Η κυβερνοασφάλεια αποτελεί κρίσιμη πτυχή των λειτουργικών και επιχειρηματικών δραστηριοτήτων και βασικό στόχο για τη διασφάλιση της εύρυθμης λειτουργίας κρίσιμων υποδομών όπως ο τομέας της Υγείας.
Στην ψηφιακή εποχή όμως εκτός από τεχνολογικές λύσεις για την Υγεία ο χώρος έρχεται καθημερινά αντιμέτωπος και με τον κίνδυνο των κυβερνοεπιθέσεων. Πρόσφατα στοιχεία της Check Point Research (CPR) έδειξαν ότι από τον Ιανουάριο έως τον Σεπτέμβριο του 2024, ο παγκόσμιος μέσος εβδομαδιαίος αριθμός επιθέσεων ανά οργανισμό στη Υγεία ήταν 2.018. Αυτό αντιπροσωπεύει αύξηση 32% σε σύγκριση με την ίδια περίοδο το 2023
Τα τελευταία χρόνια, οι κυβερνοεπιθέσεις κατά παρόχων υγειονομικής περίθαλψης έχουν αυξηθεί, θέτοντας σε κίνδυνο τόσο την ασφάλεια των ασθενών όσο και το απόρρητο των δεδομένων τους. «Ένα χαρακτηριστικό παράδειγμα είναι η επίθεση ransomware κατά της Synnovis, τον Ιούνιο του 2024, που διέκοψε περισσότερα από 3.000 ιατρικά ραντεβού στην Αγγλία. Οι κυβερνοεγκληματίες διέρρευσαν πάνω από μισό terabyte εμπιστευτικών ιατρικών δεδομένων. Παρόμοια περιστατικά καταγράφηκαν και στη Ρουμανία, το Φεβρουάριο του 2024, όταν περισσότεροι από 100 πάροχοι υγειονομικής περίθαλψης, μεταξύ των οποίων 25 νοσοκομεία, επλήγησαν από επίθεση ransomware. Η σύνδεση σε περισσότερες από 79 εγκαταστάσεις διακόπηκε, ενώ κρίσιμες ιατρικές συσκευές, όπως σαρωτές μαγνητικής τομογραφίας (MRI) με σύνδεση στο internet, έπαψαν να λειτουργούν» επισημαίνουν οι Márk Szabó και André Lameiras από την παγκόσμια εταιρία ψηφιακής ασφάλειας της ESET.
Επίσης, η κυβερνοεπίθεση που έγινε το 2020 στο πανεπιστημιακό νοσοκομείο του Ντίσελντορφ είχε δραματικές συνέπειες. Αν και η επίθεση έγινε κατά λάθος, οδήγησε σε καθυστέρηση κρίσιμων θεραπειών και συνέβαλε στον θάνατο ενός ασθενούς. Αυτό το τραγικό γεγονός υπογραμμίζει τις ακούσιες, αλλά εξαιρετικά σοβαρές συνέπειες που μπορεί να έχουν τέτοιες επιθέσεις.
Πρόσφατα στοιχεία της Check Point Research (CPR) επίσης, έδειξαν ότι από τον Ιανουάριο έως τον Σεπτέμβριο του 2024, ο παγκόσμιος μέσος εβδομαδιαίος αριθμός επιθέσεων ανά οργανισμό στη Υγεία ήταν 2.018. Αυτό αντιπροσωπεύει αύξηση 32% σε σύγκριση με την ίδια περίοδο το 2023.
Η κυβερνοασφάλεια αποτελεί μια κρίσιμη πτυχή των λειτουργικών και επιχειρηματικών δραστηριοτήτων και βασικό στόχο για τη διασφάλιση της εύρυθμης λειτουργίας των κρίσιμων υποδομών όπως είναι ο τομέας της Υγείας. Οι κυβερνοεπιθέσεις που στοχεύουν στη δυσλειτουργία, στη διακοπή ή στη μόλυνση αυτών των υποδομών μπορούν να προκαλέσουν σημαντικό κοινωνικό και οικονομικό κόστος, που μπορεί όχι μόνο να εκδηλώσει παροδικές αναταράξεις, αλλά και μόνιμες βλάβες.
