E-pidemia

W krajach Zachodu służba zdrowia jest jednym z ulubionych celów hakerów. Ośmiu na dziesięciu amerykańskich lekarzy doświadczyło cyberataku w swojej placówce. A w Polsce? Masowe wycieki danych ze szpitali i poziom zabezpieczeń poniżej krytyki.

Amerykańskie Stowarzyszenie Medyczne (AMA) – największa organizacja zrzeszająca lekarzy w USA – przeprowadziła sondaż wśród 1300 swoich członków na temat cyberataków. Okazało się, że aż 83 proc. ankietowanych twierdziło, że praktyki, w których pracują, doświadczyły takich e-napaści. – Służba zdrowia jest nadzwyczaj atrakcyjnym celem dla cyberprzestępców stosujących wirusy komputerowe i strategie phishingu. Jeśli takie ataki odnoszą sukces, to zagrażają opiece pacjentów i ich bezpieczeństwu – komentował te wyniki badań David O. Barbe, prezes AMA.

Szantaż zerojedynkowy

Alarm podniósł raport Zespołu ds. Bezpieczeństwa Cybernetycznego w Służbie Zdrowia – organu działającego na zlecenie Kongresu USA. – Cyberbezpieczeństwo jest kluczowym problemem opieki zdrowotnej i wymaga natychmiastowej uwagi – stwierdza ów raport. W 88-stronicowym dokumencie podkreślono, iż ryzyko takie istnieje zwłaszcza w mniejszych placówkach, szczególnie podatnych na ataki hakerów. Jednak digitalni kryminaliści jako cel obrali sobie głównie średnie i duże placówki – stamtąd można wykraść najwięcej informacji. Ryzyko ataku na takie jednostki jest dwukrotnie wyższe niż na małe gabinety lekarskie. Mimo to aż 74 proc. pytanych lekarzy w USA obawia się, że cybernetyczna inwazja może przerwać działanie lub spowodować niedogodności w prowadzeniu ich praktyki lekarskiej.

Do najważniejszych zagrożeń należą ataki phishingowe. Wysyłane fałszywe wiadomości e-mail zachęcają odbiorców do ujawnienia poufnych informacji (np. haseł) lub zawierają linki czy załączniki ze złośliwym oprogramowaniem. To np. blokuje dostęp do danych medycznych pacjentów i żąda okupu za zdjęcie blokady. To tzw. ransomware.

Najbardziej łakomym kąskiem dla hakerów są dane wrażliwe pacjentów, czyli dotyczące ich sytuacji zdrowotnej. Bo te są niezwykle cenne na czarnym rynku. Podczas gdy standardowe dane osobowe (imię, nazwisko, adres, nr tel., nr ubezpieczenia itd.) są wyceniane na kilka dolarów za sztukę, wiadomości nt. karty kredytowej – na 11 dolarów, to... – tylko podstawowa informacja o stanie zdrowia człowieka jest w USA wyceniana na ok. 60 dolarów (sic!) – twierdzi Paweł Kaźmierczyk, prawnik z kancelarii Domański Zakrzewski Palinka sp. k., specjalizujący się w prawnych aspektach cyberbezpieczeństwa w służbie zdrowia. Kto płaci za takie dane? Najczęściej placówki, z których je wykradziono. Bo wyciek info o włamaniu byłby znacznie bardziej kosztowny. Do mediów czasami trafiają informacje o zapłaconych okupach w wysokości kilkunastu czy kilkudziesięciu tysięcy dolarów. Ale żądania hakerów sięgają niekiedy nawet milionów dolarów. Jeśli przestępcom się poszczęści i wśród pacjentów są jakieś znane osoby, a uzyskane na ich temat informacje są kompromitujące, szantaż celebryty jest dodatkową premią.

