Comisia Europeană (CE) a lansat miercuri un plan de acţiune la nivel european pentru consolidarea securităţii cibernetice a spitalelor şi a furnizorilor de servicii medicale.
Plan de acţiune la nivelul Uniunii Europene pentru protejarea sectorul asistenţei medicale conţine inclusiv crearea unui centru special în cadrul agenţiei UE pentru securitate cibernetică ENISA, pentru a proteja organizaţiile din domeniul sănătăţii de ameninţările cibernetice.
Planul, anunţat miercuri, speră să abordeze diverse probleme cibernetice care afectează sectorul sănătăţii, în contextul în care unul din două spitale din Europa a fost victima unui atac cibernetic, spun comisarii europeni
Planul contribuie la soluţionarea acestei situaţii prin crearea unui centru de sprijin pentru securitatea cibernetică în cadrul Agenţiei Uniunii Europene pentru Securitate Cibernetică (ENISA), care să ofere organizaţiilor sprijin de bază adaptat în materie de securitate cibernetică.
Acesta ar urma, de asemenea, să producă resurse de învăţare privind securitatea cibernetică pentru profesioniştii din domeniul sănătăţii şi, până în 2026, să dezvolte un serviciu de alertă la nivelul UE în cazul în care sunt detectate astfel de ameninţări.
Planul de acţiune vizează, de asemenea, înfiinţarea unui serviciu de răspuns specific asistenţei medicale în cadrul Rezervei UE pentru securitate cibernetică a Legii privind solidaritatea în domeniul cibernetic (CSA). Această rezervă sprijină ţările UE în reacţia la incidentele cibernetice la scară largă prin furnizarea de asistenţă tehnică, coordonare şi resurse financiare.
Comisia intenţionează, de asemenea, să utilizeze cutia de instrumente a diplomaţiei cibernetice - un mecanism de coordonare al UE pentru declaraţii şi sancţiuni diplomatice - pentru a descuraja activităţile cibernetice dăunătoare, ceea ce ar fi în beneficiul sectorului sănătăţii.
Deşi noul plan pune mai multă presiune pe punerea în aplicare a ENISA, nu este prevăzută nicio nouă finanţare, scrie Euractiv.
Astfel, în ceea ce priveşte finanţarea, Comisia solicită ţărilor UE să contribuie financiar şi recomandă dezvoltarea de „vouchere de securitate cibernetică” pentru a sprijini creşterea cheltuielilor cu securitatea cibernetică pentru organizaţiile mici din domeniul sănătăţii, similar cu „voucherele de inovare”, care au sprijinit finanţarea IMM-urilor.
Comisia a încurajat, de asemenea, ţările să solicite entităţilor din domeniul sănătăţii să raporteze plăţile de răscumpărare, dar acesta este un aspect complex, deoarece, deşi guvernele naţionale instruiesc adesea instituţiile publice să nu plătească, multe o fac pentru a recâştiga controlul asupra sistemelor atacate. Plata unei răscumpărări le face, de asemenea, mai puţin dispuse să o raporteze.
Deşi sistemul de sănătate este obligat să respecte reglementările UE în domeniul cibernetic, inclusiv directiva NIS2, care stabileşte standarde pentru securitatea cibernetică şi raportarea cibernetică a entităţilor importante şi critice, aceasta este transpusă cu întârziere în majoritatea statelor membre ale UE, comentează sursa citată.
Sectorul sănătăţii este, de asemenea, afectat de Legea privind rezilienţa cibernetică (CRA), regulamentul UE privind securitatea cibernetică care protejează produsele, inclusiv componentele software.
Se aşteaptă ca CE să lanseze o consultare publică cu privire la planul de acţiune, care ar trebui să conducă la o recomandare fără caracter obligatoriu până la sfârşitul anului 2025.
O ţintă principală a infractorilor cibernetici
Sectorul sănătăţii se numără printre cele mai vizate industrii datorită dinamicii sale cu risc ridicat.
Potrivit celor mai recente date ENISA, aproape 54% dintre atacurile care au vizat sectorul sănătăţii între ianuarie 2021 şi martie 2023 au fost ransomware, spitalele fiind vizate în 42% din cazuri.
Instituţiile din domeniul sănătăţii sunt, în general, mai puţin mature din punct de vedere cibernetic decât alte industrii, iar managerii prioritizează adesea investiţiile în instrumente medicale în detrimentul sistemelor IT şi al protecţiei cibernetice. În plus, angajarea de profesionişti în domeniul securităţii cibernetice este, de asemenea, o provocare pentru acest sector, deoarece sectorul privat oferă, de obicei, oportunităţi mai atractive.