Bár jelentősen javult az utóbbi időben az egészségügyi és gyógyszerészeti iparág biztonsági helyzete a vállalatok biztonsági értékelésével foglalkozó BitSight Technologies tanulmánya szerint, ebben a szektorban nőtt a legnagyobb mértékben az incidensek száma, és a fenyegetésekkel szembeni kitettség átlagos, 5,3 napos időtartama hosszabb, mint a többi vizsgált iparágban (pénzügy, kiskereskedelem, közművek). Ezek a megállapítások összhangban vannak a biztonsági tréningeket kínáló SANS Institute 2014-es Health Care Cyber Threat Report című kutatásában leírtakkal, mely szerint a hackerek ellenőrzése alá vont orvosi eszközök, konferenciarendszerek, webkiszolgálók és biztonsági megoldások valósággal elárasztják egészségügyi információkkal a kiberbűnözőket.
Ezeknek a berendezéseknek és alkalmazásoknak egy részénél a gyári alapbeállítású felhasználói azonosítót és jelszót telepítésük után nem változtatták meg, így egészen addig – akár hónapokon keresztül is – a hackerek szabad prédái, amíg fel nem fedezik a szervezetnél az adatlopást.
Nem stratégiai kérdés a biztonság
Súlyos adatvédelmi problémákat találtak a Cigital biztonsági cég szakértői, amikor nemrégiben Egyesült Államok-szerte megvizsgálták az egészségügyi intézményekben használt orvosi eszközöket. Komolyan veszélyezteti az adatok biztonságát és integritását a gyenge titkosítás, a kulcskezelés hiánya, a nem megfelelő hitelesítési és engedélyezési protokollok, valamint a nem biztonságos kommunikáció. Ha bizalmas adatok kerülnek illetéktelen kezekbe, annak nem csupán a páciensek látják kárát, hanem az egészségügyi szolgáltatóknak és a készülékgyártóknak is komoly presztízsveszteséget okoz, nem beszélve arról, hogy nem felelnek meg a szabályozási követelményeknek.
Ráadásul az egészségügyi szervezetek a pénzügyi szektor szereplőivel ellentétben nem tekintik stratégiai üzleti kérdésnek az informatikai biztonságot. Ennek megfelelően nem fordítanak elegendő mennyiségű pénzt az adatok védelmére, főként azért, mert vezetői szinten a kiberbiztonság nem kap kellő figyelmet. Tovább súlyosbítja a helyzetet, hogy az egészségügyi iparágban rengeteg olyan laptopot, szervert és más eszközt lopnak vagy veszítenek el, amelyek beteg- és személyes adatokat tartalmaznak. A Verizon 2014-es Data Breach Incident Report című tanulmánya szerint az ilyen típusú incidensek felelősek az iparág által elszenvedett információvesztések közel feléért (46 százalékáért).
Szakértők szerint az egészségügyi szervezetek azért sem fordítanak kiemelt figyelmet az adatvédelemre, mert abban a hamis tudatban élnek, hogy a kiberbűnözők még mindig főként a hitelkártyaszámokra specializálódnak, nem pedig a beteginformációkra. Márpedig abból, hogy a Gemalto biztonsági cég felmérése megállapította: tavaly az összes világszerte elkövetett adatlopási incidens 25 százaléka az egészségügyi szektorban történt, igazán levonhatnák a következtetést, hogy a helyzet immár gyökeresen megváltozott. A BitSight fentebb már idézett tanulmánya megállapította, hogy a pénzügyi szektorban – bár itt szintén nőtt a biztonsági incidensek száma – a fenyegetésekkel szembeni átlagos kitettség a legrövidebb, 3,7 nap, ami azt jelzi, hogy a bankok, pénzintézetek gyorsan észlelik és elhárítják az őket érő kibertámadásokat. Ez is egy oka lehet annak, hogy a számítógépes bűnözők újabban a könnyebben becserkészhető áldozatnak ígérkező egészségügyi intézményeket veszik inkább célba.
Ráadásul biztonsági kutatók vizsgálatai szerint az egészségügyi adatrekordok akár a bankkártyaszámok tízszeresét is érhetik a feketepiacon. Nagyösszegű számlázási csalásokhoz, illegális gyógyszervásárlásokhoz, személyiséglopáshoz, célzott adathalászati támadásokhoz és az érintett páciensek zsarolásához (ha nem fizet, nyilvánosságra hozzák a gyenge egészségi állapotára vonatkozó információkat) egyaránt fel lehet használni őket. Hasznosítási időtartamuk is hosszabb, mint a hitelkártyaszámoké, mivel az utóbbiakat azonnal letiltja tulajdonosuk, mihelyt kiderült, hogy ellopták őket. Az egészségügyi adatok lopással szembeni kitettségét fokozza továbbá, hogy az utóbbi időszak trendjének megfelelően a korábban csak offline elérhető, különálló adatforrásokat egyesítették, és online elérhetővé tették. Tudják ezt jól a hackerek is, és az új lehetőségekkel élve intenzíven keresik ezen adatbázisok gyenge pontjait, hogy rátehessék kezüket az értékes adatokra.
