Δημόσια Νοσοκομεία: Ο αδύναμος στόχος των HACKERS;



Γράφει η Γεωργία Οικονομοπούλου, MSc Πολιτικής και Σχεδιασμού Υπηρεσιών Υγείας, Μέλος Δ.Σ. της ΕΕΜΥΥ


Μελέτη που διεξήχθη από τη Symanetc αναφέρει ότι η ομάδα Trojan.Gatak έχει στοχοποιήσει τον τομέα της υγειονομικής περίθαλψης, τόσο λόγω της πληθώρας των ευαίσθητων δεδομένων που διατηρούν τα νοσοκομεία, όσο και λόγω της ελάχιστης ασφάλειας που παρέχουν τα πληροφοριακά τους συστήματα, τα οποία χαρακτηρίζονται ως «παλαιότερης γενιάς».

Έτσι, ως πιο συχνά θύματα του Trojan.Gatak καταγράφονται οι οργανισμοί του τομέα υγείας, σε ποσοστό 40%. Το κακόβουλο λογισμικό, εγκατεστημένο σε δικτυακούς τόπους-δολώματα, προσφέρει δήθεν δωρεάν πειρατικά προγράμματα και όποιος επιχειρεί το «κατέβασμα», απλά μολύνει τον υπολογιστή του. [1]

Μια άλλη απειλή, αυτή του ransomware (ή Locky) κρύβεται στα επισυναπτόμενα –σε e-mails- αρχεία-παγίδες με ισχυρή αποκρυπτογράφηση και διαχέεται όταν ο χρήστης ανοίξει (εξάγει) τα περιεχόμενα του συνημμένου φακέλου zip (συμπιεσμένο αρχείο).

ΠΟΙΟ ΤΟ ΟΦΕΛΟΣ ΤΩΝ HACKERS;

Η πώληση των προσωπικών δεδομένων αλλά και άλλων στοιχείων του οργανισμού (οικονομικών και λειτουργικών) θεωρείται ως το πιθανότερο όφελος, ενώ η συνήθης κατάληξη είναι η πληρωμή λύτρων για την αποκατάσταση του προβλήματος.
Το παράνομο όφελος δεν προκύπτει μόνο από τον εκβιασμό, αλλά και από την κλοπή της ιατρικής ταυτότητας, με την οποία είναι δυνατή η εξαπάτηση της ασφαλιστικής εταιρείας του θύματος.

Η εκτίμηση είναι ότι περισσότερο από 300.000 $ την ημέρα πληρώνονται σε hackers και ο λόγος που το κοινό δεν το μαθαίνει είναι πολύ απλός…: «τα θύματα δεν μιλούν».[2]

Τον Μάρτιο 2016 το Πανεπιστημιακό νοσοκομείο MedStar (Georgetown, USA) δέχτηκε επίθεση, ενώ μόλις πριν ένα μήνα το Presbyterian Medical Center στο Hollywood αναγκάστηκε να πληρώσει λύτρα, για να επανακτήσει πρόσβαση στα αρχεία του. Η άμεση δράση και η επιβολή του νόμου, από τις αρμόδιες υπηρεσίες δίωξης του ηλεκτρονικού εγκλήματος, είναι σε μεγάλο βαθμό αδύνατη για την αποτροπή ή την προστασία των θυμάτων.[3]

Στο Northern Lincolnshire and Goole NHS Foundation Trust, μετά από επίθεση, εξαναγκάστηκαν να κλείσουν τα συστήματα υπολογιστών σε 3 από τα νοσοκομεία τους, με συνέπεια χιλιάδες επεμβάσεις και ραντεβού να ακυρωθούν.

Ο Philip Hammond, επικεφαλής της Τράπεζας της Αγγλίας, δήλωσε ότι η κυβέρνηση θα δαπανήσει £ 1,9 δισ. σε 5ετές στρατηγικό πρόγραμμα στήριξης της ασφάλειας στον κυβερνοχώρο, για την προστασία υποδομών ζωτικής σημασίας, όπως είναι τα νοσοκομεία. Παράλληλα, το βρετανικό Τμήμα Υγείας επανεξετάζει 10 νέα πρότυπα ασφάλειας, με συμμόρφωση σε πρότυπα και ένα νέο μοντέλο συναίνεσης στην ανταλλαγή δεδομένων. [4]

