Éppen az elmúlt hétvégén ért zsarolóvírus-támadás román kórházakat, legalább 21 intézmény volt érintett, emellett 79 kórházat biztonsági szempontból lekapcsoltak a Hippokratészről elnevezett informatikai platformról, hangzott el a Semmelweis Egyetem Menedzserképző Központja, a Szabályozott Tevékenységek Felügyeleti Hatósága és az EY által szervezett konferencián, ami az egészségügyet érintő kiberbiztonságról szólt.
Kiberbiztonsági szempontjából mindenképpen foglalkozni kell az egészségüggyel, hiszen rendkívül gazdag adatkincsekben, mondta Szócska Miklós, a Semmelweis Egyetem Menedzserképző Központjának (SE EMK) dékánja.
A betegbiztonság és az ellátásszervezés biztonságának fejlesztése során a kiberbiztonság kérdése is felmerül. Az egészségügyi képzések során is már tudatosan foglalkoznak a kiberbiztonsággal. A SE-n küldetésként tekintenek erre, a Menedzserképző Központban a medikusok vizsgaanyagként filmet is készítenek a témában. Szócska Miklós elárulta, hogy szeptembertől egészségügyi adattudományi MSC-programot is elindítanak.
Az egészségügyben észnél kell lenni
Idén elstartol a NIS2 (Network and Information Systems Directive 2), az Európai Bizottság kiberbiztonsági intézkedéseket és javaslatokat tartalmazó irányelve, mely kiemelten érinti az egészségügyi vállalkozásokat.
Az 50 főnél több alkalmazottat foglalkoztató vagy évi 3,9 milliárd forintot meghaladó árbevételű cégeket érinti majd a változás.
Lengyel Lívia, egészségügyi szakértő úgy fogalmazott, a 2018-as GDPR átálláshoz hasonlítható a mostani helyzet. Az egészségügyi szervezetekbe a szakdolgozók, a vezetők jellemzően nem gazdasági végzettséggel, nem informatikusként, és nem jogászként érkeznek. A szakembereket érzékenyíteni kell, hiszen akkor tudnak az egészségügyben dolgozók is jól teljesíteni, ha ők is értik, milyen betegbiztonsági kockázatok merülnek fel.
Elhangzott a konferencián, hogy a hazai felhasználókat ért kibercsalások összege Magyarországon már elérte a 30 milliárd forintot. Globálisan a pénzügyi csalásokhoz köthető káresetek összege, vagyis a kiberbűnözők által okozott kár meghaladja az 50 milliárd eurót is, az egészségügy kitettsége pedig jelentős.
A legsérülékenyebb a betegbiztonság
Az egészségügyben alapvetően nem technológiai, hanem betegbiztonsági kérdés a kiberbiztonság, erről Palicz Tamás, az SE EMK igazgatóhelyettese beszélt. A legnagyobb problémát a digitális transzformációval járó kihívások okozzák. A személyes egészségügyi információk sokkal értékesebbek minden más személyes adatoknál, hívta rá fel a fogyelmet.
A felsőoktatás és tudományos kutatások, illetve kormányzati és a katonai szektor mellett az egészségügy a kibertámadások az egyik leginkább kitett ágazat.
Friss adatok szerint tavaly az Amerikai Egyesült Államokban legalább 700 intézményben 130 millió beteg adatát érintette valamilyen adatvisszaélés.
Magyar adatokat idézve elmondta: 3,5 százalékra tehető az egészségügyi infrastruktúrát ért incidensek száma, ezeknek a támadásoknak az 50 százalékban hatoltak be az intézmények egészségügyi rendszereibe a hekkerek,
mondta Palicz Tamás.
A szakember szerint globálisan egy zsarolóvírus-támadás költségvetési hatása 100 ezer dollár és egy millió dollár közé tehető.
Mi okozza a magas költségeket:
- működés leállása;
- és, hogy a reputáció milyen károsodást szenved.
