Η Ευρωπαϊκή Επιτροπή έκανε ένα αποφασιστικό βήμα προς την ενίσχυση της κυβερνοασφάλειας των νοσοκομείων και των παρόχων υγειονομικής περίθαλψης, παρουσιάζοντας ένα νέο σχέδιο δράσης της ΕΕ. Αυτή η πρωτοβουλία έρχεται ως άμεση απάντηση στον αυξανόμενο αριθμό κυβερνοεπιθέσεων που στοχεύουν τον τομέα της υγείας, αναγνωρίζοντας τον αντίκτυπο που μπορούν να έχουν τέτοια περιστατικά στην ασφάλεια των ασθενών και την αποτελεσματική και απρόσκοπτη παροχή υπηρεσιών υγειονομικής περίθαλψης.

Η συνεχής ψηφιοποίηση του τομέα υγείας, με καινοτομίες όπως οι ηλεκτρονικοί ιατρικοί φάκελοι, η τηλεϊατρική, διασυνδεδεμένες ιατρικές συσκευές (MIoT) και η διάγνωση με τεχνητή νοημοσύνη, έχουν δημιουργήσει νέες προκλήσεις για την κυβερνοασφάλεια καθώς επίσης επεκτείνουν την επιφάνεια επίθεσης (surface attack). Ενώ η ενσωμάτωση ψηφιακών λύσεων στις κλινικές διαδικασίες ενισχύει τη λήψη τεκμηριωμένων αποφάσεων, αυτοματοποιεί διαδικασίες και επιταχύνει την παροχή ποιοτικής φροντίδας στους ασθενείς, παράλληλα τα νοσοκομεία και οι πάροχοι υπηρεσιών υγείας καθίστανται ολοένα και πιο ελκυστικοί στόχοι για κυβερνοεπιθέσεις, εξαιτίας της αυξανόμενης εξάρτησής τους από την τεχνολογία και λόγω των ευαίσθητων δεδομένων που διαχειρίζονται.

Οι κυβερνοεπιθέσεις στον τομέα υγείας όχι μόνο καθυστερούν κρίσιμες ιατρικές διαδικασίες αλλά θέτουν σε κίνδυνο την ασφάλεια των ασθενών, υπονομεύουν την εμπιστοσύνη στα συστήματα υγείας και επιφέρουν σημαντική οικονομική ζημιά για την αποκατάσταση της λειτουργίας των συστημάτων και της αδιάληπτης παροχής των ιατρικών υπηρεσιών. Ο τομέας υγείας αποτελεί κρίσιμο στόχο κυβερνοεπιθέσεων στην Ευρώπη, αντιμετωπίζοντας συνεχώς αυξανόμενους κινδύνους που θέτουν σε κίνδυνο την ασφάλεια και τη βιωσιμότητά του. Μεταξύ 2021-2023, το 54% των κυβερνοεπιθέσεων στον κλάδο αφορούσε επιθέσεις τύπου ransomware, ενώ το 83% των επιθέσεων είχαν οικονομικά κίνητρα. Περαιτέρω, κατά μέσο όρο, το 79% των πολιτών της ΕΕ έχει πρόσβαση στα ηλεκτρονικά ιατρικά του αρχεία, γεγονός που διευρύνει ακόμη περισσότερο την επιφάνεια επίθεσης για κυβερνοεγκληματίες.

Με αυτές τις προκλήσεις, η Ευρωπαϊκή Επιτροπή παρουσίασε ένα νέο σχέδιο δράσης, το οποίο εστιάζεται στην ενίσχυση της ανθεκτικότητας και της ασφάλειας των νοσοκομείων και των παρόχων υγειονομικής περίθαλψης. Το σχέδιο απευθύνεται σε παρόχους υγείας, οργανισμούς και κρατικά μέλη, ενώ περιλαμβάνει σαφή χρονοδιαγράμματα και καθορίζει υποχρεώσεις για την εφαρμογή προληπτικών μέτρων, την ενίσχυση της ανίχνευσης απειλών και την άμεση απόκριση. Ο ρόλος των Κρατών Μελών, του ENISA και των φορέων υγείας είναι καίριος, καθώς το σχέδιο δράσης προβλέπει τη συνεργασία όλων των εμπλεκομένων για την ανάπτυξη εργαλείων, όπως τα προγράμματα προετοιμασίας, οι οδηγίες ασφαλείας για την προμήθεια ιατρικών συσκευών και οι μηχανισμοί ταχείας απόκρισης.

