HSE глобена с €300 000 след атака с ransomware срещу болница „Туламор“

HSE глобена с €300 000 след атака с ransomware срещу болница „Туламор“

Ирландската комисия за защита на данните (DPC) наложи глоба от 300 000 евро на Изпълнителната агенция по здравеопазване (HSE) след пробив на данни на пациенти при атака с ransomware в Регионалната болница „Мидландс“ в Туламор, графство Офали. Атаката беше насочена към лабораторната информационна система на болницата и компрометира личните данни на приблизително 84 000 души. Окончателното решение на DPC бележи приключването на официално разследване на инцидента и сигнализира за нарастващ регулаторен натиск върху публичните здравни органи да третират киберсигурността като основна оперативна отговорност, а не като второстепенна ИТ задача.

Какво разкри атаката с ransomware срещу HSE за киберсигурността на болниците

Инцидентът в Туламор не е изолирано събитие в HSE. През май 2021 г. ирландската здравна служба претърпя една от най-тежките кибератаки срещу публичния сектор в Европа, когато мащабно нападение с ransomware принуди HSE да изключи цялата си ИТ инфраструктура в десетки болници в страната. Тази атака, приписвана на групата за ransomware Conti, причини седмици на прекъсване на грижите за пациентите и струваше стотици милиони евро за възстановяване.

Пробивът в Туламор, макар и с по-тесен обхват, показва, че операторите на ransomware невинаги се стремят към пълно компрометиране на мрежата. Насочването към една-единствена лабораторна информационна система все още може да доведе до огромни обеми чувствителни данни, като същевременно остава по-трудно за откриване от широко спиране на мрежата. Решението на DPC да започне официално разследване и да наложи значителна глоба предполага, че регулаторът е открил системни недостатъци в начина, по който HSE защитава тази конкретна система, а не просто еднократен технически провал.

За здравните организации в цяла Европа случаят затвърждава ясното послание: глобите по GDPR за пробиви на данни вече не са теоретични. Регулаторите са готови да търсят отговорност от публичните органи, дори когато те самите са жертва на престъпни атаки.

Защо лабораторните данни на 84 000 пациенти са особено чувствителни

Не всички лични данни носят еднакъв риск. Лабораторните данни се намират близо до върха на скалата за чувствителност, тъй като могат да включват резултати от кръвни изследвания, диагностични маркери, генетична информация, ХИВ или полово предавани инфекции и индикатори за хронични заболявания. За разлика от изтекъл имейл адрес или телефонен номер, тази информация не може да бъде променена. Веднъж изложена, тя може да бъде използвана за дискриминация при застраховане, изнудване или социална вреда в продължение на години.

Пациентите, чиито досиета бяха засегнати в Туламор, може би изобщо не са знаели, че данните им се съхраняват в система, свързана с мрежа, достъпна за операторите на ransomware. Това е структурен проблем, който се простира далеч отвъд Ирландия. Болниците рутинно експлоатират остарели системи, които никога не са били проектирани с мисъл за мрежова сигурност, а лабораторните платформи са отличен пример. Те често се закупуват като самостоятелни устройства, години по-късно се интегрират в по-широки мрежи и рядко получават същия контрол на сигурността като системите, обърнати към пациентите.

Това е една от причините, поради които пробивите в здравните данни продължават да изпреварват другите сектори както по честота, така и по тежест, дори когато организациите във финансите и търговията на дребно значително са засилили защитите си.

Как ransomware атакува здравните мрежи и защо болниците са уязвими

Операторите на ransomware се насочват към здравеопазването по няколко взаимосвързани причини. Данните са ценни. Организациите са под натиск да възстановят бързо дейността си, което ги прави по-склонни да платят. И от критично значение – позицията на сигурност на много болнични мрежи остава слаба спрямо чувствителността на това, което съхраняват.