Dane przydają się także w wyłudzaniu pieniędzy od samych pacjentów. Hakerzy żądają od nich przelewu drobnych kwot za odblokowanie konta. Wysyłają im także podrobione diagnozy z fałszywymi fakturami za usługi. A jeśli pacjent nie ulegnie naciskom, nie da się nabrać, to hakerzy – na złość – zmieniają wyniki jego badań w bazach danych placówki medycznej.

Password123

Dużym zagrożeniem jest możliwość włamania się na urządzenia medyczne połączone z Internetem. W II połowie 2017 r. FDA – Food and Drug Administration – wysłało ostrzeżenia o takim niebezpieczeństwie do pół miliona użytkowników rozruszników serca. Te urządzenia także są podatne na ataki hakerskie.

Kaspersky Lab – rosyjski producent oprogramowania antywirusowego – w 2016 r. znalazł setki tysięcy urządzeń medycznych podłączonych do Internetu. Tomografy, skanery, rentgeny, rozruszniki, sprzęt kardiologiczny itp. Niektóre działały pod kontrolą starych systemów operacyjnych, np. Windows XP, z dużymi lukami w zabezpieczeniach. To łatwy cel dla hakera. Firma ustaliła, że w niektórych z tych urządzeń jedynym zabezpieczeniem były domyślne hasła ustawione przez producenta – dostępne publicznie w instrukcjach i dokumentacjach. Bułka z masłem dla e-włamywacza. Specjaliści od cyberbezpieczeństwa firmy TrapX w grudniu 2015 r. znaleźli luki w systemach pomiaru ciśnienia krwi, obrazowania medycznego, radiologii oraz uśpione programy szyfrujące w urządzeniach medycznych szpitalnej sieci. W jednym z przypadków, jakie opisali, dostęp do specjalistycznego sprzętu chroniło hasło: password123.

Przed coraz częściej powtarzającymi się atakami hakerów na placówki medyczne przestrzegała w 2016 r. firma Anzena. Także wtedy IBM opublikował swój raport: „2016 Cyber Security Intelligence Index”. Wynika z niego, że służba zdrowia to najczęściej atakowany sektor gospodarki na Zachodzie! Nawet banki nie padają tak często ofiarą cyberprzestępców, jak właśnie szpitale i poradnie. Tylko w pierwszej połowie 2015 r. hakerzy przeprowadzili na świecie 5 wielkich ataków, w wyniku których zdobyli ogromną liczbę kartotek medycznych i dane kontaktowe, numery kont bankowych, adresy e-mail, ubezpieczeń, miejsca zatrudnienia. IBM szacuje, że cyberprzestępcy przejęli dane wrażliwe 100 mln osób!

W mediach aż roi się od doniesień o ujawnionych atakach hakerów na placówki medyczne. Najsłynniejszy i najgroźniejszy z dotychczasowych miał miejsce 12 maja 2017 r. Cyberprzestępcy zaatakowali 300 tys. komputerów w firmach i instytucjach 150 krajów świata. Do najbardziej poszkodowanych należały brytyjskie szpitale NHS. W Anglii atak sparaliżował 1/3 publicznych placówek.

W USA działa już ustawa dotycząca odpowiedzialności w zakresie ubezpieczenia zdrowotnego (Health Insur-
ance Portability and Accountability Act – HIPAA), która wymaga od placówek medycznych szczególnego zabezpieczenia wrażliwych danych. Koszty ich utrzymywania są wysokie. Dla placówek z maks. dziewiątką lekarzy – rocznie do 250 tys. dolarów. Dla placówek z ponad 50 doktorami – nawet 400 tys. dolarów.