Οι προτεινόμενες δράσεις επικεντρώνονται σε τέσσερις βασικές προτεραιότητες: την πρόληψη, την ανίχνευση, την ταχεία ανταπόκριση και την αποτροπή κυβερνοεπιθέσεων, με στόχο τη θωράκιση του τομέα υγείας έναντι των συνεχώς εξελισσόμενων κυβερνοαπειλών:

  • Ενισχυμένη Πρόληψη: Αυτό περιλαμβάνει την παροχή καθοδήγησης στην εφαρμογή βασικών πρακτικών κυβερνοασφάλειας και την ενίσχυση της εκπαίδευσης των επαγγελματιών υγείας σε θέματα κυβερνοασφάλειας. Τα κράτη μέλη ενθαρρύνονται επίσης να παρέχουν κίνητρα οικονομικής φύσεως και χορηγίες σε μικρότερα νοσοκομεία και παρόχους υγειονομικής περίθαλψης, επιτρέποντάς τους να επενδύσουν σε κρίσιμα μέτρα κυβερνοασφάλειας.
    Στο πλαίσιο αυτής της προτεραιότητας, η Αρχή (ΑΨΑ) ως το Εθνικό Κέντρο Συντονισμού Κυβερνοασφάλειας (NCC-CY) διαχειρίζεται και παραχωρεί προγράμματα χορηγιών που στοχεύουν στην ενίσχυση της Κυβερνοασφάλειας προς τρίτους. Συγκεκριμένα κατά το 2024 ολοκληρώθηκε το πρώτο σχέδιο χορηγιών για ενίσχυση των ΜμΕ του τόπου. Επιπρόσθετα το NCC-CY έχει καταφέρει να δρομολογήσει και να υλοποιήσει με επιτυχία πολυδιάστατες δράσεις για την ενίσχυση της κυβερνοασφάλειας, όπως τη δημιουργία της κοινότητας κυβερνοασφάλειας, την ετοιμασία εκπαιδευτικού υλικού για όλο το φάσμα της κοινωνίας, τη διοργάνωση εκδηλώσεων, καθώς επίσης και τη παροχή ενημέρωσης και συμβουλών για Ευρωπαϊκές χρηματοδοτήσεις στον τομέα της κυβερσνοαφάλειας μέσω των προγραμμάτων Digital Europe και Horizon Europe.

  • Καλύτερη ανίχνευση και αναγνώριση απειλών: Το σχέδιο περιλαμβάνει τη δημιουργία πανευρωπαϊκής υπηρεσίας έγκαιρης προειδοποίησης για την παροχή σχεδόν σε πραγματικό χρόνο ειδοποιήσεων για πιθανές κυβερνοαπειλές έως το 2026. Αυτή η υπηρεσία θα αξιοποιεί δεδομένα από διάφορες πηγές, συμπεριλαμβανομένων των Ομάδων Αντιμετώπισης Συμβάντων Ασφάλειας Υπολογιστών (CSIRT), οντοτήτων υγειονομικής περίθαλψης και κατασκευαστών, για την παροχή έγκαιρων προειδοποιήσεων.
    Η Αρχή συνδράμει στην υλοποίηση του SecAwarenessTruss, ενός πρωτοποριακού ερευνητικού εγχειρήματος που στοχεύει στην ανάπτυξη μιας προηγμένης πλατφόρμας, η οποία επεκτείνει τις δυνατότητες των υφιστάμενων δομών κυβερνοασφάλειας και εκπαιδευτικών μηχανισμών, ενισχύοντας την αποτελεσματικότητα της κυβερνοάμυνας. Επιπλέον, περιλαμβάνει τον σχεδιασμό και την παροχή καινοτόμων, βιώσιμων και εφαρμοσμένων εκπαιδευτικών προγραμμάτων για τη συνεχή κατάρτιση επαγγελματιών που δραστηριοποιούνται στην προστασία κρίσιμων υποδομών, καθώς και τη διαμόρφωση ρεαλιστικών, μεγάλης κλίμακας και διατομεακών σεναρίων, αξιοποιώντας προσεγγίσεις βασισμένες σε gaming-based ασκήσεις. Παράλληλα, η Αρχή συμμετέχει ενεργά στην ανάπτυξη του Ευρωπαϊκού έργου ATHENA Cyber Hub, που υλοποιείται σε συνεργασία με τις εθνικές αρχές κυβερνοασφάλειας της Ελλάδας, της Βουλγαρίας και της Μάλτας. Το έργο, στο πλαίσιο του Cyber Solidarity Act, στοχεύει στη δημιουργία ενός πανευρωπαϊκού SOC, την ανάπτυξη Ευρωπαϊκού Συστήματος Κυβερνοεπιφυλακής με εθνικά και διασυνοριακά Cyber Hubs, τη δημιουργία Μηχανισμού Έκτακτης Ανάγκης για κυβερνοαπειλές μέσω της EU Cybersecurity Reserve και την εγκαθίδρυση Μηχανισμού Ανασκόπησης Συμβάντων για μεγάλης κλίμακας περιστατικά.

