CCMI/244
Σχέδιο δράσης για την κυβερνοασφάλεια των νοσοκομείων
ΓΝΩΜΟΔΟΤΗΣΗ
Συμβουλευτική Επιτροπή Βιομηχανικών Μεταλλαγών
Ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο, την Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή και την Επιτροπή των Περιφερειών – Ευρωπαϊκό σχέδιο δράσης για την κυβερνοασφάλεια των νοσοκομείων και των παρόχων υγειονομικής περίθαλψης
(COM(2025) 10 final)
Εισηγητής: Alain COHEUR
Συνεισηγητής: Hervé JEANNIN
|
Σύμβουλοι
|
LORIDAN Joyce (σύμβουλος του εισηγητή, Ομάδα III)
|
|
|
CHEAH Hun Xhing Madeline (σύμβουλος του συνεισηγητή, Κατηγορία 2)
|
|
Αίτηση γνωμοδότησης
|
Ευρωπαϊκή Επιτροπή, 5/3/2025
|
|
Νομική βάση
|
Άρθρο 304 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης
|
|
Αρμόδιο όργανο
|
Συμβουλευτική Επιτροπή Βιομηχανικών Μεταλλαγών (CCMI)
|
|
Έγκριση από τη CCMI
|
04/06/2025
|
|
Αποτέλεσμα της ψηφοφορίας
(υπέρ/κατά/αποχές)
|
25/0/0
|
|
Έγκριση από την Ολομέλεια
|
Η/Μ/2025
|
|
Σύνοδος ολομέλειας αριθ.
|
…
|
|
Αποτέλεσμα της ψηφοφορίας
(υπέρ/κατά/αποχές)
|
…/…/…
|
1.Συμπεράσματα και συστάσεις
1.1Η ΕΟΚΕ επικροτεί το επίπεδο φιλοδοξίας του ευρωπαϊκού σχεδίου δράσης για την κυβερνοασφάλεια των νοσοκομείων και των παρόχων υγειονομικής περίθαλψης, και την προσοχή που δίνεται στο θέμα αυτό. Ο τομέας έχει αποτελέσει κρίσιμο στόχο για τους παράγοντες απειλής. Η υγεία είναι προσωπική υπόθεση και οργανώνεται σε τοπικό επίπεδο στα κράτη μέλη και τις περιφέρειές τους. Ωστόσο, η κυβερνοασφάλεια αποτελεί προτεραιότητα για την Ευρωπαϊκή Επιτροπή, προκειμένου να προστατεύσει την υγεία των πολιτών της, τον ευρωπαϊκό χώρο δεδομένων για την υγεία, και τον τεράστιο τομέα υγειονομικής περίθαλψης στα κράτη μέλη, ο οποίος περιλαμβάνει διάφορους φορείς υγείας, όπως τα νοσοκομεία, οι υπηρεσίες έκτακτης ανάγκης, ο φαρμακευτικός τομέας και ο τομέας της βιοτεχνολογίας, οι οποίες συνδέονται όλο και περισσότερο με τον έξω κόσμο μέσω της τηλεϊατρικής, των δικτυακών πυλών ασθενών, των πλατφορμών και των φορετών συσκευών. Η βελτίωση της κυβερνοασφάλειας στον τομέα της υγείας βελτιώνει τη γενική ασφάλεια και ανθεκτικότητα και συμβάλλει στην Ένωση Ετοιμότητας.
1.2Για τη βελτίωση των μέτρων ασφαλείας στον τομέα αυτό, η ΕΟΚΕ υποβάλλει σειρά προτάσεων που εμπίπτουν σε διάφορες κατηγορίες:
1.2.1Οικονομικά μέτρα
1.2.1.1Η ΕΟΚΕ διαπιστώνει με λύπη ότι παραμένει η εκκρεμότητα της χρηματοδοτικής στήριξης για την εφαρμογή του σχεδίου δράσης. Αυτό μπορεί να οδηγήσει σε ανισότητα όσον αφορά το επίπεδο προστασίας που λαμβάνουν οι ασθενείς, ανάλογα με τους πόρους που διατίθενται στα ιδρύματα υγειονομικής περίθαλψης. Η ΕΟΚΕ ενθαρρύνει την Επιτροπή να εξασφαλίσει θεματική συγκέντρωση για τη χρηματοδοτική στήριξη μέσω των ταμείων συνοχής.
1.2.1.2Η ΕΟΚΕ επισημαίνει τις ανισότητες που υπάρχουν στις επενδύσεις στον τομέα της κυβερνοασφάλειας ανά την ΕΕ, επισημαίνοντας ότι η Γαλλία μόνο προτίθεται να επενδύει πάνω από 1 δισ. ευρώ ετησίως· με παρέκταση σε όλη την ΕΕ, αυτό υποδεικνύει ότι χρειάζονται τουλάχιστον 7,5 δισ. ευρώ ετησίως. Για την πρόληψη των κυβερνοεπιθέσεων, τα νοσοκομεία θα πρέπει να διαθέτουν στην κυβερνοασφάλεια περίπου 10 % του προϋπολογισμού τους για τον τομέα της πληροφορικής. Θα πρέπει να λαμβάνεται υπόψη η παρακολούθηση της τοπικής συνάφειας των επενδύσεων.
