Dlaczego hakerzy biorą na celownik także szpitale

Dane o pacjentach to bardzo atrakcyjna zdobycz. Cyberataków na placówki służby zdrowia jest coraz więcej. Teraz rząd federalny chce zainwestować w ich bezpieczeństwo. Eksperci mają jednak wątpliwości co do tych środków. We wrześniu nieustalonym osobom udało się za pomocą złośliwego oprogramowania przeniknąć do systemu Szpitala Uniwersyteckiego w Düsseldorfie i sparaliżować 30 serwerów. Szybko okazało się, że faktycznym celem hakerów był Uniwersytet Heinricha Heinego. Gdy śledczy uświadomili oskarżonych, że zagrażają życiu pacjentów, sprawcy zrozumieli swój błąd i przekazali klucz do odblokowania systemu. Niemniej jednak miało to fatalne konsekwencje: Bez sprawnego systemu informatycznego nie udało się przyjąć kobiety z chorobą zagrażającą życiu i musiała ona trafić do innego szpitala, gdzie wkrótce potem zmarła. Prokuratura prowadzi z tego powodu śledztwo pod kątem nieumyślnego spowodowania śmierci. W sektorze zdrowia ze szczególnym uwzględnieniem szpitali liczba ataków hakerskich wzrosła z jedenastu w 2018 roku do 16 w 2019 roku a w 2020 roku nawet do 43- odpowiedział rząd federalny na pytanie grupy parlamentarnej FDP z 17 września.

Już wcześniej ruszyła „ustawa o przyszłości szpitali" (KHZG). Zgodnie z tą ustawą od stycznia 2021 roku rząd federalny przekaże na ten cel trzy miliardy euro, a bundeslany mają zapewnić kolejne 1,3 miliarda euro. Dofinansowane będą projekty, które służą rozbudowie potencjału ratowniczego, transformacji cyfrowej i bezpieczeństwu informacji w szpitalach. Co najmniej 15 procent ma być inwestowane w bezpieczeństwo IT.

Nowe prawo zwalnia szpitale

Markus Holzbrecher-Morys uważa, że nowa ustawa to właściwy krok, ale dyrektor zarządzający branżą IT, Datenaustausch & eHealth w DKG (Wymiana Danych oraz e-zdrowie w Niemieckim Związku Szpitali) widzi potrzebę ulepszeń: „Ustawa przewiduje również promowanie środków poprawiających bezpieczeństwo technologii informatycznych, takich jak: zapory sieciowe, narzędzia do wykrywania ataków i szkolenia.."

Jednak ze wszystkich kwestii z KHZG wyłączone są szpitale, które są częścią infrastruktury strategicznej. „Teoretycznie istnieją inne możliwości finansowania tych szpitali, ale w przeszłości były one systematycznie blokowane przez kasy chorych. Dodał, że jest to dla niego niezrozumiałe. „stale postulujemy o pełne uwzględnienie tych szpitali w ramach Funduszu Przyszłości Szpitala"

Ale kto atakuje szpitale i inne placówki medyczne? Z jednej strony zdarzają się przestępcy pozbawieni skrupułów, którzy chcą wyłudzić pieniądze. Z drugiej strony w czasie pandemii również wiele innych podmiotów jest stale aktywnych, takich jak firmy sektora prywatnego i agencje rządowe.

Doniesienia o cyberatakach napływały i nadal napływają nie tylko w tym kraju. Incydenty stały się również popolarne w USA i Kanadzie, a konkretnie w związku z opracowywaniem szczepionek przeciwko koronawirusowi.

