CCMI/244
План за действие за киберсигурността на болниците
СТАНОВИЩЕ
Консултативна комисия по индустриални промени
Съобщение на Комисията до Европейския парламент, Съвета, Европейския икономически и социален комитет и Комитета на регионите — Европейски план за действие относно киберсигурността на болниците и доставчиците на здравно обслужване
(COM(2025) 10 final)
Докладчик: Alain COHEUR
Съдокладчик: Hervé JEANNIN
|
Съветници
|
LORIDAN Joyce (съветник на докладчика, III група)
|
|
|
CHEAH Hun Xhing Madeline (съветник на съдокладчика, категория 2)
|
|
Искане за консултация
|
Европейска комисия, 5.3.2025 г.
|
|
Правно основание
|
Член 304 от Договора за функционирането на Европейския съюз
|
|
Компетентна секция
|
Консултативна комисия по индустриални промени
|
|
Приемане от секцията
|
4.6.2025 г.
|
|
Резултат от гласуването
(„за“/„против“/„въздържал се“)
|
25/0/0
|
|
Приемане на пленарна сесия
|
Д.М.2025 г.
|
|
Пленарна сесия №
|
…
|
|
Резултат от гласуването
(„за“/„против“/„въздържал се“)
|
…/…/…
|
1.Заключения и препоръки
1.1ЕИСК приветства амбициозния Европейски план за действие относно киберсигурността на болниците и доставчиците на здравно обслужване и вниманието, което се отделя на този въпрос. Секторът е изключително важна цел за източниците на заплаха. Здравето е личен въпрос и се организира на местно равнище в държавите членки и техните региони. Киберсигурността, обаче, е приоритет на Европейската комисия за защита на здравето на гражданите на Съюза, на европейското пространство на здравни данни и огромния сектор на здравеопазването в държавите членки, който включва различни здравни субекти, като болници, спешни услуги, фармацевтичния и биотехнологичния сектор, които са все по‑свързани с външния свят посредством телемедицината, пациентски портали, платформи и преносими устройства. Подобряването на киберсигурността в сектора на здравеопазването подобрява общата сигурност и устойчивост и допринася за Съюза на подготвеност.
1.2За да се подобрят мерките за сигурност в тази област, Комитетът изготвя набор от предложения, които попадат в различни категории:
1.2.1Финансови мерки
1.2.1.1ЕИСК изразява съжаление, че все още не е обърнато достатъчно внимание на проблема с финансовата подкрепа за изпълнението на плана за действие. Това би могло да доведе до неравенство в равнището на защита на пациентите в зависимост от ресурсите, предоставяни на здравните институции. ЕИСК насърчава Комисията да гарантира тематичната концентрация за финансова подкрепа посредством средствата за сближаване.
1.2.1.2ЕИСК подчертава различията по отношение на инвестициите в киберсигурност в ЕС, като отбелязва, че само Франция възнамерява да инвестира над 1 милиард евро годишно; екстраполирано в рамките на ЕС, това означава минимална потребност от 7,5 милиарда евро годишно. За да бъдат предотвратени кибератаки, болниците би трябвало да отделят за киберсигурност около 10 % от своя бюджет за ИТ. Би трябвало да се вземе предвид наблюдението на териториалното разпределение на инвестициите.
ЕИСК отбелязва подкрепата в размер на 6 милиона евро за ENISA, но подчертава, че средствата са недостатъчни с оглед на важността на въпроса за безопасността на болниците, гражданите и пациентите, които в случай на атака може да нямат повече достъп до диагностика и лечение. ENISA би трябвало да бъде приканена да завърши доклада Threat landscape: health sector (Картина на заплахите: здравен сектор) с финансово картографиране на състоянието на инвестициите в киберсигурност в държавите членки.
Финансовата подкрепа за Европейския план за действие би трябвало да е насочена към инвестиции в:
§Предотвратяване: осигуряване на защита на устройства и болнична инфраструктура за инфраструктура, обхващаща 2,3 милиона болнични легла в ЕС.
§Образование: повишаване на осведомеността и обучение на над 10 милиона служители в здравеопазването и социалната дейност.
§Бързо реагиране и възстановяване, които биха могли да достигнат многомилионни суми в евро за един инцидент.
ENISA би могла да получи кредити по бърза процедура за инструменти за ИТ защита и киберсигурност. Тези средства би трябвало да бъдат предназначени за секторите на здравеопазването и социалните грижи при специални условия.
