Citlivé údaje o zdravotnom stave pacientov nemusia byť v zdravotníckych zariadeniach stopercentne chránené. Mnohí lekári a zdravotnícke zariadenia nevenujú dostatočnú pozornosť kybernetickej bezpečnosti.
Vyplýva to z prvého uceleného prieskumu, ktorý zrealizovala zdravotná poisťovňa Dôvera v spolupráci so spoločnosťami Lekar a.s. a Eset.
Do prieskumu, ktorý prebiehal od apríla do júna 2024 formou anonymného dotazníka, sa zapojilo 412 poskytovateľov zdravotnej starostlivosti. Boli medzi nimi malé ambulancie aj veľké polikliniky.
Pozvánka pre hackerov
Z prieskumu vyplynulo, že viac ako polovica poskytovateľov zdravotnej starostlivosti (58 percent) nedokáže rozpoznať hackerský útok.
„Chápeme, že prvoradou úlohou lekárov je liečiť. Upozorňujeme však, že neschopnosť identifikovať bezpečnostný incident alebo zraniteľnosť môže viesť napríklad k strate dát, pozmeneniu ich obsahu a znefunkčneniu prevádzky,“ upozorňuje Roman Varga, manažér kybernetickej bezpečnosti v zdravotnej poisťovni Dôvera.
Aké riziko hrozí? Dáta o zdravotnom stave patria medzi „najhodnotnejšie“ údaje na čiernom trhu a ich únik býva sprevádzaný finančným vydieraním.
Na neopatrnosť môže doplatiť aj pacient. Predstavte si, že by vám v lekárni vydali nesprávne lieky, pretože útočník pozmenil údaje v zdravotných záznamoch. Známy je prípad kyberútoku z roku 2021, po ktorom museli v Írsku odložiť tisícky lekárskych zákrokov.
„Počet kybernetických útokov na zdravotnícke zariadenia rastie alarmujúcim tempom. Jednou z najrozšírenejších a najnebezpečnejších hrozieb v sektore zdravotníctva je ransomvér, škodlivý kód, ktorý šifruje zariadenia, pričom za ich odblokovanie si útočníci pýtajú výkupné v astronomických sumách. V lepšom prípade spôsobí útok finančné a reputačné škody, v horšom prípade naň doplatia pacienti svojím zdravím či životom. Investície do moderných bezpečnostných opatrení, ktoré dokážu ransomvér odvrátiť, predstavujú iba zlomok z prípadných škôd spôsobených úspešným útokom,“ spresnil Ondrej Krajč, Senior Technical Pre-Sales Representative spoločnosti ESET.
„Súkromný“ mail od lekára
Ďalším alarmujúcim výsledkom prieskumu bolo, že takmer 63 percent opýtaných používa súkromný mail na služobné účely. „Práve súkromný účet lekára, ktorý využíva aj na posielanie pracovných mailov, sa môže stať vstupnou bránou pre útočníka. Je to najčastejšia cesta, ako naletieť útočníkom cez tzv. phishingové maily,“ vysvetľuje Varga.
„Ambulancie, ktoré poskytujú pacientom wi-fi pripojenie, by mali zabezpečiť, aby táto sieť bola fyzicky oddelená od pracovnej siete. Tým sa zabráni nežiaducemu prístupu k citlivým údajom a ochráni sa chod pracovných systémov a samotnej infraštruktúry,“ dopĺňa Ondrej Krajč zo spoločnosti ESET.
Hľadajte odborníkov
Vzdelávanie a povinnosť mať napríklad manažéra kybernetickej bezpečnosti sa podľa platných zákonov na Slovensku týka prevádzkovateľov tzv. základnej služby, napríklad nemocníc alebo zdravotných poisťovní.
Poskytovateľom zdravotnej starostlivosti preto odborník na kyberbezpečnosť odporúča zveriť túto agendu do rúk špecialistov na kybernetickú bezpečnosť, ktorí dokážu proces ochrany a zálohovania dát nastaviť na mieru. Nevyhnutné je aj vzdelávanie poskytovateľov zdravotnej starostlivosti v oblasti IT a kybernetickej bezpečnosti.
Najzávažnejšie riziká, ktoré vyplynuli z prieskumu o kyberbezpečnosti v ambulanciách
1. Nedostatočné vzdelávanie v oblasti IT bezpečnosti
Až 78 % respondentov uviedlo, že sa okrem seminárov, ktoré organizuje vzdelávacia inštitúcia Slovenskej lekárskej komory, spoločnosť Lekár, a.s., nestretli s iným spôsobom vzdelávania v oblasti IT bezpečnosti.
2. Nedostatočné zálohovanie a obnova dát
Až 15 % respondentov nevykonáva pravidelné zálohy svojich dát o pacientoch, len 34 % vie obnoviť prevádzku po tzv. ransomwarovom útoku.
Z prieskumu spoločností Dôvera, Lekár, a.s. a Eset tiež vyplynulo, že zhruba 40 % oslovených sa o agendu súvisiacu s IT stará svojpomocne.
3. Neschopnosť identifikovať bezpečnostné incidenty a hrozby
Až 58 % respondentov nevie identifikovať bezpečnostný incident alebo zraniteľnosť, čo môže viesť k strate dát, pozmeneniu ich obsahu a znefunkčneniu prevádzky. Reálny hackersky útok riešili už 2 % respondentov.
4. Používanie súkromných e-mailov na pracovné účely
Až 63 % respondentov používa svoj súkromný e-mail aj na pracovné účely. Sú to otvorené dvere pre tzv. phishingové útoky. Stačí jeden nesprávny klik a útočníci môžu dáta ukradnúť a zašifrovať. Poskytovatelia ZS sa vystavujú riziku vydierania a nefunkčnosti prevádzky ambulancie.
Až 28,9 % respondentov zdieľa pracovný e-mail (aj s heslom do tohto e-mailu) aj s inými kolegami alebo zamestnancami.
Našťastie, viac ako polovica odpovedala, že využíva pri prihlasovaní druhý faktor a iba v 12 % ambulanciách sa na wifi ambulancie môže pripojiť pacient.