Urząd federalny w stanie podwyższonej gotowości

Centrum Obrony przed Cyberatakami Federalnego Urzędu Bezpieczeństwa Informacji (BSI) zwiększyło swój wewnętrzny alert w związku z możliwymi atakami na takie instytucje. Interpol już na początku grudnia wydał globalne ostrzeżenie: „Podczas gdy rządy przygotowują się do dystrybucji szczepionki, organizacje przestępcze planują penetrację lub zakłócenie łańcuchów dostaw". Pozyskiwanie danych pacjentów stało się dochodowym biznesem dla przestępców. W zależności od rozmiaru i zawartości, komplet danych w darknecie może kosztować nawet 2000 euro. Zakres możliwych zastosowań sięga od szantażowania pacjentów po wysyłanie spersonalizowanych reklam. „Dane dotyczące zdrowia są zasadniczo bardzo interesujące, ponieważ w większości przypadków są powiązane z innymi danymi osobowymi"- mówi Ariane Schenk z cyfrowego stowarzyszenia Bitkom. Referentke z sektora Health & Pharma widzi wiele do nadrobienia, zwłaszcza w zakresie tradycyjnych praktyk medycznych. „Wiele tamtejszej infrastruktury jest bardzo łatwa do zaatakowania". Dlatego radzi lekarzom w prywatnej praktyce, by nie brali zarządzania IT we własne ręce, lecz zlecali renomowanym zewnętrznym specjalistom ochronę materiałów zawierających poufne dane. Ogólnie rzecz biorąc, należy założyć zwiększoną liczbę cyberataków; BSI w swoim raporcie sytuacyjnym na rok 2020 podaje obecnie 134 incydenty podlegające zgłoszeniu- mówi Markus Holzbrecher-Morys. Większość wynikała z awarii technicznych, ale już na drugim miejscu znalazły się cyberataki.

Konieczna szybka i profesjonalna reakcja

Ekspert DKG nie chce też wykluczyć, że to większa podatność mogła doprowadzić do zwiększenia liczby zgłoszeń. Natomiast mało prawdopodobny uważa przypadek odwrotny, czyli ukrywanie cyberataków, np. z obawy przed pogorszeniem wizerunku. „Istnieje obowiązek zgłaszania cyberataków dla infrastruktury o znaczeniu krytycznym.” Ponadto awaria centralnej infrastruktury w szpitalu nie mogłaby zostać niezauważona przez personel lub pacjentów. Zatajanie się jest również złą drogą, gdyż w przypadku potencjalnego ataku ważna jest przede wszystkim szybka i profesjonalna reakcja- "w razie potrzeby z możliwością zewnętrznego wsparcia ze strony dostawców usług specjalnych lub BSI". Jedną z kwestii, którymi zajmuje się Holzbrecher-Morys, jest jeszcze ściślejsza koordynacja wszystkich zaangażowanych stron. Na przykład ważne byłoby otrzymanie informacji od BSI, czy istnieją „nowe zagrożenia atakiem", na które musielibyśmy zareagować w ramach standardu branżowego dla szpitali. Ale to, co wiemy, zarówno od BSI, jak i od szpitali i innych instytucji, to fakt, że kwestie związane z Coroną coraz częściej pojawiają się w procesie phishingu." Większym problemem dla DKG jest brak wykwalifikowanych pracowników. „Osoby, które były zatrudnione w IT w momencie rozpoczęcia pandemii w marcu, musiały z dnia na dzień wykonywać wiele dodatkowych zadań". Ogromnie wzrosło obciążenie działów IT. Nawet bez wirusa odpowiedzialność systematycznie rosła i będzie rosła nadal.

Niemcy mają dość dobrą pozycję

„Słyszymy od wielu szpitali, jak trudno jest zatrudnić specjalistyczny personel, a także zatrzymać go na dłużej". Holzbrecher-Morys apeluje, by zapewnić szpitalom lepszą sytuację finansową w tym zakresie. „Trzeba być konkurencyjnym wobec sektora prywatnego". Mimo to widzi Niemcy w dobrej sytuacji: „W międzyczasie nauczyliśmy się, jak zminimalizować skutki cyberataku. Z reguły szpitale potrafią teraz dobrze radzić sobie z tym problemem. Poza pojedynczymi przypadkami, przeszliśmy przez pandemię całkiem dobrze w tym sensie, że bezpieczeństwo IT nie spowodowało u nas dodatkowych niepokojących lkwestii w 2020 roku.”