Elengedhetetlen, hogy az egészségügyi szektor folyamatosan fejlessze kiberbiztonsági intézkedéseit és rendszereit, hogy megvédje mind a pácienseket, mind az egészségügyi adatokat a kibertámadásoktól, hiszen az egészségügyi adatok kitettsége óriási.

Szerte a világon hetente több száz egészségügyi kibertámadást regisztrálnak, melyekben esetenként átlagosan minimum 200 ezer páciens adata érintett. Éves szinten a több száz milliót is meghaladja a kibertámadásban érintett áldozatok száma, a kiberbűnözők által okozott kár pedig eléri az 50 milliárd eurót.

Kapcsolódó

A kiberbűnözők által elkövetett adatlopások és adathalászat révén személyes és különösen bizalmas információk kerülhetnek illetéktelen kezekbe, ami súlyos következményekkel járhat mind a páciensek, mind az egészségügyi intézmények számára.

Voltak már komoly incidensek

Magyarországon 3,5 százalékra tehető az egészségügyi infrastruktúrát ért incidensek száma, ezeknek a támadásoknak az 50 százalékában hatoltak be az intézmények egészségügyi rendszereibe a hekkerek, erről itt írtunk korábban.

Kép: EMK

 

Az egészségügyi információk különösen érzékeny adatok, míg egy banki adat néhány pár dollár a feketepiacon, az egészségügyben keletkezett páciensadatok már több száz, akár több ezer dollárt is érhetnek. Ezek a támadások nemcsak az adatbiztonságot fenyegetik, hanem akár az egész egészségügyi infrastruktúra működését is, ami komoly károkat okozhat az egész társadalomra nézve.

Kép: EMK

A szabályozások és jogi környezet igyekszik az egyre fejlettebb támadásokat megelőzni és naprakészen alkalmazkodni: 2024-től az egészségügyben érintett intézmények és vállalkozások számára is kötelező az úgynevezett NIS2 uniós kiberbiztonsági irányelv alkalmazása.

Kép: Palicz Tamás

A Network and Information Systems Directive 2, az Európai Bizottság kiberbiztonsági intézkedéseket és javaslatokat tartalmazó irányelve, mely kiemelten érinti az egészségügyi vállalkozásokat. Jellemzően az 50 főnél több alkalmazottat foglalkoztató vagy évi 3,9 milliárd forintot meghaladó árbevételű cégeket érinti majd a változás.


Az egészségügyben a kiberbiztonság alapvetően nem technológiai, hanem betegbiztonsági kérdés, amin emberi életek és akár országok egészségügyi rendszerének hozzáférése múlhat

– mondta Palicz Tamás egészségügyi kiberbiztonsági szakértő.

Az egészségügyben hatalmas mennyiségű adat keletkezik, hiszen akár csak egy-egy diagnózis érdekében vizsgálatok sorát - azaz igen széleskörű adatgyűjtést - végeznek el az intézmények. Ezek magas értékük és jelentőségük miatt különösen értékesek a kiberbűnözők számára.

Ugyanakkor kibertámadás alatt nem csak adatlopást értünk, előfordulnak úgynevezett zsarolóvírusos támadások, ahol a támadók titkosítják az adatokat vagy akár az egész rendszert, majd váltságdíjat követelnek a visszafejtésért vagy a rendszer visszaállításáért.

Pár héttel ezelőtt történt, hogy román kórházakat ért zsarolóvírus-támadás, legalább 21 intézmény volt érintett, emellett 79 kórházat biztonsági szempontból lekapcsoltak a Hippokratészről elnevezett informatikai platformról.

De beszélhetünk az orvosi eszközök elleni támadásokról is, amikor az internetre csatlakoztatott orvosi eszközök révén válnak a páciensek célponttá. További nagy veszélyt jelentenek az úgynevezett DDoS, vagyis a szolgáltatásokat megbénító támadások. Ilyenkor a bűnözők célja a rendszerek vagy weboldalak túlterhelése, ami leállásokhoz, hozzáférési problémákhoz vezethet. A kibertámadások elleni védekezés tehát különösen kiélezett kihívás az egészségügyben, ahol az adatok életet mentenek – hangsúlyozta a szakember.

Nincs tökéletes biztonság, de...

Nem elég transzparensek a Magyarországon történt kibertámadások, sokszor azért nem jelentik be, mert ciki vagy mert attól félnek a cégek, hogy ezzel még inkább felhívják magukra a figyelmet – mondta korábban lapunknak Zala Mihály, EY Magyarország, IT- és technológiai tanácsadásért felelős vezetője.

Kép: Zala Mihály, EY

Beszélt arról is, hogy tökéletes biztonság nem létezik a hekkerek ellen, de nem is az a lényeg, hanem az, hogy olyan mértékű csillapítások legyenek a cégek IT-rendszerében, amivel a bűnözőknek nem éri meg bajlódni.