Η ΕΟΚΕ σημειώνει τη στήριξη ύψους 6 εκατ. ευρώ προς τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA), αλλά υπογραμμίζει ότι αυτή είναι ανεπαρκής δεδομένης της σημασίας όσων διακυβεύονται για την ασφάλεια των νοσοκομείων, των πολιτών και των ασθενών, οι οποίοι, σε περίπτωση επίθεσης, ενδέχεται να μην έχουν πλέον πρόσβαση σε διάγνωση και θεραπεία. Ο ENISA θα πρέπει να κληθεί να συμπληρώσει την έκθεση Threat landscape: health sector (Τοπίο απειλών για τον τομέα της υγείας) με οικονομική χαρτογράφηση της τρέχουσας κατάστασης των επενδύσεων στον τομέα της κυβερνοασφάλειας στα κράτη μέλη.
Η χρηματοδοτική στήριξη του ευρωπαϊκού σχεδίου δράσης θα πρέπει να στοχεύει σε επενδύσεις για:
§Πρόληψη: εξασφάλιση ιατροτεχνολογικών προϊόντων και νοσοκομειακών υποδομών για τις υποδομές που περιλαμβάνουν 2,3 εκατομμύρια νοσοκομειακές κλίνες στην ΕΕ.
§Εκπαίδευση: ενημέρωση και κατάρτιση των άνω των 10 εκατομμυρίων εργαζομένων στον τομέα της υγείας και της κοινωνικής μέριμνας.
§Αποκατάσταση και ανάκαμψη, η οποία θα μπορούσε να ανέλθει σε πολλά εκατομμύρια ευρώ ανά περιστατικό.
Ο ENISA θα μπορούσε να λάβει με ταχείες διαδικασίες δάνεια για εργαλεία κυβερνοασφάλειας και προστασίας στον τομέα της πληροφορικής. Τα κεφάλαια αυτά θα πρέπει να διατεθούν στον τομέα της υγείας και της κοινωνικής πρόνοιας, υπό συγκεκριμένες προϋποθέσεις.
1.2.1.3Η ΕΟΚΕ προτείνει να διερευνηθεί εάν οι δαπάνες για την κυβερνοασφάλεια στον τομέα της υγείας θα μπορούσαν να ληφθούν υπόψη στη γενική ρήτρα διαφυγής του Συμφώνου Σταθερότητας και Ανάπτυξης, και εάν θα μπορούσαν να θεωρηθούν αμυντικές δαπάνες για την προστασία της υγείας των Ευρωπαίων πολιτών και των κρίσιμων υποδομών υγείας. Οι επενδύσεις που απαιτούνται από τους φορείς υγείας για τη διασφάλιση της κυβερνοασφάλειας στην παροχή υγειονομικής περίθαλψης θα είναι υψηλότερες από ό,τι σε άλλους τομείς, δεδομένου του κινδύνου των περιστατικών.
1.2.1.4Λόγω του ότι είναι δύσκολο να εκτιμηθούν τα συνολικά αριθμητικά στοιχεία που αφορούν το κόστος των κυβερνοεπιθέσεων στον τομέα της υγειονομικής περίθαλψης στην ΕΕ (στη Γαλλία το κόστος ανέρχεται σε έως και 20 εκατ. ευρώ ανά επίθεση), η ΕΟΚΕ προτείνει επενδύσεις για την παρακολούθηση και την ανίχνευση του κόστους, ώστε η Ευρωπαϊκή Επιτροπή να μπορεί να προσαρμόσει καλύτερα τις επενδύσεις, είτε στις εστίες εγκληματικότητας είτε στις τοπικές περιοχές που χρειάζονται περισσότερη βοήθεια, ή να κατανοήσει ποιες τεχνολογίες ασφάλειας ή εκπαιδευτικές εκστρατείες είναι οι πλέον αποτελεσματικές.
1.2.1.5Η ΕΟΚΕ υπογραμμίζει τον ρόλο των αρχών προστασίας δεδομένων στα κράτη μέλη όσον αφορά τη διασφάλιση της λήψης κατάλληλων μέτρων ασφάλειας από τα νοσοκομεία και τους άλλους φορείς υγειονομικής περίθαλψης. Τα κράτη μέλη μπορούν να διαδραματίσουν ρόλο, σε περίπτωση έλλειψης προληπτικών μέτρων κυβερνοασφάλειας, με την επιβολή προστίμων.