Masowe wycieki danych

W czerwcu 2017 r. serwis Zaufana Trzecia Strona podał, że z Samodzielnego Publicznego Zakładu Opieki Medycznej w Kole wyciekły wrażliwe dane: osobowe i medyczne. Należały do 50 tys. pacjentów i pracowników. „Dostęp do nich nie wymagał żadnego logowania, a jeszcze kilka dni temu mógł je pobrać każdy, kto trafił na adres serwera” pisał o sprawie Cyberdefence24.pl.
Informacje zawierały: imię, nazwisko, PESEL, adres zamieszkania, grupę krwi, numer ubezpieczenia, wyniki badań pacjentów oraz rejestr osób, które cierpiały na choroby zakaźne z informacją, co było czynnikiem chorobotwórczym i datą rozpoznania. W przypadku pracowników upubliczniono także informacje o imionach rodziców, nazwisku panieńskim, numerze NIP, numerze i serii dowodu osobistego, nazwy szkół i rok ich ukończenia, a nawet numery kont bankowych! Taki zestaw danych w zupełności wystarczy do wyłudzania pożyczek. Cyberdefence24.pl twierdził, że był to prawdopodobnie największy wyciek danych w Polsce!

5 grudnia 2017 r. Niebezpiecznik.pl – portal specjalizujący się w tematyce cyberzagrożeń – opisał, jak to każdy internauta mógł sobie ściągnąć i obejrzeć setki zrzutów ekranu i dokumentów z danymi osobowymi i medycznymi pacjentów oraz dane finansowe należące do dziesiątków szpitali w Polsce. Także psychiatrycznych. W tym były dane dostępowe do różnych systemów informatycznych oraz dane osobowe pracowników szpitali. Wszystko w publicznie dostępnym katalogu jednego z systemów stosowanych do obsługi placówek opieki zdrowotnej. Niebezpiecznik.pl opublikował listę 90 szpitali i innych placówek zdrowia, z których wyciekły owe dane.

We wrześniu 2015 r. „Gazeta Wyborcza” informowała o ataku hakerskim na Szpital im. Jana Pawła II w Krakowie: „Ktoś włamał się na skrzynkę elektroniczną (…) i zmienił ustawienia kont do przelewów bankowych. W efekcie od lipca pieniądze zamiast na konto kontrahenta wpływały na konto oszusta” – informowała GW. Skradziono kilkaset tysięcy zł.

Głowa w piasek + beznadzieja

Te przykłady to tylko czubek góry lodowej ujawniony przez specjalistyczne portale lub media. Bo oficjalnie żadna placówka medyczna się do takich wycieków/włamań nie przyzna. Do Naczelnej Izby Lekarskiej nie wpłynęło żadne zawiadomienie o działaniach hakerów w służbie zdrowia. – Nie odnotowaliśmy takich zdarzeń – pisze Katarzyna Strzałkowska, rzecznik NIL. – W 2016 r., po włamaniu na serwery ministerstw pytano nas, czy na nasze szpitale miały miejsce takie ataki. Nikt z naszych członków tego nie zgłaszał – mówi Andrzej Sokołowski, prezes Ogólnopolskiego Stowarzyszenia Szpitali Prywatnych (OSSP). Twierdzi, że byłby jedną z pierwszych osób, które by się dowiedziały o takim ataku. – Strachem zdjęci szefowie poprosiliby o uruchomienie grupy zakupowej, by zorganizować zabezpieczenie dla wszystkich – tłumaczy prezes OSSP.

Większość przedstawicieli przychodni/szpitali nie chce o cyberatakach rozmawiać z mediami pod imieniem i nazwiskiem. Czasami nawet anonimowo. – Bo to prowokowanie hakerów – tłumaczy rzecznik prasowa jednej z dużych sieci przychodni. Prosi, by nawet nie podsyłać jej pytań. – Nie będziemy mieli na ten temat nic do powiedzenia – z góry zastrzega pani rzecznik.

Podobnie tłumaczy się jeden z twórców dużej przychodni działającej w Internecie i świadczącej usługi telekonsultacji medycznych. Przyznaje, że w zakresie cyberataków mają „duże doświadczenie”. Jednak ze względu na PR, jaki temu towarzyszy oraz na narażanie się na ataki hakerów nie chce występować w artykule. – To by się wiązało z wystawieniem nas na zagrożenie. Już samo uczestnictwo w takim artykule prowokuje – wyjaśnia. – Służba zdrowia jest pod tym względem najbardziej tajemniczym sektorem – komentuje Kamil Gapiński z Fundacji Bezpieczna Cyberprzestrzeń.

