Рансъмуер атака срещу ChipSoft излага нидерландски пациентски данни

Рансъмуер атака удря сърцето на нидерландските здравни досиета

Значителна рансъмуер атака срещу ChipSoft, един от най-широко използваните доставчици на софтуер за електронни пациентски досиета в Нидерландия, разтърси нидерландския здравен сектор. Най-малко дузина болници вече са подали уведомления до нидерландския орган за защита на данните (AP), а следователите все още работят за установяване на пълния обхват на пробива.

Мащабът на потенциалното излагане на данни е значителен. Платформата HiX на ChipSoft се използва от приблизително 70% от нидерландските болници за управление на електронни пациентски досиета. Това означава, че една единствена атака срещу един софтуерен доставчик може да има верижни ефекти върху мнозинството от болничната мрежа в страната, потенциално засягайки личните и медицинските данни на милиони пациенти.

Какви данни могат да бъдат изложени на риск

Електронните пациентски досиета съдържат едни от най-чувствителните лични данни, които съществуват: диагнози, история на лечението, подробности за медикаменти, идентификационни номера и данни за контакт. Когато рансъмуер проникне в система, която обработва подобен вид данни, рисковете надхвърлят временното прекъсване на работата.

Разследванията в момента са съсредоточени върху това дали трафикът на данни е бил прихванат по време на атаката. Това е ключов въпрос. Рансъмуерът не просто заключва системи и изисква плащане; все по-често нападателите изнасят данни преди или по време на криптирането, което им дава лост за схеми за двойно изнудване. Ако данните са били прихванати при пренос, това би означавало, че досиетата са били копирани и извадени изцяло от защитените среди.

Болниците, които разчитат на софтуера на ChipSoft, се намират в трудната позиция да уведомяват регулаторите, като едновременно с това се опитват да разберат какво, ако изобщо нещо, е било откраднато. Съгласно европейските правила на GDPR, организациите трябва да докладват за нарушения на сигурността на данните пред надзорните органи в рамките на 72 часа от момента, в който са узнали за тях, и може също така да се наложи да уведомят засегнатите лица в зависимост от тежестта на риска.

Защо здравеопазването е основна цел за рансъмуер атаки

Здравният сектор се е превърнал в една от най-често атакуваните индустрии в световен мащаб по отношение на рансъмуер атаки. За това има няколко причини. Медицинските досиета имат висока стойност на подземните пазари, тъй като съдържат богата комбинация от лична и финансова информация. Болниците също работят под интензивен натиск да поддържат системите си в работещо състояние, което може да ги направи по-склонни да платят откуп бързо, за да възстановят достъпа.

Атаките срещу софтуерни вериги за доставки, при които престъпниците атакуват доставчик, използван от много организации, вместо да атакуват всяка организация поотделно, умножават значително потенциалните щети. Чрез пробив в една компания като ChipSoft, нападателите получават опора, която се разпростира върху цялата мрежа от клиенти, разчитащи на този софтуер. Този подход е ефективен за нападателите и опустошителен за организациите и лицата, които понасят последствията.

Нидерландия не е изолиран случай. Доставчиците на здравни услуги в цяла Европа и Северна Америка са се сблъсквали с подобни инциденти през последните години и тенденцията не показва признаци на обръщане.

Какво означава това за вас

Ако сте пациент в нидерландска болница, която използва платформата HiX на ChipSoft, вашите медицински и лични данни може да са били изложени. Ето какво трябва да имате предвид:

• Следете за уведомления. Болниците, засегнати от пробива, са задължени да информират пациентите, ако данните им са засегнати. Следете за официални съобщения от вашия доставчик на здравни услуги.
• Бъдете бдителни за опити за фишинг. След нарушение на сигурността на данните, нападателите често използват откраднатата информация, за да изготвят убедителни фишинг имейли или телефонни обаждания. Отнасяйте се скептично към нежелани контакти, твърдящи, че са от ваша болница или застраховател.
• Проверете правата си по AP. Съгласно GDPR имате право да поискате от организациите информация за това какви данни притежават за вас и как са били обработвани. Нидерландският орган за защита на данните е компетентният орган, ако имате притеснения относно начина, по който са обработени вашите данни.
• Разберете границите на това, което можете да контролирате. Когато данните ви се съхраняват от трета страна като болница или нейния софтуерен доставчик, имате ограничен пряк контрол върху тяхната сигурност. Това прави особено важно институциите да приемат сериозно задълженията си за защита на данните.

За здравните организации и IT администраторите този пробив е напомняне, че управлението на риска при доставчиците има значение. Разчитането на единична платформа в голяма част от националната здравна система създава концентрационен риск. Редовните одити на сигурността, планирането на реакцията при инциденти и гарантирането, че данните при пренос са криптирани, са базови изисквания, а не незадължителни допълнения.

Инцидентът с ChipSoft все още е под разследване и пълната картина за засегнатите данни може да отнеме седмици, за да се изясни. Пациентите заслужават навременна и прозрачна комуникация от институциите, на които са поверили най-чувствителната си информация. Регулаторите, болниците и софтуерните доставчици имат роля да гарантират, че този стандарт е спазен.