Zsarolóvírus támadások az egészségügyben

Az egészségügyi intézményeknél tárolt beteginformációk egytől egyig szenzitív adatok. Egyre több cyber támadás történik világszerte egészségügyi szolgáltatókkal szemben, főként zsarolóvírus támadás formájában. Az állami és magánszférának egyaránt fel kell készülni a kiberincidensek megelőzésére, valamint azok elhárítására és a következmények enyhítésére.

Advisory Cyber Malware

Az egészségügyi intézményeknél tárolt beteginformációk egytől egyig szenzitív adatok. Egyre több cyber támadás történik világszerte egészségügyi szolgáltatókkal szemben, főként zsarolóvírus támadás formájában. Az állami és magánszférának egyaránt fel kell készülni a kiberincidensek megelőzésére, valamint azok elhárítására és a következmények enyhítésére.

Léteznek nagyon fontos bizalmi szakmák szerte a világon, mint például az ügyvéd, a könyvelő, de legfőképp ide tartoznak a teljes egészségügyi szektor képviselői: az orvos, a fogorvos és minden foglalkozás, ami az emberi egészséggel vagy éppen a betegségeinkkel kapcsolatos. Nem tárgyaljuk meg egészségi problémáinkat és betegségeinket bárkivel, sőt sokszor titkoljuk azokat akár érzelmi, akár egyéb (pl. gazdasági) megfontolásból. Az egészséggel kapcsolatos adatok ezért erősen szenzitív adatoknak számítanak, amelyekből az egyénről, vagy egy betegkörről, illetve ügyfelekről sok olyan információ nyerhető, amelyet sem az érintett magánszemélyek, sem az egészségügyi intézmények nem szeretnék, hogy illetéktelenek kezébe kerüljenek.

Másik oldalról nem véletlen, hogy minden orvos az anamnézis felvételével kezdi a kivizsgálást egy új beteg esetében, hiszen saját és családi előzménybetegségekből sok minden megállapítható a várható, vagy már fellépett betegségekkel kapcsolatban. Ebből kifolyólag egy betegről tárolt széleskörű információ, adatbázis jelentős mértékben befolyásolhatja az egészségügyi kezeléseket. Persze akkor, ha ezek az adatok rendelkezésre állnak. 

Kibertámadások az egészségügyben

A State of Ransomware in Healthcare 2022 című kutatás kimutatta, hogy megugrott az egészségügyi szektor tagjai ellen elkövetett kibertámadások száma. 2021-ben 94%-kal több kibertámadás érte az egészségügyi szektort, mint az előző évben. Míg két évvel korábban az egészségügyben működő intézmények egyharmada (34%) élte át a kibertámadások fajtáinak valamely változatát, addig tavaly már a kétharmadukat (66%) érte valamilyen konkrét kiberfenyegetés, leginkább zsarolóvírus támadás.

A kutatás szerint az egészségügyi intézmények 99%-a szerzett vissza az ellopott adatokból, de kérdés, hogy milyen arányban és milyen áron. Majdnem az összes megtámadott intézmény szenvedett el adatvesztést a támadás helyreállítását követően is, hiszen csak az intézmények 2%-a tudta az adatokat teljes mértékben visszaszerezni vagy visszaállítani. Egy évvel korábban ez az arány még 8% volt. A zsarolóvírus eltávolítása és a támadás helyreállítása átlagosan 1 hetet vett igénybe, ami jelentős problémákat okozhatott olyan típusú kezelések kapcsán, amelyeknél az adott héten is szükség lett volna a betegek korábbi egészségügyi adataira. Ráadásul ebben a szektorban került a legmagasabb összegbe - 1,85 millió dollárba, azaz mintegy 700 millió forintba - a támadás előtti állapotok visszaállítása. Mindez annak ismeretében még érdekesebbé válik, hogy a támadók ezen szektor szereplőitől követelték a legalacsonyabb váltságdíjat. Bár a kutatás szerint az intézmények egyre felkészültebbek a zsarolóvírus elleni védelem terén, mégis egy sikeres támadás esetén meglehetősen magas arányban, 61%-ban hajlandók váltságdíjat fizetni a kiberbűnözőknek, míg globálisan ez az arány 46%.

