Jak zabezpieczyć komunikację elektroniczną w placówkach medycznych?

Jak zabezpieczyć komunikację elektroniczną w placówkach medycznych?

Konto poczty elektronicznej stanowi kluczowy zasób dla placówki medycznej, niezależnie od tego, czy to indywidualne konto lekarza, czy jedno z wielu konto e-miał używanych w przychodni. Znajdują się na nim informacje, których bezpieczeństwo wymaga szczególnej uwagi. W przypadku naruszenia zabezpieczeń, dane pacjentów, pracowników czy kontrahentów mogą wpaść w niepowołane ręce – co niesie ze sobą poważne konsekwencje. Dobra wiadomość jest taka, że odpowiednie zabezpieczenia poczty elektronicznej umożliwiają skuteczną obronę przed większością ataków.

Poniżej przedstawiamy 5 kluczowych aspektów, które warto uwzględnić w celu zapewnienia skutecznej ochrony komunikacji elektronicznej w placówce medycznej. Są to rozszerzenia mechanizmów kontrolnych poczty e-mail, zgodne z zapisami kodeksu RODO dla małych placówek medycznych.

1. Sprawdź dostępy do poczty elektronicznej

Ważne jest, aby dostęp do poczty elektronicznej był przydzielany zgodnie z rolą i obowiązkami pracownika. Uprawnienia lekarza różnią się od dostępu pracownika administracyjnego czy księgowego. Regularna weryfikacja i dezaktywacja dostępów osób, które już nie współpracują z placówką, jest kluczowa. Należy to robić przynajmniej raz w roku.

2. Zabezpiecz przed podszywaniem się

Wdrożenie zabezpieczeń, takich jak SPF, DKIM i DMARC jest niezbędne, aby zapobiec atakom typu spoofing (w skrócie są to ataki, w których ktoś podszywa się pod adres naszej poczty elektronicznej).

Spoofing może prowadzić do poważnych naruszeń ochrony danych osobowych, tajemnic przedsiębiorstwa i wizerunku placówki medycznej. Sprawdź, czy dostawca poczty elektronicznej stosuje zabezpieczenia SPF, DKIM i DMARC lub skorzystaj z narzędzia CERT Polska do samodzielnej weryfikacji. Jest ono dostępne pod adresem https://bezpiecznapoczta.cert.pl.

3. Wzmocnij zabezpieczenia hasła

W przypadku poczty elektronicznej, ochrona hasła jest kluczowa. Dlaczego? Jeśli korzystamy z jakiejkolwiek innej usługi i zapomnimy naszego hasła, możemy odzyskać do niego dostęp. Instrukcje z tym związane są wówczas wysyłane na nasze konto poczty elektronicznej. Z takiej usługi korzystamy oczywiście my jako użytkownicy tej usługi – ale to samo może zrobić osoba mająca złe zamiary.

Hasło poczty e-mail powinno być długie (minimum 12 znaków), skomplikowane (aby osoba atakująca nie mogła go odgadnąć czy odkryć jego treści), niedostępne dla osób postronnych (żadnych żółtych karteczek!) i unikalne (żadna inna aplikacja, program czy system nie powinna mieć takiego samego hasła jak nasza poczta). Warto pamiętać, że konto pocztowe jest szczególnie wrażliwe, dlatego zasady bezpieczeństwa haseł mają tu szczególne znaczenie.

4. Skorzystaj z dwuskładnikowego uwierzytelniania (2FA)

Dwuskładnikowe uwierzytelnianie znacząco podnosi poziom bezpieczeństwa. 2FA polega na tym, że wejście do systemu wymaga użycia dwóch składników. Login i hasło są traktowane łącznie jako jeden składnik. Drugim składnikiem może być np. kod wysyłany SMS-em, który należy wpisać na stronie logowania oprócz loginu i hasła.

Nawet jeśli atakujący uzyska login i hasło, dostęp do konta wymagać będzie dodatkowego składnika, którego nie posiada. Warto sprawdzić, czy dostawca poczty elektronicznej oferuje opcję 2FA i skorzystać z niej.

5. Umowa powierzenia przetwarzania danych osobowych

Ostatni wymóg jest bardziej prawniczy niż informatyczny – ale równie istotny.

Dostawca poczty elektronicznej oferuje nam miejsce na wykorzystanie e-maili, dokumentów, skanów, zdjęć itd., zawierających dane osobowe. Usługa tego rodzaju uzasadnia zatem zawarcie umowy powierzenia przetwarzania danych osobowych w rozumieniu RODO. Jeśli takie porozumienie nie będzie zawarte, będzie to oznaczać problemy zarówno dla placówki medycznej, jak i dostawcy poczty e-mail w razie ewentualnej kontroli Prezesa UODO. Warto przeczytać rozdział 7.5 kodeksu RODO dla małych placówek medycznych w celu zrozumienia wymogów dotyczących takiej umowy. W sprawę należy też oczywiście włączyć inspektora ochrony danych.

W trosce o ochronę danych osobowych, warto także rozważyć przystąpienie do Kodeksu RODO dla placówek medycznych, który pozwala uzyskać dodatkowe informacje i wsparcie w zakresie zabezpieczeń zgodnych z obowiązującymi przepisami. Ochrona danych to kluczowy element odpowiedzialnej praktyki medycznej, który powinien być priorytetem dla wszystkich placówek medycznych.

Autor: Adam Klimowski