Κυβερνοασφάλεια σε Υγεία και Φαρμακοβιομηχανία: από την προστασία δεδομένων στην ψηφιακή ανθεκτικότητα

Δρ. Εμμανουήλ Σερρέλης
Managing Director 4actis / Lead Auditor ISO 27001 & ISO 42001, AXIA CERT

Το παρακάτω άρθρο δημοσιεύθηκε στο περιοδικό IT SECURITY PRO, τεύχος 93, και υπογράφεται από τον επιστημονικό συνεργάτη της AXIA CERT, Εμμανουήλ Σερρέλη.

Οι τομείς της Υγείας και της Φαρμακοβιομηχανίας βρίσκονται σήμερα σε μια παράδοξη θέση: διαθέτουν από τα πιο ευαίσθητα δεδομένα (υγείας, γενετικά, κλινικών μελετών κ.α.), λειτουργούν υποδομές που επηρεάζουν άμεσα ανθρώπινες ζωές, αλλά ταυτόχρονα πιέζονται να ψηφιοποιηθούν και να «τρέξουν» γρήγορα την καινοτομία, αξιοποιώντας την πρόοδο της τεχνητής νοημοσύνης. Σε αυτή την απαιτητική ισορροπία, η υιοθέτηση κατάλληλων πρακτικών και μηχανισμών κυβερνοασφάλειας δεν είναι απλώς θέμα κανονιστικής συμμόρφωσης· είναι προϋπόθεση επιχειρησιακής συνέχειας, εμπιστοσύνης, αλλά και ρυθμιστικής επιβίωσης.

Σύγχρονες προκλήσεις: γιατί οι απειλές είναι πλέον «ασύμμετρες»

Σήμερα οι απειλές είναι ολοένα και πιο ασύμμετρες, γιατί μπορούν να «παραχθούν» εύκολα και με χαμηλό κόστος. Οι επιτιθέμενοι δεν χρειάζονται πλέον μεγάλους προϋπολογισμούς ή βαθιά εξειδίκευση: ευρέως διαθέσιμα μοντέλα AI, έτοιμες πλατφόρμες crime-as-a-service και αυτοματοποιημένα εργαλεία κάνουν τις υποκλοπές δεδομένων, το phishing, την κοινωνική μηχανική και την παράδοση κακόβουλου κώδικα ταχύτερες και φθηνότερες. Αυτό μεταφράζεται σε περισσότερες επιθέσεις, μεγαλύτερη ταχύτητα εξάπλωσης (από την αναγνώριση του πεδίου δράσης στην αρχική πρόσβαση και την εμβάθυνση της πρόσβασης σε περισσότερα συστήματα), αλλά και σε πιο πειστικά σενάρια εξαπάτησης (π.χ. πλαστοπροσωπία φωνής μέσω deepfakes, πλαστά έγγραφα προμηθευτών, ψευδή αποτελέσματα εργαστηρίων).

Παράλληλα, και οι δύο κλάδοι έχουν εγγενείς αδυναμίες: ετερογενή περιβάλλοντα διαφορετικών αρχιτεκτονικών και τεχνολογιών (π.χ. IT, OT, IoMT, legacy συστήματα), πολλούς τρίτους φορείς (π.χ. CROs, προμηθευτές, logistics, cloud) και, συχνά, «μηδενική ανοχή» σε downtime. Η εικόνα αποτυπώνεται και σε αναφορές Ευρωπαϊκών Φορέων (π.χ. ENISA), όπου τα ransomware και οι παραβιάσεις δεδομένων εμφανίζονται για σειρά ετών ως οι συχνότερες κατηγορίες περιστατικών.

