Саймън Майер, хирург-травматолог и ортопед, е в почивка, когато колега му се обажда една вечер и му казва, че Университетската болница във Франкфурт е обект на масивна кибератака, разказва POLITICO. 

На следващата сутрин Майер, който е и отговорник за планирането на извънредни ситуации в болницата, е на кризисна среща с ръководството на болницата. ИТ екипите са работили цяла нощ, без особен успех. „Трябваше да прекъснем интернет връзката на цялата болница“, спомня си Майер.

Достъпът до интернет е прекъснат, базите данни са блокирани и персоналът на болницата трябва да премине към работа с хартия и химикалка, както и към телефонни разговори, за да предоставя медицински грижи.

„Това сериозно затрудни комуникацията между нашите електронни системи“, казва Майер. Достъпът до резултати от лабораторни изследвания или данни от рентгенови апарати се превръща в проблем, тъй като системите не могат да предават информация към базата данни на болницата. „Трябваше да пренасрочим прегледи само за да можем да разгледаме досиетата на пациентите, и да отложим някои планирани операции.“

Сега, повече от година и половина по-късно, системата все още не е възстановена до „нормално“ състояние. Достъпът до интернет и базите данни остава ограничен и се извършва скъпо възстановяване на инфраструктурата, за да се отстранят дълго експлоатирани слабости.

Този случай е само един от 309 подобни кибератаки, насочени към сектора на здравеопазването в ЕС само през 2023 г., като това е повече от всеки друг критичен сектор. Разходите по възстановяването след такъв сериозен инцидент обикновено достигат около 300 000 евро.

Предупреждението идва на фона на откриването на онлайн масиви, съдържащи милиарди изложени на риск идентификационни данни за различни акаунти

„Кибер чума“: Кражбата на онлайн пароли се превръща в пандемия

Освен финансовите последици, кибератаките представляват заплаха и за живота на пациентите. Неотдавнашен смъртен случай във Великобритания показа именно това – забавяне на кръвни резултати, причинено от кибератака, нарушава цялостното диагностициране на болния, съобщава BBC. 

Генералният директор на Световната здравна организация (СЗО) д-р Тедрос Аданом Гебрейесус нарече кибератаките срещу здравеопазването „въпрос на живот и смърт“.

Въпреки че през последните години здравеопазването се превърна в основна мишена за киберпрестъпниците, парадоксално този сектор инвестира по-малко в киберсигурност от всяка друга индустрия.

Идеалната мишена

За киберпрестъпниците атаките срещу здравните данни „са идеален бизнес план“, твърди Христос Ксенакис, професор в катедрата по цифрови системи в Университета в Пирея, Гърция, цитиран от POLITICO. „Лесно е да откраднеш информация и после да я продадеш на висока цена.”

Атаките, при които хакерите блокират данни и искат откуп доминират в сектора, сочи доклад на Агенцията на ЕС за киберсигурност (ENISA). „Те постигат две цели: едната е да получат данните и да ги продадат, а другата е да криптират цялата система, да я блокират и да поискат пари“, отбелязва Ксенакис.

Откраднатите данни могат да бъдат продадени в т.нар. dark web – част от интернет пространството, която е умишлено скрита и достъпна само чрез специален софтуер като Tor. Често тази тъмна мрежа се използва за кражби на самоличност, измами със застраховки или изнудване. За да възстановят достъпа до блокираните системи, престъпниците могат да поискат милиони евро – например хакерите поискаха 4,5 млн. долара за връщането на откраднатите данни след кибератака срещу болница „Клиник“ в Барселона. Лечебното заведение отказва да плати, съобщава El Nacional. 

Едва 27 % от здравните организации разполагат със специална програма за защита от атаки с изнудване, а 40 % не предлагат никакво обучение по сигурност за персонала извън ИТ отделите, сочи доклад на ENISA.

Алиансът за отбрана планира допълнителен бюджетен бум в областта на сигурността, но кой ще се възползва от него, все още не е ясно

Компаниите за киберсигурност очакват с нетърпение плана за разходите на НАТО

Създаване на култура на киберсигурност

Ксенакис посочва, че здравният сектор сякаш разглежда киберсигурността като тема извън неговата компетентност, и като „лукс“, а не като необходимост. Според него здравният персонал не е осведомен за рисковете, което води до лоша „киберхигиена“.

Той разказва как е бил оставен сам в лекарски кабинет с незащитени компютри с незащитени компютри – лесна мишена за хакери. „Ако исках да направя нещо, [би било] лесно за мен.” 