1.2.2Τεχνικά μέτρα
1.2.2.1Η ΕΟΚΕ συνιστά:
-αύξηση της ενημέρωσης σχετικά με τις βασικές πρακτικές ψηφιακής υγιεινής (όπως ορθές πολιτικές ελέγχου της πρόσβασης στο σύστημα, απενεργοποίηση των θυρών USB, χρήση αντιιικών στα τερματικά, απομόνωση μη ασφαλών συσκευών, καραντίνα μολυσμένων συσκευών)·
-επενδύσεις σε ψηφιακά δίδυμα για νοσοκομεία, συστήματα υγειονομικής περίθαλψης ή ιατροτεχνολογικά προϊόντα, ώστε να διευκολυνθεί η διασφάλιση και οι δοκιμές·
-παροχή τεχνικής βοήθειας σε μικρές ιατρικές μονάδες (π.χ. μέσω της παροχής ασφαλών διακομιστών ή υπηρεσιών ασφάλειας από κεντρική αρχή όπως ο ENISA) οι οποίες, λόγω του μικρού μεγέθους τους, δεν είναι σε θέση να επενδύσουν στην αντιμετώπιση κινδύνων για την κυβερνοασφάλεια·
-επένδυση σε στρατηγικές τεχνικές ικανότητες (π.χ. ασφάλεια των λειτουργικών τεχνολογιών, σύνδεση μεταξύ ασφάλειας και προστασίας, εγκληματολογική προετοιμασία, τεχνητή νοημοσύνη κ.λπ.).
1.2.3Διαδικαστικά μέτρα
1.2.3.1Η ΕΟΚΕ θα ήθελε να επιστήσει την προσοχή σε ένα σύνολο προφυλακτικών και προληπτικών μέτρων που αναμένεται να βελτιώσουν το επίπεδο προστασίας στον τομέα της υγειονομικής περίθαλψης και να μειώσουν τον κίνδυνο κυβερνοεπιθέσεων:
-Διενέργεια κατάλληλων δοκιμών (δοκιμές αντοχής, δοκιμές διείσδυσης κ.λπ.), όχι μόνο σε επίπεδο συσκευής και προμηθευτή, αλλά και σε επίπεδο συστήματος (όταν οι συσκευές είναι ενσωματωμένες στα συστήματα υγειονομικής περίθαλψης) και σε επιχειρησιακό επίπεδο.
-Ανάπτυξη σχεδίων επιχειρησιακής συνέχειας, τα οποία θα επικαιροποιούνται και θα επανεξετάζονται τακτικά, τόσο εσωτερικά όσο και εξωτερικά, από ανεξάρτητους ελεγκτές. Τα σχέδια αυτά θα πρέπει επίσης να περιλαμβάνουν την ενσωμάτωση μιας εφεδρικής λειτουργίας ή λειτουργίας ασφαλείας για τα νοσοκομεία και τα συστήματα υγειονομικής περίθαλψης, ώστε να μπορούν να συνεχίσουν να λειτουργούν.
-Παρακολούθηση των βέλτιστων πρακτικών όσον αφορά την παρακολούθηση και την αποκατάσταση, συμπεριλαμβανομένης της διασφάλισης επαρκών επίπεδων αντίδρασης, είτε αποκεντρωμένης (σε κάθε νοσοκομείο, πάροχο ή σύστημα υγειονομικής περίθαλψης, συμπεριλαμβανομένης της κατ’ οίκον περίθαλψης) είτε κεντρικής (π.χ. με τη χρήση εθνικών ομάδων CSIRT ή ISAC). Απόκτηση, στο πλαίσιο των πρακτικών σύναψης δημόσιων συμβάσεων, της τεκμηρίωσης που απαιτείται για την πιστοποίηση ή την επικύρωση της κυβερνοασφάλειας του εξοπλισμού (π.χ. ότι συμμορφώνεται με τους κανονισμούς για την κυβερνοασφάλεια που ορίζονται στον ΓΚΠΔ).
1.2.3.2Κατά την άποψη της ΕΟΚΕ, η Επιτροπή θα πρέπει να εξετάσει, στο πλαίσιο του σχεδίου δράσης, την πιστοποίηση των παρόχων κυβερνοασφάλειας, προκειμένου να συμβάλει στη δημιουργία ενός αξιόπιστου οικοσυστήματος, επισημαίνοντας παράλληλα την οικονομική επιβάρυνση που επωμίζονται επί του παρόντος τα νοσοκομεία και τα ιδρύματα υγειονομικής περίθαλψης και προειδοποιώντας, επομένως, για περαιτέρω αυξήσεις του κόστους.
1.2.3.3Η ΕΟΚΕ αναγνωρίζει ότι η τυποποίηση είναι πολύ χρήσιμη, αλλά επισημαίνει επίσης ότι οδηγεί αναπόφευκτα σε έλλειψη ανθεκτικότητας, εκτός εάν θεσπιστούν ειδικές διασφαλίσεις και αντίμετρα. Το σχέδιο θα πρέπει να ενσωματωθεί σε άλλες πρωτοβουλίες για τη φυσική ανθεκτικότητα και την κυβερνοανθεκτικότητα, συμπεριλαμβανομένης της πράξης για την κυβερνοανθεκτικότητα.
1.2.4Εκπαιδευτικά μέτρα
1.2.4.1Δεδομένου ότι η εκπαίδευση αποτελεί κεντρικό πυλώνα του σχεδίου δράσης, η ΕΟΚΕ συνιστά να αναπτυχθούν σχέδια συνεχούς μάθησης και κατάρτισης σε συνεργασία με τους κοινωνικούς εταίρους, καθώς και μηχανισμοί για τη μεταφορά γνώσεων μεταξύ των διαφόρων ενδιαφερόμενων φορέων και επαγγελματιών, με σκοπό την αντιμετώπιση των προκλήσεων στον τομέα της κυβερνοασφάλειας, της δεοντολογίας, της προστασίας του απορρήτου και της τεχνητής νοημοσύνης.
