Zdravstveni podaci i njihova bezbednost

Podaci o zdravstvenom stanju pacijenta predstavljaju naročito osetljive informacije i nikome ne bi bilo svejedno ako bi njegovi podaci bili zloupotrebljeni. Koliko su ti podaci danas sigurni i može li se stepen sigurnosti povećati?

Kompjuter, kao izuzetno moćno tehničko sredstvo, danas je nezamenljiv u svim aspektima ljudskog života, od posla i obrazovanja do zdravlja i zabave. Ali, kompjuter nije samo alat koji donosi napredak, već i sredstvo koje omogućava izvršenje različitih krivičnih dela. Najveći problem koji se pojavljuje u ovom kontekstu jeste to što su kompjuteri i Internet postali platforme za nove oblike kriminalnih aktivnosti kojima su direktno ugroženi zdravstveni sektor i pacijenti.

Kako informacione tehnologije napreduju i sve više se koriste u zdravstvu, organizacije su sve više zavisne od ispravnosti i sigurnosti svojih informacionih sistema. Bezbednost zdravstvenih podataka je postala ključna, jer se podaci obrađuju, čuvaju i razmenjuju u digitalnom formatu. Istovremeno, kako raste značaj ovih tehnologija, tako raste i broj potencijalnih rizika koji mogu nastati usled njihove zloupotrebe.

Atraktivno za kriminalce

S jedne strane, Internet i nove tehnologije omogućavaju pacijentima da efikasnije upravljaju svojim zdravljem. Napredak u medicinskoj dijagnostici i efikasniji načini praćenja zdravlja stanovništva, kao i primene digitalnih alata u zdravstvu, znatno su poboljšali kvalitet zdravstvenih usluga. Međutim, s pojačanim prisustvom informacionih tehnologija dolaze i novi rizici, a napadi na informacione infrastrukture može dovesti do ogromne štete.

Napadi na zdravstvene informacione sisteme ne ugrožavaju samo infrastrukturu već i zdravlje i živote ljudi. Kada je zdravstveni sistem na meti cyber napada, posledice mogu biti katastrofalne – od prekida u pružanju zdravstvenih usluga, do krađe osetljivih medicinskih podataka koji mogu biti zloupotrebljeni. U ovom kontekstu, ključna je zaštita i neprekidno unapređenje bezbednosti u zdravstvenom sektoru, kako bi se osigurala sigurnost podataka i zdravlje pacijenata.

Zdravstvena industrija predstavlja izuzetno atraktivnu metu za cyber kriminalce, jer zdravstveni dokumenti sadrže ne samo osetljive lične informacije već i podatke o finansijama koji mogu biti zloupotrebljeni. Uz sve veći značaj digitalizacije u zdravstvenom sektoru, podaci pacijenata postaju lak plen za napadače, što dodatno naglašava potrebu za čvrstom i efikasnom cyber bezbednošću.

Nedovoljne investicije

Nažalost, veliki broj zdravstvenih institucija i dalje ne investira dovoljni u cyber bezbednost, iako broj cyber napada raste iz godine u godinu. Ova nemarnost prema bezbednosti može dovesti do ozbiljnih posledica, jer zdravstvene ustanove često nisu dovoljno pripremljene za napade koji su postali sve sofisticiraniji. Najveći napad koji se desio u 2021. godini pogodio je Florida Healthy Kids Corporation, s 3,5 miliona korisnika. Istraživanja su pokazala da je napad prouzrokovan velikom brojem ranjivosti na sajtu korporacije, što je omogućilo napadačima da pristupe osetljivim podacima.

