ZDRAVOTNICTVÍ A KYBERNETICKÁ BEZPEČNOST V ROCE 2018

Úniky dat týkající se zdravotnických zařízení, lékařských záznamů pacientů a jejich životů bychom měli brát obzvláště vážně.

Nicméně navzdory tomu, že v oblasti kybernetické bezpečnosti jsou zřejmě nejsilnějším argumentem čísla, v České republice neprobíhá žádný systematický sběr informací. Vedle mosaiky ojedinělých zpráv, výroků a incidentů tak nestojí žádná důvěryhodná statistika.

Pokud si chceme udělat ucelený obrázek o rizicích a ztrátách na poli zabezpečení citlivých zdravotních dat, je tak obvykle potřeba nahlédnout do Spojených států amerických.

USA situaci bedlivě monitorují od roku 2009 a počty hlášených úniků nejenom sahají hodně vysoko, ale v průběhu let neustále vzrůstají. Podívejme se na zdokumentované případy ve srovnání posledních dvou let: celkový počet amerických pacientů poškozených únikem dat dosáhl ve druhém kvartálu roku 2018 objemu dvacetkrát vyššího než ve stejném období roku 2017. V reálných číslech se podle studie Protenus Breach Barometer jedná o záznamy 3,14 milionů pacientů ze zdravotnických zařízení na území Spojených států. Už podle průzkumu Accenture reveals z roku 2017 přitom postihly úniky 27 % Američanů a polovina z nich musela čelit následkům odcizení identity.

Finanční ztráty na hlavu jednoho takového pacienta se pohybují v řádech tisíců dolarů.

Pro pořádek znovu upozorněme, že se jedná jen o zaevidované případy. Kolik úniků zůstává neohlášeno a nezdokumentováno se můžeme pouze dohadovat.

Tím se dostáváme k dalšímu problému, který specifické zdravotnické odvětví provází. Jedná se o nezvykle dlouhou dobu, která obvykle uplyne mezi samotným útokem a jeho zjištěním. Zatímco ve finančních institucích je úroveň kybernetické bezpečnosti velmi vysoká a indikace porušení integrity téměř okamžitá, průměrná délka zjištění úspěšného kybernetického útoku na zdravotnické zařízení se pohybuje kolem 204 dní. Známy jsou dokonce i případy, kdy se na únik dat přišlo za tři nebo čtyři roky.

Povědomí o nebezpečích spojených s únikem zdravotnických dat je v Česku obzvláště nízké a citlivé informace mají obecně jen velmi chatrnou ochranou. Čeští pacienti dokonce dobrovolně předávali své citlivé informace v rámci projektu elektronické zdravotní knížky (IZIP), nikdo se později o osud dat z projektu nezajímal. Jejich citlivost si totiž málokdo uvědomuje.

Právě tato data však mají na tržišti DarkNetu obzvláště vysokou cenu. Údaje o pacientech se prodávají za padesát dolarů ve srovnání s jedním dolarem za soubor dat osobních údajů a čísel kreditních karet bankovních klientů. Artiklem jsou totiž nejen záznamy obsahující diagnózy, ale i nejrůznější kódy, fakturační údaje a další informace umožňující ve výsledku odcizení identity a provedení lékařských podvodů nebo vytvoření falešných podkladů pro čerpání nároků z pojištění. Ukradení identity na základě dat ze zdravotnictví je snazší, než podobná krádež na základě dat z jakéhokoliv jiného odvětví.

Ohrožení dat nemusí nutně pramenit jen z přímého hackerského útoku.

Rozsáhlá studie Michiganské a Hopkinsovy university odhalila, že více než polovina nedávných úniků vznikla jako důsledek vnitřních záležitostí poskytovatelů zdravotní péče. Ať už se jedná o záměr, nebo nedbalost. Ve Spojených státech tak byla nedávno například uložena pokuta ve výši 16 milionů dolarů za dosud největší únik dat, během něhož bylo v roce 2015 zneužita data 79 milionů pacientů.

V českém prostředí lze připomenout nález zhruba dvou tisíc chorobopisů ležících na sběrném dvoře několik kilometrů od soukromé polikliniky, ze které pocházely.

Z pohledu zdravotnických zařízení je třeba si uvědomit, že jako poskytovatelé zdravotní péče nečelí po zcizení dat pouze finančním sankcím a schodkům ve svém finančním rozpočtu.

Podstatná je i bezprecedentní ztráta důvěry jejich pacientů.

Vnímáte kybernetickou bezpečnost a ochranu dat ve vaší firmě jako možný problém?

Zavolejte mi na 777 760 580 nebo napište tomas.havelka@prodsm.cz.

zdroj: Herjavec Group / HealthITSecurity / Protenus

Tom