1.2.4.2Κατά την εφαρμογή νέων εργαλείων ΤΠ, η ΕΟΚΕ προτείνει να διασφαλιστεί μια συνεκτική θεσμική απάντηση όσον αφορά τις κυβερνοεπιθέσεις, την προστασία της ιδιωτικής ζωής και την ορθή διαχείριση των δεδομένων, όπως προβλέπεται από τη νομοθεσία των κρατών μελών και τις ρυθμίσεις συλλογικών διαπραγματεύσεων με τους κοινωνικούς εταίρους για τις συλλογικές συμβάσεις.
1.2.4.3Η ΕΟΚΕ εκτιμά ότι για την αντιμετώπιση των απειλών για την κυβερνοασφάλεια, η εκπαίδευση στον τομέα της υγειονομικής περίθαλψης θα πρέπει να περιλαμβάνει στοχευμένη κατάρτιση όσον αφορά την κυβερνοασφάλεια. Τα μικροδιαπιστευτήρια προσφέρουν έναν ευέλικτο, οικονομικά αποδοτικό τρόπο αναβάθμισης των δεξιοτήτων των επαγγελματιών χωρίς τροποποίηση των βασικών προγραμμάτων σπουδών. Αυτά ενισχύουν την ανθεκτικότητα της υγειονομικής περίθαλψης και αποτελούν βασικό σημείο εστίασης της πρωτοβουλίας της Επιτροπής για την Ένωση Δεξιοτήτων.
1.2.4.4 Κατά την άποψη της ΕΟΚΕ, η αντιμετώπιση του χάσματος στο εργατικό δυναμικό όσον αφορά την κυβερνοασφάλεια και των χαμηλών επιπέδων ασφάλειας στον τομέα της υγειονομικής περίθαλψης πρέπει να αποτελέσει βασικό σημείο εστίασης της αναθεώρησης της ψηφιακής δεκαετίας της ΕΕ. Οι στρατηγικές επενδύσεις σε πολυτομεακές δεξιότητες –κυβερνοασφάλεια, τεχνητή νοημοσύνη, ετοιμότητα για εγκληματολογική έρευνα, και ασφάλεια των ιατροτεχνολογικών προϊόντων– είναι απαραίτητες για την αντιμετώπιση πολύπλοκων απειλών και την ανάπτυξη μακροπρόθεσμης ανθεκτικότητας.
1.2.4.5Η ΕΟΚΕ αναγνωρίζει ότι η ψηφιοποίηση της υγείας και της ευημερίας και οι πιθανές απειλές παραβιάσεων της κυβερνοασφάλειας μπορούν να προκαλέσουν πιθανή ψυχολογική πίεση σε μεμονωμένους επαγγελματίες υγείας και ασθενείς, και απαιτεί να αποκτήσουν οι Ευρωπαίοι πολίτες και οι επαγγελματίες του τομέα της υγείας βασικές γνώσεις και δεξιότητες σε σχέση με την κυβερνοασφάλεια.
1.2.4.6Η ΕΟΚΕ συνιστά στην Επιτροπή να ασκήσει πλήρως τον υποστηρικτικό και συντονιστικό της ρόλο χρησιμοποιώντας κονδύλια της ΕΕ για την προώθηση εκστρατειών ενημέρωσης σχετικά με τους κινδύνους και την πρόληψη των απειλών στον τομέα της κυβερνοασφάλειας στον χώρο εργασίας μέσω συστάσεων «ψηφιακής υγιεινής».
2.Γενικές παρατηρήσεις
2.1Το 2020, ο ENISA ανέφερε συνδυασμένη αύξηση κατά 47 % των κυβερνοεπιθέσεων σε ολόκληρη την ΕΕ σε σύγκριση με το προηγούμενο έτος: στη Γαλλία, ο αριθμός των περιπτώσεων που δηλώθηκαν διπλασιάστηκε το 2021. Ο ENISA έχει αναγνωρίσει τις ανάγκες κυβερνοασφάλειας του τομέα της υγειονομικής περίθαλψης και εξέφρασε την ικανοποίησή του για το σχέδιο δράσης της Ευρωπαϊκής Επιτροπής του Ιανουαρίου 2025 (που αποσκοπεί στη συνεχή βελτίωση της κυβερνοανθεκτικότητας από το 2025 και μετά) για την εξασφάλιση υψηλού επιπέδου προστασίας των νοσοκομείων, των κλινικών και των παρόχων υγείας έναντι οποιασδήποτε επίθεσης κατά των συστημάτων πληροφορικής ή λειτουργικής τεχνολογίας των εν λόγω φορέων.