ΠΟΙΑ ΕΙΝΑΙ Η ΛΥΣΗ ΚΑΙ ΠΟΣΟ ΕΙΝΑΙ ΕΦΙΚΤΗ;

Στη σύγχρονη οικονομική διεθνή κρίση, με τους προϋπολογισμούς των νοσοκομείων να συμπιέζονται, η αναβάθμιση των λογισμικών απαιτεί σημαντικούς, δυσεύρετους πόρους. Ταυτόχρονα, η ολοένα αυξανόμενη χρήση της Τεχνολογίας Πληροφορικής και Επικοινωνιών (ΤΠΕ) στα νοσοκομεία, από τον αρχιτεκτονικό σχεδιασμό έως την κλινική διαχείριση του ασθενούς και την καθημερινή λειτουργία, μετατρέπει σταδιακά τους οργανισμούς σε «έξυπνους» (smart hospitals).

Δύο χρόνια πριν, στο 16ο Πανελλήνιο Συνέδριο της ΕΕΜΥΥ, υπό τον τίτλο «Το Έξυπνο Νοσοκομείο», αναδείχθηκαν μεν τα πλεονεκτήματα αυτού του μετασχηματισμού, αλλά κατέστη σαφές επίσης ότι, η ψηφιοποίηση από μόνη της δεν είναι αρκετή για την επίτευξη smart στόχων , για την οποία απαιτείται στρατηγικός σχεδιασμός και συνεχής τεχνοκρατικός έλεγχος.

ΑΝΟΙΚΤΑ ΖΗΤΗΜΑΤΑ ΚΑΙ ΣΥΣΤΑΣΕΙΣ

Ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA), μετά από έρευνα που διεξήχθη για την επιλογή των καλών πρακτικών, εξέδωσε τον Νοέμβριο συστάσεις προς τους διοικούντες τα νοσοκομεία και τους φορείς χάραξης πολιτικής σε εθνικό και ευρωπαϊκό επίπεδο[5].

Σύμφωνα με την έρευνα, η διαθεσιμότητα αποτελεσματικής τεχνολογίας στην αντιμετώπιση απειλών της ασφάλειας αποτελεί ζήτημα υψηλής προτεραιότητας (Γράφημα 1).

Γράφημα 1
Πηγή: Dimitra Liveri, Secure Infrastructures and Services Unit (ENISA), 2016 [6].

Τα… ανοικτά ζητήματα

1 – Τα νοσοκομεία πρέπει να αποτρέπουν ασθενείς και εργαζόμενους από τη χρήση των προσωπικών τους συσκευών μέσω των συστημάτων του οργανισμού (Wi-Fi, Ethernet, ή VPN) και, όπου αυτό δεν είναι εφικτό, να εφαρμόζουν αποτελεσματικές τεχνικές ελέγχου/απαγόρευσης για την προστασία του νοσοκομείου και της δικτυακής του υποδομής.

2 –Στα «έξυπνα» νοσοκομεία με server-based εφαρμογές IoT, η απαίτηση ασφαλών δικτύων προσαυξάνεται λόγω της ανάγκης παρακολούθησης (α) της αλληλεπίδρασης των αισθητήρων με τις ιατρικές συσκευές και (β) της αξιοπιστίας στη συλλογή των πληροφοριών. Η αυτοματοποίηση θα πρέπει να παρέχει τη δυνατότητα εντοπισμού τόσο της θέσης, όσο και της κατάστασης των συσκευών, ώστε να προλαμβάνεται οποιοδήποτε επεισόδιο «επίθεσης».

3 – Το έλλειμμα τεχνολογίας whitelisting, δηλαδή ενός καταλόγου εγκεκριμένου λογισμικού και έκδοσης, με απαγόρευση εγκατάστασης μη επιτρεπτού λογισμικού στο σύστημα του νοσοκομείου. Ειδικά σε περιπτώσεις παροχής εξ αποστάσεως υγειονομικής περίθαλψης, ο κατάλογος αυτός αποτελεί σημαντική προτεραιότητα εφόσον οι συσκευές των χρηστών (ιατρικές ή/και κινητές) μπορούν να λειτουργήσουν ως σημείο εισόδου για τον «εισβολέα».

4 – Η δυνατότητα ασφαλούς αναβάθμισης και παραμετροποίησης των συστημάτων του ιατροτεχνολογικού εξοπλισμού, ως προαπαιτούμενο σε κάθε νέα προμήθεια.