1.2.1.3ЕИСК предлага да се проучи дали разходите за киберсигурност за здравеопазването могат да бъдат взети предвид за общата клауза за дерогация по Пакта за стабилност и растеж и дали могат да се считат за разходи за отбрана с цел защита на здравето на европейските граждани и на критична здравна инфраструктура. Инвестициите, изисквани от здравните субекти за гарантиране на киберсигурност за предоставянето на здравно обслужване, ще бъдат по-високи, отколкото в други сектори предвид риска от инциденти.
1.2.1.4Поради факта, че е трудно да се прогнозира общата сума на разходите за престъпни кибератаки срещу сектора на здравеопазването в ЕС (до 20 милиона евро разходи за всяка атака във Франция), ЕИСК предлага да се инвестира в следене и проследяване на разходите, така че Европейската комисия да може да предложи по-добро насочване на инвестициите: дали към ключови точки на престъпност, локални мрежи, които се нуждаят от по-голяма помощ, или към избор на най-ефективни технологии за сигурност или кампании за ограмотяване.
1.2.1.5ЕИСК подчертава ролята на органите за защита на данните в държавите членки по отношение на това да гарантират, че болниците и другите здравни субекти предприемат подходящи мерки за сигурност. Ако няма превантивни мерки за киберсигурност, държавите членки могат да играят роля, като налагат глоби.
1.2.2Технически мерки
1.2.2.1ЕИСК препоръчва:
-повишаване на осведомеността относно основни практики за цифрова хигиена (като добри политики за контрол на достъпа до системите, дезактивиране на USB портове, използване на антивирусни програми за крайни точки, отделяне на незащитени устройства, карантиниране на заразени машини);
-инвестиране в цифрови близнаци за болници, системи в здравеопазването или медицински изделия с цел улесняване на гарантирането на сигурността и провеждането на тестове;
-предоставяне на техническа помощ на малки медицински звена (например посредством предоставянето на защитени сървъри или услуги за сигурност от централизиран орган като ENISA), които поради своя малък размер не са в състояние да инвестират в рискове за киберсигурността;
-инвестиране в стратегически технически капацитет (например сигурност на оперативните технологии, връзка между безопасност и сигурност, криминалистична подготовка, ИИ и др.).
1.2.3Свързани с процесите мерки
1.2.3.1ЕИСК би искал да обърне внимание на набор от предпазни и превантивни мерки, които би трябвало да подобрят равнището на защита в сектора на здравеопазването и да намалят риска от кибератаки:
-Провеждане на подходящи тестове (тестове за устойчивост, тестове за проникване и т.н.), не само на равнище устройство и доставчик, но и на системно равнище (когато устройствата са интегрирани в системата на здравеопазването) и на оперативно равнище.
-Разработването, актуализирането и редовното преразглеждане – вътрешно и външно от независими одитори – на планове за непрекъсваемост на дейността. Тези планове би трябвало да включват и добавяне на резервен или безопасен режим за болници и системи в здравеопазването, така че да могат да продължат работата си.
-Наблюдение на най-добрите практики по отношение на мониторинга и възстановяването, включително гарантиране, че са налице подходящи равнища на реакция, в това число децентрализирана (в рамките на всяка болница, доставчик или система в здравеопазването, включително дом) и централизирана (например чрез използване на национални екипи за реагиране при инциденти по компютърната сигурност (CSIRT) или за споделяне и анализ на информация (ISAC). Придобиване като част от практиките за възлагане на обществени поръчки на нужната документация за сертифициране или валидиране на киберсигурността на оборудването (например че отговаря на правилата за киберсигурност съгласно ОРЗД).
1.2.3.2Според ЕИСК като част от плана за действие Комисията би трябвало да обмисли сертифицирането на доставчиците на киберсигурност, за да се допринесе за създаването на надеждна екосистема; същевременно ЕИСК посочва финансовата тежест, която понастоящем е наложена на болниците и здравните институции, и затова отправя предупреждение срещу по-нататъшно увеличаване на разходите.
1.2.3.3ЕИСК признава, че стандартизацията е много полезна, но също така посочва, че тя неизбежно води до липса на устойчивост, освен ако не бъдат въведени специални механизми за защита и контрамерки. Планът би трябвало да бъде интегриран с други инициативи за физическа и кибернетична устойчивост, включително Акта за киберустойчивост.
1.2.4Образователни мерки
1.2.4.1Образованието е централен стълб на плана за действие, ЕИСК препоръчва разработени със социалните партньори планове за непрекъснато учене и обучение и механизми за трансфер на знания между различните субекти и професионални заинтересовани страни с цел справяне с предизвикателствата, свързани с киберсигурността, етиката, неприкосновеността на личния живот и ИИ.