2.2Η προστασία των ατόμων, των επιχειρήσεων και των θεσμών από τους κινδύνους στον κυβερνοχώρο αποτελεί βασική προτεραιότητα στην ευρωπαϊκή διακήρυξη σχετικά με τα ψηφιακά δικαιώματα και τις ψηφιακές αρχές για την ψηφιακή δεκαετία
. Η ΕΟΚΕ τονίζει την ανάγκη να θεσπιστεί μια ολοκληρωμένη, οριζόντια πολιτική της ΕΕ για την κυβερνοασφάλεια με σκοπό τη διασφάλιση της δημόσιας υγείας και του δικαιώματος στην υγειονομική περίθαλψη. Η ΕΟΚΕ ενθαρρύνει την Επιτροπή να υιοθετήσει μια προσέγγιση της κυβερνοασφάλειας με βάση τα δικαιώματα, η οποία θα βασίζεται στις (ψηφιακές και συνταγματικές) αξίες της ΕΕ, και να αναγνωρίσει την κυβερνοασφάλεια ως δικαίωμα όπως και άλλα θεμελιώδη δικαιώματα, όπως η προστασία της ιδιωτικότητας και των δεδομένων και η σωματική ασφάλεια. Η ΕΟΚΕ συνιστά να μην περιοριστεί η κυβερνοασφάλεια στην προστασία των υποδομών, των συστημάτων και των δεδομένων.
2.3Τα ρομποτικά συστήματα και οι ψηφιακές μηχανές διαδραματίζουν ολοένα και μεγαλύτερο ρόλο στη χειρουργική, στην παρακολούθηση της υγείας των ασθενών και στις ιατρικές εξετάσεις, με συνέπεια να προκαλείται δυνητικά πραγματική σωματική και ψυχική βλάβη σε περίπτωση που δεν είναι διασφαλισμένα τα εν λόγω ψηφιακά συστήματα –για παράδειγμα, έναντι της κακόβουλης λανθασμένης ρύθμισης των χειρουργικών ρομπότ, και των επιθέσεων μέσω κερκόπορτας (backdoor triggers) στα διαγνωστικά συστήματα τεχνητής νοημοσύνης. Η ΕΟΚΕ ζητεί να δοθεί πολύ μεγαλύτερη έμφαση στα παλαιότερα συστήματα και στη διασύνδεση μεταξύ πληροφορικής και λειτουργικής τεχνολογίας, διότι η πολυπλοκότητα προκύπτει από τα κενά στις τυποποιημένες διαδικασίες και την ενημέρωση. Η αντιμετώπιση των προκλήσεων αυτής της συγκεκριμένης διασύνδεσης απαιτεί πολυτομεακή προσέγγιση (συμπεριλαμβανομένης της μηχανικής ασφαλείας), εξειδικευμένες γνώσεις και ικανότητα αναγνώρισης και εκτέλεσης δοκιμών για νέες απειλές με τη χρήση καινοτόμων εργαλείων και μεθοδολογιών. Το σχέδιο δράσης θα πρέπει επίσης να εξετάζει τα «κυβερνοφυσικά» συστήματα και τις προσπάθειες που καταβάλλονται για τη διαχείριση αυτού του τομέα.
2.4Η ΕΟΚΕ καλεί την Επιτροπή να αποσαφηνίσει το εύρος των παρόχων υγειονομικής περίθαλψης που επηρεάζονται από το σχέδιο δράσης. Το σχέδιο δράσης αναφέρει ότι ο τομέας της υγείας περιλαμβάνει ευρύ αριθμό οντοτήτων και φορέων, και συγκεκριμένα νοσοκομεία, κλινικές, μονάδες φροντίδας, κέντρα αποκατάστασης και διάφορους παρόχους υγειονομικής περίθαλψης, παράλληλα με τον φαρμακευτικό, τον ιατρικό και τον βιοτεχνολογικό κλάδο, τους κατασκευαστές ιατροτεχνολογικών προϊόντων, και τα ερευνητικά ιδρύματα του τομέα της υγείας. Η ΕΟΚΕ ζητεί από την Επιτροπή να διευκρινίσει κατά πόσον αυτό συνιστά την πλήρη αντίληψή της για τον τομέα της υγείας, και επισημαίνει τους στόχους για την υγεία που προσδιορίζει ο ENISA. Η Επιτροπή πρέπει να λάβει υπόψη την έμμεση αλληλεπίδραση με το ευρύτερο οικοσύστημα, συμπεριλαμβανομένων των αγοραίων υπηρεσιών ευζωίας (π.χ. συσκευές παρακολούθησης της φυσικής κατάστασης, σύμβουλοι απώλειας βάρους κ.λπ.).