Napadi na zdravstvene sisteme češći su nego što se misli. Samo 2016. godine, čak 14 bolnica širom Sjedinjenih Američkih Država doživelo je ransomware napade. U ovim slučajevima, hakeri su uspeli da preuzmu kontrolu nad zastarelim serverima, što im je omogućilo da otpreme malware u sistem. Virus Lockey je 2016. pogodio prezbiterijansku bolnicu u Kaliforniji i ometao je pristup dosijeima pacijenata, radiološkim slikama i drugim medicinskim dokumentima. Ovo je izazvalo ozbiljne probleme u zbrinjavanju pacijenata, i na kraju je bolnica bila prinuđena da plati 40 bitkoina (tadašnji ekvivalent od oko 17.000 dolara) otkupnine da bi ponovo dobili pristup podacima svojih pacijenata.

Elektronski zdravstveni karton je digitalna verzija pacijentovog medicinskog kartona. Svaki elektronski zdravstveni karton sadrži informacije o demografiji pacijenta, osiguranju, adresu, broj socijalnog osiguranja, datum rođenja, beleške lekara koji je prepisao lek, detalje o načinu života, listu prepisanih lekova, porodičnu istoriju bolesti, evidenciju o vakcinaciji, laboratorijske rezultate, pa čak i radiološke izveštaje. Kartoni mogu da sadrže informacije o naplati, kao što je broj platne kartice ili cenovnik
izvršenih usluga. Upravo za tim hakeri tragaju, ne bi li iznudili finansijsku dobit.

Ransomware kao ogromna pretnja

Najveći uticaj krađe zdravstvenih kartona primetan je u zemljama u kojima većina građana ima zdravstveno osiguranje. U 2016. godini, 91 odsto stanovništva SAD imalo je zdravstveno osiguranje, što znači da svako veće kršenje bezbednosti sistema utiče na veliki broj građana. Krađa podataka, sem što direktno pogađa žrtvu, njenu privatnost i identitet, takođe može dovesti do usložnjavanja kriminalnog dela. Naime, zabeležen je veliki broj situacija da su nakon krađe cyber kriminalci iskoristili lične podatke za kupovinu droge, poreske prevare, krađu identiteta i slične radnje. Žrtve povrede podataka često nisu ni svesne da su njihovi lični podaci ukradeni.

Godine 1989, na konferenciji Svetske zdravstvene organizacije o AIDS-u, jedan naučnik je svesno distribuirao 20.000 disketa na kojima se nalazio maliciozni virus pod nazivom SIDA. Virus je, nakon što se disketa stavi u računar, preuzimao kontrolu i zaključavao dokumenta. Budući da je izvršilac obećao ključ za dešifrovanje u zamenu za novac, ovaj incident ne samo da je postao poznat kao prvi dokumentovani ransomware napad već i jedan od prvih cyber napada na zdravstveni sistem.

U maju 2017. ransomware WannaCry pogodio je sisteme u 150 zemalja, uključujući digitalizovane zdravstvene sisteme. Na primer, u Velikoj Britaniji, zbog napada na zdravstveni sistem, rad zdravstvenih ustanova, pre svega bolnica, bio je poremećen, što je dovelo do više od 19.000 otkazanih termina pregleda pacijenata i operacija. WannaCry ransomware je korišćen za šifrovanje i zaključavanje računara, a napadači su zahtevali uplatu otkupnine u bitkoinima da bi ih dešifrovali. Virus je iskoristio ranjivost u operativnom sistemu Windows. Prijavljeni su čak i problemi s medicinskim uređajima, kao što su MRI skeneri.

U septembru 2020. psihoterapijski centar Vastamo našao se na meti ucena i pretnji u vezi s podacima koji su ukradeni u novembru 2018. i martu 2019. godine. Vastamo ima 25 terapijskih centara širom Finske. Ukradeni su podaci o oko 36.000 pacijenata, uključujući i maloletnike. Ovi podaci su sadržali veoma osetljive lične zdravstvene informacije, uključujući one o terapijskim sesijama ugroženih pacijenata, kao i zdravstvenim radnicima koji su ih lečili. Od novembra 2020. više od 25.000 žrtava je podnelo krivične prijave. Detalji povrede podataka nisu javno otkriveni, ali Vastamo je priznao ranjivosti i bezbednosne nedostatke koji su doveli do krađe. Napadači su zvali Vastam tek u septembru 2020, kada su tražili otkupninu od 40 bitkoina (procenjeno na oko 450.000 evra). U oktobru, nakon što je Vastamo odbio da plati otkupninu, napadači su počeli da objavljuju grupe od 100 kartona pacijenata dnevno na različitim forumima i platformama, tražeći od pacijenata da plate 500 evra da bi se njihova evidencija uklonila. U osvit napada, Vlada Finske je donela zakone i mere za obezbeđenje baza podataka i osetljivih informacija koje čuvaju organizacije koje nude socijalne i zdravstvene usluge.

