Informatyzacja w ochronie zdrowia - CYBERBEZPIECZEŃSTWO W PLACÓWCE MEDYCZNEJ: ryzyko na własne życzenie? Drukuj
Ocena użytkowników: / 0
SłabyŚwietny 

We wrześniu 2015 roku na celowniku hakerów znalazł się Szpital im. Jana Pawła II w Krakowie, którzy włamali się na skrzynkę pocztową placówki, a następnie zmienili ustawienia kont do przelewów bankowych, przekierowując strumień pieniędzy na konto oszusta. Skradziono w ten sposób kilkaset tysięcy złotych.

CYBERBEZPIECZEŃSTWO W PLACÓWCE MEDYCZNEJ: ryzyko na własne życzenie?

Informatyzacja placówek medycznych oparta na cyfryzacji procesów przetwarzania informacji wprowadza system opieki zdrowotnej w rzeczywistość nowej generacji. Poprawa wyników leczenia, personalizacja terapii czy możliwość prowadzenia zdalnej opieki medycznej nad pacjentem przestają być jedynie myśleniem życzeniowym, stając się codzienną praktyką kliniczną. Co więcej: praktyką efektywniej zorganizowaną, niż obecnie. Nie sposób jednak zapomnieć o drugiej stronie medalu – przeniesienie danych o stanie naszego zdrowia w domenę cyfrową wystawia je na cel cyberprzestępców, skłania do wrogich przejęć najbardziej poufnych informacji o nas samych. Czy możemy czuć się bezpieczni?

Sektor zdrowotny – atrakcyjny cel cyberataków

Mariusz Kielar. Pracownik naukowy Uniwersytetu Jagiellońskiego Collegium Medicum (Zakład Medycznych Systemów Informacyjnych, Instytut Zdrowia Publicznego), pasjonat nowoczesnych technologii informacyjno- -komunikacyjnych w opiece zdrowotnej, dziennikarz medyczny, muzyk. (Fot. z archiwum autora)Sektor ochrony zdrowia jest nadzwyczaj atrakcyjnym celem cyberataków – tak wynika z analiz zgłaszanych incydentów bezpieczeństwa prowadzonych przez wyspecjalizowane firmy zajmujące się bezpieczeństwem cybernetycznym. Jeszcze do niedawna pierwszą pozycję w tej kategorii ryzyka zajmował szeroko rozumiany sektor publiczny. Teraz jego miejsce zajęła opieka zdrowotna. Zdaniem ekspertów odnotowywany obecnie wzrost liczby naruszeń bezpieczeństwa w medycznych systemach informatycznych, takich, jak włamania, oszustwa, wyłudzenia czy szantaże związany jest bezpośrednio z dynamicznym rozwojem sektora zdrowia jako jednej z najszybciej rozwijających się gałęzi światowej gospodarki. Choć taki cyberatak, wymierzony w organizację medyczną, może różnić się pod względem zastosowanych metod i technik przejmowania kontroli nad jej zasobami i/lub infrastrukturą, każdy taki incydent związany jest z bardzo poważnym niebezpieczeństwem dla zaatakowanej placówki. W większości przypadków obejmuje następujące elementy: wykorzystanie danych osobowych pacjentów do celów przestępczych (odsprzedaży informacji osobom trzecim lub żądania zapłacenia okupu przez placówkę medyczną w celu odzyskania poufnych informacji dotyczących pacjentów), celowe fałszerstwo wyników diagnozy pacjentów, uszkodzenie sprzętu medycznego, które może spowodować zarówno szkody fizyczne dotykające bezpośrednio pacjentów, jak również ogromne straty finansowe dla placówki medycznej oraz negatywny wpływ na reputację organizacji. Zdobyte w ten sposób dane wrażliwe, dotyczące stanu zdrowotnego pacjentów są informacjami, które mają jeszcze większą wartość niż ich numery kart kredytowych. Wykorzystuje się je np. do uzyskania zwrotu pieniędzy za usługi i produkty, których w rzeczywistości takie osoby nie wykorzystały – chodzi o zyskowne rozliczenie fikcyjnej porady medycznej lub innego zabiegu medycznego na czyjś koszt.