2.5Η Ευρωπαϊκή Επιτροπή δίνει ιδιαίτερη έμφαση στη συνεργασία με εταιρείες τεχνολογίας και ιδιωτικούς κερδοσκοπικούς οργανισμούς για την παροχή υπηρεσιών κυβερνοασφάλειας ώστε να διασφαλιστεί η προστασία των νοσοκομείων και του τομέα της υγειονομικής περίθαλψης. Αν και η συνεργασία με τον κερδοσκοπικό τομέα μπορεί να προσφέρει πολύτιμα οφέλη για την ενίσχυση της κυβερνοασφάλειας, πρέπει να επιδεικνύεται προσοχή. Τα ιδρύματα υγειονομικής περίθαλψης πρέπει να γνωρίζουν τις πιθανές συγκρούσεις συμφερόντων που ενδέχεται να προκύψουν όταν εμπορικές εταιρείες συμμετέχουν στη διαχείριση ευαίσθητων δεδομένων ασθενών. Ελλοχεύει ο κίνδυνος τα εμπορικά συμφέροντα των εν λόγω εταιρειών, όπως η μεγιστοποίηση του κέρδους, να υπερισχύσουν της προστασίας της ιδιωτικότητας των ασθενών και της ακεραιότητας των ιατρικών δεδομένων. Τονίζουμε ότι οι ευρωπαϊκές επιχειρήσεις πρέπει να συμμορφώνονται με την ευρωπαϊκή νομοθεσία για την προστασία της ιδιωτικής ζωής των ασθενών και της ακεραιότητας των ιατρικών δεδομένων (ΓΚΠΔ).
2.6Η ΕΟΚΕ επικροτεί την ενσωμάτωση δεοντολογικών προτύπων και ρητρών προστασίας της ιδιωτικότητας στο ευρωπαϊκό σχέδιο δράσης.
2.7Η ΕΟΚΕ ενθαρρύνει την Επιτροπή να ενισχύσει την αρμοδιότητα των ομάδων αντιμετώπισης περιστατικών ασφάλειας σε υπολογιστές (CSIRT) βελτιώνοντας τον συντονισμό, απλουστεύοντας την επικοινωνία και ενισχύοντας τη διασυνοριακή συνεργασία μεταξύ των ευρωπαϊκών νοσοκομείων για αποτελεσματικότερη ανταλλαγή πληροφοριών σχετικά με τις απειλές. Η ενίσχυση της ασφάλειας της πληροφορικής στον τομέα της υγειονομικής περίθαλψης με τη συγκέντρωση και την επαγγελματοποίηση της εμπειρογνωμοσύνης στον τομέα της κυβερνοασφάλειας θα ενισχύσει τη συνολική κυβερνοανθεκτικότητα και την ετοιμότητα του τομέα έναντι της εξελισσόμενης απειλής. Η ενίσχυση της ασφάλειας των λειτουργικών τεχνολογιών και η ισχυροποίηση των ιατρικών συστημάτων μέσω της ολοκληρωμένης μηχανικής ασφάλειας και προστασίας θα ανεβάσουν επίσης το επίπεδο των κυβερνοεπιθέσεων που είναι πιθανό να συμβούν.
2.8Μια εργαλειοθήκη για την κυβερνοασφάλεια θα μπορούσε να παράσχει ένα ολοκληρωμένο σύνολο πόρων, βέλτιστων πρακτικών και εργαλείων σχεδιασμένων για να βοηθούν τους μεγάλους και μικρούς φορείς υγειονομικής περίθαλψης να αυτοπροστατεύονται από ψηφιακές απειλές. Η εφαρμογή προσομοιώσεων και πραγματικών σεναρίων μπορεί να ενισχύσει την εκπαίδευση και να βοηθήσει το προσωπικό να κατανοήσει τις πρακτικές επιπτώσεις των παραβιάσεων της κυβερνοασφάλειας.
2.9Ο αριθμός των ατόμων που επιτρέπεται να έχουν πρόσβαση σε εξωτερικά δίκτυα στο διαδίκτυο και να μεταφέρουν εξωτερικά δεδομένα θα πρέπει να είναι περιορισμένος. Γνωρίζουμε ότι ο άνθρωπος μπορεί να είναι ο πιο εύθραυστος παράγοντας στην προστασία ενός συστήματος υπολογιστών. Ως εκ τούτου, θα πρέπει να τεθούν σε εφαρμογή ανθρωποκεντρικά συστήματα (ενδεχομένως υποστηριζόμενα από την τεχνητή νοημοσύνη) για τον εντοπισμό επιθέσεων και την παροχή κατάρτισης σχετικά με το πώς μπορούν να μετριαστούν οι εκ των έσω απειλές. Ιδανικά, ο σταθμός/οι σταθμοί εργασίας θα πρέπει να αποσυνδέονται από το νοσοκομειακό δίκτυο, ώστε η επίθεση να επηρεάζει μόνο τον ίδιο τον προσωπικό υπολογιστή και τα ελάχιστα αναπαραγόμενα δεδομένα. Μετά τον έλεγχο των δεδομένων για ιούς, ο υπολογιστής αποσυνδέεται από το εξωτερικό δίκτυο και συνδέεται με το νοσοκομειακό δίκτυο για τη μετάδοση των δεδομένων. Οι προσωπικοί υπολογιστές ενημερώνονται κάθε πρωί με τα ημερήσια δεδομένα των ασθενών.
2.10 Εάν οι εργαζόμενοι πρέπει να έχουν πρόσβαση στο μη ασφαλές διαδίκτυο, αυτό πρέπει να γίνεται μέσω προσωπικών υπολογιστών που δεν είναι συνδεδεμένοι με το νοσοκομειακό δίκτυο και χωρίς τη δυνατότητα δημιουργίας εφεδρικών αντιγράφων ή μεταφοράς δεδομένων.
