Nemocnice v hledáčku hackerů. Jaká jsou rizika?

9.2.2017 Rizika

S riziky kybernetického napadení firmy a výrobních závodů se již pomalu vyrovnáváme a vedení společností o nich přemýšlí stále častěji. Nebezpečí spojené s daty, internetem a s našimi životy však sahá hlouběji. Ze Spojených států přichází stále častěji zprávy o počítačovém napadení nemocnic.

Ani zdravotnictví se bohužel nevyhne hledáčku těch, kteří mají zájem o zajímavá osobní data. Nemocnice a kliniky jsou v tomto ohledu ideálním cílem. Velké množství pacientů rovná se velké množství údajů. Jména, rodná čísla, kontaktní údaje, diagnózy, čísla platebních karet, zdravotní historie, to vše během „spásné“ digitalizace vkládáme do systémů nemocnic, klinik a mnoha dalších institucí.

Zprávy o prvních příznacích rizika přicházejí z USA. Podle výzkumu Ponemon institutu se ve spojených státech s únikem dat potkalo 90 % poskytovatelů zdravotnických služeb, navíc 40 % dokonce více než pětkrát v posledních dvou letech. Výzkum se sice zaměřuje na Spojené státy, ale nelze předpokládat, že je situace v Evropě jiná. Navíc 16 % amerických společností působících ve zdravotnictví v průzkumu pro společnost KPMG přiznalo, že nemají vůbec nástroj, kterým je možné únik dat zjistit.

Ztráta dat a jejich zneužití se však stává naprosto banální, v porovnání s případy nasazení ransomwaru do systémů nemocnic. Ransomware je program, jehož cílem je infikovat systém, zašifrovat veškerá data a následně požadovat výkupné za zpřístupnění dat.

Ve Spojených státech došlo v posledních několika letech k případům, kdy útočníci pomocí ransomwaru pronikli do systémů nemocnice a zašifrovali data o bývalých i současných pacientech, zablokovali přístroje připojené k interní síti nemocnice a požadovali výkupné za zpřístupnění dat a systémů. Jistě si každý rychle uvědomí, že zde jsou skrze kybernetickou bezpečnost v sázce i lidské životy.

Poslední známý případ se stal na jaře 2016, kdy takový útok zažila nemocnice v Baltimoru, jejíž informační systém byl několik dní paralyzován a nakonec musela nemocnice vyplatit výkupné, aby se znovu dostala ke svým datům.

V případě ransomwaru jde většinou o chybu člověka. Zaměstnance, který spustí nebezpečný soubor, klikne na odkaz, který nezná, případně použije infikovaný USB disk. Což potvrzuje i Petr Moláček Konzultant cyber pojištění ze společnosti Principal engineering s.r.o. „Bezpečnosti informací se věnuje hodně pozornosti na všech úrovních. Určitě by ale prospělo věnovat zvýšené úsilí preventivnímu vzdělávání a výcviku uživatelů, protože za velkou většinou bezpečnostních incidentů je lidské selhání.“  

České fakultní nemocnice ve vlastnictví státu, jsou podle odborníků zabezpečeny dostatečně. Každá nemocnice má své IT oddělení s odborníky, kteří vedle správy infrastruktury a nemocničních systémů zajišťují i její bezpečnost.

Kromě oborových zdravotnických norem jsou standardně dodržovány normy ISO/IEC 27001 pro řízení bezpečnosti informací nebo přímo ISO 27799, určené pro bezpečnost informací ve zdravotnictví. Navíc jsou státní zdravotnická zařízení v kritické infrastruktuře státu a tudíž pod dohledem NBÚ resp. NCKB (Národní centrum kybernetické bezpečnosti),“ vysvětluje Petr Moláček.

V našich nemocnicích je navíc povinné vést spolu s elektronickou dokumentací i klasické papírové záznamy, což eliminuje možnost naprostého paralyzování nemocnice. „Pokud by došlo k výpadkům informačních systémů z jakýchkoliv důvodů, schopnost léčit pacienty a vést o tom dokumentaci by se si zásadně nezmenšila. Otázkou je, jak dlouho by trvalo navrátit provozní systémy z nepoškozených záloh do původního stavu a aktualizovat data,“ dodává Petr Moláček.

Mělo by tedy význam, aby byly nemocnice proti kybernetickým útokům pojištěny? V tuto chvíli na je trhu pro podobné případy k dispozici např. kybernetické pojištění Cyber Edge které poskytuje pojišťovna AIG, nebo někteří pojišťovací brokeři jako například Marsh. „První krok je analýza rizika  - minimálně formou dotazníku. V případě, že bezpečnost nedosahuje minimálních požadavků z pohledu pojištění, tak následuje komunikace s klientem ohledně možného řešení. Např. změnou zabezpečení dat a citlivých údajů nebo úpravou podmínek pojištění,“ komentuje Marko Antič specialista na kybernetické pojištění pojišťovny AIG. „V případě pojištění kyber-rizika a úspěšného ransomwarového útoku by pojišťovna uhradila výši požadovaného výkupného a další případná krytí jako nápravu pověsti, právní spory apod.“ dodává Marko Antič. 

Poskytovatelé zdravotních služeb se však samozřejmě zveřejnění útoků brání. Proto informace o bezpečnosti dat ve zdravotnictví nejsou příliš často na pořadu dne. V poslední době jsme však svědky, že se úniky dat týkají internetových vyhledávačů, telefonních operátorů, premiérů, ministerstev i volebních kandidátů.

Zdroj: oPojištění.cz

Sledujte nás

Facebook Twitter LinkedIn

Komentáře

Přidat komentář

Nejsou žádné komentáře.

RSS

Související články