Στρατηγική της ΕΕ
Τον Δεκέμβριο του 2020 η Ευρωπαϊκή Επιτροπή και η Ευρωπαϊκή Υπηρεσία Εξωτερικής Δράσης (ΕΥΕΔ) παρουσίασαν μια νέα στρατηγική της ΕΕ για την κυβερνοασφάλεια. Στόχος της στρατηγικής αυτής είναι να ενισχυθεί η ανθεκτικότητα της Ευρώπης έναντι των κυβερνοαπειλών και να διασφαλιστεί ότι όλοι οι πολίτες και οι επιχειρήσεις θα ωφελούνται στο έπακρο από έγκυρες και αξιόπιστες υπηρεσίες και ψηφιακά εργαλεία. Η εξεύρεση καινοτόμων λύσεων ικανών να μας προστατεύουν από τις τελευταίες και πιο προηγμένες κυβερνοαπειλές έχει ζωτική σημασία. Για τον λόγο αυτόν, η κυβερνοασφάλεια αποτελεί σημαντικό μέρος του προγράμματος «Ορίζων 2020» και του διαδόχου του, «Ορίζων Ευρώπη», προγραμμάτων-πλαισίων της ΕΕ για τη χρηματοδότηση της έρευνας και της καινοτομίας. Τον Μάιο του 2020 η ΕΕ δέσμευσε 49 εκατ. ευρώ για την τόνωση της καινοτομίας στον τομέα των συστημάτων κυβερνοασφάλειας και προστασίας της ιδιωτικότητας.
Αναπτύσσοντας δράσεις σε διάφορα μέτωπα για την ενίσχυση της κυβερνοανθεκτικότητας, την προστασία των επικοινωνιών και των δεδομένων και τη διασφάλιση της διαδικτυακής κοινωνίας και οικονομίας μας η ΕΕ στηρίζει την έρευνα και αυξάνει τη χρηματοδότηση για την καινοτομία στον τομέα της κυβερνοασφάλειας. Στο πλαίσιο του προγράμματος «Ψηφιακή Ευρώπη» για την περίοδο 2021-2027, η ΕΕ έχει δεσμευτεί να επενδύσει 1,6 δισ. ευρώ στις ικανότητες κυβερνοασφάλειας και στην ευρεία εξάπλωση υποδομών και εργαλείων κυβερνοασφάλειας σε ολόκληρη την ΕΕ για τις δημόσιες διοικήσεις, τις επιχειρήσεις και τους ιδιώτες.
Σχέδιο για τον κυβερνοχώρο
Στις 2 Δεκεμβρίου 2024 το Ευρωπαϊκό Συμβούλιο ενέκρινε τον κανονισμό για την αλληλεγγύη στον κυβερνοχώρο, ο οποίος προβλέπει ενωσιακές δυνατότητες που θα αυξήσουν την ανθεκτικότητα της Ευρώπης και θα της επιτρέψουν να αντιδρά καλύτερα στις κυβερνοαπειλές, ενώ παράλληλα ενισχύονται οι μηχανισμοί συνεργασίας. Ο κανονισμός για την αλληλεγγύη στον κυβερνοχώρο τέθηκε σε ισχύ στις 4 Φεβρουαρίου 2025.
Ολοκληρωμένο σχέδιο δράσης για την Υγεία
Τον Ιανουάριο του 2025 η Ευρωπαϊκή Επιτροπή δρομολόγησε ένα ολοκληρωμένο σχέδιο δράσης για τη βελτίωση της κυβερνοασφάλειας των νοσοκομείων και των παρόχων υγειονομικής περίθαλψης σε ολόκληρη την ΕΕ. Καθώς τα συστήματα υγειονομικής περίθαλψης γίνονται όλο και περισσότερο στόχοι κυβερνοεπιθέσεων και επιθέσεων λυτρισμικού, το σχέδιο αυτό αποσκοπεί στην ενίσχυση της ασφάλειας των συστημάτων υγείας μας.
Το σχέδιο δράσης διαρθρώνεται γύρω από τέσσερις πυλώνες:
- Πρόληψη: Ανάπτυξη ικανοτήτων για την πρόληψη περιστατικών κυβερνοασφάλειας μέσω ενισχυμένων μέτρων ετοιμότητας, όπως η διαχείριση κινδύνων, η εκτίμηση κινδύνων και η κατάρτιση των επαγγελματιών του τομέα της υγείας σε θέματα κυβερνοασφάλειας.
- Ανίχνευση απειλών: Ενίσχυση της ικανότητας ανίχνευσης απειλών με καλύτερα εργαλεία ανίχνευσης, συμπεριλαμβανομένης μιας πανευρωπαϊκής συνδρομητικής υπηρεσίας έγκαιρης προειδοποίησης για τον τομέα της υγειονομικής περίθαλψης, που θα αναπτυχθεί έως το 2026.