1.2.4.2ЕИСК предлага при въвеждането на нови ИТ инструменти да се гарантира съгласуван институционален отговор на кибератаките, защита на неприкосновеността на личния живот и правилното управление на данните, както е предвидено в законодателството на държавите членки и в споразуменията за колективно договаряне със социалните партньори за колективни трудови договори.
1.2.4.3ЕИСК смята, че за да се противодейства на заплахите срещу киберсигурността, образованието в здравеопазването би трябвало да включва целево обучение по киберсигурност. Микроквалификациите предлагат гъвкав, ефективен от гледна точка на разходите начин за повишаване на квалификацията на специалистите, без да се променя основната учебна програма. Те повишават устойчивостта на здравеопазването и са ключов акцент на инициативата на Комисията за съюз на уменията.
1.2.4.4 Според ЕИСК справянето с недостига на работна сила в областта на киберсигурността и ниските равнища на сигурност в здравеопазването трябва да бъдат основен въпрос при преразглеждането на цифровото десетилетие на ЕС. Стратегическите инвестиции в мултидисциплинарни умения – киберсигурност, ИИ, криминалистична подготвеност и сигурност на медицинските изделия – имат съществено значение за справяне с комплексните заплахи и изграждането на дългосрочна устойчивост.
1.2.4.5ЕИСК признава, че цифровизацията в областта на здравето и благосъстоянието и потенциалните заплахи от нарушаване на киберсигурността могат да причинят евентуален психологически стрес за отделните здравни специалисти и пациенти, и изисква включването на основна грамотност и умения в областта на киберсигурността за европейските граждани и здравни специалисти.
1.2.4.6ЕИСК препоръчва Комисията да изпълнява в пълна степен своята подкрепяща и координираща роля, като използва средствата на ЕС за кампании за осведоменост в областта на киберсигурността относно рисковете от заплахи и предотвратяването им на работното място посредством препоръки за „цифрова хигиена“.
2.Общи бележки
2.1През 2020 г. ENISA докладва за комбинирано повишение с 47 % на кибератаките в ЕС в сравнение с предходната година: във Франция броят на обявените случаи се удвои през 2021 г. ENISA призна потребностите от киберсигурност на сектора на здравеопазването и приветства плана за действие на Европейската комисия от януари 2025 г. (целящ непрекъснато подобряване на кибернетичната устойчивост от 2025 г. нататък) за постигане на високо равнище на защита на болниците, клиниките и доставчиците на здравни услуги срещу всякакви атаки, насочени към системите на информационните и оперативните технологии (ИТ и ОТ) на тези субекти.
2.2Защитата на физическите лица, предприятията и институциите от кибернетични рискове е ключов приоритет в Европейската декларация относно цифровите права и принципите за цифровото десетилетие
. ЕИСК подчертава необходимостта от всеобхватна, хоризонтална политика на ЕС за киберсигурност с цел гарантиране на общественото здраве и на правото на здравеопазване. ЕИСК насърчава Комисията да възприеме основан на права подход към киберсигурността, опиращ се върху (цифровите и конституционните) ценности на ЕС, и да признае киберсигурността за право също както другите основни права, като например неприкосновеността на личния живот, защитата на данните и физическата безопасност. ЕИСК препоръчва киберсигурността да не се ограничава до защита на инфраструктура, системи и данни.
2.3Роботизираните системи и цифровите машини имат нарастваща роля в хирургията, при наблюдението на здравето на пациента и в медицинските изследвания и биха могли да причинят действителни физически и психически вреди, ако тези цифрови системи не са предпазени (срещу например зловредно неправилно калибриране на хирургическите роботи и включването на функционалности от тип задни вратички, които използват недостатъците в диагностични системи с ИИ). ЕИСК призовава да се постави много по-силен акцент върху заварените системи и пресечната точка между ИТ/ОТ, тъй като сложността възниква в празнината между стандартните процеси и осведомеността. Справянето с предизвикателствата на тази конкретна пресечна точка изисква мултидисциплинарен подход (включително инженерна безопасност), специализирано знание и способност за разпознаване и провеждане на тестове за нови заплахи чрез използване на нови инструменти и методологии. Планът за действие би трябвало да разглежда и „кибернетично-физически“ системи и усилията за намиране на решения в тази област.