5 – Το έλλειμμα υιοθέτησης προγραμμάτων ευαισθητοποίησης και κατάρτισης. Η ευαισθητοποίηση αφορά το ευρύ κοινό, σχετικά με τους κινδύνους στην ασφάλεια, ενώ η κατάρτιση αφορά στη συνεχή και επίσημη επιμόρφωση του ανθρώπινου δυναμικού του οργανισμού, με ενίσχυση της γνώσης και των δεξιοτήτων.

6 – Η παρακολούθηση και διαχείριση των απομακρυσμένων servers, σταθμών εργασίας, συσκευών δικτύου κ.λπ. εντός ασφαλών διαύλων ενός κεντρικού συστήματος.

7 – Ο ρυθμός τυποποίησης (έκδοση προτύπων) VS εξέλιξης της τεχνολογίας πληροφορικής. Οι πιστοποιήσεις και τα πρότυπα εκδίδονται πάρα πολύ αργά έναντι του ρυθμού της εισόδου της τεχνολογίας στην αγορά. Καίτοι, η εφαρμογή προτύπων είναι σημαντική, σε πολλές περιπτώσεις είναι δυνατόν να αναστείλει την υιοθέτηση νέων τεχνολογιών.

8 – Η «αποτυχία» του κόστους-οφέλους κατά τον ορισμό προτεραιοτήτων. Είναι αληθές ότι, ορισμένα μέτρα ασφαλείας παρέχονται σε υψηλό κόστος, γεγονός που λειτουργεί αποτρεπτικά για τις αποφάσεις της διοίκησης. Όμως, σε περίπτωση επίθεσης, ο τελικός «απολογισμός» κόστους-επιπτώσεων επαναπροσδιορίζει τα σχετικά μεγέθη.

Οι Συστάσεις της ENISA προς τις Διοικήσεις των Νοσοκομείων

1. Καθιέρωση αποτελεσματικής διακυβέρνησης της ασφάλειας των πληροφοριών στον κυβερνοχώρο: Ας μην περιμένουμε να συμβεί για να δράσουμε! Οι επιθέσεις απειλούν τα προσωπικά δεδομένα και την ασφάλεια των ασθενών. Η ετοιμότητα πρέπει να συμπεριλαμβάνει και συγκεκριμένα σχέδια ανταπόκρισης σε κυβερνοεπίθεση και αποκατάστασης του συστήματος.

Πιο συγκεκριμένα:

1α. Ανάλυση κόστους-οφέλους του, ούτως ή άλλως δαπανηρού, συστήματος IoT για την πρόβλεψη της επαρκούς προστασίας του.

1β. Υιοθέτηση στρατηγικής της ασφάλειας των πληροφοριών, με σαφείς ρόλους και αρμοδιότητες, προληπτικές δράσεις ευαισθητοποίησης των χρηστών και κατάρτισης του ανθρώπινου δυναμικού.

1γ. Εγκαθίδρυση πολιτικής «χρησιμοποιήστε τη δική σας e-συσκευή» (Bring your own device (BYOD) για τους χρήστες.

1δ. Προσδιορισμός των συσκευών (περιουσιακών στοιχείων του οργανισμού) και πώς αυτές θα διασυνδέονται στο δίκτυο του οργανισμού ή στο internet (να ληφθεί υπόψη ότι ορισμένοι κατασκευαστές μπορεί να αρνηθούν την ενσωμάτωση αυτών των παραμέτρων στις συσκευές τους).

1ε. Υιοθέτηση και εφαρμογή βασικών αρχών αναφοράς για όλα τα σημαντικά λειτουργικά συστήματα.

2. Εφαρμογή σύγχρονων «state-of-the-art» μέτρων ασφαλείας. Συνεπάγεται υψηλό κόστος και έναν σημαντικό περιορισμό στη συνεργασία με τους άλλους φορείς. Τα state-of-the-art μέτρα περιλαμβάνουν:

2α. Smart firewalls,

2β. Συνεχή έλεγχο του δικτύου και δυνατότητα ανίχνευσης εισβολής,

2γ. Ισχυρή κρυπτογράφηση,

2δ. Ελεγχόμενη πρόσβαση,

2ε. Πιστοποιήσεις και εξουσιοδοτήσεις.

