Útoky ve zdravotnictví

U doktoraZdravotnictví je dlouhodobě velmi zanedbané z pohledu ochrany dat. Přestože se u lékařů uchovávají ty nejcitlivější osobní údaje, šifrování se nepoužívá vůbec, často se požívají již nepodporované a nezabezpečené sytémy, zálohy jsou nedostatečné, nezabezpečené, nebo dokonce ve své podstatě chybí atp. Velké množství lékařů žije dokonce v přesvědčení, že se jich tato problematika netýká. Přitom je ze zákona lékař povinen tato data chránit bez ohledu na poslední právní úpravy.
Připomeňme si pár útoků na zdravotnictví z nedávné doby. Je jasné, že obor zdravotnictví je pro útočníky velmi lákavý. Zároveň je třeba připomenout vysoké pokuty, které jsou spojené s ochranou osobních dat po zavedení směrnice GDPR. Přitom ochrana je v mnoha případech dostupná i pro poučené laiky a ztrátě dat se dá předejít

• V červenci 2017 byla napadena mailová schránka dětské nemocnice v Coloradu, odkud útočník získal osobní údaje až o 3400 paciantů. Získal tak demografické údaje, jako jména, adresy, data narození, telefonní čísla a také diagnózy a informace o léčbě…
Zdroj: https://www.root.cz/zpravicky/detske-nemocnici-v-coloradu-unikla-data-3400-pacientu-e-mailem/

• 25. srpna 2017 byl zjištěn útok ransomware BitPaymer na několik skotských nemocnic. Po napadených žádá tento vyděračský software výkupné ve výši několika desítek bitcoinů (nyní je 1 bitcoin za cca 3600 Kč).
Zdroj: http://www.itbezpecnost.sk/flash_news/nemocnice-v-skotsku-boli-napadnute-ransomwarom-bit-paymer/

• Přímo na zdravotnická zařízení se soustředí ransomware nazvaný Defray. Ten začal v srrpnu napadat nemocnice ve Spojeném království a v USA. Šíří se prostřednictvím přílohy e-mailu ve formátu Microsoft Word obsahující „zprávu pacienta“ s odkazem. Po spuštění zašifruje obsah počítače a požaduje výkupné 5000 dolarů.
Zdroj: https://arbolet.net/clanek/2373-vzdelani-v-oblasti-bitcoinovych-ransomware-defray

• Jeden z nejmasivnějších útoků ransomwaru napadl v květnu počítače v desítkách zemí po celém světě. Mezi napadenými virem WannaCry (Wcry) byla například řada nemocnic ve Velké Británii, které kvůli tomu přestaly fungovat.
Zdroj: https://www.lupa.cz/clanky/patecni-masivni-utok-ransomware-wcry/

• V roce 2015 řešil Hradecký kraj únik dat pacientů z nemocnic. Soukromá firma se dostala k osobním údajům bez bez zvláštní smlouvy, která k tomu byla potřeba. K jejich zneužití však v tomto případě naštěstí nenastalo.
Zdroj: http://www.ceskatelevize.cz/ct24/regiony/1533334-kraj-potvrdil-ze-firma-neopravnene-stahla-udaje-o-pacientech-nemocnic

• Siemens v srpnu varuje před zranitelnostmi ve svých zdravotnických přístrojích PET/CT (pozitronová emisní tomografie s výpočetní tomografií), SPECT (tomografická scintigrafie) a SPECT/CT. Siemens doporučuje přístroje odpojit od sítě a pokud možno aktualizovat systém.
Zdroj: https://www.root.cz/zpravicky/siemens-varuje-pred-zranitelnostmi-ve-svych-zdravotnickych-pristrojich/

• Ministerstvo vnitřní bezpečnosti Spojených států amerických varuje před kritickými zranitelnostmi infuzních pump od společnosti Smith Medical. Úspěšný útok využívající chyby softwaru umožní vzdálenému útočníkovi získat neautorizovaný přístup k ovládání infuzní pumpy. Nelze vyloučit ani možnost ovlivnit probíhající léčbu pacienta.
Zdroj: https://www.root.cz/clanky/infuzni-pumpy-mohou-byt-ovladnuty-na-dalku-reseni-bude-az-v-lednu/

• Americký Úřad pro kontrolu potravin a léčiv varuje, že kritická zranitelnost firmwaru kardiostimulátorů umožňuje neautorizovaný přístup k zařízení a potenciálnímu útočníkovi umožňuje změnit konfiguraci přístroje.
Zdroj: https://www.root.cz/clanky/fda-svolava-temer-pul-milionu-kardiostimulatoru-kvuli-kriticke-zranitelnosti/

Představa, že téma zabezpečení dat ve zdravotnictví není aktuální, je zcela mylná. Základní ochrana závisí vždy na uživatelích. Každý by se proto měl zajímat, co by měl dělat, i když není “ajťák”…