В същото време той се съмнява, че би бил оставен в стая с критично важни лекарства. Болниците разбират рисковете, ако лекарствата попаднат в грешните ръце, „но не могат да разберат киберсигурността“.

Задачата е да се създаде култура на добри практики за киберсигурност, за да се защитят данните и системите, допълва Ксенакис. „Осведомеността за технологиите е изключително ниска.“

Констатациите на финландския фонд за иновации Sitra потвърждават това. Макар че много здравни организации имат политики за киберсигурност, те често не са „ясно комуникирани или последователно разбрани от персонала“. Високата текучество на персонала – не само сред медицинските работници, но и сред служителите по киберсигурност, допълнително „засилва пропуските в обучението и способността за прилагане на политиките за киберсигурност“.

Временната заплаха за финансирането на програмата за онлайн сигурност на Вашингтон през април подчерта зависимостта на Европа и Брюксел е решен да я прекъсне

ЕС засилва политиките си за киберсигурност, за да скъса зависимостта от САЩ

Вината не е в персонала

Обучението на болничния персонал, макар и полезно, е недостатъчно за справяне с заплахите за сигурността.

„Ако имате болница с 2000 души персонал, вероятността някой да кликне върху бутона (за фишинг линк) е неизбежна“, подчертава Ксенакис. Особено като се има предвид, че изкуственият интелект се използва все повече от киберпрестъпниците за автоматизиране на атаки, което ги прави „много сложни и целенасочени“.

„Не може да вините хората“, категоричен е Ксенакис. Трябва да има интелигентни инструменти за откриване, „за да се елиминират щетите или да се противодейства на атаката.”

Други експерти посочват, че обикновено фирмите по киберсигурност, които помагат на болниците са от САЩ, Канада или Русия, а за по-добра ефективност е необходим “европейски подход” към проблема. 

Недостатъчни инвестиции

Въпреки че рисковете са ясни, националните правителства пестят от превенция, като Ксенакис не знае добър пример за страна, „която е инвестирала много в киберсигурността в сектора на здравеопазването“.

В Германия, например, често се въвеждат нови правила, но не се отпускат повече пари за защита на болниците. Майер счита, че болницата му във Франкфурт можеше да я открие  по-рано, ако разполагаше с подходящите системи. 

„Заплахите за киберсигурността представляват огромни предизвикателства за сектора на здравеопазването, като застрашават достъпността до основни здравни услуги“, заявява в писмен отговор пред POLITICO говорител на германското министерство на здравеопазването. Берлин подкрепя специфични за сектора стандарти за защита и изисква от болниците да инвестират най-малко 15 % от средствата, получени чрез плана за възстановяване и устойчивост, в киберсигурност. 

Европейският комисар по здравеопазването Оливер Вархели посочва, че инвестициите трябва да дойдат от националните правителства. „Когато отидете в болница, винаги виждате охранител на вратата. Има пари за това, така че трябва да има пари и за защита на данните.”

Според експертите обаче в здравеопазването често има други по-належащи проблеми, а и в секторът като цяло страда от липса на финансиране. 

Руски хакери удариха Международния наказателен съд, севернокорейски - множество компании в САЩ

Държавен хактивизъм: Москва и Пхенян продължават да атакуват западните институции и бизнеса

Цената на бездействието обаче също е доста висока. Това показва случаят с Ирландската здравна служба, която през май 2021 г. стана жертва на тежка кибератака. В резултат на нея са парализирани всички ИТ системи в публичното здравеопазване. Щетите възлизат на поне 101 милн. евро, а допълнителни 657 млн. са предвидени за бъдеща защита. „Киберсигурността е просто друга форма на здравеопазване. Трябва да бъдем проактивни.“, коментира д-р Рей Уоли – общопрактикуващ лекар от Ирландия

В отговор на зачестилите атаки, Европейската комисия представи план за засилване на киберсигурността в здравния сектор. Той включва създаване на Европейски център за подкрепа, служба за бързо реагиране и „ваучери за киберсигурност“ за подпомагане на по-малки доставчици на услуги. Въпреки това анализатори от финландската организация Sitra предупреждават за липса на ясни цели, бюджет и ефективно управление. Те настояват киберсигурността да се третира като въпрос на национална сигурност и да се въведе задължителна готовност в сектора.

Макар ЕС да работи по нови регулации, включително директивата NIS2 и Закона за киберустойчивост, прилагането им остава непоследователно. „Няма време за губене – правилата трябва да се превърнат в реалност“, казват от Sitra.