2.11Θα πρέπει να προβλεφθούν πιθανές εσωτερικές απειλές σε ένα νοσοκομείο (αν και περιορίζονται στο 2 % των περιστατικών), με προσέγγιση βάσει κινδύνου όσον αφορά το καταλληλότερο επίπεδο επιτήρησης, είτε μέσω δικτύων υπολογιστών, φυσικής παρακολούθησης, όπως με κάμερες, είτε μέσω σημείων ελέγχου πρόσβασης, όπως με κάρτες ταυτοποίησης εργαζομένων. Ο κοινωνικός διάλογος εντός των νοσοκομείων και του τομέα της υγείας πρέπει να αποτρέπει την μετατροπή της επιτήρησης σε παρεμβατική παρακολούθηση.
2.12Κατά την άποψη της ΕΟΚΕ, είναι επιτακτική ανάγκη τα νοσοκομεία της ΕΕ να διαθέτουν σχέδια διαχείρισης περιστατικών και επιχειρησιακής συνέχειας, τα οποία να περιλαμβάνουν διαδικασίες αντιμετώπισης περιστατικών, εφεδρικές λύσεις επικοινωνίας και αποσυνδεδεμένα εφεδρικά συστήματα, ώστε να ανταποκρίνονται γρήγορα και αποτελεσματικά σε περίπτωση επίθεσης. Ζωτικής σημασίας μέρος των σχεδίων διαχείρισης περιστατικών και επιχειρησιακής συνέχειας είναι οι συχνές δοκιμές αντοχής, με προσομοίωση σεναρίων κυβερνοεπιθέσεων σε εικονικό περιβάλλον, όπου μπορεί να μετρηθεί ο βαθμός και το επίπεδο των επιπτώσεων μιας κυβερνοεπίθεσης και να επαληθευτούν οι ικανότητες αντίδρασης ενός ιδρύματος υγειονομικής περίθαλψης. Η προσαρμοσμένη συμμετοχή των εργαζομένων και ο εφοδιασμός τους με συγκεκριμένες δεξιότητες σε αυτόν τον τομέα έχουν εξαιρετικά μεγάλη σημασία.
2.13Η ΕΟΚΕ προτείνει την ανάπτυξη ενός ψηφιακού προσομοιωτή, με εύκολα εφαρμόσιμα και εύχρηστα σενάρια επίθεσης και αντίδρασης. Ο προσομοιωτής αυτός θα μπορούσε να χρησιμοποιηθεί ως εργαλείο επίδειξης για εκδηλώσεις ευαισθητοποίησης, ενημέρωσης και εκπαίδευσης.
2.14Διεξαγωγή ασκήσεων προσομοίωσης επιθέσεων σε συχνή βάση για την εξέταση του τρόπου εφαρμογής του σχεδίου αποκατάστασης των υπηρεσιών, και βελτίωση των διαδικασιών για το επόμενο οικονομικό έτος, είτε με την αύξηση του αριθμού των ατόμων που εκπαιδεύονται σε αυτά τα σχέδια αποκατάστασης είτε με τη θέσπιση απλούστερων και σαφέστερων οδηγιών, για παράδειγμα.
2.15Σε περίπτωση που μια επίθεση δεν έχει εντοπιστεί και έχει προκαλέσει σοβαρή ζημία στις υπηρεσίες λόγω της πολυπλοκότητάς της, είναι αναγκαίο να εφαρμόζεται υποβαθμισμένη λειτουργία με προσωρινή επιστροφή στη χειροκίνητη λειτουργία, ώστε να μην παρεμποδίζονται οι δραστηριότητες κατά την έναρξη της επίθεσης. Οι άνθρωποι πρέπει να είναι εκπαιδευμένοι ώστε να γνωρίζουν πώς να οργανώνουν την υπηρεσία σε έντυπη μορφή έως ότου αποκατασταθεί το τμήμα πληροφορικής. Θα γίνει εκ των υστέρων χειροκίνητη καταχώριση των ενεργειών που έχουν πραγματοποιηθεί.
2.16Κάθε εξοπλισμός με μικροεπεξεργαστή (και/ή τεκμηρίωση προσαρτημένη στον εξοπλισμό) που είναι εγκατεστημένος σε νοσοκομείο πρέπει να ελέγχεται εκ των προτέρων από τον υπεύθυνο για τους κινδύνους κυβερνοασφάλειας εντός της μονάδας, ώστε να επαληθεύεται ότι δεν υπάρχει εκ των προτέρων εμφυτευμένος ιός. Αντιλαμβανόμαστε ότι δεν θα είναι όλα τα νοσοκομεία σε θέση να διαθέτουν πλήρες εσωτερικό τμήμα κυβερνοασφάλειας. Προτείνουμε ο υπεύθυνος για τη διαχείριση των κινδύνων [που έχει παρόμοια καθήκοντα με τον υπεύθυνο επεξεργασίας δεδομένων του γενικού κανονισμού προστασίας δεδομένων (ΓΚΠΔ)] να έχει την τελική ευθύνη έγκρισης, με την υποστήριξη των προμηθευτών τεχνολογικών προϊόντων και υπηρεσιών, του οικείου τμήματος πληροφορικής και/ή των μελών της παρούσας πρωτοβουλίας.