Κύριες απειλές για Υγεία & Pharma

Στο περιβάλλον αυτό, οι βασικές απειλές για οργανισμούς και των δύο κλάδων περιλαμβάνουν:

Ransomware με διπλό ή/και τριπλό εκβιασμό: τα δεδομένα δεν είναι απλώς μη διαθέσιμα στους νόμιμους χρήστες, αλλά συνοδεύονται από απειλές διαρροής και πίεση μέσω τρίτων ή ασθενών. Σε νοσοκομειακά περιβάλλοντα, ο λειτουργικός αντίκτυπος μπορεί να μετατραπεί ακόμα και σε κλινικό ρίσκο, όπως καθυστερήσεις εξετάσεων ή χειρουργείων.
Κλοπή πνευματικής ιδιοκτησίας και κατασκοπεία: δεδομένα Έρευνας & Ανάπτυξης (R&D), φόρμουλες, δεδομένα κλινικών μελετών, φάκελοι υποβολών προς ρυθμιστικές αρχές.
Επιθέσεις στην εφοδιαστική αλυσίδα: κατάχρηση προσβάσεων προμηθευτών, κακόβουλες ενημερώσεις λογισμικού, ευάλωτες βιβλιοθήκες, υπηρεσίες τρίτων.
Επιθέσεις σε IoMT ή λογισμικό ιατρικών συσκευών: συσκευές με ανεπαρκείς ενημερώσεις ασφάλειας, ασαφή ιδιοκτησία ευθύνης και μεγάλη επιφάνεια επίθεσης.
Επιθέσεις σε πλατφόρμες δεδομένων: αποθήκες δεδομένων υγείας και μηχανισμούς διαμοιρασμού δεδομένων.

Οι «ακούσιες» απειλές αυξάνονται λόγω AI από μη τεχνικούς

Μια κρίσιμη μετατόπιση είναι ότι οι κίνδυνοι δεν προέρχονται μόνο από εξωτερικούς αντιπάλους. Οι ακούσιες απειλές αυξάνονται, επειδή η τεχνητή νοημοσύνη χρησιμοποιείται από μη τεχνικούς σε σχεδόν κάθε λειτουργία (marketing, HR, νομικό, ιατρική τεκμηρίωση, φαρμακοεπαγρύπνηση, προμήθειες). Αυτό συμβαίνει πλέον συχνά χωρίς κριτική σκέψη ή προστατευτικούς κανόνες και έτσι εμφανίζεται η «σκιώδης χρήση AI» (shadow AI) και τα νέα μοτίβα διαρροών: από την αντιγραφή ευαίσθητων δεδομένων σε εργαλεία, την ελλιπή ανωνυμοποίηση προσωπικών δεδομένων, στην έκθεση συνομιλιών με βοηθούς AI ή την «παραγωγή» πειστικών αλλά λανθασμένων κειμένων που καταλήγουν σε κρίσιμα ή ρυθμιστικά αρχεία. Το αποτέλεσμα είναι ένα μείγμα κυβερνοκινδύνων, κινδύνων ιδιωτικότητας και κινδύνων αξιοπιστίας, που δεν καλύπτονται επαρκώς από τις παραδοσιακές μεθόδους ελέγχου.

Κανονιστικές απαιτήσεις: το πλαίσιο γίνεται ολοένα πιο πιεστικό

Ταυτόχρονα, το κανονιστικό περιβάλλον γίνεται πιο σύνθετο και πιεστικό, τόσο με κλαδικές ρυθμίσεις όσο και με οριζόντιους κανόνες, όπως:

EU Health Data Space (EHDS): Το Regulation (EU) 2025/327 εισάγει πλαίσιο για πρόσβαση, ανταλλαγή και δευτερογενή χρήση δεδομένων υγείας, αυξάνοντας τη σημασία διακυβέρνησης, ασφάλειας και ελέγχων πρόσβασης κατά τον διαμοιρασμό.
European Biotech Act: Η πρόταση στοχεύει στην ενίσχυση της βιοτεχνολογίας και της βιοπαραγωγής, άρα ανεβάζει τον πήχη σε συμμόρφωση, εφοδιαστική αλυσίδα και προστασία πνευματικής ιδιοκτησίας.
EU AI Act: Ο πλέον κρίσιμος κανονισμός για εφαρμογές AI με κλινική χρήση, με υποχρεώσεις προστασίας που κλιμακώνονται ανάλογα με τον κίνδυνο.
NIS2: Η Ευρωπαϊκή Οδηγία ενισχύει τις απαιτήσεις διαχείρισης κινδύνων, αναφοράς περιστατικών και ευθύνης διοίκησης για κρίσιμους τομείς, συμπεριλαμβανομένων σχετικών δραστηριοτήτων υγείας.
Cyber Resilience Act (CRA): Ο Κανονισμός απαιτεί cybersecurity-by-design για προϊόντα με ψηφιακά στοιχεία, όπως διασυνδεδεμένες συσκευές και λογισμικό που διατίθεται στην αγορά.
EU Data Act: Ο Κανονισμός αλλάζει τους κανόνες πρόσβασης και χρήσης δεδομένων από συνδεδεμένα προϊόντα και επηρεάζει πλατφόρμες δεδομένων και διαλειτουργικότητα.

Το βασικό μήνυμα είναι ότι οι οργανισμοί δεν μπορούν να βλέπουν την κυβερνοασφάλεια, την AI και τη διαχείριση δεδομένων ως ξεχωριστά «κουτάκια»· πλέον αποτελούν ένα ενιαίο σύστημα συμμόρφωσης και ανθεκτικότητας.

Τεχνολογικές λύσεις που χτίζουν ψηφιακή ανθεκτικότητα

Στην Υγεία και τη Φαρμακοβιομηχανία, οι λύσεις που αυξάνουν ουσιαστικά την ανθεκτικότητα είναι αυτές που συνδυάζουν: (α) μείωση της επιφάνειας επίθεσης, (β) επιχειρησιακή ανθεκτικότητα και (γ) διακυβέρνηση AI και δεδομένων. Πέρα από τεχνολογίες που έχουν ωριμάσει την τελευταία δεκαετία, όπως Zero Trust, supply chain security, EDR/XDR και resilience engineering, πλέον αναδεικνύεται και η ασφάλεια και η υπεύθυνη υλοποίηση των οικοσυστημάτων AI. Αυτό πραγματοποιείται με σειρά μηχανισμών, όπως οι έλεγχοι διαρροής δεδομένων, το ασφαλές MLOps, η παρακολούθηση μοντέλων AI, το red teaming σε LLM-based assistants και οι πολιτικές approved AI use.

Δομημένες πρακτικές και πρότυπα: ο γρήγορος δρόμος για μείωση κινδύνων

Σε αυτό το σημείο, πολλές εταιρείες «κερδίζουν χρόνο και αξία», με τη χρήση δομημένων πρακτικών όπως το NIST AI RMF και η υιοθέτηση διεθνών προτύπων όπως το ISO/IEC 42001, και τελικά μειώνουν δραστικά τους σχετικούς κινδύνους. Αυτό συνεπάγεται ότι πλέον υιοθετούν μια κοινή γλώσσα για τη διαχείριση κινδύνων, τυποποιημένους ελέγχους, σαφείς ρόλους και ευθύνες, μετρήσεις απόδοσης και αξιοπιστίας, καθώς και μηχανισμούς συνεχούς παρακολούθησης και βελτίωσης των λύσεων και των διαδικασιών AI.Μια συνοπτική κωδικοποίηση των αρχών ψηφιακής ανθεκτικότητας για τους δύο κλάδους αποτυπώνεται στις παρακάτω πρακτικές, με διαφοροποίηση ανάμεσα σε start-ups και ώριμους οργανισμούς.