Hiányos védekezés
Márpedig néhány általánosan bevezetett biztonsági funkcióval elejét lehetne venni a hatalmas károkat okozó és beláthatatlan következményekkel járó adatlopási incidensek jó részének. Jelentősen megnehezítené a kiberbűnözők dolgát, ha erős titkosítással védenék az egészségügyi adatokat, hiszen nem lenne elég csupán feltörniük a védelmi rendszereket, további komoly erőfeszítésükbe kerülne és rengeteg időt venne igénybe, vagy kivitelezhetetlen lenne hozzájutniuk a hasznos információkhoz.
Mivel az adatlopási esetek jó részénél adathalászattal, fiókfeltöréssel vagy más hackermódszerekkel megszerzett bejelentkezési információkat használtak a megtámadott szervezetek rendszerébe való belépésre, az online bankolásnál széles körben alkalmazott kétfaktoros azonosítás bevezetése megakadályozná a más nevében való jogosulatlan belépést. A kétfaktoros azonosításnál a szolgáltató a számítógépen bejelentkezést kezdeményező ügyfél mobiltelefonjára egy szöveges üzenetben elküldi a tranzakciók, adatlekérések lebonyolításához szükséges, egyszer használatos jelszót. Biztonsági szakértők szerint ezzel megakadályozható lett volna az Anthem egészségbiztosító lentebb tárgyalt adatlopási incidense. Ugyanis a behatolást úgy fedezték fel, hogy egy ügyfél észrevette, illetéktelenek garázdálkodnak a fiókjában, s erről értesítette a szolgáltatót. Ha lett volna kétfaktoros azonosítás, sokkal hamarabb kiderült volna, hogy hackerek támadják a rendszert, s elkerülhető lett volna sokmilliónyi adatrekord illetéktelen kezekbe kerülése.
Megdöbbentő adatvesztések a közelmúltból
Ha csak az utóbbi pár hónapos időszakot nézzük, komoly adatvesztési és nyilvánosságra kerülési incidensekről érkezett hír az egészségügyi szektorból, sajnos immár Magyarországról is.
Március közepén jelentette be az amerikai Premera Blue Cross egészségbiztosító, hogy 11 millió ügyfelét érinthette az a január végén felfedezett adatlopási eset, melynek során nevekhez, születési dátumokhoz, társadalombiztosítási számokhoz, postai és email-címekhez, telefonszámokhoz, bankszámlaszámokhoz, valamint klinikai információkhoz férhettek hozzá a hackerek. Sokkoló tény, hogy a támadás hónapokkal korábban, 2014 májusában kezdődött, és olyan ügyféladatokat érintett, amelyeket 2002 óta tárol a vállalat. Az adathalászati aggodalmak eloszlatása érdekében a figyelmeztető leveleket postán küldték el a potenciálisan érintett ügyfeleknek, akiknek két évig a személyazonosság-lopás ellen védő ingyenes szolgáltatást nyújtanak. Azt nem tudni, hogy a bizalmas adatokat át is töltötték-e saját rendszerükre a bűnözők, mindenesetre a Premera azt közölte, hogy eddig nincs bizonyíték olyan esetre, amikor az érintett adatokat rosszindulatú célokra használták volna.
Pár héttel korábban az egyik legnagyobb amerikai egészségbiztosító, az Anthem számolt be adatlopásról, amely lényegesen több, 78,8 milliónyi egészségügyi adatrekordot érinthetett, és még mindig nem tudni, hogy ezek közül hányat töltöttek le maguknak a támadást végrehajtó hackerek. Az ellopott információk között az ügyféladatok mellett a vállalat alkalmazottaira vonatkozó adatok is – többek között a fizetések összege – szerepeltek. Az Anthem hálózatába a vizsgálatok szerint tavaly december elején hatoltak be a kiberbűnözők, és a támadás több hétig tartott. Biztonsági szakértők szerint fennáll a gyanúja annak, hogy mind a Premera Blue Cross, mind az Anthem incidens mögött a kínai kormány áll, mivel a támadásokhoz az állítólagosan a kínai állam által szponzorált Deep Panda hackercsoporthoz tartozó infrastruktúrát használták.
Cikkünk írása idején sokkolta a hazai közvéleményt az a megdöbbentő hír, hogy közel egymillió kórházi beteg adatai kerültek ki hanyagságból az internetre, amelyeket bárki elérhetett, bár a táblázatok neveket nem tartalmaztak. A TV2 televízió csatorna Tények című műsorában egy név nélkül nyilatkozó férfi elmondta, egy adatkezeléssel foglalkozó cég weboldalán találta az adatokat, amelyekből a munkáltatók megtudhatták, hogy alkalmazottaik voltak-e kórházban, ha igen, miért, illetve megismerhetővé vált a betegség azonosító kódja. Az érintett cég elismerte a hibát, és az adatokat elérhetetlenné tette. Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság elnöke az üggyel kapcsolatban úgy nyilatkozott, hogy miután sok állampolgárt érintő különleges adatokról van szó, a szigorú hatósági eljárás elindítása is szóba jöhet.