Dane pacjentów zgromadzone w szpitalach oraz przychodniach cieszą się coraz większym zainteresowaniem przestępców. W latach 2019 – 2022 liczba cyberataków na placówki medyczne w Polsce wzrosła pięciokrotnie. Tylko w ciągu ostatnich sześciu miesięcy doszło do dwóch dużych włamań, w wyniku których wyciekły dane osobowe około 400 tys. Polaków. Tymczasem to może być tylko wierzchołek góry lodowej, ponieważ o wielu skutecznych atakach przeprowadzonych przez hakerów możemy po prostu nie wiedzieć. Poziom zabezpieczeń w większości instytucji ochrony zdrowia jest bardzo niski. W dodatku dużym zagrożeniem dla prywatności danych Polaków są nie tylko luki w oprogramowaniu, ale także brak procedur cyber-bezpieczeństwa oraz niechęć do ich przestrzegania po stronie pracowników placówek i instytucji medycznych.
W 2022 roku w szpitalach hospitalizowano 6,9 mln pacjentów. To o około 563,7 tys. więcej niż w 2021 roku wynika z raportu Zdrowie i ochrona zdrowia w 2022 roku, przygotowanego przez Główny Urząd Statystyczny. Z kolei niemal każdy z nas jest zapisany do publicznej lub prywatnej przychodni. Placówki medyczne nie tylko gromadzą informacje o leczonych chorobach, lecz także dane identyfikacyjne, jak imię, nazwisko, numer PESEL, dowód tożsamości czy adres zamieszkania. Niestety, ze względu na chroniczne niedoinwestowanie służby zdrowia, szczególnie w sektorze państwowym, standardy cyber-zabezpieczeń są tu na dramatycznie niskim poziomie.
Pięciokrotny wzrost cyberataków na placówki medyczne
Coraz częściej ten fakt wykorzystują przestępcy. Jak wynika z raportu Krajobraz bezpieczeństwa polskiego Internetu, przygotowanego przez CERT Polska (Zespół Szybkiego Reagowania na Incydenty Komputerowe), w Polsce liczba odnotowanych cyberataków w sektorze ochrony zdrowia wzrosła pięciokrotnie w ciągu czterech lat – z 53 w 2019 do 251 w 2022 roku. Co prawda procentowo liczba incydentów w placówkach medycznych jest niska (0,63%) w porównaniu do pozostałych branż (np. 13,7% w handlu), ale pamiętajmy, że w szpitalach i przychodniach są przechowywane dane osobowe niemal wszystkich Polaków. W tym dane wrażliwe, których wyciek jest bardzo niebezpieczny. W rezultacie jedno włamanie do podmiotu służby zdrowia może przynieść hakerom ogromne korzyści, ponieważ są w nich przechowywane numery PESEL pacjentów – takiego „cyfrowego Eldorado” przestępcy nie znajdą w bazie danych nawet największego sklepu internetowego.
Ale nie jest to wyłącznie polski problem. Główną przyczyną 83% ataków na europejskie placówki medyczne jest chęć osiągnięcia zysku finansowego przez hakerów (np. poprzez wymuszenie lub sprzedaż skradzionych danych) – wynika z raportu na temat zagrożeń cybernetycznych dla europejskiego sektora ochrony zdrowia, sporządzonego przez Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji (ENISA).
– Placówki medyczne gromadzą mnóstwo bezcennych informacji dla przestępców, a poziom zabezpieczeń w dużej części z nich jest niewystarczający. W efekcie hakerzy bardzo łatwo mogą uzyskać dostęp do imienia, nazwiska, numeru PESEL, dowodu tożsamości lub adresu zamieszkania setek pacjentów. Następnie wykradzione ze szpitala czy przychodni dane osobowe można wykorzystać do popełnienia przestępstwa. Co więcej, często wiele ataków w ogóle nie zostaje wykrytych. Oznacza to, że o wykradzeniu danych przez hakerów dowiemy się dopiero, gdy np. komornik zajmie nam rachunek bankowy za niespłacony kredyt lub pożyczkę zaciągniętą na nasze konto – ostrzega Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.
