/ IT

Вакцина от вирусов и кибератак

Повышение компетенций медицинского персонала в сфере информбезопасности позволит избежать серьезных инцидентов

Хакеры нападают не только на банки. Кибератакам подвергаются организации, работающие и в других, не менее чувствительных, отраслях, к примеру, медицинские учреждения. В этом случае под прицелом злоумышленников оказываются не только персональные данные и финансовые средства, но, что гораздо страшнее, – человеческие жизни. Эксперты говорят, что здравоохранение входит в топ-3 сфер, привлекательных для кибертатак. Тенденция усиливающегося внимания мошенников к информационным системам медицинских организаций является общемировой.


ЛЕГКАЯ НАЖИВА

Медицинские организации входят в тройку объектов, которые чаще всего атакуют киберпреступники, сообщил директор экспертного центра безопасности компании Positive Technologies Алексей Новиков на круглом столе, организованном ТАСС.

«Злоумышленники стараются совершать атаки в тех сферах, где им проще монетизировать свои усилия, – пояснил эксперт. – Сейчас, в период пандемии, когда медицинские учреждения испытывают повышенные нагрузки, а счет иногда идет на часы и даже минуты, очень часто принимаются решения о том, что заплатить выкуп хакерам проще».

Руководитель отдела контентного анализа «Лаборатории Касперского» Константин Игнатьев тоже отмечает, что в последние годы объекты здравоохранения все чаще подвергаются кибератакам. Они сталкиваются как с фишинговыми рассылками, так и с вирусами-шифровальщиками. Один из таких инцидентов привел к трагедии, рассказал К.Игнатьев. Речь идет о случае в немецком Дюссельдорфе. Там Университетская клиника из-за атаки, в течение недели наносившей вред ее системам, в какой-то момент не смогла принимать людей, которым требуется неотложная помощь. Из-за этого одну из пациенток пришлось перевозить в другую больницу, находящуюся в 32 км, однако во время транспортировки женщина умерла.

В России один из самых заметных инцидентов – хакерская атака на свердловский областной онкологический диспансер.

Зашифрованными оказались порядка 400 исследований. За восстановление информации хакеры потребовали 80 тыс. рублей.

В диспансере отметили, что результаты исследований дублируются на бумажных носителях. Спустя 10 минут после атаки начались работы по восстановлению данных. Позже заместитель главного врача онкодиспансера по хирургии Александр Дорофеев сообщил журналистам о том, что все данные полностью восстановлены и расшифрованы.

Сотрудница диспансера Светлана Лаврова на своей странице в Facebook сообщила, что руководство медучреждения было согласно с условиями, которые выдвинули хакеры, но не смогло выйти с ними на связь.

Количество кибератак в сфере здравоохранения значительно выросло во время пандемии коронавируса, сообщил RSpectr директор департамента проектирования компании «Информзащита» Александр Кузнецов.

По его словам,

основными направлениями деятельности злоумышленников являются получение несанкционированного доступа к персональным данным клиентов, в том числе к их историям болезни и финансовым затратам, и нарушение деятельности организации

В первом случае целью является дальнейшая перепродажа сведений. Во втором – получение выкупа, например, за восстановление доступа к зашифрованным при помощи вируса данным.

Александр Кузнецов, «Информзащита»:

– Если кража данных может повлечь финансовые и репутационные риски, то деятельность шифровальщика в IТ-инфраструктуре современных медицинских клиник может привести к отказу в обслуживании высокотехнологичного оборудования, используемого для проведения сложных операций или поддержания жизни тяжелобольных пациентов, и, как следствие, к человеческим жертвам.

Как правило, выделенные специалисты по информационной безопасности (ИБ) присутствуют далеко не во всех медицинских организациях, а деятельность IТ-подразделений в основном направлена на поддержание доступности сервисов, часто в ущерб обеспечению конфиденциальности. Поэтому даже несложные целевые атаки осуществляются с высокой результативностью, отмечает А.Кузнецов.


КУДА УТЕКАЮТ МЕДИЦИНСКИЕ ДАННЫЕ

Специалисты InfoWatch в первом полугодии 2020 года зафиксировали 72 утечки конфиденциальной информации, связанной с подтвержденными анализами на коронавирусную инфекцию COVID-19. Из них в России было опубликовано 25.