2.17Η ΕΟΚΕ ζητεί να δοθεί προσοχή στις μικρές ιατρικές μονάδες με περιορισμένο τμήμα πληροφορικής, και ζητεί να διευκρινιστεί εν προκειμένω ο ρόλος του ENISA όσον αφορά την παροχή λογισμικού ή ασφαλών διακομιστών· ενθαρρύνει τα πρωτοπόρα νοσοκομεία να προβαίνουν σε ανταλλαγές και να συμβάλλουν στην εκπαίδευση για την κυβερνοασφάλεια των μικρότερων φορέων.
2.18Το ευρωπαϊκό σχέδιο δράσης θα μπορούσε να ενσωματώσει τη χρήση ηθικών χάκερ και μη κερδοσκοπικών οργανώσεων ως συνήθη πρακτική, διευκολύνοντας επίσημες συνεργασίες ή προγράμματα που επιτρέπουν στα ιδρύματα υγειονομικής περίθαλψης να αξιοποιούν αυτήν την εξωτερική εμπειρογνωμοσύνη χωρίς σημαντική οικονομική επιβάρυνση. Αυτό όχι μόνο θα ενίσχυε τη συνολική κυβερνοασφάλεια, αλλά θα συνέβαλλε επίσης σε μια ευρύτερη νοοτροπία συνεργασίας και ανταλλαγής γνώσεων εντός του τομέα.
2.19Η ΕΟΚΕ προτείνει, σύμφωνα με τα προβλεπόμενα στις εθνικές νομοθεσίες, να χρησιμοποιηθούν οι συλλογικές διαπραγματεύσεις και οι συλλογικές συμβάσεις για να εξασφαλιστεί μια συνεκτική θεσμική αντίδραση στις κυβερνοεπιθέσεις, η προστασία του απορρήτου και η ορθή διαχείριση των δεδομένων, παράλληλα με την εδραίωση του κοινωνικού διαλόγου και τη συμμετοχή των κοινωνικών εταίρων στην παρακολούθηση και τον έλεγχο των διαδικασιών σχετικά με τις κυβερνοεπιθέσεις και την προστασία των δεδομένων για τους εργαζομένους και τους ασθενείς. Τονίζουμε την ανάγκη να συζητηθεί ο κίνδυνος ψυχολογικού άγχους που προκαλείται από την κυβερνοασφάλεια στο πλαίσιο κοινωνικού διαλόγου.
2.20Η «θεωρία του δόρατος και της ασπίδας» σημαίνει ότι οι επιτιθέμενοι κινούνται ταχύτερα από τους υπερασπιστές, και αντιστοίχως η καινοτομία του εγκλήματος ολοένα επιταχύνεται. Στα κέντρα βοήθειας, εκτός από τη συλλογή πληροφοριών σχετικά με απειλές, θα πρέπει επίσης να διεξάγονται δραστηριότητες διερεύνησης των προοπτικών και θωράκισης έναντι μελλοντικών απειλών. Για παράδειγμα, οι παράγοντες απειλής που περιλαμβάνουν λυτρισμικό μπορεί να μην εκτελούν μόνο τις συνήθεις παραβιάσεις δεδομένων, αλλά ακόμη και στις περιπτώσεις όπου έχει αποκατασταθεί η πρόσβαση, ενδέχεται να έχουν θέσει σε κίνδυνο την ακεραιότητα των δεδομένων επιλεκτικά (ιδίως εάν ο στόχος είναι στρατηγικός).
2.21Η κυβερνοασφάλεια αφορά πλέον πολλούς άλλους κόσμους, πέρα από το λογισμικό και τη συνδεσιμότητα. Περιλαμβάνει επίσης στοιχεία φυσικών συστημάτων, καθώς και την τεχνητή νοημοσύνη. Θα πρέπει να δοθεί προτεραιότητα στην ενσωμάτωση των διαδικασιών διασφάλισης και των υποχρεωτικών απαιτήσεων, όπως του κανονισμού για τα ιατροτεχνολογικά προϊόντα ή της πράξης της ΕΕ για την τεχνητή νοημοσύνη.
2.22Συνιστούμε τη μέγιστη δυνατή τοποθέτηση ευαίσθητων δεδομένων, κατά προτίμηση σε ευρωπαϊκής κυριαρχίας δημόσια ιατρικά νέφη, με διπλή ή τριπλή επαλήθευση για την πρόσβαση στα δεδομένα από εξουσιοδοτημένα άτομα. Τούτο θα συμβάλει επίσης ουσιαστικά στην ταχεία αποκατάσταση της υπηρεσίας μετά από διείσδυση σε συστήματα υπολογιστών.
Βρυξέλλες, 5 Ιουνίου 2025.
Ο πρόεδρος της Συμβουλευτικής Επιτροπής Βιομηχανικών Μεταλλαγών
Pietro Francesco De Lotto
_____________
