Kriminalci sve češće ciljaju vrijedne zdravstvene podatke, ugrožavajući živote pacijenata.
Simon Majer, hirurg za traumatologiju i ortopediju, nije bio na dužnosti kad ga je jednog večernjeg časa pozvao kolega. Univerzitetska bolnica u Frankfurtu bila je meta masovnog sajber-napada koji je zahtijevao hitan odgovor.
Sjutradan ujutro, Majer, koji je takođe planirao hitne intervencije u bolnici, sjedio je na kriznom sastanku sa upravom. IT timovi su cijelu noć radili bez uspjeha, a sada je pred njima bila važna odluka.
“Morao se isključiti cijeli bolnički internet,” rekao je Majer. “Nijesmo htjeli nikome dozvoliti da se više miješa u IT sisteme”.
Internet je isključen, baze podataka zamrznute, a osoblje se moralo prebaciti na papir i telefon da bi nastavili brigu o pacijentima.
“To je ozbiljno narušilo komunikaciju među elektronskim sistemima,” rekao je Majer. Pristup laboratorijskim rezultatima i podacima sa mobilnih rendgen-aparata postao je problematičan, jer sistemi nijesu mogli slati podatke u bolničku bazu.
“Morao sam da pomjerim termine pregleda da bismo mogli da pogledamo kartone pacijenata i da odložimo neke planirane operacije,” dodao je on.
Više od godinu i po kasnije, sistem još nije potpuno vraćen u “normalu”, rekao je Majer. Internet i pristup bazama su i dalje ograničeni, a skupa obnova infrastrukture je u toku da se zatvore ranjivosti koje su dugo iskorišćavane.
Ovaj napad je samo jedan od 309 sajber-napada na zdravstveni sektor u EU u 2023. godini, više nego na bilo koji drugi važan sektor. Troškovi ozbiljnih incidenata obično dosežu oko 300.000 eura.
Osim finansijskog uticaja, sajber-napadi ugrožavaju i živote pacijenata. To je postalo jasno u nedavnom slučaju u Velikoj Britaniji, gdje je smrt pacijenta bila povezana između ostalog, sa zakašnjelim rezultatima krvnih testova usljed sajber-napada koji je prošlog ljeta poremetio patološke usluge.
Generalni direktor Svjetske zdravstvene organizacije (SZO), Tedros Adanom Gebrejesus, rekao je da su sajber-napadi na zdravstvo “pitanja života i smrti”.
Iako je zdravstvo posljednjih godina postalo glavni cilj sajber-kriminalaca, ugrožavajući živote, sektor paradoksalno ulaže najmanje u sajberbezbjednost u odnosu na druge industrije, ostavljajući vrijedne podatke ranjivim.
Savršena meta
Za sajber-kriminalce, ciljanje zdravstvenih podataka “je savršen biznis plan”, rekao je Hristos Ksenakis, profesor digitalnih sistema na Univerzitetu u Pireju, u Grčkoj. “Lako je ukrasti podatke, a ono što ukradu, mogu prodati po visokoj cijeni”.
Ukradeni podaci se prodaju na mračnom internetu kriminalcima koji ih koriste za krađu identiteta, prevare s osiguranjem ili ucjene. Da bi vratili poremećene sisteme, kriminalci traže milione eura, na primjer, hakeri su tražili 4,5 miliona dolara za vraćanje ukradenih podataka nakon sajber-napada na bolnicu Clinica u Barseloni. Bolnica nije pristala da plati.
Međutim, rastu i drugi oblici sajber-napada, uključujući one proruskih hakativista koji žele da poremete rad zdravstvenih ustanova, a ne da profitiraju.
Uprkos rizicima, samo 27 posto zdravstvenih ustanova ima program zaštite od ransomwarea, a 40 posto ne nudi obuke o sigurnosti zaposlenima van IT sektora, pokazalo je drugo istraživanje ENISA.
Kreiranje kulture sajberbezbjednosti
Ksenakis smatra da zdravstveni sektor vidi sajberbezbjednost kao “nešto što nije njihov posao” i kao “luksuz” a ne neophodnost. Zdravstveni radnici nijesu svjesni rizika, zbog čega je “cyber higijena” loša.
