<img alt="" src="https://secure.leadforensics.com/779964.png" style="display:none;">
Branża medyczna

Cyberbezpieczeństwo wizyt w placówkach medycznych

Sagenso Team
06 wrzesień 2023
SHARE

We wrześniu 2023 roku rusza kampania społeczna #odwoluje #nieblokuje, organizowana przez Centrum Medyczne CMP. Skupia się na problemie niestawiania się pacjentów na planowane wizyty i zabiegi u specjalistów – bez wcześniejszego ich odwoływania. Sprawa dotyczy aż 17 mln nieodwołanych wizyt na terenie Polski! Z tego powodu inne osoby mają znacznie utrudniony dostęp do usług medycznych. W niektórych przypadkach może się to wiązać nawet z zagrożeniem życia ludzkiego. Zaangażowaliśmy się w tę ważną kampanię jako partner technologiczny. W związku z tym postanowiliśmy opowiedzieć więcej, jak wygląda cyberbezpieczeństwo wizyt w placówkach medycznych. Dlaczego nie warto zapisywać się do specjalistów, a potem z tego rezygnować bez informowania? Sprawdź.

 

Hakerzy chętnie polują na dane pacjentów

 

Branża ochrony zdrowia jest wręcz bombardowana cyberatakami. Zgodnie z raportem Check Point Research “Cyber Security Report” ten sektor doświadcza w Polsce średnio 830 incydentów tygodniowo, przez co dane pacjentów są stale zagrożone. Raport mówi też, że w 2021 roku liczba ataków na placówki medyczne na całym świecie wzrosła aż o 71%!

 

Inne statystyki są równie niepokojące. Z raportu „Bezpieczeństwo danych w placówkach ochrony zdrowia” stworzonego przez czasopismo “OSOZ Polska” wynika, że w 2020 roku hakerzy przechwycili około 18 milionów kartotek pacjentów, czyli o 470% więcej niż w roku 2019!

 

Dlaczego dane medyczne są tak atrakcyjne dla cyberprzestępców?

 

Dane pacjentów mają na czarnym rynku ogromną wartość. Raport Fierce Healthcare podaje, że koszt nielegalnie zakupionych danych dostępowych do konta społecznościowego jednej osoby to średnio 1 dolar. Natomiast dane medyczne jednego pacjenta wycenia się na około 1 tys. dolarów! Skąd taka różnica cenowa? Jeśli wyciekną informacje typu hasła lub numery kart bankowych, poszkodowani mogą jak najszybciej dokonać zmiany na inne. Wtedy dla oszustów stają się bezużyteczne. Natomiast danych medycznych zmienić się nie da.

 

Placówki medyczne znajdują się na celowniku, gdyż zarządzają cennymi danymi na temat tysięcy pacjentów – nie tylko danymi kontaktowymi, ale też historią chorób i szeregiem innych dokumentów, które haker może szybko spieniężyć. Na przykład informacje o leczeniu, jakiemu poddaje się pacjentów, są bardzo cenne dla firm farmaceutycznych.

 

Służba zdrowia, głównie przez digitalizację wymuszoną pandemią, ostatnimi czasy doświadczyła silnej komputeryzacji. Jednocześnie wiele podmiotów medycznych nie może sobie pozwolić na taki poziom ochrony w sieci jak inne branże. W infrastrukturze IT pojawiają się luki, zastosowane rozwiązania okazują się przestarzałe. Dlatego cyberprzestępcy często nie muszą się szczególnie wysilać, żeby zdobyć dostęp do systemów.

 

W jaki sposób mogą wycieknąć dane pacjenta?

 

Placówka zdrowotna zbiera, wykorzystuje i przechowuje dane pacjentów na trzech etapach: rejestracji medycznej, kontaktu personelu z pacjentem, archiwizacji dokumentacji. Podczas każdego z tych etapów może nastąpić wyciek danych. Warto wspomnieć chociażby o wideokonsultacjach, nie zawsze organizowanych za pomocą wystarczająco bezpiecznych narzędzi.

 

Ważną kwestią jest dostęp personelu placówki do systemów IT. W teorii tylko nieliczne osoby powinny mieć dostęp do całego systemu. Poszczególnym pracownikom trzeba nadać różne poziomy dostępowe, zależnie od zakresu wykonywanych zadań czy hierarchii służbowej. Jednak nie zawsze się tego przestrzega. Wystarczy, że haker zdobędzie dane dostępowe jednej osoby, która ma szerokie uprawnienia, żeby wykraść mnóstwo informacji. Może też je zablokować za pomocą oprogramowania ransomware, co zaburzy pracę całej placówki.