– To, że o takich atakach nic nie wiemy nie oznacza, że ich nie było. Część z nich nie została ujawniona, a części nawet nie... wykryto – uważa Andrzej Kozłowski, redaktor prowadzący Cyberdefence24.pl.

– Ataki u nas się zdarzają, chociaż nie tak często jak na Zachodzie – dodaje Gapiński. – Bo nie jesteśmy tak zdigitalizowani jak Wielka Brytania czy USA. Na szczęście – tłumaczy Kozłowski.

Prezes OSSP twierdzi, że prywatne szpitale montują systemy przeciwwłamaniowe, a na noce wyłączają serwery z sieci. Ale sugeruje, że to nie są jakieś silne zabezpieczenia. – Nasz system ochrony zdrowia sektora prywatnego jest ciągle w rozwoju. Nie mamy dotacji, wsparcia i musimy walczyć o życie – zaznacza Andrzej Sokołowski.

Zdaniem Grzegorza Szmigiela, dyrektora technicznego w Veracomp SA – firmie specjalizującej się w bezpieczeństwie sieci – polskie placówki medyczne „nie do końca” są przygotowane na ataki hakerów. – Ten element wyposażenia IT jest w szpitalach na samym końcu. A w gabinetach za wystarczający uznaje się system antywirusowy – twierdzi Szmigiel. Niektóre szpitale nie mają podstawowych zabezpieczeń, tak by wiadomo było, kto i kiedy miał dostęp do danego urządzenia. – W większości produktów nabywanych przez placówki medyczne brakuje elementu ochrony przed wyciekiem informacji poufnych – dodaje Szmigiel. – Stosują tylko podstawowe procedury bezpieczeństwa – informuje Gapiński.

– Zabezpieczenie przed cyberzagrożeniami w sektorze zdrowia jest beznadziejne – przyznaje off-the-record jeden z naszych rozmówców.

RODO – rewolucja nadchodzi

Prognozy firmy konsultingowej PwC przewidują, że wartość rynku produktów medycznych z podłączeniem do sieci, w 2020 roku sięgnie na świecie 285 miliardów dolarów. Czyli liczba urządzeń podatnych na ataki hakerskie znacznie wzrośnie.

Ten trend nie ominie także Polski. W naszym kraju standardem ma być elektroniczna dokumentacja medyczna, wreszcie mamy doczekać się e-recepty, cały czas rozwija się telemedycyna. – Coraz więcej danych medycznych będzie więc przetwarzanych, a ryzyko ataku będzie rosnąć – ocenia Paweł Kaźmierczyk, prawnik. To wymaga więc szczególnych zabezpieczeń. Dlatego już w maju br. w życie wchodzi Rozporządzenie o Ochronie Danych Osobowych – RODO. – To będzie rewolucja – prognozuje Kozłowski z Cyberdefence24.pl. – Podmioty lecznicze będą musiały wprowadzić wyższe poziomy bezpieczeństwa w ochronie danych osobowych – potwierdza Kaźmierczyk

– Każda placówka, nawet mała, będzie mieć osobę odpowiedzialną za zabezpieczanie informacji poufnych. Obowiązkiem firm, także placówek medycznych, będzie zgłoszenie wszelkich naruszeń poufności informacji oraz poinformowanie o tym osób, których te naruszenia dotyczą – tłumaczy efekty RODO Grzegorz Szmigiel z Veracomp SA.

Kozłowski uważa, że szpitale i przychodnie będą się zabezpieczać. Bo ewentualne kary za nieprzestrzeganie RODO będą monstrualne – mogą sięgnąć 2–4 proc. rocznych dochodów. – A obecnie wciąż bardziej opłaca się pokryć straty cyberataku niż mu zapobiegać – kończy Kozłowski.

Źródło: "Służba Zdrowia" 1/2018