Nowe Standardy Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO), przyjęte 24 kwietnia 2025 roku, to odpowiedź na rosnące potrzeby związane z bezpieczeństwem danych w środowisku chmurowym, szczególnie w sektorze publicznym. W kontekście cyfryzacji szpitalnictwa i realizacji Krajowego Planu Odbudowy (KPO), SCCO odgrywają kluczową rolę w zapewnieniu ochrony danych medycznych, poprawie interoperacyjności systemów oraz przeciwdziałaniu zjawisku zależności od jednego dostawcy (vendor lock-in) w systemach informatycznych szpitali (Hospital Information Systems, HIS). Celem niniejszego dokumentu jest szczegółowe omówienie wpływu SCCO na sektor zdrowia, z uwzględnieniem zarówno wyzwań, jak i możliwości, jakie stwarza przetwarzanie danych medycznych w chmurze.

 

Czym są Standardy Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO)?

Standardy Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO) to zbiór wytycznych i norm opracowanych przez polski rząd we współpracy z ekspertami z sektora publicznego i prywatnego. Ich celem jest zapewnienie bezpieczeństwa usług chmurowych wykorzystywanych przez administrację publiczną, w tym szpitale i inne instytucje ochrony zdrowia. SCCO opierają się na międzynarodowych standardach, takich jak normy NIST (National Institute of Standards and Technology), dostosowanych do lokalnych potrzeb i regulacji, w tym RODO.

Wprowadzenie SCCO wynika z kilku kluczowych czynników:
• Rosnące zagrożenia cybernetyczne: Wzrost liczby ataków na sektor zdrowia, takich jak ransomware czy kradzież danych pacjentów.
• Potrzeba standaryzacji: Ujednolicenie wymagań dla dostawców chmury w celu ułatwienia wyboru i wdrażania usług.
• Uniknięcie vendor lock-in: Zapewnienie elastyczności i niezależności w korzystaniu z technologii chmurowych.

Dla szpitali SCCO oznaczają konieczność dostosowania się do nowych wymogów, ale także szansę na podniesienie poziomu bezpieczeństwa i efektywności operacyjnej.

 

Wpływ SCCO na przetwarzanie danych medycznych w chmurze

Przetwarzanie danych medycznych w chmurze oferuje szpitalom wiele korzyści, takich jak dostęp do nowoczesnych technologii, redukcja kosztów infrastruktury lokalnej oraz możliwość szybkiego skalowania zasobów. Jednak specyfika danych medycznych – jako danych wrażliwych chronionych przez RODO – wymaga szczególnych środków bezpieczeństwa, co czyni SCCO kluczowym narzędziem w tym procesie.

 

Wzmocnienie cyberbezpieczeństwa

SCCO wprowadzają zaawansowane wymagania dotyczące zabezpieczeń, które mają bezpośredni wpływ na ochronę danych medycznych:
• Szyfrowanie danych: Zarówno w spoczynku, jak i w tranzycie, zgodnie z najnowszymi standardami kryptograficznymi.
• Uwierzytelnianie wieloskładnikowe (MFA): Minimalizacja ryzyka nieautoryzowanego dostępu do systemów.
• Ochrona przed atakami DDoS: Mechanizmy zapobiegające przerwom w dostępie do kluczowych danych medycznych.

Przykładem znaczenia tych zabezpieczeń jest wzrost liczby ataków ransomware na sektor zdrowia. W 2023 r. w Polsce 20% wszystkich incydentów tego typu dotyczyło placówek medycznych, a średni koszt jednego ataku szacowany jest na 1,5 mln PLN (z uwzględnieniem kar za naruszenie RODO i strat operacyjnych). SCCO pozwalają szpitalom lepiej przygotować się na takie zagrożenia, co jest szczególnie istotne w kontekście przechowywania Elektronicznej Dokumentacji Medycznej (EDM) w chmurze.

