Есекският здравен фонд на NHS потвърди пробив на Qilin две години по-късно

Есекският здравен фонд на NHS потвърди пробив на Qilin две години по-късно

Есекският здравен фонд на NHS стана последната здравна организация, потвърдила, че при рансъмуер атака на Qilin са откраднати досиета на пациенти, а разкритието идва приблизително две години след като групата за първи път удари системи на NHS. Проблемът със защитата на данните на пациентите при пробиви чрез рансъмуер в NHS вече не е просто технически въпрос за болничните IT екипи. За пациентите, чиито досиета са откраднати, часовникът за потенциални измами, фишинг и злоупотреба с идентичност тиктака отдавна.

Разкритието напомня, че инцидентите с рансъмуер в здравеопазването рядко се развиват по ясен график. Жертвите се идентифицират на вълни, уведомленията пристигат късно, а пълният обхват на откраднатото може да отнеме месеци, понякога години, за да бъде установен.

Кои здравни фондове на NHS потвърдиха откраднати досиета

Групата Qilin първоначално атакува доставчика на NHS Synnovis през юни 2024 г., като наруши услугите по кръвопреливане и патологичните операции в няколко лондонски болници, включително King's College Hospital и Guy's and St Thomas'. Тази атака доведе до отменени операции и принуди клиницистите да работят без достъп до критични резултати от изследвания.

Потвърждението от Есекския фонд представлява разширяване на този обхват. Докато болниците продължават да одитират системите си и да съпоставят изтекли масиви от данни, все повече фондове достигат до момента, в който могат официално да уведомят засегнатите пациенти. Категориите данни, засегнати при този тип пробиви в NHS, обикновено включват имена, дати на раждане, номера в NHS, клинични бележки, резултати от изследвания, а в някои случаи и финансови детайли, свързани с пациентски сметки.

Това, което прави времевата линия толкова обезпокоителна, е, че пациентите, уведомени сега, са били изложени на потенциална злоупотреба до две години, без да знаят. Откраднатите здравни досиета не губят валидност, както номерата на кредитни карти. Те запазват стойност на престъпните пазари, защото съдържат непроменими лични данни, които не могат да бъдат сменени.

Защо здравните досиета са високостойностна цел за рансъмуер

Здравните досиета постоянно достигат по-високи цени в престъпните форуми, отколкото само финансовите удостоверения. Едно-единствено медицинско досие може да съдържа всичко необходимо на измамник за кражба на самоличност, включително застрахователна информация, история на лекарствата и данни за близки роднини. За операторите на рансъмуер като Qilin здравните организации предлагат двоен стимул: натискът от прекъсване на работата, който принуждава към бързо плащане (тъй като клиничните операции зависят от живи данни), и високо търгуем набор от данни за продажба, ако откупът не бъде платен.

NHS е особено привлекателна цел, защото мащабът ѝ е огромен, системите са разнородни в различните фондове, а трети страни доставчици често действат като най-слабото звено. Атаката срещу Synnovis демонстрира именно този модел. Вместо да проникнат директно в болница, нападателите компрометираха доставчик с дълбока интеграция в множество болнични мрежи.

Атаките чрез социално инженерство естествено следват този вид пробив. Веднъж щом нападателите разполагат с проверени пациентски данни, те могат да създадат изключително убедителни фишинг съобщения или гласов фишинг обаждания – тактика, наблюдавана и при други значими инциденти. При атаката с вишинг срещу Cushman & Wakefield, при която ShinyHunters претендираха за 500 000 записа, откраднатите организационни данни бяха използвани, за да придадат достоверност на измамни обаждания, насочени към служители. Пациентите на NHS са изправени пред подобен риск, когато личните им здравни данни попаднат в престъпни ръце.

Как пациентите могат да се защитят, когато използват онлайн порталите на NHS

За повечето пациенти непосредственият въпрос е практически: какво всъщност мога да направя по въпроса? Отговорът започва с осъзнаването, че собствените ви навици за достъп имат значение, дори ако пробивът е станал от страна на доставчика.

Пациентите на NHS все по-често управляват прегледи, резултати от изследвания и повтарящи се рецепти чрез платформи като приложението NHS App и Patient Access. Тези портали съхраняват чувствителни клинични данни и влизането в тях през незащитени или споделени мрежи създава допълнителна точка на излагане, освен всички рискове, които съществуват във вътрешната инфраструктура на NHS.

Първо, проверете дали сте получили уведомление за пробив от вашия здравен фонд. Ако сте, приемете го сериозно и наблюдавайте сметките си за необичайна активност, включително неочаквани медицински сметки, застрахователни запитвания или искания за верификация на самоличност, които не сте инициирали.

Второ, използвайте силни, уникални пароли за всеки здравен акаунт и активирайте двуфакторна автентикация там, където услугата я поддържа. Атаките с пълнене на удостоверения (credential stuffing), при които нападателите използват потребителски имена и пароли от един пробив, за да получат достъп до акаунти другаде, са рутинно продължение на големите кражби на здравни данни.

Трето, бъдете подозрителни към всеки непоискан контакт, който твърди, че е от NHS и ви моли да потвърдите лични данни. Легитимните комуникации от NHS няма да искат пароли или финансова информация по телефона или по имейл.

Най-добри практики за криптиране и VPN при медицински данни в публичен Wi-Fi

Ако редовно достъпвате портали на NHS или други здравни акаунти по време на пътуване или използвате публичен Wi-Fi, криптирането на връзката е проста стъпка, която намалява един реален риск. Публичните мрежи в кафенета, библиотеки, болници и транспортни възли не са защитени и трафикът в тях може да бъде прихванат.

Използването на надежден VPN създава криптиран тунел между вашето устройство и интернет, което значително затруднява всеки в същата мрежа да засече вашите удостоверения за вход или сесийни токени. Това не предпазва от пробиви, които се случват вътре в системите на NHS, но затваря един път за опортюнистична кражба.

Освен използването на VPN, поддържането на операционната система и приложенията на устройството актуализирани поправя уязвимостите, които зловредният софтуер използва, за да прихване данни, преди изобщо да се приложи криптиране. Пълното криптиране на диска на телефона или лаптопа ви означава, че ако устройството бъде изгубено или откраднато, кешираните ви данни за вход в NHS няма да бъдат веднага четими.

Какво означава това за вас

Нарастващият брой потвърдени пробиви на Qilin в NHS е криза на разкритията, развиваща се на забавен кадър. Здравните фондове все още картират какво е откраднато, а пациентите, засегнати преди години, едва сега получават потвърждение. Тази празнина създава дълъг прозорец, през който откраднатите досиета могат да циркулират, без жертвите да са наясно.

Най-важното, което можете да извлечете от тази ситуация, е, че защитата на данните при пробиви с рансъмуер в NHS не е пасивна. Не можете да предотвратите рансъмуер група да атакува болничен доставчик. Можете обаче да намалите какво могат да направят нападателите с данните ви, след като те вече са изтекли.

Започнете с одит на това в кои платформи на NHS и здравни услуги имате акаунти, уверете се, че всеки от тях има уникална парола и двуфакторна автентикация, и третирайте всяка непоискана здравна комуникация с повишен скептицизъм. Когато се свързвате с тези платформи извън дома, използвайте криптирана връзка. Редовното преразглеждане на собствените ви навици за сигурност на данните е най-директният отговор в среда, в която мащабните пробиви в здравеопазването са повтаряща се реалност, а не рядко събитие.