Če je na primer v energetskem sektorju kibernetska varnost že dolgo prioriteta, zdravstveni sektor doslej ni bil deležen te pozornosti. A napadi so vse pogostejši in povzročajo vse večjo škodo, za hekerje pa so zelo dobičkonosni.
Leta 2023 so jih po Evropi našteli 309, pri večini je šlo za izsiljevanje, stroški večjih napadov pa presegajo 300.000 evrov.
Spletni napadi, ki terjajo življenja
Kibernetski napadi ogrožajo tudi življenja pacientk in pacientov. Pred enim letom so zaradi napada na javno bolnišnico King’s College v Londonu morali prestaviti več kot 10.000 zdravniških obravnav, v enem primeru pa je bilo zelo dolgo čakanje na izvid preiskav krvi pri pacientu odločilen dejavnik za njegovo smrt.
Kot je pokazala naknadna analiza, je napad posredno povzročil okoli 170 zapletov pri zdravstveni oskrbi.
Popolna tarča
Za kibernetske kriminalce so zdravstveni podatki odlična tarča. So namreč centralizirani, razmeroma slabo zaščiteni in zelo dragoceni.
V več kot polovici primerov napadejo z izsiljevalskimi virusi (angleško ransomware). Cilj je žrtvam onemogočiti dostop do lastnih podatkov, dokler ne plačajo odškodnine.
Precej nov je primer bolnišnice v Barceloni: leta 2023 so spletni kriminalci zahtevali 4,5 milijona evrov v zameno za povrnitev dostopa do podatkov. Eden izmed razlogov, da je primer postal javen, pa je dejstvo, da bolnišnica ni privolila v plačilo.
Napad je sicer povzročil precejšnje motnje v delovanju računalniških sistemov, zaradi česar je bilo treba prestaviti okoli 3000 pregledov in 150 nenujnih kirurških posegov, izgubili so tudi več sto izvidov krvi in urina, čeprav je bila skupna količina podatkov majhna, štiri terabajte, kar je mogoče spraviti na disk, manjši od beležnice.
Napad sprožijo s tako imenovanim phishingom oziroma elektronsko pošto z lažnega naslova, ki vsebuje povezavo do programske opreme, s katero hekerji dobijo dostop do podatkov.
Sistemi, ki jih je zelo težko zavarovati
V zdravstvenih ustanovah, kjer dela zelo veliko ljudi, je praktično nemogoče preprečiti takšne zlorabe.
Vse več je tudi drugih vrst kibernetskih napadov: cilj proruskih hektivistov denimo ni denar, ampak oteževanje delovanja zdravstvenih ustanov.
Kljub tveganjem po podatkih ENISA le 27 odstotkov zdravstvenih organizacij v Evropski uniji vzdržuje poseben program za obrambo pred izsiljevalsko programsko opremo, 40 odstotkov pa jih za svoje osebje ne ponuja nobenega usposabljanja.
Varnost naj bo taka, da ne bo omejevala dela zdravstvenih delavcev
Kot je za portal Politico povedal strokovnjak za spletno varnost Hristos Ksenakis, se zdravstveno osebje pogosto ne zaveda tveganj. Navedel je primer, ko so ga v zdravstvenem domu pustili samega v ordinaciji z nezaklenjenimi računalniki. Po drugi strani ga najbrž ne bi nikoli pustili brez nadzora v sobi z zdravili, kakršni so opioidi, je razmišljal.
Kot je povedal Ksenakis, ne smemo kriviti zaposlenih v zdravstvenih ustanovah, ampak bi morali uvesti inteligentna računalniška orodja, ki ne bodo obremenjevala uporabnikov.
Ceneje vlagati v varnost kot plačevati posledice
Računica, da bi bilo treba v te sisteme vložiti več, je jasna – sploh glede na škodo, ki jo lahko povzročijo napadi. Ti lahko znašajo milijone evrov. Največjo škodo je verjetno povzročil napad na zavod za zdravstveno zavarovanje na Irskem maja 2021. Stroške so ocenili na najmanj 101 milijon evrov, dodatnih 657 milijonov pa naj bi porabili za zaščito.
Ukrepanje EU
Povečanje števila kibernetskih napadov na zdravstvene sisteme je letos sprožilo tudi odziv EU. Evropska komisija je januarja predstavila »akcijski načrt« za kibernetsko varnost bolnišnic in zdravstvenega sektorja.
V njem predlagajo ustanovitev Evropskega centra za podporo kibernetski varnosti v zdravstvenem sektorju in službo za hitro odzivanje. Načrt uvaja še »bone« za manjše ponudnike zdravstvenih storitev.
V pripravi je tudi prenovljena zakonodaja, a glavno breme bo vseeno še vedno na nacionalnih zdravstvenih sistemih, ki morajo okrepiti svojo varnost.