 

Koalicja na rzecz cyberbezpieczeństwa w ochronie zdrowia. Zgodnie z wizją Polska Federacja Szpitali : zrównoważony system ochrony zdrowia ponad podziałami@NaczelnaLhttps://t.co/Fp4rdufmnk

— Jaroslaw J. Fedorowski (@JJFedorowski) May 29, 2024

 

Standaryzacja usług chmurowych

SCCO definiują jednolite wymagania dla dostawców usług chmurowych, co ułatwia szpitalom wybór partnerów technologicznych. Na przykład, dostawca chmury musi:
• Udowodnić zgodność z normami NIST i SCCO poprzez niezależne audyty.
• Zapewnić mechanizmy monitorowania i raportowania incydentów bezpieczeństwa.
• Umożliwić eksport danych w otwartych formatach, takich jak HL7 lub FHIR, co wspiera interoperacyjność systemów medycznych.

Dzięki temu szpitale mogą szybciej wdrażać rozwiązania chmurowe, takie jak systemy EDM czy telemedycyna, bez obawy o niezgodność z regulacjami.

 

Przeciwdziałanie vendor lock-in

Vendor lock-in, czyli uzależnienie od jednego dostawcy, to problem szczególnie dotkliwy w sektorze zdrowia, gdzie systemy HIS często są projektowane w sposób monolityczny. SCCO przeciwdziałają temu poprzez:
• Promowanie otwartych standardów: Wymóg przechowywania danych w formatach umożliwiających migrację między dostawcami.
• Elastyczne kontrakty: Klauzule umożliwiające szpitalom zmianę dostawcy bez utraty danych czy konieczności ponoszenia wysokich kosztów.

Przykładem może być szpital, który dzięki SCCO może przejść z jednego dostawcy HIS na innego, zachowując ciągłość operacyjną i unikając kosztów związanych z przebudową systemu od podstaw.

 

Konsekwencje dla zamówień w ramach Krajowego Planu Odbudowy

Krajowy Plan Odbudowy (KPO) przewiduje inwestycje w wysokości ponad 10 mld PLN w cyfryzację sektora zdrowia do 2030 r., w tym rozwój infrastruktury chmurowej i systemów informatycznych. SCCO mają bezpośredni wpływ na proces zamówień publicznych w ramach KPO, wprowadzając nowe wymagania i zmieniając dynamikę współpracy z dostawcami.

 

Wybór zgodnych dostawców

Szpitale realizujące projekty w ramach KPO muszą wybierać dostawców chmury spełniających SCCO. Oznacza to:
• Ograniczenie puli dostawców: Na rynku polskim może to wykluczyć niektórych mniejszych graczy, którzy nie są w stanie sprostać rygorystycznym wymogom.
• Wyższy poziom bezpieczeństwa: Dostawcy zgodni z SCCO oferują zaawansowane zabezpieczenia, co zwiększa zaufanie do ich usług.

Na przykład, szpital planujący wdrożenie systemu EDM w chmurze będzie musiał wybrać dostawcę, który przeszedł audyt zgodności z SCCO, co może podnieść początkowe koszty, ale zapewni długoterminowe korzyści w postaci lepszej ochrony danych.

 

Elastyczność kontraktów

SCCO wymagają od dostawców chmury oferowania umów, które ułatwiają migrację danych i integrację z innymi systemami. W praktyce oznacza to, że szpitale zyskują:
• Większą konkurencyjność: Możliwość negocjacji lepszych warunków cenowych z dostawcami.
• Łatwiejszą integrację: Na przykład połączenie systemu HIS z platformami telemedycznymi lub regionalnymi bazami danych.

 

Wdrożenie SCCO: Wyzwania operacyjne i szkolenia

Wdrożenie SCCO wymaga od szpitali nie tylko wyboru odpowiednich dostawców, ale także przygotowania personelu. Kluczowe wyzwania to:
• Szkolenia z cyberbezpieczeństwa: Pracownicy muszą rozumieć, jak zarządzać danymi w chmurze i reagować na incydenty.
• Koszty początkowe: Mniejsze szpitale mogą mieć trudności z finansowaniem szkoleń i audytów.