Top 5 συμβουλές για start-ups σε Health/Pharma

Σχεδιασμός της ασφάλειας και της διαχείρισης των μηχανισμών AI ως product feature από την πρώτη μέρα: με πολιτικές για τα δεδομένα και τα μοντέλα, αλλά και αρχεία καταγραφής (logs) και προσβάσεις ανάλογα με τους ρόλους (RBAC model).
Οικοδόμηση ενός Asset Inventory και ενός Software Bill of Materials (SBOM) νωρίς.
Τοποθέτηση μηχανισμών προστασίας guardrails στη χρήση AI από όλους: με εγκεκριμένα εργαλεία, κανόνες για την προστασία δεδομένων (DLP), εκπαίδευση στην ασφαλή χρήση των AI prompts.
Επιλογή του cloud και του technology stack με κατάλληλους μηχανισμούς προστασίας: όπως MFA, διαχείριση πιστοποιητικών, audit trails και εκτέλεση hardening στους μηχανισμούς AI.
Υιοθέτηση των ISO 42001 και NIST AI RMF: ως ένα ευέλικτο αλλά πραγματικό σύστημα διαχείρισης κινδύνου, με υπευθύνους και τεκμήρια καλής λειτουργίας.

Top 5 συμβουλές για μεγάλες εταιρείες με μακρά ιστορία

Μείωση του κινδύνου ιστορικότητας (legacy risk): με στοχευμένη τμηματοποίηση των λειτουργιών και των τμημάτων, όπως κλινικά και εργαστηριακά δίκτυα, OT ecosystem και πλατφόρμες δεδομένων.
Ενοποίηση Κυβερνοασφάλειας, Ιδιωτικότητας και Κινδύνων για την ΤΝ: σε ένα μοντέλο διακυβέρνησης με μία επιτροπή, ενιαία metrics και κοινά KRIs.
Αναβάθμιση των διαδικασιών διαχείρισης τρίτων φορέων: όπως CROs, προμηθευτές και MSPs, με τυποποιημένες συμβάσεις, τεχνικούς ελέγχους και συνεχή αξιολόγηση.
Προετοιμασία διαδικασιών αντιμετώπισης περιστατικών ransomware ως τυποποιημένη επιχειρησιακή ικανότητα: με ασκήσεις επί χάρτου, δοκιμές επαναφοράς δεδομένων, golden images και μηχανισμούς περιορισμού περιστατικών ασφάλειας.
Εφαρμογή ISO/IEC 42001 και AI RMF σε όλο το οικοσύστημα AI: ειδικά όπου υπάρχει κλινική επίδραση ή ρυθμιστικός κίνδυνος.

Αντί επιλόγου: Τάση 5ετίας και η μία κίνηση που «μετράει» περισσότερο

Για τα επόμενα πέντε έτη διαφαίνεται η σύγκλιση του διαμοιρασμού δεδομένων, όπως μέσω του EHDS, της εκτεταμένης αυτοματοποίησης με AI και της αυξανόμενης κανονιστικής επιβολής, ενώ ταυτόχρονα οι επιθέσεις θα γίνονται πιο αυτοματοποιημένες και χαμηλότερου κόστους.

Η πιο βασική ενέργεια για εταιρείες που θέλουν να αξιοποιήσουν τις ευκαιρίες και να αυξήσουν την ψηφιακή τους ανθεκτικότητα είναι να χτίσουν ένα ενιαίο σύστημα Continuous Assurance. Τέτοια συστήματα ενοποιούν τη διαχείριση της κυβερνοασφάλειας, της ιδιωτικότητας και των κινδύνων AI, με μετρήσιμους ελέγχους, συνεχή παρακολούθηση και τεκμήρια συμμόρφωσης, ευθυγραμμισμένα με πρότυπα όπως το ISO/IEC 42001 και βέλτιστες πρακτικές όπως το NIST AI RMF και το OWASP Top 10 for LLMs.

Αυτό μετατρέπει την ασφάλεια από αντανακλαστικό κόστος σε λειτουργική υπεροχή και, στον χώρο της Υγείας και του Φαρμάκου, σε προστασία της ίδιας της ζωής.