Prisjeća se da je ostao sam u doktorovoj kancelariji sa nezaštićenim računarima, lakim plijenom za hakere. “Da sam htio, bilo bi lako,” rekao je.
S druge strane, sumnja da bi ga ostavili u sobi sa specifičnim lijekovima. Bolnice razumiju rizike od nepažljivog rukovanja lijekovima, ali “ne mogu da shvate sajberbezbjednost”.
Zadatak je stvoriti kulturu dobre prakse sajberbezbjednosti za zaštitu podataka i sistema, rekao je Ksenakis. “Edukacija o tehnologiji je ... izuzetno slaba”.
Nalazi finskog Fonda za inovacije Sitra to potvrđuju. Iako mnoge zdravstvene organizacije imaju politike sajberbezbjednosti, one nijesu “jasno saopštene ili dosljedno shvaćene od strane osoblja”. Velika fluktuacija kadra, ne samo medicinskog, nego i u službama za sajberbezbjednost, dodatno “pogoršava nedostatke u obuci i sprovođenju politika”.
Sabina Magalini, bivša profesorica hirurgije na Katoličkom univerzitetu Svetog Srca u Rimu, koja je koordinirala projekat PANACEA finansiran iz EU za poboljšanje sajberbezbjednosti u bolnicama, vjeruje da postojeći zakoni ne uzimaju u obzir specifične probleme bolnica. “Bolnice imaju drugačije probleme,” rekla je, navodeći visoku fluktuaciju kadra, nedostatak obuka i preopterećenje.
“Bolnica nije nuklearna centrala... Ona je kao luka... sa pristaništem: ljudi dolaze, odlaze, i sve je otvoreno”, rekla je Magalini.
Dodala je da bolnice treba da imaju stalne vježbe sajberbezbjednosti i efikasne sisteme koji ne usporavaju pružanje usluga. Zdravstveni radnici “ne žele da pola dana provedu prijavljujući se i odjavljjujući,” rekla je.
Krivica je u sistemu, ne u ljudima
Ipak, obuka osoblja, iako korisna, nije dovoljna da riješi sigurnosne prijetnje.
“Ako u bolnici radi 2.000 ljudi, vjerovatnoća da neko klikne na link u fišing poruci je neizbježna”, rekao je Ksenakis. Pogotovo što sajber-kriminalci sve više koriste vještačku inteligenciju za automatizovane napade, poput fišinga i deepfake prevara, čineći napade “veoma sofisticiranim i ciljanim”.
“Ne možete kriviti ljude”, rekao je Ksenakis. Potrebni su inteligentni alati za otkrivanje da bi se “eliminisala šteta... ili suzbio napad”.
Magalini je ukazala i na još jedan problem: konsultantske firme za sajberbezbjednost koje pomažu bolnicama uglavnom dolaze iz zemalja van Evrope. “Dolaze iz SAD-a, Kanade... i Rusije,” rekla je, dodajući da treba razviti “evropski pristup sajberbezbjednosti”.
Praznine u investicijama
Iako su rizici očigledni, nacionalne vlade štede na prevenciji, kaže Ksenakis, dodajući da ne zna ni za jedan dobar primjer zemlje “koja je puno ulagala u sajberbezbjednost zdravstva”.
U Njemačkoj, na primjer, “navikli su samo da donose nove propise, ali ne ulažu ništa u sajberbezbjednost bolnica”, rekao je Majer.
Vjeruje da bi njegova bolnica u Frankfurtu ranije otkrila napad da je imala sistem za detekciju upada. “Bili smo vrlo srećni što smo otkrili napad prije nego što je uništio cijelu bazu podataka,” rekao je Majer. “Moglo je doći do potpune obustave rada bolnice.”
“Prijetnje sajberbezbjednosti predstavljaju ogromne izazove za zdravstveni sektor jer ugrožavaju dostupnost ključnih zdravstvenih usluga”, rekao je za POLITICO portparol njemačkog ministarstva zdravlja. Njemačka podržava sektorske standarde sajberbezbjednosti i zahtijeva od bolnica da ulože najmanje 15 posto sredstava dobijenih kroz program za buduću otpornost bolnica u okviru plana za oporavak i otpornost.
