do góry
Rozmowa z Margo i Adamem Koniuszewski, założycielami fundacji The Bridge, będącej organizatorem turnieju Cybersecurity Challenge PL2020
Dane medyczne - najdroższy towar na nielegalnym rynku Darknet
Cyberbezpieczeństwo w sektorze ochrony zdrowia, to temat trudny
AK: To prawda, tematyka jest złożona i obszerna, a statystki nieubłagalne. Służba zdrowia jest jednym z najbardziej zagrożonych sektorów na ataki cyberprzestępców. Weźmy dane wrażliwe i aparaturę medyczną, tzw. ataki ransomowe (ransomware) w szpitalach na całym świecie paraliżują pracę różnych oddziałów powodując realne kłopoty m.in. związane z koniecznością odłożenia zaplanowanych operacji, w prostej linii zagraża to życiu pacjentów.
Na czym dokładnie polega taki atak?
MK: Wszystko sprowadza się do dostępu do wrażliwych danych medycznych pacjentów przechowywanych w słabo zabezpieczonych systemach szpitalnych. Zazwyczaj scenariusz jest podobny. Pracownicy szpitala dostają maile z pozornie legalną treścią np. zaproszenie na kongres naukowy. Klikają na nie i w tym momencie, z automatu instaluje się nielegalne oprogramowanie, skanujące zawartość sieci, do której podłączony jest komputer. Dane pacjentów są blokowane (szpital nie ma do nich dostępu) i w zaszyfrowanej formie przesyłane są do komputera, z którego pochodzi atak. Co jest efektem? Szpital traci dane i nie może działać, a dyrekcja jest szantażowana, otrzymuje wiadomości z żądaniem zapłaty określonej sumy w zamian za odblokowanie sytemu i zwrot danych. Taki jest właśnie 21 wiek. W erze postępującej cyfryzacji, Internetu Rzeczy i kolonizacji kosmosu, cyberbezpieczeństwo jest kluczowym globalnym wyzwaniem, a skuteczność leczenia zależy od niezawodności systemów informacyjnych. Musimy pamiętać, że udogodnienia cyfrowego świata generują nowe możliwości rozwojowe i dynamiczny postęp, ale mają też swoje słabe punkty, które musimy zaadresować i tu kłania się edukacja.
Na co dzień nie myślimy o tym, iż logując się do sieci stajemy się częścią cyberświata
MK: Dokładnie tak. Z cyberbezpieczeństwem jest tak, jak z każdą inną domeną, by ją rozumieć potrzebujemy tzw. abecadła, w tym przypadku cyberabecadła, w którym pod literką “A” mamy zapisane “uważaj w co klikasz!”
Z tego wynika, że potrzebujemy mentalnej transformacji, musimy zbudować nową kulturę bezpieczeństwa
MK: Musimy zwiększyć naszą zdolność adaptacji i innowacyjność, podnosić świadomość i budować kompetencje w zakresie cyberbezpieczeństwa. To nasze zbiorowe nawyki i wspólne przyjęcie sposobów działania przyniosą pożądany efekt jakim jest poczucie bezpieczeństwa. Musimy, zrozumieć, że cyberbezpieczeństwo jest tematem horyzontalnym i dotyka wszystkich sfer naszego funkcjonowania. To problematyka istotna nie tylko dla generałów, dyplomatów, premierów i prawników, jest ona istotna też dla przeciętnej Kowalskiej i Kowalskiego, pracujących na recepcji w przychodni lub oddziale ratunkowym w szpitalu.
Tyle lat czekaliśmy na informatyzację służby zdrowia i co wpadliśmy z deszczu pod rynnę?
AK: Proces ten będzie kontynuowany, bo to są niesamowite udogodnienia. Dynamicznie rozwija się telemedycyna. Powstają aplikacje do samodzielnego używania przez pacjentów. Dzięki Internetowi Rzeczy możliwa jest komunikacja między urządzeniami medycznymi, postępuje robotyzacja chirurgii. To czego potrzebujemy to pracowanie nad świadomością skali zagrożenia cyberatakami w ochronie zdrowia. Musimy, zrozumieć, że dziś można zhakować zarówno pompę insulinową, jak i rozrusznik serca, a z czym to się wiąże? Chyba nie trzeba tego tłumaczyć.
Ale sama dobra wola nie wystarczy, potrzebne są regulacje.
MK: Oczywiście, stworzenie i wdrożenie przepisów to wieloletni proces na gruncie prawa międzynarodowego i krajowego wsparty dialogiem z podmiotami różnych sektorów gospodarki.