    Πιο συγκεκριμένα, η πλατφόρμα του έργου ATHENA θα προσφέρει:

      o  Κοινή Ενημερότητα Κατάστασης
      o  Ενίσχυση πρόβλεψης, πρόληψης, ανίχνευσης και ανταπόκρισης σε κυβερνοεπιθέσεις.
      o  Συντονισμένη Ανταπόκριση μέσω αυτοματοποιημένων διαδικασιών ασφαλείας.
      o  Άμεση ανταλλαγή πληροφοριών μεταξύ Εθνικών Αρχών, Φορέων και ευρωπαϊκών οργανισμών με τυποποιημένους μηχανισμούς.

  • Αντιμετώπιση κυβερνοεπιθέσεων για ελαχιστοποίηση των επιπτώσεων: Το σχέδιο εισάγει μια υπηρεσία ταχείας ανταπόκρισης για τον τομέα της υγείας στο πλαίσιο του Ευρωπαϊκού Αποθέματος Κυβερνοασφάλειας. Το Ευρωπαϊκό Απόθεμα Κυβερνοασφάλειας (EU Cybersecurity Reserve,) αποτελεί μηχανισμό που σχεδιάστηκε στο πλαίσιο του Cyber Solidarity Act, με στόχο την παροχή υποστήριξης σε σημαντικά ή μεγάλης κλίμακας περιστατικά κυβερνοασφάλειας. Περιλαμβάνει εξειδικευμένες υπηρεσίες από διαπιστευμένους παρόχους διαχείρισης ασφάλειας (managed security service providers - MSSPs), ώστε να ενισχύονται οι εθνικές αρχές και CSIRTs σε περιπτώσεις κρίσιμων κυβερνοεπιθέσεων. Το σχέδιο περιλαμβάνει επίσης τη διεξαγωγή εθνικών ασκήσεων κυβερνοασφάλειας και την ανάπτυξη εγχειριδίων για να βοηθήσουν τους οργανισμούς υγειονομικής περίθαλψης, ώστε να μπορούν να αντιδράσουν αποτελεσματικά σε συγκεκριμένες κυβερνοαπειλές, συμπεριλαμβανομένων των επιθέσεων ransomware. Η Αρχή συντονίζει εθνικές ασκήσεις κυβερνοασφάλειας και αναπτύσσει σχέδιο διαχείρισης κρίσεων στον κυβερνοχώρο, βάσει των απαιτήσεων της NIS2, εξασφαλίζοντας την αποτελεσματική ανταπόκριση σε περιστατικά κυβερνοεπιθέσεων. Επιπλέον, έχει εδραιώσει το Εθνικό CSIRT, το οποίο λειτουργεί 24/7, παρέχοντας συνεχή παρακολούθηση, ανίχνευση και ανταπόκριση σε κυβερνοαπειλές. Το Εθνικό CSIRT αποτελεί έναν κρίσιμο μηχανισμό υποστήριξης για την προστασία του τομέα υγείας και άλλων κρίσιμων υποδομών, εξασφαλίζοντας την άμεση ανταλλαγή πληροφοριών και τη διαχείριση περιστατικών σε πραγματικό χρόνο.