Przykładem może być regionalny szpital w województwie lubelskim, który w 2024 roku przeznaczył 200 tys. PLN na szkolenie personelu IT w zakresie SCCO, co pozwoliło mu spełnić wymagania KPO i uzyskać dofinansowanie na infrastrukturę chmurową.

 

Vendor lock-in w systemach HIS

Vendor lock-in w systemach HIS to sytuacja, w której szpital, raz wybierając dostawcę, staje się od niego zależny ze względu na wysokie koszty zmiany, brak kompatybilności danych lub złożoność migracji. W sektorze zdrowia problem ten jest szczególnie dotkliwy, ponieważ systemy HIS są sercem codziennych operacji – od zarządzania pacjentami po rozliczenia z NFZ.

Dlaczego vendor lock-in jest problemem?
• Wysokie koszty zmiany: Migracja systemu HIS może kosztować miliony złotych i wymagać miesięcy pracy.
• Brak elastyczności: Szpitale nie mogą szybko dostosować się do nowych technologii czy regulacji.
• Ryzyko monopolizacji: Dostawcy mogą windować ceny, wiedząc, że szpital nie ma alternatywy.

 

Jak SCCO pomagają uniknąć vendor lock-in?

SCCO wprowadzają rozwiązania, które zwiększają niezależność szpitali:
• Standardy interoperacyjności: Dane medyczne muszą być przechowywane w formatach umożliwiających ich przeniesienie, np. FHIR.
• Wymogi kontraktowe: Dostawcy są zobowiązani do zapewnienia łatwego eksportu danych, co obniża bariery zmiany usługodawcy.

Przykładem jest Szpital Uniwersytecki w Krakowie, który w 2024 r. przeszedł na chmurę zgodną z SCCO. Dzięki otwartym standardom szpital zaoszczędził 15% kosztów IT w pierwszym roku, unikając zależności od jednego dostawcy i integrując system HIS z regionalną platformą telemedyczną.

 

Rekomendacje dla szpitali

Aby skutecznie dostosować się do SCCO i wykorzystać potencjał chmury obliczeniowej, szpitale powinny podjąć następujące kroki:
• Ocena dostawców: Przeanalizować zgodność potencjalnych dostawców chmury z SCCO, zwracając uwagę na audyty bezpieczeństwa i elastyczność umów.
• Szkolenia personelu: Zainwestować w edukację pracowników w zakresie zarządzania chmurą, cyberbezpieczeństwa i nowych regulacji – np. kursy certyfikowane przez NASK lub inne instytucje.
• Strategia migracji: Opracować szczegółowy plan przeniesienia danych do chmury, uwzględniając priorytety operacyjne i wymagania SCCO.
• Regularne audyty: Wdrożyć procesy monitorowania i audytu usług chmurowych, aby zapewnić ciągłą zgodność z normami.
• Współpraca z ekspertami: Skorzystać z wsparcia firm specjalizujących się w cyberbezpieczeństwie i wdrożeniach chmurowych, aby zminimalizować ryzyko błędów.

 

Wnioski

Nowe Standardy Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO) to przełom w zapewnieniu bezpieczeństwa i elastyczności przetwarzania danych medycznych w chmurze. Dla szpitali realizujących projekty w ramach Krajowego Planu Odbudowy oznaczają one konieczność dostosowania się do wyższych standardów, ale także szansę na poprawę efektywności, uniknięcie vendor lock-in i zwiększenie zaufania pacjentów do cyfrowych usług medycznych. Kluczem do sukcesu jest strategiczne podejście do wdrożenia chmury, obejmujące wybór zgodnych dostawców, szkolenie personelu i regularne monitorowanie usług.

 

Autor: Michał P. Dybowski, Dyrektor Departamentu Bezpieczeństwa PFSz