 

Wyciek danych nierzadko wynika z (celowych lub nie) działań innego pacjenta. Przykład? Dana osoba przynosi wyniki badań lub ważne dokumenty na pendrivie. Teoretycznie lekarz nie powinien podłączać takiego nośnika do swojego komputera, dopóki nie nastąpi jego sprawdzenie. Jednak nie zawsze się tak dzieje, zwłaszcza w miejscach, które są przeładowane wizytami, więc liczy się każda minuta. Jeżeli nośnik zawiera złośliwe oprogramowanie albo wirusa, a placówka nie dysponuje odpowiednim oprogramowaniem wykrywającym zagrożenia, systemy IT zostają zainfekowane.

 

Kolejny przykład? Pacjent wchodzi do gabinetu. Na biurku leżą otwarte kartoteki innych osób, więc bez problemu podgląda ich zawartość. Albo monitor jest tak ustawiony, że to, co się na nim dzieje, widzi nie tylko lekarz. Albo lekarz na chwilę wychodzi, zostawiając pacjenta samego z mnóstwem dokumentacji. Albo login i hasło do systemu IT placówki znajdują się na karteczce samoprzylepnej przyczepionej do monitora.

 

Czemu bezpieczniej jest odwołać wizytę, jeżeli nastąpiła zmiana planów?

 

Teraz wyobraź sobie, że umawiasz się na wizytę, a potem nie przychodzisz. Jeżeli jej nie odwołujesz, na biurku lekarza leży Twoja dokumentacja i inny pacjent może zobaczyć coś, czego nie powinien. Albo Twoje dane jako pacjenta zapisanego na dany dzień znajdują się w plikach, które ma na swoim urządzeniu lekarz. A wtedy następuje cyberatak – niekoniecznie na całą placówkę, wystarczy na tego konkretnego lekarza, bo wyciekły jego dane dostępowe. Twoja dokumentacja wpada w ręce hakera, mimo że wizyta nawet się nie odbyła.

 

Cyberprzestępcy mogą wykorzystać Twoje dane, żeby wystawić fałszywe e-recepty na drogie i trudno dostępne leki. Mogą też, chociażby dla zabawy, manipulować zhakowanymi danymi medycznymi, w tym zmienić w kartotece informacje odnośnie leczenia. Po co niepotrzebnie narażać się na takie problemy?

 

Poza tym istnieje szansa, że staniesz się ofiarą kampanii phishingowej. Przestępcy, wiedząc, że korzystasz z usług danej placówki, mogą się pod nią podszyć, wysyłając Ci spreparowany e-mail. W nim znajdziesz na przykład e-receptę do pobrania albo prośbę o wejście w link w celu potwierdzenia danych. Kliknięcie w łącze lub pobranie załącznika zainfekuje Twój sprzęt oprogramowaniem szpiegowskim.

 

Nie zapisuj się na zapas do specjalisty, jeśli nie masz pewności, że faktycznie się pojawisz. A jeżeli nagle coś Ci wypadnie, odwołaj wizytę. Zmniejszysz ryzyko tego, że Twoje dane wpadną w ręce hakera. Jednak warto odwoływać wizyty nie tylko ze względu na bezpieczeństwo danych, ale też po to, żeby nie szkodzić osobom, które pilnie potrzebują pomocy medycznej.

 

Do usłyszenia!

Zespół Sagenso
Sagenso Team

Sagenso Team

Spear phishing – czym jest i jak zagraża Twojej firmie?
Ogólna kategoria

Spear phishing – czym jest i jak zagraża Twojej firmie?

Phishing to jedno z najpopularniejszych cyberzagrożeń, z jakimi zmagają się firmy. Hakerzy lubią...
Czytaj więcej
Sagenso - blog
Ogólna kategoria

Czy można zadbać o cyberbezpieczeństwo firmy bez zatrudnienia specjalisty?

Wzmożona aktywność cyberprzestępców w sieci skutkuje gwałtownym zwiększeniem liczby cyberataków....
Czytaj więcej

Przeprowadź darmowy audyt bezpieczeństwa IT

Sprawdź możliwości innowacyjnego narzędzia audytorskiego Telescope

Przeprowadź darmowy audyt IT