Jak to możliwe, że przestępcy dostają się do systemów ochrony zdrowia?

Wyciek danych z Alabu to przypomnienie, że choć elektroniczna dokumentacja ułatwia życie pacjentom, może się stać łatwym łupem internetowych przestępców.

Kwiecień 2014 r. odcisnął się na całym amerykańskim rynku medycznym. Grupa cyberprzestępców przełamała wtedy zabezpieczenia systemów informatycznych spółki Anthem (obecnie Elevance Health) i wykradła z nich dane: dokumentację pacjentów, informacje o pracownikach i innych klientach spółki. Łącznie nielegalnie pobrano dane 78,8 mln Amerykanów. Gigantyczny wyciek pozostał niezauważony aż do stycznia następnego roku.

Szczególnie porażał zakres danych, do których zyskali dostęp przestępcy – m.in. nazwiska, daty urodzenia, adresy domowe i poczty elektronicznej, informacje o numerach ubezpieczenia zdrowotnego czy o przychodach. Afera kosztowała firmę ponad 200 mln dol. Była to stawka nie tylko za wzmocnienie nadzoru, lecz przede wszystkim za odzyskanie zaufania.

Afera Anthem była największym wyciekiem danych pacjentów w historii. Ale tylko jednym z wielu – sektor medyczny jest tym najczęściej atakowanym przez cyber przestępców. – Są różne rodzaje ataków hakerskich. Te, o których słyszymy i które pojawiają się w oficjalnych statystykach, to najczęściej ataki typu ransomware czy DDos. Pierwszy polega na zainfekowaniu systemu informatycznego złośliwym oprogramowaniem, które szyfruje dane użytkownika, uniemożliwiając korzystanie z nich. Drugi to wysyłanie przez zainfekowane komputery wielu zapytań, które powodują przeciążenie serwera atakowanej placówki i paraliżują jej system komputerowy. Ich celem jest wymuszenie okupu. Takie ataki są widoczne, dlatego o nich słyszymy i widzimy je w statystykach – tłumaczy Bartłomiej Drozd, ekspert serwisu Chronpesel.pl. – Gorzej, gdy przestępcy wykradną dane pacjentów. Często dowiadujemy się o tym dopiero wtedy, kiedy zacznie się do nich zgłaszać komornik za niespłacanie kredytów, które ktoś zaciągnął na ich konto – dodaje.

Takich przypadków przybywa z roku na rok. W 2018 r. atak na serwery doprowadził do bankructwa firmy American Medical Collection Agency (AMCA), która świadczyła usługi windykacyjne dla innych podmiotów, m.in. Quest Diagnostics czy LabCorp. Z AMCA wykradziono informacje o pacjentach, a następnie bazę danych wystawiono w dark webie (obszarze sieci, do którego eksploracji są potrzebne specjalne przeglądarki). Koszt ugody z klientami wyniósł 21 mln dol. (czyli dolara za pokrzywdzonego pacjenta).

W 2022 r. przestępcy włamali się do Shields Health Care Group z Massachusetts, która oferuje usługi związane z zarządzaniem i diagnostyką obrazową. Wśród skradzionych danych były nie tylko numery ubezpieczenia, lecz także historie chorób pacjentów. Sprawa dotyczy 2 mln osób i jeszcze nie znalazła finału w sądzie.

Także w Polsce wycieki danych z podmiotów leczniczych zdarzają się co kilka miesięcy. Wiadomo, że w lutym 2021 r. Urząd Ochrony Danych Osobowych (UODO) nałożył na jednego z przedsiębiorców prowadzących prywatną klinikę karę 85 tys. zł (nie podaje jednak szczegółów) za to, że nie poinformował on pacjentów o zdarzeniu. Z kolei w listopadzie 2021 r. serwis Niebezpiecznik.pl opisał wyciek danych z serwisu Upacjenta.pl: ktoś włamał się do systemu informatycznego dostawcy i uzyskał dane o zdrowiu pacjentów. W komunikatach nie było jednak informacji o skali zdarzenia.