2.4ЕИСК призовава Комисията да изясни кръга от доставчици на здравно обслужване, засегнати от плана за действие. В плана за действие се посочва, че здравният сектор включва много и разнообразни субекти и участници, в това число болници, клиники, домове за грижи, рехабилитационни центрове и различни доставчици на здравно обслужване, наред с фармацевтичната, медицинската и биотехнологичната промишленост, производителите на медицински изделия и институциите за изследвания в областта на здравеопазването. ЕИСК призовава Комисията да уточни дали това е нейното изчерпателно разбиране за здравния сектор, и посочва целите в здравеопазването, установени от ENISA. Комисията трябва да вземе предвид непрякото взаимодействие с по-широката екосистема, включително търговския сектор за благосъстояние (като например устройствата за проследяване на физическата форма (fitness tracker), инструктори за отслабване и т.н.).
2.5Европейската комисия поставя силен акцент върху сътрудничеството с технологичните дружества и частни организации със стопанска цел при предоставянето на услуги, свързани с киберсигурността, за да се гарантира защитата на болниците и на сектора на здравното обслужване. Наистина сътрудничеството със стопанския сектор може да донесе ценни ползи за укрепване на киберсигурността, но трябва да се подхожда внимателно. Здравните институции трябва да си дават сметка за потенциалните конфликти на интереси, които може да възникнат, когато търговски дружества участват в управлението на чувствителни данни за пациентите. Възможно е да има риск търговските интереси на тези дружества, като постигане на максимална печалба, да вземат превес над защитата на неприкосновеността на личния живот на пациентите и цялостността на медицинските данни. Подчертаваме, че европейските дружества трябва да спазват европейското законодателство за защита на неприкосновеността на личния живот на пациентите и неприкосновеността на медицинските данни (ОРЗД).
2.6ЕИСК би приветствал включването на етични стандарти и клаузи за защита на неприкосновеността на личния живот в Европейския план за действие.
2.7ЕИСК насърчава Комисията да разшири мандата на екипите за реагиране при инциденти по компютърната сигурност (CSIRT) чрез подобряване на координацията, рационализиране на комуникацията и засилване на трансграничното сътрудничество между европейските болници за по-ефективно споделяне на разузнавателни сведения за заплахи. Укрепването на сигурността на ИТ в здравеопазването чрез обединяване и професионализация на експертните познания относно киберсигурността ще подобри цялостната кибернетична устойчивост и подготвеност на сектора срещу постоянно променящите се заплахи. Укрепването на сигурността на ОТ и подсилването на защитата на медицинските системи посредством интегрирана инженерна безопасност и сигурност също ще повиши нивото на защита срещу вероятни атаки.
2.8Инструментариум за киберсигурност би могъл да осигури всеобхватен набор от ресурси, най-добри практики и инструменти, предназначени да помагат на големи и малки организации в здравеопазването да се защитават срещу цифрови заплахи. Прилагането на симулации и реални сценарии може да подобри придобиването на знания и да помогне на персонала да разбере практическите последици от нарушения на киберсигурността.
2.9Трябва да бъде ограничен броят на хората с позволен достъп до външни мрежи в уеб пространството и въвеждане на външни данни. Знае се, че човекът може да е най‑несигурният фактор при защитата на компютърна система. Ето защо би трябвало да бъдат въведени човешки ориентирани системи (евентуално задвижвани от ИИ) за откриване на атаки и предоставяне на обучение за начина на намаляване на заплахите, свързани с вътрешни лица. В идеалния случай би трябвало работните станции да бъдат изключени от болничната мрежа, така че атаката да засегне само самия компютър и минимум дублирани данни. Щом данните бъдат проверени за вируси, компютърът се изключва от външната мрежа и се свързва с болничната мрежа за предаване на данните. Персоналните компютри се актуализират всяка сутрин с данните за пациентите за деня.
2.10 Ако служителите се нуждаят от достъп до незащитеното уеб пространство, това трябва да се прави чрез компютър, който не е свързан с болничната мрежа и няма възможност за създаване на резервно копие или пренос на данни.
2.11Би трябвало да се предвиди възможността за вътрешна заплаха в болницата (въпреки че е ограничена до 2 % от случаите) с основан на риска подход по отношение на възможно най-подходящото равнище на наблюдение посредством компютърни мрежи, физическо наблюдение като камери или посредством достъп до контролни точки, като например посредством точките, през които преминава служителят. Социалният диалог в рамките на болниците и здравния сектор трябва да избегне превръщането на наблюдението в посегателство.
