Skutki cyberataku dla branży medycznej i farmaceutycznej

Placówki medyczne i firmy farmaceutyczne znajdują się w czołówce najczęściej atakowanych przez hakerów organizacji. Przestępcom zależy zazwyczaj na zdobyciu wartościowych danych o pacjentach, ale czasami za ich działaniami nie stoją motywy finansowe, tylko chęć wywołania chaosu. Tak czy inaczej zaatakowaną placówkę czekają trudne chwile. Jak wyglądają skutki cyberataku dla branży medycznej i farmaceutycznej? Z czym muszą się zmagać podmioty związane z ochroną zdrowia po ataku ransomware? Sprawdź w naszym artykule.

Paraliż placówki jako skutek ataku hakerskiego

Skuteczny cyberatak może błyskawicznie doprowadzić do paraliżu całej placówki. Chodzi tu przede wszystkim o atak ransomware. Powoduje on najczęściej zablokowanie lub zaszyfrowanie danych firmowych, w wyniku czego wszelka dokumentacja – medyczna, kadrowa czy księgowa – staje się dla firmy niedostępna. Gdy systemy IT, na których opierało się funkcjonowanie całej organizacji, przestają działać, niemożliwe jest prowadzenie bieżącej działalności.

Zaatakowana placówka medyczna nie ma dostępu do kartotek pacjentów, a tym samym do historii chorób czy wyników badań. Nie może zajmować się bieżącym leczeniem. Paraliż systemu komputerowego wymusza konieczność odwoływania operacji i badań kontrolnych, kierowania niektórych pacjentów do innych placówek oraz odmowy przyjmowania nowych pacjentów. Z kolei pozbawiona sprawnie działających systemów IT placówka farmaceutyczna zmaga się z koniecznością zawieszenia wszelkich prac nad lekami czy szczepionkami. Taki atak godzi też w cały łańcuch dostaw, od etapu magazynowania produktu po sprzedaż i dystrybucję.

Narażenie życia ludzkiego w wyniku cyberataku

Zarówno branża medyczna, jak i farmaceutyczna jest ściśle powiązana z życiem i zdrowiem ludzkim. Cyberatak może zatem poważnie narazić czyjeś życie. Czasami jest to nie do końca zamierzony ze strony cyberprzestępcy skutek uboczny – atakujący po prostu chce zdobyć wartościowe dane lub zgarnąć pieniądze z okupu. Jednak czasami wywołanie chaosu i zbiorowej paniki oraz spowodowanie utraty zdrowia pacjentów stanowi jedyny cel hakera.

Przykładów nie trzeba długo szukać. Cyberatak na uniwersytecki szpital w Düsseldorfie w 2020 roku zakończył się tragedią. Hakerzy odcięli placówce dostęp do systemów informatycznych, w wyniku czego konieczne było skierowanie chorych w inne miejsca. Jedna z kobiet zmarła podczas transportu. Również w 2020 roku firmy farmaceutyczne z kilku krajów, pracujące nad szczepionkami na COVID-19, doświadczyły zmasowanych ataków ze strony hakerów powiązanych z Rosją i Koreą Północną. Przestępcom nie chodziło o pieniądze, ale o zakłócenie życia społecznego.

To nie wszystko. Możliwe jest również brzemienne w skutkach manipulowanie zhakowanymi danymi medycznymi, na przykład zmiana informacji na temat leczenia w kartotekach pacjentów albo ingerencja w recepturę leku opracowywanego przez firmę farmaceutyczną.

Atak hakerski a wyciek danych pacjentów

Dane medyczne są dla hakerów nawet 10 razy bardziej wartościowe niż dane z kart kredytowych. Dlaczego? Jeżeli wyciekną informacje o kartach kredytowych czy dostępy do konta bankowego, bezpośredni poszkodowany może je natychmiast zmienić – a wtedy przestają być cenne dla przestępców, gdyż nie da się z nich zrobić żadnego użytku. Natomiast danych medycznych zmienić nie sposób, nawet jeśli w ich posiadanie wejdą osoby niepowołane.

Placówki medyczne zarządzają informacjami na temat ogromnej liczby pacjentów. Mają w swoich rejestrach dane kontaktowe, historię chorób i wiele innych dokumentów gorąco pożądanych na czarnym rynku. Tak samo firmy z sektora farmacji podczas różnorodnych badań klinicznych gromadzą i przechowują mnóstwo danych na temat pacjentów. Nic dziwnego zatem, że obie branże znajdują się w czołówce najczęściej atakowanych przez hakerów i nierzadko muszą się zmagać z wyciekiem danych.

