Máte údaje v zdravotníckom systéme? A boli by ste háklivý, keby sa niekde zverejnili? Údaje totiž môžu uniknúť do verejného priestoru nielen po útoku, ale aj lajdáctvom či zlomyseľnosťou. Predstava, že naše intímne údaje kolujú po internete alebo dostaneme vydieračský mail, je desivá.

Príťažlivý cieľ

Zdravotnícke zariadenia sú zlatou baňou osobných údajov, často sú podfinancované, majú veľa dodávateľov a rôznych zariadení a rôznorodý personál a pracuje sa tam pod časovým tlakom. Od januára do apríla 2024 bolo 15 percent verejne potvrdených kybernetických incidentov a únikov údajov v Európe práve v zdravotníctve. Znamená to druhé miesto v segmentovom rebríčku kyberincidentov, predstihla ho štátna správa.

Z prieskumu spoločnosti Software Advice vyplýva, že za posledné tri roky sa s kybernetickým útokom stretla jedna z troch zdravotníckych organizácií v Spojených štátoch. A v prípade incidentu tretina zdravotníckych organizácií (34 percent) nezískala ukradnuté údaje späť. 

Nie sme výnimkou

V tomto má Slovensko svetové parametre. „Najviac hlásení kybernetických bezpečnostných incidentov v roku 2023 pochádzalo zo sektorov verejná správa, bankovníctvo a zdravotníctvo,“ uvádza Správa NBÚ o kybernetickej bezpečnosti.

Dôvod? „Nedostatočné financovanie a zastaraná technológia ohrozujú kybernetickú bezpečnosť v zdravotníctve. Nízke povedomie personálu o kybernetických hrozbách a zraniteľnostiach zvyšuje riziko útokov. Kybernetické útoky s využitím umelej inteligencie sú čoraz sofistikovanejšie a ohrozujú kontinuitu poskytovania starostlivosti.“

Vydieračský rekord

Začiatkom tohto roka ochromil systémy zdravotnej starostlivosti naprieč celými Spojenými štátmi kybernetický útok na Change Healthcare. Spoločnosť ročne spracuje viacej ako 15 miliárd lekárskych transakcií, čo predstavuje takmer tretinu záznamov o pacientoch v USA. Po ničivom kyberútoku materská spoločnosť UnitedHealth Group zaplatila výkupné 22 miliónov dolárov.

Začiatočnícka chyba za miliardu

Hackeri sa dostali na server, na ktorom chýbala základná forma zabezpečenia multifaktorovou autentifikáciou.

Podľa zverejnených informácií boli náklady spojené s kyberútokom v prvom štvrťroku 2024 neuveriteľných 870 miliónov dolárov. Z toho takmer 600 miliónov dolárov boli priame náklady na obnovu systému aj na reakciu. Zvyšná suma pokrýva stratu príjmov a prerušenie činnosti. Predstavitelia spoločnosti odhadujú, že ročné náklady budú 1,4 až 1,6 miliardy amerických dolárov.

Návrat do normálu je drahý

Sumy sú v miliónoch, ale zapamätáte si to takto: náklady na porušenie ochrany údajov v zdravotníctve sú dvakrát vyššie ako tie priemerné. Sú dokonca najvyššie zo všetkých sledovaných segmentov a za posledné tri roky narástli o 53,3 percenta.

(Podľa správy od spoločnosti IBM Cost of the Data Breach Report 2023 boli globálne priemerné náklady na porušenie ochrany údajov 4,45 milióna amerických dolárov, v zdravotníctve 10,93 milióna dolárov.)

Pokuta za nedbanlivosť

Najvyššiu pokutu za porušenie ochrany údajov v európskom zdravotníctve dostala v roku 2021 francúzska spoločnosť Dedalus Biologie. Z jej laboratórií unikli citlivé údaje takmer pol milióna pacientov, čo národná autorita ohodnotila pokutou 1,5 milióna eur. Išlo o informácie o HIV, rakovine, genetických ochoreniach a tehotenstvách.

A príčina úniku? Nevhodné spracovanie údajov počas migrácie softvéru a nedostatočné bezpečnostné opatrenia, akými sú napríklad šifrovanie a monitorovanie servera. A zatiaľ čo výška pokuty je vo svete povestná, o technologických nákladoch a nebodaj mimosúdnych urovnaniach spoločnosť zaryto mlčí.

Domáci neporiadok

Pokutu 2,9 milióna eur dostal začiatkom dekády švédsky zdravotnícky poskytovateľ Capio St. Göran. Audity odhalili, že k citlivým osobným údajom malo prístup príliš veľa zamestnancov. Išlo nielen o neoprávnené zdieľanie zdravotných údajov, ale aj o nedostatočné monitorovanie prístupu.

Nemocnici Haga Hospital vyrubil príslušný holandský úrad v roku 2019 pokutu 460 000 eur za to, že neposkytla dostatočnú úroveň vnútornej bezpečnosti na ochranu pacientskych záznamov. De facto to bol neoprávnený prístup zamestnancov k zdravotným záznamom známej holandskej hviezdy reality show. Nemocnica dostala aj pokyny na zlepšenie bezpečnosti a hrozila jej ďalšia pokuta, ak by ich nedodržiavala.