U bolnici u Ontariju, Kanada, četiri žrtve su aktivirale malware kliknuvši na phishing e-mail koji je šifrovao njihov računarski sistem. Ovaj primer ujedno ilustruje značaj odgovarajuće kompjuterske obuke zdravstvenog osoblja kako bi se smanjio rizik od takvih napada.

Primer velikog napada tokom COVID-19 pandemije jeste napad na Nacionalnu zdravstvenu agenciju SAD. Radi se o DDoS napadu o kojem se ne zna puno, jer je SAD sakrila većinu informacija od očiju stručnjaka i javnosti i o tome vode računa nacionalne agencije SAD. Drugi veliki napad se desio u Češkoj, na jednu od najvećih bolnica u kojoj je testirano širenje virusa po Evropi. Gašenje IT mreže bolnice dovelo je do odlaganja hitnih operacija i bio je ugrožen rad odeljenja za hitnu medicinsku pomoć. I ovde se radi o DDoS napadu, što nam govori da su zdravstvene ustanove zaista nove velike mete, mada su one već neko vreme ciljevi ne samo DDoS napada nego i drugih malware-a i zloupotreba. Hakeri su napali i oborili IT sisteme kompanije koja se bavi zakazivanjem vakcinisanja protiv COVID-19 u regionu Lacio u blizini Rima. Zdravstveni sistemi u Francuskoj pretrpeli su seriju cyber napada na servere različitih bolnica, kao i sistemi u Španiji kada je ransomware napadom pokušano deaktiviranje rada softvera s podacima pacijenata.

Utrostručeni rizik

U 2021. godini, 45 miliona pojedinaca bilo je pogođeno napadima na zdravstvenu zaštitu, u odnosu na 34 miliona u 2020. godini. Taj broj se utrostručio za samo tri godine – porastao je sa 14 miliona u 2018. godini. Pored zdravstvenih usluga, industrijski lanac snabdevanja medicinskom opremom takođe je ranjiv na cyber napade. Poseban problem predstavljala je krađa intelektualne svojine koja pripada istraživačkim institucijama koje su radile na novim načinima lečenja, dijagnostici i vakcinama. Početkom maja 2020, Nacionalni centar za cyber bezbednost u Velikoj Britaniji obavestio je javnost o značajnom povećanju broja cyber napada koji su počinile neprijateljske države i cyber kriminalci na sisteme britanskih univerziteta i institucija koje su radile na istraživanjima COVID-19 virusa.

Zdravstvena industrija nalazi se na drugom mestu na osnovu broja kršenja bezbednosti podataka godišnje, a samo finansijska industrija je premašuje po broju napada. Da bi se izbegla šteta od potencijalnih napada, nužno je raditi na edukaciji zdravstvenih radnika, a paralelno osigurati bezbednost zdravstvenih informacionih sistema tehničkim rešenjima. Sistem zaštite podataka o ličnosti mora da obuhvati, s jedne strane, tehničke aspekte zaštite informacionih sistema i njihovu bezbednost, a s druge, mora da obuhvati usaglašenu normativnu regulativu i praksu primene zaštite podataka o ličnosti na međunarodnom i nacionalnom planu.

Autor: Katarina Jonev Ćiraković, edukator za bezbednost na Internetu i autor udžbenika za studente „Monitoring i zaštita podataka u zdravstvu“