Phishing i ransomware

Wskazuje na to systematycznie rosnąca na całym świecie liczba tzw. ataków phishingowych oraz typu ransomware przeprowadzana na placówki opieki medycznej. Phishing zalicza się obecnie do najpoważniejszych zagrożeń bezpieczeństwa, na które narażona jest branża ochrony zdrowia. Za pomocą wysyłanych fałszywych wiadomości e-mail ich adresaci na drodze manipulacji zachęcani są do ujawnienia poufnych informacji (np. loginów, haseł, kodów) do strzeżonych zasobów informacyjnych. Takie wiadomości mogą również zawierać linki i/lub załączniki ze złośliwym oprogramowaniem, które po uruchomieniu szyfrują np. dane medyczne pacjentów (lub inny rodzaj danych krytycznych dla placówki), blokując jednocześnie dostęp do zaszyfrowanych danych dla osób uprawnionych. Jedyną możliwością jego odzyskania jest spełnienie przez placówkę żądania zapłaty określonej sumy pieniędzy za zdjęcie blokady. Taki proceder określany jest mianem ataku typu ransomware.

To właśnie ten rodzaj wrogich działań wymierzonych w systemy informatyczne placówek medycznych od początku 2018 roku pozostaje największym zagrożeniem dla ich bezpieczeństwa informatycznego. Od czasu pojawienia się pierwszych „szczepów” ransomware w 2013 roku skala ataków dokonywanych za ich pomocą ciągle rośnie. W pierwszym kwartale bieżącego roku przeprowadzono serię ataków typu ransomware w szpitalach na całym świecie, które sparaliżowały pracę kilku oddziałów, powodując realne kłopoty, m.in. związane z koniecznością odłożenia zaplanowanych operacji oraz dezorganizacją funkcjonowania całej placówki szpitalnej.

Cyberataki w USA

Soczewką skupiającą aktualne problemy oraz konsekwencje zagrożeń cyberbezpieczeństwa w opiece zdrowotnej mogą być doświadczenia amerykańskich placówek medycznych – modelowych, ultranowoczesnych „cyfrowych szpitali” wysyconych innowacjami z zakresu współczesnych technologii informacyjno-komunikacyjnych (ICT). W jednym z ostatnich doniesień medialnych można przeczytać na temat przeprowadzonego ataku typu ransomware SamSam na Allied Physicians Of Michiana (APOM) w amerykańskim stanie Indiana. Ten konkretny gatunek cybernetycznego intruza przechwytuje dane za pomocą szyfrowania RSA-2048, a rozprzestrzeniając się za pośrednictwem aplikacji Java bierze na swój cel serwery RDP (odpowiadające za funkcjonalność tzw. zdalnego pulpitu). Następnie po odnalezieniu i złamaniu haseł sieciowych oraz istniejących zabezpieczeń za pomocą wbudowanego kodu rozprzestrzenia się w celu zainfekowania innych systemów informatycznych znajdujących się w jego zasięgu. Taki sam szczep ransomware odpowiadał za awarię systemów dokumentacji medycznej w USA, na skutek której część placówek medycznych była zmuszona odwołać wiele zaplanowanych wizyt.
W kwietniu 2014 roku przeprowadzony został jeden z bardziej dotkliwych cyberataków w amerykańskiej opiece zdrowotnej – na celu grupy hakerów APT1 z Chin znalazła na Community Health Systems, jedna z największych spółek zarządzających 206. amerykańskimi szpitalami. Wykradziono wówczas podstawowe dane osobowe pacjentów należących do placówek zaatakowanej organizacji.