Утечки персональных данных (ПД), конечно, не новость, но появился интерес к новому типу сведений, говорит председатель совета директоров компании «СёрчИнформ» Лев Матвеев. Так, в связи с ажиотажным вниманием к проблеме коронавируса утекала информация о диагнозах в Дагестане, Подмосковье, Чувашии.

Все это инсайдерские сливы, которые приводили в ряде случаев к настоящей травле пациентов.

По словам Л.Матвеева, внутренние проблемы (инсайдерство, случайные утечки, халатность администраторов) – наиболее частая причина утери данных.

Лев Матвеев, «СёрчИнформ»:

– В прошлом году в нашем исследовании 77% опрошенных представителей медицинских компаний были уверены, что к инцидентам информационной безопасности чаще приводят действия собственных сотрудников, а не внешних злоумышленников.

По нашим данным за прошлый год, две трети медорганизаций столкнулись с утечками информации. Это в среднем на 10% больше, чем в других отраслях (информацию по этому году мы обрабатываем и готовы будем дать ее в начале января).

В этом году мы исследовали инциденты об утечке персданных о зараженных коронавирусом больных (которые попали в СМИ) – в 100% случаев это намеренные инсайдерские сливы.

Л.Матвеев отмечает, что круг внешних злоумышленников, которым интересны ПД из медицинских компаний, очень широк – от маркетологов до страховых мошенников. Например, в Башкирии чиновницу Минздрава уличили в продаже данных пациентов. Она, предположительно, передавала информацию фармкомпаниям, интересы которых лоббировала. Им сведения о пациентах помогали выигрывать госконтракты на поставку дорогостоящих препаратов.

Но есть и более опасные мотивы.

Данные могут использовать для манипуляций и шантажа пациентов, для покупки лекарств третьими лицами, внесения изменений в дозировки препаратов или протоколы лечения


АТАКИ НА ОБОРУДОВАНИЕ

Другая серьезная угроза – удаленный взлом медицинских IoT-устройств, отмечают эксперты.

90% высокотехнологичного медицинского оборудования, которое сейчас производится и используется в учреждениях здравоохранения, подключено к интернету, указывает глава представительства компании Check Point Software Technologies в России и странах СНГ Василий Дягилев. «Если информационной безопасностью IT-систем так или иначе кто-то занимается, то защитой от атак на медицинское оборудование занимаются пока только сами производители, которые не всегда уделяют этому вопросу должное внимание», – говорит эксперт.

В США уже был случай, когда злоумышленники вывели из строя несколько томографов, рассказал В.Дягилев. «В период пандемии такие ситуации могут привести к непоправимым последствиям. Поэтому помимо защиты персональных данных также надо уделять пристальное внимание вопросам защиты подключенных устройств», – предупреждает эксперт.


ПОВЫШЕНИЕ КОМПЕТЕНТНОСТИ

А.Кузнецов уверен, что проблемы обеспечения ИБ в здравоохранении необходимо решать комплексно. На уровне государства должны развиваться стандарты и нормативные правовые акты в области защиты информации в медицинской сфере. В организациях важно развивать ИБ-подразделения и повышать бюджеты на обеспечение ИБ. Даже простое обучение рядовых сотрудников организации основам ИБ может значительно снизить количество инцидентов.

А.Новиков также обращает внимание на повышение компетентности медицинского персонала. По его словам, ИБ стала неотъемлемой частью жизни общества, поэтому знать азы должны все. Например, чего опасаться, по каким ссылкам лучше не переходить.

А для этого

персонал необходимо обучать, объяснять признаки потенциально опасных писем, разъяснять алгоритм действий и т.д.

«Если непрофильному человеку, который далек от ИБ, врачу, бухгалтеру, приходит фишинговое письмо и он к нему относится внимательно и с осторожностью, пересылает его в службу ИБ, просит консультацию у специалистов, в этом случае инциденты случаются реже», – говорит эксперт.