  • Αποτροπή: Η ΕΕ στοχεύει στην αποτροπή των δρώντων κυβερνοαπειλών από τη στόχευση ευρωπαϊκών συστημάτων υγειονομικής περίθαλψης μέσω ενίσχυσης της διεθνούς συνεργασίας και την αξιοποιήση εργαλείων όπως το Cyber Diplomacy Toolbox, το οποίο αποτελεί μια κοινή διπλωματική απάντηση της ΕΕ σε κακόβουλες δραστηριότητες στον κυβερνοχώρο, ενώ υπογραμμίζει τη σημασία της λογοδοσίας και της καταπολέμησης της κυβερνοεγκληματικότητας καθιστώντας τους επιτιθέμενους υπόλογους.
    Η Αρχή ενισχύει την συνεργασία της με ευρωπαϊκούς φορείς μέσω συμμετοχής σε εθνικές και διεθνείς πρωτοβουλίες, καθώς και ομάδες εργασίας, προάγοντας τη συλλογή, ανάλυση και ανταλλαγή δεδομένων για την αποτροπή κυβερνοεπιθέσεων. Παρέχει καθοδήγηση και υποστήριξη στις κρίσιμες υποδομές του κράτους με σκοπό την ενίσχυση της ανθεκτικότητάς τους. Συνεργάζεται με τον ENISA (Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια) και άλλους ευρωπαϊκούς φορείς για την ανάπτυξη κατευθυντήριων γραμμών και εργαλείων για την αποτροπή και αντιμετώπιση απειλών. Επίσης συμμετέχει στην ανάπτυξη εργαλείων για την προληπτική ανίχνευση απειλών μέσω Τεχνητής Νοημοσύνης και Ανάλυσης Κυβερνοαπειλών.

Το Σχέδιο Δράσης της ΕΕ αποτελεί ένα σημαντικό βήμα προς τη δημιουργία ενός ασφαλούς και ανθεκτικού συστήματος υγειονομικής περίθαλψης. Θα υλοποιηθεί σε στενή συνεργασία με τους παρόχους υγειονομικής περίθαλψης, τα κράτη μέλη και την κοινότητα της κυβερνοασφάλειας. Η δέσμευση της ΕΕ για την ενίσχυση της κυβερνοασφάλειας στον τομέα της υγειονομικής περίθαλψης υπογραμμίζει τη σημασία της προστασίας της ασφάλειας των ασθενών και της διασφάλισης της ανθεκτικότητας αυτών των ζωτικών υπηρεσιών σε μια ολοένα και πιο ψηφιακή εποχή. Υιοθετώντας μια προληπτική και πολύπλευρη προσέγγιση, η ΕΕ στοχεύει στη δημιουργία ενός ασφαλέστερου και πιο ασφαλούς περιβάλλοντος υγειονομικής περίθαλψης για όλους. Η ενίσχυση και περαιτέρω ανάπτυξη της κυβερνοασφάλειας δεν είναι μόνο απαραίτητη για την ομαλή λειτουργία του τομέα, αλλά και για τη διατήρηση της εμπιστοσύνης των πολιτών.

Η Κύπρος, μέσω της Αρχής Ψηφιακής Ασφάλειας, δεσμεύεται να συνεργαστεί με τους ευρωπαϊκούς και διεθνείς εταίρους για την υλοποίηση αυτού του σχεδίου και την προώθηση ενός ανθεκτικού τομέα υγείας. Παράλληλα, παρακολουθούμε στενά τις εξελίξεις, είμαστε σε συνεχείς επαφές με τους αρμόδιους φορείς και συνεργαζόμαστε με τους εταίρους μας για την έγκαιρη προσαρμογή στις ανάγκες και προκλήσεις του τομέα.

Πηγές

  1. European Commission - Press release: Commission unveils action plan to protect the health sector from cyberattacks. https://ec.europa.eu/commission/presscorner/detail/en/ip_25_262