασφάλειας των προϊόντων με ψηφιακά στοιχεία, προσφέροντας έτσι ένα συνεκτικό πλαίσιο για όλα τα κράτη μέλη.
Το πιο κρίσιμο «δεδομένο» είναι η εμπιστοσύνη των πολιτών;
Η κυβερνοασφάλεια δεν αφορά μόνο την τεχνολογία, αλλά θεμελιώνει την εμπιστοσύνη μεταξύ πολιτείας, παρόχων και πολιτών. Η προστασία της πληροφορίας είναι απαραίτητη για την ηθική, ασφαλή και σύγχρονη περίθαλψη. Η επένδυση στην ασφάλεια για τους πάροχους υγειονομικής περίθαλψης που πλέον αποτελούν ελκυστικούς στόχους κυβερνοεπίθεσης, δεν πρέπει να είναι θέμα κόστους, αλλά να αποτελεί όρος λειτουργίας και κοινωνικής ευθύνης τους.