Do największego jak dotąd wycieku informacji medycznych w Polsce doszło w ubiegły poniedziałek. Cyberprzestępcy ukradli i ujawnili dane o 50 tys. badań wykonanych przez firmę Alab Laboratoria. A to tylko próbka – paczka miała 2 gigabajty. Przestępcy mieli grozić, że jeśli nie otrzymają okupu, to do końca roku opublikują cały zbiór. Jak podaje zespół CERT firmy Orange, bezprawnie opublikowane dane dotyczą pacjentów podwarszawskiego centrum medycznego, stołecznej kliniki ginekologicznej i prywatnej praktyki medycznej z Łodzi. Badania wykonywali w okresie od października 2017 r. do września 2023 r. Poszkodowani mogą być nie tylko pacjenci, którzy sami zgłaszali się do Alabu, bo firma wykonuje diagnostykę na zlecenie 3,5 tys. podmiotów medycznych: szpitali, przychodni POZ, prywatnych praktyk.

Wyciek wywołał wstrząs, zwłaszcza że firma długo zwlekała z przekazaniem o nim informacji pacjentom. Oficjalny komunikat wydała dopiero po ośmiu dniach od wykrycia naruszeń. Przyznała w nim, że skradzione dane mogą posłużyć przestępcom do zaciągania kredytów w instytucjach parabankowych. Wzrosło też ryzyko podszywania się w placówkach opieki medycznej pod inne osoby, wyłudzania ubezpieczenia czy rejestrowania karty SIM na cudze dane w celu podejmowania nielegalnych działań.

Jak to możliwe, że przestępcy dostają się do systemów ochrony zdrowia? Prześledźmy jeszcze raz przypadek Anthemu.

Początkiem był zapewne biały wywiad. Przestępcy przeszukują publicznie dostępne źródła informacji, takie jak media społecznościowe, strony internetowe spółek czy artykuły w prasie, żeby ustalić strukturę firmy i wyłowić kluczowych pracowników. Następnie profilują pod nich wiadomości, które mają sprawić, by kliknęli albo otworzyli zainfekowane złośliwym oprogramowaniem załączniki. Może to być np. e-mail od przełożonego czy z działu IT. Gdy któryś z pracowników złapie się na podstęp, przestępcy wyłudzają od niego hasła lub instalują na jego komputerze oprogramowanie szpiegujące. W ten sposób wchodzą do systemu i wykradają z niego dane. W przypadku Anthem hakerzy zdobyli dostęp do kont aż 50 pracowników i 90 różnych systemów – również tego, który zawierał dane pacjentów. Kopiowanie informacji zajęło im miesiąc.

Prawdopodobnie podobny mechanizm rok temu doprowadził do kryzysu w Centrum Zdrowia Matki Polki w Łodzi. Przestępcy włamali się do jego systemu, szyfrując dyski szpitala. Chodziło nie tylko o dane, lecz także o zablokowanie funkcjonowania placówki – ponieważ działalność szpitala praktycznie została sparaliżowana, można było żądać okupu za odblokowanie dysków. Lekarze nie mogli wystawiać skierowań na badania czy recept, nie widzieli też wyników pacjentów. Dyrekcja podjęła decyzję o zawieszeniu całego systemu, aby chronić dane zdrowotne. Wszyscy musieli przejść na obieg papierowy, co spowodowało, że części badań – takich jak tomografia – w ogóle nie można było wykonywać. Szpital postanowił się nie ugiąć, za to uznał, że musi zbudować nową, lepiej zabezpieczoną sieć komputerową. Przeszkolono też pracowników, którzy od tamtej pory nie mogą np. wkładać do szpitalnych komputerów urządzeń zewnętrznej pamięci.

Paradoksalnie szpitalowi było łatwiej wyjść z kryzysu, niż będzie Alabowi. Głównie dlatego, że to publiczny podmiot. Wszystkie ręce na pokład rzuciły Ministerstwo Zdrowia, Centrum e-Zdrowia (czyli jednostka informatyczna podległa MZ) oraz Naukowa i Akademicka Sieć Komputerowa (NASK). Szpital mógł też liczyć na państwowe pieniądze. Od 2022 r. na poprawę cyberbezpieczeństwa w placówkach NFZ i MZ przeznaczyły ponad pół miliarda złotych.