Evropski komesar za zdravstvo Oliver Varhelji je takođe jasno rekao da investicije moraju da dolaze od nacionalnih vlada. “Kad dođete u bolnicu, uvijek vidite stražara na ulazu. Za to ima novca, pa treba da ima i za zaštitu podataka”, rekao je u januaru.
Ali s obzirom na česta nedovoljna ulaganja u zdravstvo, koliko vlade mogu da izdvoje za sajberbezbjednost “ostaje pitanje”, rekla je Magalini. “Ima toliko drugih (zdravstvenih) problema koji nijesu vezani za sajberbezbjednost... tako da ne znam kako će napraviti te investicije”.
Cijena nečinjenja može biti stotine miliona eura, kao u slučaju napada na irsku službu zdravlja u maju 2021. koji je ugasio IT sisteme javnog zdravstvenog sistema zemlje. Procijenjeni trošak napada bio je najmanje 101 milion eura, uz dodatnih 657 miliona za jačanje odbrane od budućih napada.
“Zašto je koštalo toliko? Ne zbog štete, nego jer je neko pametan odlučio: ‘Ne, moramo da obnovimo sistem na siguran način’,” rekla je Magalini.
Rej Veli, ljekar opšte prakse iz Irske, lično je doživio kako je napad prekinuo vezu sa bolničkim sistemom. “Nijesmo mogli da šaljemo upite. Uticalo je na tok iz bolnice. Nijesmo dobijali rezultate krvnih analiza, rendgena i skeniranja”, rekao je.
Veli vjeruje da je “sajberbezbjednost samo još jedan oblik zdravstvene zaštite.” “Moramo ulagati u to”, rekao je. “Moramo biti proaktivni. Moramo trošiti novac”.
Akcija EU: dobra, ali može bolje
Sve veći broj sajber-napada na zdravstvene sisteme pokrenuo je odgovor EU ove godine. Evropska komisija je u januaru predstavila “akcioni plan” za sajberbezbjednost bolnica i zdravstvenog sektora.
Plan predviđa uspostavljanje Evropskog centra za podršku sajberbezbjednosti u zdravstvu pri ENISA-i i specijalnu službu za brzi odgovor. Plan uvodi i “vaučere za sajberbezbjednost” koji će omogućiti zemljama EU da finansijski pomognu manjim pružaocima zdravstvenih usluga da unaprijede otpornost na sajber-napade.
“To je dobro,” rekao je Markus Kalijola, direktor programa u Sitri. Ali “može biti jače”.
On je jedan od autora Komisijinog izvještaja, koji ukazuje na nejasnu EU upravu, nedostatak jasnih ciljeva i budžeta, te propuštenu priliku za uspostavljanje jedinstvenog tržišta za sajber-rješenja.
Sitra predlaže da se ide dalje od EU plana, gledajući sajberbezbjednost kao pitanje nacionalne sigurnosti; uvodeći obaveznu spremnost na sajber-napade za zdravstvene ustanove; uključujući sajber-znanja u osnovnu obuku zdravstvenih radnika; i organizujući više pan-evropskih vježbi sajberbezbjednosti.
Sa promjenama u geopolitici, “to je i pitanje nacionalne sigurnosti”, rekao je Kalijola. “Zemlje članice EU treba da se fokusiraju ... na nacionalnu strategiju za zaštitu ovih ključnih zdravstvenih usluga”, dodao je.
Da li će sigurnost Evrope biti dio konačnog Komisijinog plana za sajberbezbjednost bolnica ostaje da se vidi; EU je završila konsultacije i obećala da će do kraja godine predstaviti dopunjeni plan.
Drugi dijelovi zakonodavstva EU, uključujući Direktivu NIS2, Zakon o sajber-otpornosti, Zakon o vještačkoj inteligenciji i pravila za medicinske uređaje, takođe podižu standarde sajberbezbjednosti u raznim sektorima, uključujući zdravstvo.
Međutim, “uprkos napretku u regulativi i tehničkim rješenjima, sprovođenje je neujednačeno. Nema vremena za gubljenje u pretvaranju pravila u stvarnost”, rekao je Kalijola.
Komentari (0)
POŠALJI KOMENTAR