- Αντίδραση στις κυβερνοεπιθέσεις: Διασφάλιση της διαθεσιμότητας της εφεδρείας της ΕΕ στον τομέα της κυβερνοασφάλειας, των υπηρεσιών αντιμετώπισης περιστατικών και των εθνικών ασκήσεων κυβερνοασφάλειας για την αντιμετώπιση σημαντικών ή μεγάλης κλίμακας περιστατικών κυβερνοασφάλειας.
- Αποτροπή: Στήριξη του στόχου της αποτροπής των παραγόντων κυβερνοαπειλών από την επίθεση στα ευρωπαϊκά συστήματα υγειονομικής περίθαλψης μέσω διαφόρων μέτρων, συμπεριλαμβανομένης της εργαλειοθήκης για τη διπλωματία στον κυβερνοχώρο.
Το σχέδιο δράσης πρόκειται να εφαρμοστεί σε συνεργασία με τους παρόχους υγειονομικής περίθαλψης, τα κράτη μέλη και την κοινότητα κυβερνοασφάλειας. Σύντομα θα ξεκινήσει διαβούλευση με τα ενδιαφερόμενα μέρη για τη συγκέντρωση παρατηρήσεων και τη βελτίωση των δράσεων του σχεδίου που έχουν τον μεγαλύτερο αντίκτυπο.
Στις 6 Ιουνίου 2025 το Ευρωπαϊκό Συμβούλιο ενέκρινε σχέδιο στρατηγικής της ΕΕ για τη διαχείριση κρίσεων κυβερνοασφάλειας. Το σχέδιο στρατηγικής παρέχει ένα ολοκληρωμένο και λεπτομερές πλαίσιο για τη διαχείριση των κυβερνοκρίσεων σε επίπεδο ΕΕ, με βάση το σχέδιο στρατηγικής του 2017 για την ασφάλεια στον κυβερνοχώρο. Με το σχέδιο στρατηγικής για τον κυβερνοχώρο επιδιώκεται να διασφαλιστεί αποτελεσματικής και αποδοτικής αντιμετώπισης περιστατικών μεγάλης κλίμακας στον κυβερνοχώρο, να προωθηθεί πιο διαρθρωμένη συνεργασία μεταξύ μη στρατιωτικών και στρατιωτικών φορέων και να εξηγηθεί τι συνιστά κυβερνοκρίση και τι ενεργοποιεί έναν μηχανισμό κυβερνοκρίσεων.
Νομική προστασία στην Ελλάδα
Αναφορικά με το νομικό πλαίσιο και τις κανονιστικές ρυθμίσεις στην Ελλάδα ο Κωνσταντίνος Καλέντης, Founder / Principal Consultant, Zephirus Business Consultants, επισημαίνει ότι η νομική προστασία των προσωπικών δεδομένων στον ιατρικό χώρο καθορίζεται από εθνικούς και ευρωπαϊκούς νόμους με το γενικό κανονισμό για την Προστασία Δεδομένων (GDPR) ο οποίος θέτει αυστηρές απαιτήσεις για τη συλλογή, αποθήκευση και επεξεργασία δεδομένων. Επίσης, ο νόμος 4624/2019 ου συμπληρώνει και εφαρμόζει τον GDPR στην ελληνική νομοθεσία. Και οι οδηγίες του ΕΟΔΥ και του υπουργείου Υγείας που παρέχουν συγκεκριμένες κατευθύνσεις για τη διαχείριση ιατρικών δεδομένων σε εθνικό επίπεδο.
Η μη συμμόρφωση με τα ανωτέρω μπορεί να επιφέρει βαριές διοικητικές και ποινικές κυρώσεις. Από την άλλη πλευρά υπάρχουν σημαντικές ιδιαιτερότητες του ιατρικού κλάδου. Η φύση του ιατρικού περιβάλλοντος φέρει σημαντικές προκλήσεις όπως λέει, διότι υπάρχει:
- Διάχυτη χρήση φορητών συσκευών και wearables που διασυνδέονται με ιατρικά δεδομένα.
- Πολλαπλοί πάροχοι υπηρεσιών υγείας με διαφορετικά επίπεδα τεχνολογικής ωριμότητας και επιπέδων πειμετρικής ασφάλειας.
- Ανάγκη για ακαριαία πρόσβαση στα δεδομένα του ασθενούς.
- Έλλειψη εξειδικευμένου προσωπικού κυβερνοασφάλειας σε πολλά νοσοκομεία