2.12Според ЕИСК е крайно наложително болниците в ЕС да имат планове за управление на инциденти и непрекъсваемост на дейността, включително процедури за реакция при инциденти, решения за резервна комуникация и несвързани резервни копия, за да се реагира бързо и ефективно в случай на атака. Съществена част от плановете за управление на инциденти и непрекъсваемост на дейността са честите стрес тестове, симулиращи сценарии на кибератаки във виртуална среда, които биха позволили да се измери степента и равнището на въздействие на кибератаки и да бъде проверен капацитетът за реагиране на здравното заведение. Съобразеното участие и осигуряването на конкретни умения на служителите в това отношение са от ключово значение.
2.13ЕИСК предлага да се разработи цифров симулатор със сценарии за атаки и реакции, които са лесни за привеждане в действие и използване. Този симулатор би могъл да се използва като демонстрационен инструмент за събития за повишаване на осведомеността, информиране и обучение.
2.14Да се провеждат периодично учения със симулация на атаки и да се провери как се прилага планът за възстановяване на обслужването за следващата фискална година или чрез увеличаване на броя на обучените лица по тези планове за възстановяване, или чрез установяване на по-опростени и по-ясни инструкции например.
2.15В случай че не бъде засечена атака и тя причини сериозни вреди на услугите поради своята сложност, е необходимо да се приложи авариен режим с временно връщане към ръчен режим, за да не се блокират дейностите в началото на атаката. Хората трябва да бъдат обучени да знаят как да организират обслужването посредством хартия, докато бъде възстановен ИТ отделът. Впоследствие ще бъде направено ръчно въвеждане на предприетите действия.
2.16Всяко инсталирано в болница оборудване с микропроцесор (и/или документация, приложена към оборудването) преди това трябва да бъде проверено за внедрен вирус от вътрешния отговорник за рискове за киберсигурността. Приема се, че не всички болници ще са в състояние да оборудват вътрешен отдел за киберсигурност с пълен състав. Предлага се на отговорника за рискове за киберсигурността (подобно на администраторите на лични данни по ОРЗД) да може да бъде възлагано да изключва системата с подкрепата на доставчиците на технологии, техните ИТ отдели и/или членове на тази инициатива.
2.17ЕИСК призовава да се обърне внимание на малки медицински звена с малък ИТ отдел, и призовава да бъде изяснена ролята на ENISA, що се отнася до предоставянето на софтуер или защитени сървъри; Комитетът насърчава водещите болници да обменят опит и да допринасят за обучението по киберсигурност на по-малките структури.
2.18Европейският план за действие би могъл да включва използването на етични хакери и организации с нестопанска цел като стандартна практика, като улеснява формалното сътрудничество или програми, позволяващи на здравните институции да се възползват от тези външни експертни познания, без да понасят значителна финансова тежест. Това не само би повишило общата киберсигурност, но и би допринесло за по-широка култура на сътрудничество и обмен на знания в рамките на сектора.
2.19ЕИСК предлага, както се посочва в законодателството на държавите членки, да се използват колективното договаряне и колективните договори, за да се гарантира съгласувана институционална реакция на кибератаки, защитата на неприкосновеността на личния живот и надлежно управление на данните, наред с укрепването на социалния диалог и приобщаването на социалните партньори в мониторинга и контрола на процесите, свързани с кибератаките и неприкосновеността на личните данни за служителите и пациентите. Подчертаваме необходимостта в рамките на социалния диалог да се обсъжда породеният от киберсигурността риск от психологически стрес.
2.20Теорията „копие и щит“ означава, че извършителите на атаки действат по-бързо от защитниците, като престъпните иновации вероятно ще набират скорост. В центровете за помощ, освен разузнавателни сведения за заплахи, би трябвало да има и дейности за „оглеждане на хоризонта“ и устойчивост на бъдещи предизвикателства. Например източниците на заплаха със софтуер за изнудване може не само да извършват своите обичайни нарушения в областта на данните, но дори в случаите, в които достъпът е възстановен, може да са компрометирали селективно цялостността на данните (особено ако целта е стратегическа).
2.21Киберсигурността понастоящем обхваща много повече сфери от само софтуер и свързаност. Тя може да включва и елементи на физическите системи, както и ИИ. Интеграцията на процеси за гарантиране на сигурността и задължителни изисквания, като например в Регламента за медицинските изделия или Акта на ЕС за изкуствения интелект, следва да бъде приоритет.
2.22Комитетът препоръчва максимално количество чувствителни данни да се разполагат за предпочитане в суверенни европейски публични медицински облаци с двойна и тройна верификация за достъп до данните от оторизирани лица. Това допринася в голяма степен и за бързото възстановяване на услугата след проникване в компютърните системи.
Брюксел, 5 юни 2025 г.
Председател на Консултативната комисия по индустриални промени
Pietro Francesco De Lotto
_____________