Co ciekawe, nie zawsze to przestępcy odpowiadają za wycieki danych. Czasem to wina działań samego operatora usług. Zajmująca się telemedycyną amerykańska spółka Cerebral sama przekazywała poufne informacje zdrowotne 3,1 mln użytkowników do Google’a, TikToka i Mety, czyli właściciela Facebooka. Dane te były udostępniane firmom technologicznym w czasie rzeczywistym za pośrednictwem modułów śledzących, które Cerebral umieścił w swoich aplikacjach. Pozyskały one w ten sposób nazwiska, numery ubezpieczenia i szczegóły wdrożonego leczenia. A jeśli pacjent wykupił w aplikacji subskrypcję, big techy dowiadywały się nawet o terminach wizyt. Na tej podstawie mogły oczywiście wyświetlać użytkownikom reklamy.

W2022 r. zespół reagowania w NASK wykrył 43 incydenty bezpieczeństwa w sektorze ochrony zdrowia. Rok wcześniej było ich trzy razy mniej. Nie dziwi to dyrektorów szpitali. Choć nie chcą mówić o szczegółach, bo w bezpieczeństwie im ciszej, tym lepiej, to ci z największych placówek potwierdzają, że codziennie po kilka tysięcy razy ktoś sprawdza podatność ich sieci. – To zautomatyzowane działania. Przestępcy mogą nawet nie wiedzieć, że testują zabezpieczenia szpitala – mówi jeden z dyrektorów.

– Ochrona zdrowia przetwarza olbrzymią liczbę tzw. szczególnych kategorii danych osobowych, które można bez przesady określić jako dane krytyczne dla funkcjonowania społeczeństwa – podkreśla Adam Sanocki, rzecznik UODO. – Tymczasem systemy informatyczne w określonych placówkach zdrowia nadal nie spełniają wymogów zgodnych z ogólnym rozporządzeniem o ochronie danych (RODO) – dodaje. Przewiduje, że wraz z postępem cyfryzacji usług medycznych liczba ataków będzie wzrastać. Zagrożenie nie dotyczy tylko największych podmiotów medycznych stosujących wdrożone środki bezpieczeństwa, z których kradzież danych nierzadko wymaga sporych wysiłków. – Na celowniku są więc też małe placówki, często prowadzone przez osoby fizyczne, które nie wdrożyły na czas adekwatnych środków w celu ochrony swoich zasobów – tłumaczy Adam Sanocki z UODO.

Jak wynika z raportu zajmującej się cyberbezpieczeństwem firmy Fortinet, kluczowe jest zatrudnianie specjalistów w zakresie IT. Tymczasem brakuje ich w co trzeciej placówce w Polsce. Co więcej, tylko 16 proc. z nich prowadziło w ostatnich latach regularne szkolenia z zakresu cyberbezpieczeństwa. A jest to jeden z podstawowych kroków, które trzeba podjąć, by odbudować zaufanie do placówki medycznej jako brokera danych.

W przypadku Alabu proces ten potrwa długo. Na razie spółka nie oferuje zbyt wiele swoim pacjentom. W komunikacie zamieszczonym na stronie internetowej nie pada nawet słowo „przepraszamy”. Jest tylko kilka lakonicznych rekomendacji: założenie konta w systemie informacji kredytowej, zachowanie szczególnej ostrożności przy podawaniu danych przez telefon czy zastrzeżenie numeru PESEL.

Wzorem mogłoby być dla niej postępowanie w sprawie Anthem. Kolejne lata stały się dla spółki pasmem batalii sądowych. Jak wyliczała amerykańska prasa, cały incydent kosztował Anthem, bagatela, 260 mln dol. Do sądów wpłynęło ponad 100 pozwów przeciwko firmie. W ramach ugody z poszkodowanymi uruchomiła ona bezpłatny program ochrony przed kradzieżą tożsamości i nadużyciami kredytowymi. Było to rozwiązanie podobne do polskich alertów BIK – klient miał otrzymywać ostrzeżenia, gdyby jego tożsamość została wykorzystana do otwarcia nowego rachunku kredytowego. Poszkodowani mogli również liczyć na pomoc opłaconego przez Anthem śledczego, którego zadaniem było odzyskać utracone ewentualnie pieniądze. Ci, którzy korzystali już z takich usług komercyjnie, mogli dostać rekompensatę – 50 dol. Firma uruchomiła też infolinie dla klientów, news letter e-mailowy i stronę internetową z najważniejszymi informacjami. Program pochłonął ponad 110 mln dol. ©Ⓟ