Kto jeszcze jest narażony na cyberataki?
AK: Celem zmasowanych cyberataków są operatorzy usług kluczowych w sektorach energetycznym, transportowym, bankowym i infrastruktura cyfrowa. Corocznie ataki cybernetyczne, wynikające z implementacji nowych modeli dostarczania usług, generują rosnące straty dla sektora publicznego i prywatnego. Według raportu Cybersecurity Ventures globalna wartość strat wynikłych z cyberprzestępstw na świecie w roku 2021 wyniesie około 6 bilonów dolarów USD, ten proceder będzie bardziej opłacalny niż światowy handel wszystkimi głównymi nielegalnymi narkotykami.
A Polska?
MK: Z perspektywy polskiego cyberbezpieczeństwa rok 2018 był przełomowy. Przyjęto Ustawę o ochronie danych osobowych i Ustawę o krajowym systemie cyberbezpieczeństwa, zgodnie z Dyrektywą NIS (Network and Information Systems Directive), a w 2019 r. Ministerstwo Cyfryzacji ogłosiło projekt Strategii Cyberbezpieczeństwa Rzeczpospolitej Polskiej na lata 2019-2024. Dokument określa strategiczne cele oraz odpowiednie środki polityczne i regulacyjne, które trzeba zrealizować, by systemy informacyjne, operatorzy usług kluczowych, operatorzy infrastruktury krytycznej, dostawcy usług cyfrowych oraz administracja publiczna były odporne na incydenty w cyberprzestrzeni.
I stąd pomysł na turniej Cybersecurity Challenge PL2020?
MK: Dokładnie tak. Cyberwyzwania nie znają granic, mają wpływ na nas wszystkich. To lekcja do odrobienia przez całe pokolenia, od juniora do seniora. W dobie cyfryzacji to my, poprzez uświadomienie sobie zakresu problemu, tworzymy kulturę bezpieczeństwa. Cybersecurity Challenge PL2020 jest nowatorskim przedsięwzięciem - platformą dedykowaną edukacji i promocji dobrych praktyk. Integruje ona interdyscyplinarne środowiska studenckie, akademickie, instytucje publiczne i branżowe, biznes oraz liderów opinii. Bardzo się cieszymy, że IFMSA-Poland jest partnerem tego projektu.
Co dokładnie będzie przedmiotem turnieju?
AK: Wyobraźmy sobie zmasowany cyberatak. Podczas turnieju, w symulowanym cyberataku na infrastrukturę krytyczną, o złożonych motywach atakujących, w którym stawką będzie bezpieczeństwo obywateli i państwa, wezmą udział 5-osobowe zespoły z 16-u województw, studenci kierunków: Medycyna, Prawo, IT, Biznes i podchorążowie akademii wojskowych. Zaadresują strategiczno-technologiczne, regulacyjne i komunikacyjne implikacje ataku. Oceni ich eksperckie jury. Konkurs wyłoni najlepszych w opracowaniu strategii reagowania i planowaniu skontrowania przeciwnika.
A cel tej cyber-burzy mózgów?
AK: Cel jest jeden - zdobycie wiedzy na temat strategii zarządzania cyber-ryzykiem. Studenci rożnych kierunków będą mieli możliwość poznania i zrozumienia tej domeny. To agora, dzięki której spotkają się przyszły lekarz z informatykiem i studentem prawa, a zadanie które rozwiążą pozwoli im na kompleksowe rozeznanie tematu, z uwzględnieniem wymiaru technologicznego, regulacyjnego, strategicznego i komunikacyjnego. Podczas turnieju będą działać w charakterze tzw. eksperckich tiger groups, doradzających rządowi przy cyberataku.
Przygotowania do turnieju już trwają?
MK: Wkrótce zarejestrowane zostaną zespoły wojewódzkie. Następnie przystępujemy do pracy merytorycznej, przygotowującej zespoły do turnieju. Całym procesem rekrutacji zajmują się organizacje studenckie - partnerzy turnieju - wy, ale na pokładzie są też Erasmus Student Network Poland, stowarzyszenie studentów prawa ELSA Poland i Forum Uczelni Ekonomicznych FUE. Wierzymy w wasze ambicje i trzymamy za was kciuki! To też doskonały moment byście, w trakcie turnieju, mogli poznać i zaprezentować się przed gronem ekspertów i może znaleźć ciekawą pracę!