3. Ειδικές απαιτήσεις ασφάλειας των πληροφοριών στις συσκευές IoT. Είναι απαραίτητες για τους σχεδιαστές-προγραμματιστές των συστημάτων και συσκευών καθώς και σε όσους έχουν την ευθύνη εγκατάστασης, λειτουργίας και συντήρησης αυτών.

4. Επένδυση σε προϊόντα ασφάλειας στο Διαδίκτυο και στα Πληροφοριακά Συστήματα.

5. Θέσπιση ενιαίου συστήματος στην ανταλλαγή πληροφοριών, τόσο μεταξύ των οργανισμών, όσο και μεταξύ των τελευταίων με τους χρήστες των υπηρεσιών τους.

6. Εκτίμηση του κινδύνου και των αδυναμιών ασφάλειας, για τον ολοκληρωμένο ανασχεδιασμό της υποδομής. Η διαλειτουργικότητα των συστημάτων συντελεί στην ελαχιστοποίηση της αδυναμίας στην ασφάλεια.

7. Πραγματοποιήστε δοκιμές (penetration testing ή αλλιώς pen testing) και ελέγχους διείσδυσης, για την αξιολόγηση του επιπέδου ασφάλειας.

8. Υποστηρίξτε την επικοινωνία με όλους τους εμπλεκόμενους φορείς (stakeholders), μέσω των υπαρχόντων εθνικών και ευρωπαϊκών platforms, όπως είναι η ENISA, για την ανταλλαγή εμπειρίας και διαθέσιμων λύσεων.

Τέλος, είναι σαφές ότι, οι όποιες προσπάθειες θα πρέπει να γίνουν σε συνεργασία με τους κατασκευαστές συστημάτων και ιατροτεχνολογικών προϊόντων που προορίζονται για «έξυπνη» χρήση.

Γεωργία Οικονομοπούλου, MSc Πολιτικής και Σχεδιασμού Υπηρεσιών Υγείας, Μέλος Δ.Σ. της ΕΕΜΥΥ, Executive Committee Member Of EAHM, Γενικό Νοσοκομείο Αθηνών «Η Ελπίς».

ΑΝΑΦΟΡΕΣ

[1]. «Healthcare Now Top Gatak Trojan Target», HealthManagement.org, 25 November 2016. Διαθέσιμο στον ιστότοπο: https://healthmanagement.org/c/it/news/healthcare-now-top-gatak-trojan-target Πρόσβαση 12.12.2016.

[2]. Joseph Conn, «Report predicts more healthcare cyber and ransomware attacks in 2017», 2 December 2016. Διαθέσιμο στον ιστότοπο: http://www.modernhealthcare.com/article/20161202/NEWS/161209980/report-predicts-more-healthcare-cyber-and-ransomware-attacks-in-2017
Πρόσβαση 9.12.2016.

[3]. Kalev Leetaru, «Hacking Hospitals and Holding Hostages: Cybersecurity In 2016», FORBES European Edition, 29 March 2016. Διαθέσιμο στον ιστότοπο: http://www.forbes.com/sites/kalevleetaru/2016/03/29/hacking-hospitals-and-holding-hostages-cybersecurity-in-2016/#25bcf9fa3e2e
Πρόσβαση 12.12.2016.

[4]. Gonzalo Vina, «Patients in limbo as cyber attack shuts three hospitals», Financial Times, 2 November 2016.

[5]. Smart Hospitals: Security and Resilience for Smart Health Service and Infrastructures, European Union Agency for Network and Information Security, ENISA, November 2016. Διαθέσιμο στον ιστότοπο: https://www.enisa.europa.eu/publications/cyber-security-and-resilience-for-smart-hospitals
Πρόσβαση 9.12.2016.

[6]. Γράφημα 1. Διαθέσιμο στον ιστότοπο: https://www.google.gr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=8&cad=rja&uact=8&ved=0ahUKEwj6-OeAnOTQAhXINhoKHSAzCs8QFghUMAc&url=http%3A%2F%2Fouluhealth.fi%2Fwp-content%2Fuploads%2F2016%2F10%2FDimitraLiveri.pdf&usg=AFQjCNEVYe-kKcA_xUZ6hqoUmKWPpezCHw
Πρόσβαση 9.12.2016.

[7]. Yuehong YIN,Yan Zeng, Xing Chen, Yuanjie Fan, «The internet of things in healthcare: An overview», Journal of Industrial Information Integration, Elsevier, March 2016.