Ki védi meg az egészségügyi adatainkat? És ki az adatokat
kezelő kórházi rendszereket? Miért fontos ez mindenki számára? Egy egyszerű
esetpélda alapján mindannyian megérhetjük.
Egy kórházban annak rendje és módja
szerint zajlanak a CT-vizsgálatok. Ezeken az eredményeken túlzás nélkül betegéletek
múlhatnak. Ám mi történik, ha egy rosszindulatú elektronikus behatolás nyomán úgynevezett zsarolóvírussal fertőződik meg a rendszer? Az eredmények nem elérhetők, vagy
egészen egyszerűen törlődnek a kórházi rendszerből. Vagy – szintén rossz
verzióként – a behatoló program külsős megbízó számára gyűjt érzékeny
egészségügyi adatokat. Ráadásul biztonsági mentés hiányában az eredmények elő
sem varázsolhatók a kórházi rendszerből.
Az eset részben megtörtént egy magyarországi intézményben, és nem kizárt,
hogy a jövőben is adódhatnak hasonló kísérletek, amelyek nyomán meginoghat az
egészségügyi információs rendszer.
A
számítógépes támadás egy személy vagy szervezet számára történő szándékos károkozás kísérlete,
digitális rendszereik (például számítógépeik) megtámadásával, hogy ellopják,
manipulálják, megzavarják a hozzáférést vagy megsemmisítsék az általuk
bizalmasnak és/vagy függőnek tartott adatokat vagy alkalmazásokat. Kibertámadások gyakrabban fordulnak elő, ha egy személynek vagy szervezetnek
olyan rendszerei vannak, amelyek csatlakoznak az internethez. A számítógépes
támadók gyakran megpróbálják rávenni az embereket, hogy hozzáférést
biztosítsanak számukra ezekhez a rendszerekhez oly módon, hogy olyan e-maileket
küldenek nekik, amelyek törvényesnek tűnő mellékleteket vagy hivatkozásokat
tartalmaznak, de rákattintva a támadó hozzáférhet az illető számítógépéhez vagy
egy szervezet hálózatához.
Mivel az egészségügy továbbra is életfontosságú szolgáltatásokat lát el, továbbá a kezelés és a betegellátás új technológiákkal történő javításán dolgozik, a bűnözők és a kiberfenyegetettség szereplői igyekeznek kihasználni a változásokkal párosuló sebezhetőséget.
Ha egy intenzív osztály ágyán fekvő, több digitális eszközzel monitorozott betegnek megáll a szíve, mert egy külső kibertámadás érte a kórház rendszerét, azonnal élővé válhat a probléma.
Dr. Bencsik Balázs, a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) igazgatója szerint „hazánkban hasonló a helyzet, mint az Európai Unió számos más országában”. Erről a közelmúltban lezajlott XXII. IME Adatvezérelt Egészségügy és Kiberbiztonsági Konferencián tartott előadásában beszélt. Különösen fontos mindez annak a fényében, hogy a NIS2 irányelvnek való megfelelés kötelező érvényű változtatásokat és adminisztrációt ír elő. Az egyre gyakoribb és kifinomultabb kibertámadások a hihetetlenül felgyorsult digitalizáció számos gyengeségre világítanak rá az EU-n belül.
Hogy kire vonatkozik a NIS2 irányelv? Gyakorlatilag mindenkire, így természetesen az egészségügy minden területére.
Szerte a világon hetente több
száz egészségügyi kibertámadást regisztrálnak, melyekben esetenként átlagosan
minimum kétszázezer páciens adata érintett. Éves szinten a több százmilliót is
meghaladja a kibertámadásban érintett áldozatok száma, a kiberbűnözők által
okozott kár pedig eléri az ötvenmilliárd eurót. A kiberbűnözők által elkövetett
adatlopások és adathalászat révén személyes és különösen bizalmas információk
kerülhetnek illetéktelen kezekbe, ami súlyos következményekkel járhat mind a
páciensek, mind az egészségügyi intézmények számára.
A legérzékenyebb adataink egyértelműen az egészségügyi
állapotunkat érintő információk. Ha ezeket egy kéretlen zsarolóvírus vagy
hacker megszerzi, ma már akár tízmilliós összegeket követelhet értük. Több
kritikus iparág is érintett a jövőben valószínűleg egyre sűrűbben előforduló
kibertámadásokban, így az energiaipar, az élelmiszertermelés számos területe, a
digitális szolgáltatók, de még a postai futárszolgálatok is.
Az egészségügyi
szereplők számára – élethű gyakorlatok formájában – szimulációkat tartanak a
HunEX munkatársai – mondta el a konferencián Aradi Zoltán, a Nemzetbiztonsági
Szakszolgálat Nemzeti Kibervédelmi Intézetének munkatársa. Az intézmények vezetői és érintett munkatársai
életszerű helyzetben és módon reagálhattak arra, amikor
a kórházi adatbázis külső kibertámadás áldozatává vált. 2023 során huszonhét egészségügyi intézmény
és dolgozói tesztelték tudásukat különböző helyzetekben. "A cél a dolgozók valós képességeinek és
kapcsolatainak felmérése, felkészülés a megoldásokra és a kommunikációra. A
legnagyobb problémát sok esetben ez utóbbi jelenti, vagyis az, hogy a krízis
idején hogyan kommunikálnak a kórházi menedzsment tagjai és a
dolgozók - mondja Aradi Zoltán. - Az egyik szimulált kerettörténet szerint például egy, a résztvevőkkel szerződésben álló
fejlesztőcéget ért egy korábban nem észlelt és elfedett célzott támadás, amely során
a behatolók egy magyar cég technikai adatait is tartalmazó táblázat birtokába
jutottak. A szervezetek értesítést kaptak a lehetséges támadásról,
amelynek vizsgálatát maguknak kellett végrehajtaniuk különböző
technikai és médiahírek segítségével, kiszűrve a félrevezető, a vizsgálatok
eredményességét hátráltató információkat.”
A betegek és hozzátartozók szempontjából a legfontosabb,
hogy biztonságban érezzék magukat egy egészségügyi intézményen belül.
A közelmúltban az Egyesült Államok legnagyobb egészségügyi fizetési
rendszerét (Change Healthcare) ért kibertámadás miatt egy Ohióban lévő
sürgősségi osztály teljesen leállt, és Floridában számlafizetési problémái következtében egy rákos betegeket ellátó
központ legkritikusabb betegei számára a
kemoterápiát sem tudta biztosítani. Ezek csak a sajtóban kiemelt esetek, de
számos egészségügyi ellátó küzdött komoly problémákkal, a gyógyszerek
kiváltásán és az orvosok fizetésén át a műtétek finanszírozásáig. „Egyszerűen
rávilágít egészségügyi rendszerünk törékenységére” – mondta Ryan S. Higgins
ügyvéd, aki egészségügyi szervezeteknek ad kiberbiztonsági tanácsokat. Az
amerikai kórházipar „az amerikai történelem legjelentősebb kibertámadásának az
Egyesült Államok egészségügyi rendszere ellen” minősítette az esetet,
melynek megoldásait jelenleg is nagy erőkkel keresik.
A hazai egészségügyi rendszer szerencsére még nem szembesült hasonló
nagyságrendű támadással, ám a jövőben minden eshetőségre fel kell készülnie
mind az állami, mind pedig a magánszektor szereplőinek.