Болничните мрежи се характеризират с голям брой свързани устройства, много от които работят с остарели операционни системи или фърмуер. Медицинските устройства, образното оборудване и специализираните диагностични системи често не могат да бъдат актуализирани без намесата на доставчика или прекъсване на работата, което клиничните екипи не могат да си позволят. Това създава постоянни уязвимости, които усъвършенстваните заплахи могат да експлоатират дълго след като изследователите по сигурността са ги идентифицирали.

Фишингът остава най-честият първоначален вектор за достъп. Един-единствен служител, кликнал върху злонамерена връзка в имейл, може да осигури опората, от която нападателят се нуждае, за да се придвижва странично през мрежата, докато достигне до системи с висока стойност като бази данни на пациенти или, както в Туламор, лабораторни платформи. Разбирането на как ransomware се разпространява в институционалните мрежи е основен контекст за всеки, който работи или администрира ИТ среди в здравеопазването.

Глобата на DPC срещу HSE имплицитно признава, че част от тази експозиция е била предотвратима. Въпреки че конкретните технически констатации от разследването не са публикувани изцяло, регулаторните органи обикновено фокусират принудителните си действия върху пропуски в контрола на достъпа, сегментирането на мрежата и готовността за реагиране при инциденти.

Какво означава това за вас: Практически стъпки за пациенти и здравни работници

Ако сте пациент, най-непосредствената стъпка е осведомеността. Ако сте получавали грижи в Регионалната болница „Мидландс“ в Туламор и не сте били уведомени за този пробив, следете внимателно всички съобщения от HSE. Бъдете особено внимателни към необичайни контакти от застрахователи, работодатели или непознати лица, които споменават вашата здравна история, тъй като това може да означава, че данните ви са били използвани злонамерено.

За здравните работници, особено тези, които достъпват клинични системи от множество места или през споделени мрежи, рисковата повърхност е по-широка, отколкото повечето хора осъзнават. Използването на VPN в болнични или клинични Wi-Fi мрежи добавя слой на криптиране към връзката ви, намалявайки риска от прихващане на идентификационни данни. Това е особено важно за персонала, който влиза в системи за управление на пациенти или лабораторни системи от разстояние или през споделени терминали.

За ИТ екипите и администраторите в здравеопазването случаят с Туламор предлага ясен списък с приоритети:

• Сегментиране на мрежата: Уверете се, че лабораторните системи и другите специализирани платформи се намират в изолирани мрежови сегменти, които не могат да бъдат достигнати директно от общите мрежи на персонала.
• Контрол на достъпа: Приложете принципа на най-малките привилегии, което означава, че потребителите и системите трябва да могат да достъпват само това, от което наистина се нуждаят.
• Управление на актуализациите: Изградете официален процес за идентифициране и адресиране на уязвимости в медицинските и лабораторните системи, дори когато се изисква координация с доставчика.
• Планиране на реакция при инциденти: Имайте тестван и документиран план за изолиране на компрометирани системи и уведомяване на регулаторите в рамките на 72-часовия прозорец на GDPR.
• Обучение на персонала: Редовното, реалистично обучение чрез симулации на фишинг намалява вероятността от първоначално компрометиране.

Глобата от 300 000 евро срещу HSE е сериозно наказание, но репутационните и оперативните разходи от голям пробив на данни на пациенти при атака с ransomware в здравеопазването далеч надхвърлят всяка регулаторна санкция. За 84-те хиляди души, чиито лабораторни резултати бяха изложени в Туламор, последствията са лични и потенциално дълготрайни.

Ако работите или редовно посещавате здравна среда, отделете време да прегледате собствените си навици за хигиена на данните. Използвайте силни, уникални пароли за всеки пациентски портал или клинична система, която достъпвате. Активирайте двуфакторното удостоверяване, където е налично. И помислете за използването на реномиран VPN, когато се свързвате с която и да е мрежа, която не контролирате напълно. Малките навици, прилагани последователно, водят до значими разлики в реалните резултати за сигурност.