Globalny zasięg cyberataków

Tak spektakularne i poważne naruszenia bezpieczeństwa informatycznego placówek medycznych nie są oczywiście udziałem wyłącznie sektora amerykańskiej opieki zdrowotnej. Ryzyko wystąpienia takich incydentów jest powszechne, a sam problem ma zasięg globalny. W połowie marca 2016 roku w wyniku cyberataku przeprowadzonego na szpital w Ottawie prawie 10 tysięcy komputerów uległo zainfekowaniu złośliwym wirusem – wystarczyło jedno nieuważne kliknięcie przez jednego pracownika na link z podejrzanym oprogramowaniem, by wirus przejął kontrolę na całą siecią szpitalną kanadyjskiej placówki. Z kolei w niemieckim szpitalu Lukas Krankenhaus w Neuss wrogie działania cyberprzestępców spowodowały realne zagrożenie życia pacjentów z uwagi na konieczność przełożenia zaplanowanych zabiegów chirurgicznych.

Przykładem cyberataku przeprowadzonego na prawdziwie globalną skalę może być jednak atak hakerski dokonany w maju ubiegłego roku na firmy i instytucje aż w 150 krajach świata. W efekcie zainfekowano 300 tysięcy komputerów na całym świecie, a poniesione wówczas straty oszacowano na miliardy dolarów w skali ogólnoświatowej. Na terenie Wielkiej Brytanii na celowniku hakerów znalazły się wówczas szpitale należące do National Health Service (NHS) – zaatakowano ponad 1/3 wszystkich brytyjskich placówek opieki zdrowotnej, dezorganizując przy tym normalną pracę wszystkich instytucji NHS. Bardzo wiele pacjentów zostało przeniesionych do innych placówek, odwołano ok. 7 tysięcy planowych zabiegów. Jak wykazało późniejsze śledztwo za atakami na tak masową skalę stali hakerzy z Korei Północnej.

Polityka cyberbezbieczeństwa to podstawa

Polityki cyberbezpieczeństwa w organizacjach medycznych oraz wynikające z nich środki przeciwdziałania atakom na systemy i sieci informatyczne nabierają szczególnego znaczenia w erze ekspansji tzw. Internetu Rzeczy (ang. Internet of Things, IoT), i rosnącej liczby urządzeń (także medycznych) połączonych z siecią Internet.

Jak wynika z dyskusji prowadzonych podczas tegorocznego Europejskiego Forum Cyberbezpieczeństwa CYBERSEC, które odbyło się w Krakowie, kluczowymi elementami dla jego zapewnienia są wzajemne zaufanie, otwartość i wymiana informacji. W opinii analityków do 2025 roku ponad 34 miliardy urządzeń będzie podłączonych do sieci, z czego około 20 miliardów będzie działać w ramach systemów IoT. Połączone w ten sposób urządzenia będą wykorzystywane wszędzie – w inteligentnych budynkach, mieszkaniach, także placówkach opieki zdrowotnej. A tym samym będą dysponować ogromnymi zasobami wrażliwych informacji na temat swoich użytkowników.

W opiece zdrowotnej takich urządzeń medycznych podłączonych do sieci Internet już dziś są setki tysięcy – należą do nich tomografy, różnego rodzaju skanery, aparaty RTG, a nawet… rozruszniki serca. W ubiegłym roku amerykańska Agencja Żywności i Leków (ang. Food and Drug Administration, FDA) wydała oficjalne ostrzeżenie o możliwym ryzyku ataku hakerskiego do pół miliona użytkowników tych specjalistycznych urządzeń kardiologicznych.

Największe zagrożenie dla bezpieczeństwa urządzeń powiązanych z Internetem stanowią z reguły ich użytkownicy – niektóre z nich nadal działają pod kontrolą przestarzałych systemów operacyjnych posiadających znaczne luki w zabezpieczeniach. A jeśli nawet takie zabezpieczenie było aktywne, chroniło je domyślne hasło ustawione przed producenta, które bez problemu można uzyskać z udostępnianej publicznie dokumentacji produktowej oraz instrukcji technicznych. Tak poważne uchybienia bezpieczeństwa urządzeń medycznych stwierdzono w przypadku systemów pomiaru ciśnienia krwi, obrazowania medycznego, radiologii oraz uśpionych programów szyfrujących znajdujących się w aparaturze medycznej należącej do sieci szpitalnej.