Az állami és magánszektor kiberfenyegetése

A veszély az állami és a magánegészségügyi szektort egyaránt fenyegeti. Egy komoly betegkörrel rendelkező magánorvosi rendelő vagy magánkórház esetében a kockázatok talán még összetettebbek, mint az állami szereplőknél, hiszen esetükben még jelentősebb a kiberkockázatok között kimutatható reputációs kockázat. Az image, a jó hírnév visszaállítása egy ilyen intézménynél tetemes költségekkel járhat, azon túlmenően pedig jelentős szakértelemet igényel és időbe is telik. Ezek tovább növelik a zárolt adatok visszanyerésének költségét, és jóval több időbe telhet a normál működés visszaállítása, valamint az ügyfélkör visszaszerzése, mint az említett 1 hét.

Nemzetközi érintettség

A nemzetközi és magyar sajtóban is egyre sűrűbben olvashatunk kibertámadásokkal, kibervédelemmel kapcsolatos figyelmeztetéseket. Az elmúlt időszakban orosz, kínai és észak-koreai hekkercsoportok tevékenységével kapcsolatban hívták fel a figyelmet. Utóbbiak 2022 júliusában amerikai egészségügyi létesítményeket és más egészségügyi szervezeteket vettek célba. 2021-ben egy kansasi egészségügyi központ fontos adatokat tároló és kulcsfontosságú berendezéseket működtető rendszereit bénították meg. Az egészségügyi központok elleni kibertámadásokkal kapcsolatos nyomozás kínai székhelyű pénzmosókhoz is elvezetett, akik a váltságdíjak behajtásában segítették a hekkereket.

A probléma nem újkeletű. Még 2017-ben zsarolóvírus támadás érte több angliai kórház informatikai és távközlési hálózatát. A brit állami egészségügyi szolgálat (NHS) hivatalos közleménye szerint a probléma 19 angliai körzet kórházaiban jelentkezett, de médiaértesülések szerint az ország 40 különböző körzetében tapasztaltak hasonló problémákat. Az érintett intézményekben felfüggesztették a nem sürgősségi problémával jelentkező betegek fogadását, a zsarolók pedig gépenként 300 dollárnak (85 ezer forintnak) megfelelő bitcoint követeltek. Több angliai kórház úgy reagált, hogy saját maga állította le informatikai rendszereit, hogy megvédje adatbázisait a behatolási kísérletektől. Sok körzeti orvos pedig arról számolt be, hogy nem fér hozzá betegei elektronikusan tárolt adataihoz. A zsarolóvírust hamarosan WannaCry néven ismerte meg az egész világ.

A magyar sajtóban is napvilágot láttak további, már lassan évtizedes példák az amerikai mellett kanadai, indiai és német kórházak eseteiről is. És mivel a zsarolóvírusok eredete 1989-ig vezethető vissza, biztosak lehetünk benne, hogy az egész világ érintett volt már az elmúlt több mint 30 évben.

A magyar példa

Már 2016-ban itthon is megszületett az első nagyobb nyilvánosságot kapott kórházi eset. A veszprémi Csolnoky Ferenc Kórház informatikai rendszerét fertőzte meg az akkor „népszerű” Locky nevű zsarolóvírus. Az alapműködést a kórház fent tudta tartani, de leleteket nem írtak, és az előjegyzett betegeket se tudták ellátni. A kórház komolyabb veszteség nélkül úszta meg az esetet: a fertőzést egy pénteki napon vették észre, következő hétfőre már helyreállt a rend. Ez annak volt köszönhető, hogy miután észlelték a vírust, rögtön lekapcsoltak minden szervert, nehogy az a hálózaton megosztott könyvtárak tartalmára is rászabaduljon.

Zsarolóvírus védelemre figyelmeztet a Marsh

A Marsh kigyűjtötte egészségügyi intézményi ügyfélköre ellen 2016 és 2021 között történt kiberincidenseket. A legtöbb eset természetesen az Egyesült Államokban történt. A top13 kiberfenyegetésből 9 adatszivárgás, 4 zsarolóvírus támadás, 1 pedig adathalászat volt, és tízmilliós nagyságrendű ügyfelet/beteget érintett, többmillió dolláros kár kíséretében. Az USÁ-n kívüli eseteket is főként adatszivárgás és zsarolóvírus támadás okozta olyan országokban, mint Franciaország, Nagy-Britannia, Csehország, Európán kívül pedig Kanada, Dél-Afrika és Ausztrália.

A kibervédelem és kiberbiztonság témakörében a Marsh a zsarolóvírusok elleni védelem mellett a cyber biztosítás (kiberbiztosítás) fontosságára hívja fel a figyelmet, mint a kockázat kezelésének egyik kézenfekvő módjára.

A szerző Orbán Éva, a Marsh Kft. cyber biztosítási szakértője.

Author(s):

Image placeholder

Eva Orban

Vice President