Okup za dane medyczne 220 tys. pacjentów
Najczęściej hakerzy atakują europejski sektor ochrony zdrowia za pomocą oprogramowania typu ransomware (54%), blokującego lub nieumożliwiającego odczyt zgromadzonych danych, w celu wymuszania od ofiary ataku okupu za przywrócenie dostępu do nich. Kolejnym rodzajem są cyberataki związane z danymi (46%), włamania (13%) czy blokujące dostęp do strony WWW ataki DDos (9%) – wynika z raportu ENISA. W Polsce jednym z najbardziej znanych przypadków wycieku danych pacjentów w wyniku zastosowania ransomware był atak na ALAB Laboratoria w listopadzie ubiegłego roku.
– Najpierw przestępcy przejęli kontrolę nad systemem komputerowym placówki medycznej za pomocą złośliwego oprogramowania ransomware, a następnie zażądali okupu za jego odblokowanie. Jednak władze sieci laboratoriów odmówiły zapłaty, więc do Internetu trafiły dane około 220 tys. osób. Ale często przyczyną wycieku wrażliwych informacji dotyczących pacjentów nie musi być cyberatak, a ludzkie zaniedbanie – wyjaśnia ekspert ChronPESEL.pl.
Nieprzestrzeganie procedur bezpieczeństwa równie groźne co cyberatak
Potwierdza to przypadek wycieku danych pacjentów, do którego doszło w marcu tego roku we wrocławskim DCG Centrum Medycznym. Przyczyną było duże zaniedbanie ze strony zewnętrznego dostawcy oprogramowania, który po zakończeniu umowy nie usunął kopii zapisanych informacji z testowego serwera. W związku z tym do Internetu trafiły dane około 180 tys. osób (w tym imiona, nazwiska, numery PESEL i telefonu, adresy zamieszkania, e-maile), które były przechowywane w 40 placówkach medycznych.
Często do wycieku danych pacjentów może dojść w wyniku pozornie niewielkiego zaniedbania ze strony personelu. W styczniu tego roku Wojewódzki Szpital Specjalistyczny we Włocławku poinformował, że podczas naprawy komputera odkryto brak dysku twardego. Niestety, placówka nie jest w stanie określić, jakie dokładnie dane osobowe mogły się na nim znajdować w momencie zaginięcia. To tym bardziej niepokojące, ponieważ programy, za pomocą których logowano się z urządzenia, przetwarzały imiona, nazwiska czy numery PESEL pacjentów.
Tymczasem w Powiatowym Szpitalu Specjalistycznym w Stalowej Woli od 19 listopada do 21 grudnia 2023 roku dane osobowe pacjentów były przekazywane na adres e-mail nieustalonej osoby trzeciej, która nie powinna mieć do nich dostępu. Niestety, na razie nie wiadomo, czy przechwycone w wyniku wycieku informacje zostały w jakikolwiek sposób wykorzystane. Nic więc dziwnego, że coraz więcej osób nie ma zaufania do poziomu zabezpieczeń danych zgromadzonych w szpitalach i przychodniach.
– 38% Polaków obawia się wycieku danych osobowych z baz instytucji publicznych i firm prywatnych – wynika z przeprowadzonego w kwietniu 2023 roku przez serwis ChronPESEL.pl i Krajowy Rejestr Długów pod patronatem Urzędu Ochrony Danych Osobowych badania „Dane osobowe – czy wiemy, jak je chronić?”. Zdaniem respondentów większe zagrożenie dla ich danych stanowią tylko fałszywe SMS-y, e-maile i telefony – uważa tak 42% badanych – podsumowuje Bartłomiej Drozd.
źródło: informacja prasowa
grafiki przygotowane przez ChatGPT