Utrata danych z powodu szkodliwego oprogramowania

Ogromnym ciosem dla zaatakowanych firm medycznych i farmaceutycznych może być nie tylko wyciek, ale też kompletna utrata danych. Do popularnych ostatnio rodzajów ransomware należy atak z wykorzystaniem złośliwego oprogramowania Exmatter. Oprogramowanie nie szyfruje napotkanych danych, ale kopiuje je na serwery przestępców, a potem całkowicie usuwa z zasobów firmy. Z tego powodu ofiara nie ma możliwości odzyskania informacji na własną rękę.

W 2021 roku szpitale w wyniku ataków ransomware utraciły bezpowrotnie około 40% danych. Jeśli placówka medyczna nie zadbała o kopie zapasowe, to brak danych stanowi dla niej ogromny cios. Nie oznacza jedynie tymczasowego paraliżu placówki, ale może prowadzić do długofalowych problemów. Nie sposób przecież zarządzać zabiegami i operacjami bez danych o pacjentach, procedurach czy pracownikach. W podobnie trudnej sytuacji znajduje się wtedy firma farmaceutyczna. Wejście nowego leku na rynek oznacza zazwyczaj kilkanaście lat prac badawczo-rozwojowych. Utrata stworzonych receptur i wyników badań zaprzepaszcza tę ciężką pracę w jeden dzień.

Konieczność zapłacenia okupu po ataku ransomware

Kiedy w wyniku ataku ransomware dochodzi do zablokowania lub usunięcia danych firmowych, przestępcy domagają się wysokiego okupu w zamian za przywrócenie wszystkiego do normy. Cyberbezpieczeństwo placówki medycznej zostaje wówczas zagrożone. Czasem kwoty okupu bywają ogromne. Dla przykładu, hakerzy zażądali od paryskiego szpitala Centre hospitalier Sud Francilien aż 10 milionów dolarów. Decyzja, czy skorzystać z “oferty” przestępców, jest bardzo trudna, gdy na szali znajduje się życie pacjentów, a samodzielne odszyfrowanie danych może trwać nawet miesiące.

Z kolei branża farmaceutyczna często decyduje się na zapłacenie okupu, gdyż taka jednorazowa opłata i tak wydaje się relatywnie niska w porównaniu z tym, ile pieniędzy włożono w rozwój produktu. Proces związany z tworzeniem i wprowadzeniem innowacyjnego leku na rynek trwa średnio dwanaście lat i angażuje do tysiąca naukowców z różnych dziedzin. Koszty opracowania składu i przeprowadzenia badań klinicznych dochodzą nawet do ośmiu miliardów złotych. Firma, która tyle zainwestowała, nie może sobie pozwolić na to, by dane zniknęły albo trafiły do konkurencji.

Kary RODO za naruszenie danych osobowych

Każda firma, która przetwarza dane osobowe, musi się również liczyć z ewentualnymi karami za naruszenie, złamanie lub nieprzestrzeganie RODO. Placówki medyczne i farmaceutyczne stale wchodzą w kontakt z pacjentami i gromadzą obszerne informacje na ich temat. Jeżeli dojdzie do wycieku danych, nieprawidłowego przetwarzania danych osobowych, narażenia bezpieczeństwa informacji lub działania niezgodnie z wymogami regulacjami odnośnie dokumentacji, Urząd Ochrony Danych Osobowych może nałożyć karę.

W przypadku szpitala maksymalna kwota wynosi 20 000 000 euro, natomiast w przypadku przedsiębiorstwa farmaceutycznego – do 2% lub do 4% całkowitego rocznego obrotu z zeszłego roku. Dla przykładu, w 2019 roku jeden ze szpitali w Hadze musiał zapłacić 460 000 euro, kiedy okazało się, że dostęp do dokumentacji medycznej przyjętej tam celebrytki miało 85 osób nieuczestniczących w procesie leczenia.

Jeżeli chcesz dowiedzieć się więcej zarówno o wyzwaniach cyberbezpieczeństwa w placówce medycznej, jak i cyberwyzwaniach w branży farmaceutycznej, zajrzyj na naszego bloga. Przeprowadź też bezpłatny audyt cyberbezpieczeństwa, żeby sprawdzić, czy firma z branży medycznej lub farmaceutycznej jest dobrze chroniona w sieci. Wykryje on luki w zabezpieczeniach i powie, jak je zlikwidować. Poza tym odwiedź nasz fanpage lub profil LinkedIn, gdzie dzielimy się przydatnymi informacjami na temat cyberochrony.

Do usłyszenia!

Zespół Sagenso