Cookies management by TermsFeed Cookie Consent

07/2024

   Report bezpečnosti

Úniky údajov v zdravotníctve? Kybernetické útoky, ale aj neporiadok

Máte údaje v zdravotníckom systéme? A boli by ste háklivý, keby sa niekde zverejnili? Údaje totiž môžu uniknúť do verejného priestoru nielen po útoku, ale aj lajdáctvom či zlomyseľnosťou. Predstava, že naše intímne údaje kolujú po internete alebo dostaneme vydieračský mail, je desivá.

Príťažlivý cieľ

Zdravotnícke zariadenia sú zlatou baňou osobných údajov, často sú podfinancované, majú veľa dodávateľov a rôznych zariadení a rôznorodý personál a pracuje sa tam pod časovým tlakom. Od januára do apríla 2024 bolo 15 percent verejne potvrdených kybernetických incidentov a únikov údajov v Európe práve v zdravotníctve. Znamená to druhé miesto v segmentovom rebríčku kyberincidentov, predstihla ho štátna správa.

Z prieskumu spoločnosti Software Advice vyplýva, že za posledné tri roky sa s kybernetickým útokom stretla jedna z troch zdravotníckych organizácií v Spojených štátoch. A v prípade incidentu tretina zdravotníckych organizácií (34 percent) nezískala ukradnuté údaje späť. 

Vypočujte si Report bezpečnosti, číta pre vás AI.

Nie sme výnimkou

V tomto má Slovensko svetové parametre. „Najviac hlásení kybernetických bezpečnostných incidentov v roku 2023 pochádzalo zo sektorov verejná správa, bankovníctvo a zdravotníctvo,“ uvádza Správa NBÚ o kybernetickej bezpečnosti.

Dôvod? „Nedostatočné financovanie a zastaraná technológia ohrozujú kybernetickú bezpečnosť v zdravotníctve. Nízke povedomie personálu o kybernetických hrozbách a zraniteľnostiach zvyšuje riziko útokov. Kybernetické útoky s využitím umelej inteligencie sú čoraz sofistikovanejšie a ohrozujú kontinuitu poskytovania starostlivosti.“

Vydieračský rekord

Začiatkom tohto roka ochromil systémy zdravotnej starostlivosti naprieč celými Spojenými štátmi kybernetický útok na Change Healthcare. Spoločnosť ročne spracuje viacej ako 15 miliárd lekárskych transakcií, čo predstavuje takmer tretinu záznamov o pacientoch v USA. Po ničivom kyberútoku materská spoločnosť UnitedHealth Group zaplatila výkupné 22 miliónov dolárov.

Začiatočnícka chyba za miliardu

Hackeri sa dostali na server, na ktorom chýbala základná forma zabezpečenia multifaktorovou autentifikáciou.

Podľa zverejnených informácií boli náklady spojené s kyberútokom v prvom štvrťroku 2024 neuveriteľných 870 miliónov dolárov. Z toho takmer 600 miliónov dolárov boli priame náklady na obnovu systému aj na reakciu. Zvyšná suma pokrýva stratu príjmov a prerušenie činnosti. Predstavitelia spoločnosti odhadujú, že ročné náklady budú 1,4 až 1,6 miliardy amerických dolárov.

Návrat do normálu je drahý

Sumy sú v miliónoch, ale zapamätáte si to takto: náklady na porušenie ochrany údajov v zdravotníctve sú dvakrát vyššie ako tie priemerné. Sú dokonca najvyššie zo všetkých sledovaných segmentov a za posledné tri roky narástli o 53,3 percenta.

(Podľa správy od spoločnosti IBM Cost of the Data Breach Report 2023 boli globálne priemerné náklady na porušenie ochrany údajov 4,45 milióna amerických dolárov, v zdravotníctve 10,93 milióna dolárov.)

Pokuta za nedbanlivosť

Najvyššiu pokutu za porušenie ochrany údajov v európskom zdravotníctve dostala v roku 2021 francúzska spoločnosť Dedalus Biologie. Z jej laboratórií unikli citlivé údaje takmer pol milióna pacientov, čo národná autorita ohodnotila pokutou 1,5 milióna eur. Išlo o informácie o HIV, rakovine, genetických ochoreniach a tehotenstvách.

A príčina úniku? Nevhodné spracovanie údajov počas migrácie softvéru a nedostatočné bezpečnostné opatrenia, akými sú napríklad šifrovanie a monitorovanie servera. A zatiaľ čo výška pokuty je vo svete povestná, o technologických nákladoch a nebodaj mimosúdnych urovnaniach spoločnosť zaryto mlčí.

Domáci neporiadok

Pokutu 2,9 milióna eur dostal začiatkom dekády švédsky zdravotnícky poskytovateľ Capio St. Göran. Audity odhalili, že k citlivým osobným údajom malo prístup príliš veľa zamestnancov. Išlo nielen o neoprávnené zdieľanie zdravotných údajov, ale aj o nedostatočné monitorovanie prístupu.

Nemocnici Haga Hospital vyrubil príslušný holandský úrad v roku 2019 pokutu 460 000 eur za to, že neposkytla dostatočnú úroveň vnútornej bezpečnosti na ochranu pacientskych záznamov. De facto to bol neoprávnený prístup zamestnancov k zdravotným záznamom známej holandskej hviezdy reality show. Nemocnica dostala aj pokyny na zlepšenie bezpečnosti a hrozila jej ďalšia pokuta, ak by ich nedodržiavala.

Praktická trojica z našich skúseností

Hodnota údajov rastie a v súčasnosti je ich ochrana nielen právnou povinnosťou. Je to príležitosť na zlepšenie aktivít, budovanie dôvery zákazníkov a posilnenie pozície spoločnosti na trhu. Aj nedávne úniky osobných údajov na Slovensku, ktoré sme mohli sledovať, nám pripomínajú, že v dnešnej digitálnej dobe sú osobné údaje často zneužívané, preto je ich ochrana nevyhnutná.

Investícia do ochrany osobných údajov sa vráti vo forme lepšej reputácie a je ochranou pred potenciálnymi právnymi a finančnými sankciami.

Uvádzame niekoľko odporúčaní, ktoré sme aktuálne aplikovali v nemocnici čeliacej problémom s ochranou osobných údajov pacientov.

⮕ Niektoré citlivé informácie boli neoprávnene sprístupňované a zdieľané s tretími stranami. Preto bol implementovaný systém na správu a kontrolu prístupov, ktorý zabezpečuje prístup k citlivým údajom pacientov iba oprávnenému personálu, a ich aktivity sú monitorované.

⮕ Všetky zdravotné záznamy sú v databázach zašifrované, aby sa zabezpečilo, že údaje nie sú čitateľné v prípade neoprávneného prístupu.

⮕ Ďalšími opatreniami, ktoré prispeli k ochrane osobných údajov, sú pravidelné školenia pre všetkých zamestnancov o dôležitosti ochrany osobných údajov a o postupoch pri ich spracovávaní. Sem patria aj pravidelné interné audity na overenie účinnosti a dodržiavania opatrení na ochranu údajov podľa predpisov GDPR.