Л.Матвеев по просьбе RSpectr назвал основные меры, которые необходимо принять для повышения безопасности в здравоохранении:

  • введение регламента работы с информацией для всего медперсонала;
  • разграничение доступа к информации внутри учреждения: доступ к закрытым ПД должны иметь только определенные лица, хотя запрет на скачивание и отправку данных вовне должен быть установлен даже для них;
  • проведение обучающих ИБ-мероприятий для медицинского персонала на регулярной основе;
  • защита IТ-инфраструктуры и оборудования (сегментирование сети, бэкапы и т.д.).

В то же время Л.Матвеев подчеркнул, что всю ответственность за ИБ нельзя возлагать на самих медиков.

Лев Матвеев, «СёрчИнформ»:

– Понятно, что не у врачей должна об этом болеть голова, они спасают жизни – низкий им поклон за это. Для внедрения мер ИБ у медорганизаций нет ни рук, ни ресурсов. Поэтому учреждениям здравоохранения нужна помощь со стороны профильных министерств и государства. Должен быть государственный центр аутсорсинга ИБ – гораздо правильнее собрать в одном месте людей, которые будут делать это профессионально.


ОБЩАЯ ПРОБЛЕМА

Специалисты отмечают, что тенденция усиливающегося внимания мошенников к информационным системам медицинских учреждений является общемировой. Сообщения об инцидентах регулярно приходят из разных стран. Помимо уже упомянутых случаев можно привести другие примеры.

Так, в конце октября стало известно о том, что в Финляндии хакеры похитили личные данные пациентов Центра психотерапевтической помощи «Вастаамо».

В свободном доступе оказались папки с личной информацией десятков тысяч граждан страны, которые в разные годы обращались в эту медицинскую организацию. В списках фигурируют политики, бизнесмены, общественные деятели, а также обычные граждане, и в том числе несовершеннолетние лица.

Злоумышленники похитили и обнародовали имена пациентов, адреса, телефоны, идентификационные номера, а также содержимое психотерапевтических сессий. И заявили, что не уберут эту информацию из публичного доступа, пока не получат деньги.

Позже информация о пациентах центра стала исчезать, из-за этого появились слухи, что клиника все-таки заплатила выкуп

Представитель центра отказался их комментировать.

А в Чехии Университетская больница в городе Брно пострадала от кибератаки, приведшей к отключению компьютерной сети во всем учреждении. Из-за приостановки работы информационной сети пришлось отложить хирургические операции, а новые пациенты с острыми заболеваниями были перенаправлены в близлежащую клинику.

Администрация больницы не раскрывает подробностей инцидента. Расследованием кибератаки занимается полиция, а также специалисты Национального центра кибернетической и информационной безопасности Чехии.

В феврале хакеры атаковали компьютерную сеть Маастрихтского университета в Нидерландах. Администрации учреждения пришлось выплатить злоумышленникам 30 биткоинов (около 200 тыс. евро), чтобы восстановить доступ к файлам в университетской сети.

Между тем на фоне пандемии коронавируса 38 бывших высокопоставленных политиков, представителей IT-отрасли и общественных деятелей подписали письмо с требованием не мириться с нападениями на больницы в киберпространстве. Среди прочих подписи поставили экс-президент СССР Михаил Горбачев, бывший глава МИД РФ Игорь Иванов и гендиректор компании «Лаборатория Касперского» Евгений Касперский. Для публикации письма были выбраны газеты The New York Times, The Guardian и «Коммерсантъ».

В письме, в частности, содержится призыв к правительствам всех стран мира незамедлительно принять решительные меры, чтобы положить конец кибератакам на больницы, другие лечебные учреждения и медицинские исследовательские центры, а также на медработников и международные организации в области общественного здравоохранения. «Для этого правительства должны работать сообща, в том числе и на площадке ООН, чтобы вновь подтвердить непреложность норм международного права, запрещающих подобные действия, и подтвердить свою приверженность их соблюдению», – отмечают авторы документа.

Изображения: RSpectr, Freepik.com


ЕЩЕ ПО ТЕМЕ:
Хакеры берут в заложники бизнес
Спасти данные от вирусного шифрования можно в облаке и бэкапом