Specifikusan a medikai eszközök már jelen vannak a betegellátásban. Az eszközök elterjedésének legfontosabb gátját az adatbiztonsági kérdések jelentik. Az eszközök között leginkább a képalkotók, a CT és az MRI gépek adatai, amelyek a legnagyobb veszélynek vannak kitéve.
A SE EMK igazgatóhelyettese hangsúlyozta, hogy a zsarolóvírus-támadás után nagyon hosszú ideig tart, amíg az informatikusok a rendszert helyre tudják állítani. És addig is például, amíg a működés újra helyreáll a szövettani vizsgálatok hossza hét napról akár a duplájára is emelkedhet.
Palicz Tamás példaként említette, hogy 2021-ben Írországban volt egy zsarolóvírus-támadás, ami egy rákközpontot érintett. Több kórházban leálltak a sugárterápiás kezelések, daganatsebészeti ellátások maradtak el. A támadás után 28 napba telt, amíg az e-mail rendszer működött és fél évnél is több időt vett igébe, mire az intézmény biztonságos működése helyreállt.
Harmadik legszenzitívebb ágazat az egészségügy
A NIS2-t érintő kritikus ágazatok, az energiaipar, a szállítmányozás, a banki és a pénzügyi szolgáltatások, az egészségügy, a közigazgatás, a gyógyszeripar, a vegyipar és az orvostechnikai eszközgyártók is, mondta Bencsik Balázs, a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) kiberbiztonsági tanúsítási igazgatója.
Az új szabályozás nagyon komoly feladat elé állítja a hatóságokat, hiszen 24-72 órán belül ki kell kivizsgálni egy biztonsági eseményt, ezt az elvárást támasztja az Európai Unió a tagállamokkal szemben. Minden szolgáltatónak, aki megfelel a középvállalati szintnek idén június 30-ig kötelezően regisztráltatnia kell a cégét a SZTFH nyilvántartásába.
Egy 2017-es félmérés adatai szerint a G20-as országokban a kibertámadások aránya 2 százalék körül volt, mára ez az arány már kétszámjegyű lehet, mondta Zala Mihály, az EY technológiai partnere.
A kiberbűnözés ma topon van, a legnagyobb bevételt termeli.
Egy sikeres kibertámadáshoz rengeteg személyes adat kell, minél nagyobb mennyiségű felhasználói adathoz jutnak hozzá a bűnözők, annál nagyobb támadást tudnak végrehajtani – sorolta a szakértő. Utalt arra, ha Európát lekapcsolnák az internetről, akkor se történne a világban semmi. Az egységesebb NIS2-nek ezért van létalapja. Egy egységesebb kezelés hatásosabb lehet, véli Zala Mihály.
A NIS2 azt várja el a cégektől, hogy legyenek szabályozóik, legyenek leosztva a felelősök, egy esetleges támadás esetén. Fontos a beszállítói auditok ellenőrzése, a szimulációs gyakorlatok, a humán faktor felkészítése, mert ezek akár 80 százalékkal emelhetik a cégek informatikai biztonságát.
Példaként említette, hogy egy hazai vármegyei kórházban a beszállítói titkárság gépét zsarolóvírus- támadás érte, éppen akkor, amikor egy alkalmazott egy számlát próbált meg letölteni. A beszállítók egy routeren keresztül össze voltak kötve a kórház IT rendszerével. Ebben az intézményben a hekkertámadás megelőzhető lett volna egy megfelelően kidolgozott és működtetett IT biztonsági irányítással, segített volna kockázatmenedzsment, a sérülékenység feltárása, biztonságtudatossági képzés is, sorolta a EY szakértője.
Mivel ebben az évben a NIS2 regisztrációs időszaka van, a cégeknek készíteni kell úgynevezett GAP (rés) analízist, egy sérülékenység vizsgálatra is szükség lesz, és egy kibertámadás szimulációt is érdemes elvégezni az egészségügyi szolgáltatóknak, javasolta Zala Mihály.