Cyberataki w Polsce

Polski system opieki zdrowotnej jest nieporównywalnie słabiej zinformatyzowanym sektorem, w porównaniu do swojego amerykańskiego odpowiednika, stąd też ryzyko cyberinwazji na systemy informatyczne polskich placówek medycznych pozostaje dość ograniczone. Choć zagrożenie oczywiście cały czas istnieje, czego przykładem może być atak hakerski przeprowadzony w październiku br. na system informatyczny Naczelnej Rady Lekarskiej oraz jej prezesa prof. Andrzeja Matyję.

Z jego skrzynki mailowej wysłano w ciągu 24 godzin ponad 20 tysięcy maili o różnej treści. W opinii szefa samorządu lekarskiego atak był konsekwencją zaangażowania się Naczelnej Izby Lekarskiej wraz z okręgowymi izbami lekarskimi nie tylko w promocję szczepień ochronnych, ale także w walkę przeciwko tzw. ustawie antyszczepionkowej.

W czerwcu 2007 roku z Samodzielnego Publicznego Zakładu Opieki Medycznej w Kole wyciekły wrażliwe dane osobowe i medyczne 50 tysięcy pacjentów oraz pracowników. Przechwycone informacje, dotyczące pacjentów, zawierały imię, nazwisko, PESEL, adres zamieszkania, grupę krwi, numer ubezpieczenia, wyniki badań pacjentów oraz rejestr osób chorujących na choroby zakaźne z dokładną informacją o czynniku chorobotwórczym i datą rozpoznania schorzenia. W przypadku pracowników łupem hakerów padły dodatkowo informacje o imionach rodziców, nazwisku panieńskim, numerze NIP, numerze i serii dowodu osobistego, nazwy szkół i roku ich ukończenia, a nawet… numery kart bankowych (!).

Dzięki takiemu „pakietowi danych” bez problemu można dokonać wyłudzenia, np. fałszywej pożyczki finansowej. Z kolei we wrześniu 2015 roku na celowniku hakerów znalazł się Szpital im. Jana Pawła II w Krakowie, którzy włamali się na skrzynkę pocztową placówki, a następnie zmienili ustawienia kont do przelewów bankowych, przekierowując strumień pieniędzy na konto oszusta. Skradziono w ten sposób kilkaset tysięcy złotych.

Ofiary cyberwłamań wolą milczeć?

Powyższe naruszenia bezpieczeństwa informatycznego w polskich placówkach medycznych zostały nagłośnione przez media. Dzięki temu mogliśmy się o nich dowiedzieć. Jednak nie jest to powszechna praktyka – oficjalnie żadna z instytucji zdrowotnych raczej nie przyzna się, że stała się ofiarą cyberwłamania. Brak oficjalnych danych o takich atakach nie oznacza jednak, że nie miały one miejsca. Część została ujawniona, a reszty najprawdopodobniej jak dotąd nie wykryto.

System antywirusowy to zdecydowanie za mało

Jak placówki medyczne w Polsce bronią się przed ryzykiem ataku hakerskiego? Prywatne szpitale w naszym kraju inwestują w systemy przeciwwłamaniowe, a na noc po prostu odłączają swoje serwery od sieci. Nie są to oczywiście silne zabezpieczenia mogące pełnić rolę skutecznej tarczy przeciwko zagrożeniom ze strony cyberprzestępców. W ten trend wpisują się także publiczne placówki medyczne, które również nie są odpowiednio przygotowane na ataki hakerów. Zdaniem specjalistów zajmujących się bezpieczeństwem sieci większość polskich placówek medycznych stosuje tylko podstawowe procedury bezpieczeństwa. Brakuje w nich ochrony przed wyciekiem informacji poufnych, a w gabinetach lekarskich za wystarczające zabezpieczenie ciągle uznaje się… zwykły system antywirusowy.

Mariusz Kielar

Piśmiennictwo u autora