Данные пациентов стали предметом шантажа

Медицина становится приоритетной сферой интереса для киберпреступников и специалистов по взлому сложных компьютерных систем. В этом году произошло, как минимум, два крупных скандала, связанных с утечкой медицинских данных и взломом систем жизнеобеспечения человека. В дальнейшем число таких случаев будет расти. Об этом Digital.Report рассказал менеджер по продукту Shell Control Box компании Balabit Чаба Краснаи.

Недавно хакеры сообщили об очередном взломе медицинского хирургического оборудования. Можно ли утверждать, что интерес хакеров к медицине значительно вырос?

Атака на медицинские учреждения через хакеров-вымогателей – уже сформировавшийся тренд. В основном потому, что информационная защита в этой отрасли развита не так сильно, как в финансовом или правительственном секторе.

При этом сегодня прямой угрозы жизни человека из-за слабого обеспечения информационной безопасности в медицинских учреждениях нет. Но теоретически в будущем, по мере проникновения технологии интернета вещей в сферу медицинских услуг, такие риски могут появиться. Власти должны сыграть на опережение и задуматься об этом уже сейчас.

Вообще, здравоохранение – одна из самых перспективных и интересных сфер для ИБ-специалистов. Множество конфиденциальных персональных данных, например, о заболеваниях пациентов или о переносимости каких-либо лекарств, хранится в электронном виде и, к сожалению, не защищается должным образом. Несмотря на то, что законы о защите персональных данных по всему миру подчеркивают важность соблюдения конфиденциальности медицинских записей, обычно больницам, как правило, не хватает денег и экспертизы, чтобы обезопасить свою ИТ-инфраструктуру в соответствии с реальным уровнем угроз.

В этом году институты здравоохранения во многих странах пострадали от так называемой «кампании с шантажом», в ходе которой хакеры с помощью вредоносной программы зашифровывали медицинские карты пациентов, а затем требовали денег за дешифровку. Кампания вызвала настолько серьезные перебои в работе, что правительства США и Канады даже выпустили совместное предупреждение, посвященное этой атаке.

Взлом базы данных Всемирного антидопингового агентства (WADA) доказывает, что в Европе медицинские данные не имеют серьезной защиты? Можно ли ожидать, что ровно таким же образом может оказаться в свободном доступе медицинская карта президента России или США? Могут ли диагнозы стать оружием информационной войны?

Американские пациенты защищены сильнее, чем в какой-либо другой стране: медицинские данные десятилетиями охраняются федеральным законом об ответственности и переносе данных о страховании здоровья граждан (HIPPA, Health Insurance Portability and Accountability Act). Новое положение о защите личных данных (GDRP), принятое Евросоюзом, может означать введение важных ограничений по управлению личными данными, в том числе и медицинскими, хотя они не упоминаются напрямую. Жесткие ограничения приведут к лучшей защите данных, так как теперь за каждое серьезное нарушение конфиденциальности личной информации, как, например, недавний случай с WADA, компании будут выплачивать крупные штрафы.

Другими словами, очень сложно предотвратить целевую атаку, потому что, имея все необходимые ресурсы, злоумышленник может украсть медицинскую карту даже самого президента. Информация о здоровье всегда была и будет отличной мишенью для шантажа, основным инструментом шпионской и информационной войн. Чтобы такого не допустить, нужно использовать новейшие технологии киберзащиты, как поведенческая аналитика.

Разработкой современного медицинского оборудования занимаются, как правило, иностранные компании. Причем в области ИТ Россия уже идет по пути импортозамещения, руководствуясь как раз соображениями информационной безопасности. А как же с медициной, придет ли время, когда из-за боязни кибератак Минздрав России начнет менять сканеры и роботов на аналогичных, российского производства?

Риск кибератак на медицинское оборудование относительно низок, в то время как жизненный цикл довольно высок. Защита обычной ИТ-инфраструктуры все еще остается в приоритете.

Может ли измениться в свете хакерских атак система дистанционного оперирования, когда хирург удаленно производит критические манипуляции? Может кто-то перехватить управление?

Автомобильная промышленность уже давно уделяет повышенное внимание безопасности программного обеспечения, так как даже один «битый» или хакнутый программный код может стать причиной летального исхода. Здравоохранение также входит в круг сфер, программное обеспечение для которых должно разрабатываться с особой тщательностью. И хотя атака на физическое лицо является скорее исключением, чем правилом, риск все же существует, а значит необходимо увеличить контроль над безопасностью удаленных операций.

Могут ли российские власти попытаться полностью изолировать медицину от интернета, создать так называемую локальную медицинскую сеть?

Изолированная защищенная сеть – всегда хорошая идея. Если в России существует отдельная государственная сеть, то, конечно, было бы целесообразно интегрировать медицинскую информационную систему в нее.

Поддерживаете ли вы медицинское чипирование людей для тщательного контроля их состояния?

На мой взгляд, этот вопрос относится скорее к разряду этических. Да, ученые и инженеры могут добиться невероятных результатов и научиться создавать людей-киборгов. Но с точки зрения этики такие достижения могут вызвать осуждение.

Если говорить о медицинской аугментации, вживлении чипов или системах контроля организма – можно взломать эти решения? Фантастический сценарий, когда хакеры берут в заложники человека через взлом, например, его модуля стимуляции сердечной деятельности – возможен?

Как я уже говорил, вымогатели в наши дни являются настоящей головной болью, и они действительно захватывают заложника — нашу личную информацию. Предложенный вами сценарий интересен и потенциально возможен, но обычно человек является для хакера не призом, а ключом к нему. Физические лица редко становятся объектами прямых атак просто потому, что это не так выгодно.