Kiristyshaittaohjelma-hyökkäys osuu Hollannin terveydenhuollon potilastietojen ytimeen

Merkittävä kiristyshaittaohjelma-hyökkäys ChipSoftiin, yhteen Alankomaiden laajimmin käytetyistä sähköisten potilasasiakirjojen ohjelmistotoimittajista, on järkyttänyt Hollannin terveydenhuoltosektoria. Vähintään tusina sairaalaa on jo jättänyt ilmoituksen Hollannin tietosuojaviranomaiselle (AP), ja tutkijat selvittävät edelleen tietomurron täyttä laajuutta.

Mahdollisen altistumisen laajuus on huomattava. ChipSoftin HiX-alustaa käyttää noin 70 % hollantilaisista sairaaloista sähköisten potilasasiakirjojen hallintaan. Tämä tarkoittaa, että yksittäinen hyökkäys yhtä ohjelmistotoimittajaa vastaan voi aiheuttaa heijastusvaikutuksia suurimmassa osassa maan sairalaverkostoa, mikä saattaa vaarantaa miljoonien potilaiden henkilö- ja terveystiedot.

Mitkä tiedot voivat olla vaarassa

Sähköiset potilasasiakirjat sisältävät joitakin herkimmistä henkilökohtaisista tiedoista, joita on olemassa: diagnooseja, hoitohistorioita, lääkitystietoja, henkilötunnuksia ja yhteystietoja. Kun kiristyshaittaohjelma tunkeutuu tällaisia tietoja käsittelevään järjestelmään, riskit ulottuvat väliaikaista häiriötä pidemmälle.

Tutkimukset keskittyvät tällä hetkellä siihen, onko tietoliikenteeseen puututtu hyökkäyksen aikana. Tämä on keskeinen kysymys. Kiristyshaittaohjelmat eivät aina pelkästään lukitse järjestelmiä ja vaadi lunnaita; yhä useammin hyökkääjät siirtävät tietoja pois ennen salausta tai sen aikana, mikä antaa heille vipuvaikutuksen kaksinkertaisen kiristyksen järjestelyihin. Jos tietoja on siepattu siirron aikana, se voi tarkoittaa, että tietueita on kopioitu ja poistettu kokonaan turvallisista ympäristöistä.

Sairaaloilla, jotka käyttävät ChipSoftin ohjelmistoa, on nyt edessään vaikea tehtävä ilmoittaa viranomaisille samalla kun ne yrittävät selvittää, mitä tietoja mahdollisesti vietiin. Euroopan GDPR-sääntöjen mukaan organisaatioiden on ilmoitettava tietomurroista valvontaviranomaisille 72 tunnin kuluessa siitä, kun ne saavat tiedon asiasta, ja niiden on myös ehkä ilmoitettava asianomaisille henkilöille riskin vakavuudesta riippuen.

Miksi terveydenhuolto on kiristyshaittaohjelmien ensisijainen kohde

Terveydenhuoltosektorista on tullut yksi maailmanlaajuisesti useimmin kiristyshaittaohjelmahyökkäysten kohteeksi joutuneista toimialoista. Tähän on useita syitä. Potilasasiakirjoilla on korkea arvo maanalaisilla markkinoilla, koska ne sisältävät rikkaan yhdistelmän henkilökohtaisia ja taloudellisia tietoja. Sairaalat toimivat myös kovassa paineessa pitää järjestelmät käynnissä, mikä voi tehdä niistä halukkaampia maksamaan lunnaat nopeasti palauttaakseen pääsyn järjestelmiin.

Ohjelmiston toimitusketjuhyökkäykset, joissa rikolliset kohdistavat hyökkäyksensä monien organisaatioiden käyttämään toimittajaan sen sijaan, että hyökkäisivät jokaista organisaatiota vastaan erikseen, moninkertaistavat potentiaaliset vahingot merkittävästi. Murtautumalla yhteen yritykseen, kuten ChipSoftiin, hyökkääjät saavat jalansijan, joka ulottuu koko kyseistä ohjelmistoa käyttävien asiakkaiden verkostoon. Tämä lähestymistapa on hyökkääjille tehokas ja tuhoisa niille organisaatioille ja henkilöille, joihin se kohdistuu.

Alankomaat ei ole yksittäistapaus. Terveydenhuollon tarjoajat ympäri Eurooppaa ja Pohjois-Amerikkaa ovat kohdanneet vastaavia tapauksia viime vuosina, eikä trendi osoita merkkejä kääntymisestä.

Mitä tämä tarkoittaa sinulle

Jos olet potilaana hollantilaisessa sairaalassa, joka käyttää ChipSoftin HiX-ohjelmistoa, lääketieteelliset ja henkilökohtaiset tietosi ovat saattaneet paljastua. Tässä on, mitä sinun kannattaa harkita:

  • Tarkkaile ilmoituksia. Tietomurrosta kärsineiden sairaaloiden on ilmoitettava potilaille, jos heidän tietojaan on ollut mukana. Seuraa virallisia viestejä terveydenhuollon tarjoajaltasi.
  • Ole valppaana tietojenkalastelun suhteen. Tietomurron jälkeen hyökkääjät käyttävät usein varastettuja tietoja laatiakseen vakuuttavia tietojenkalasteluviestejä tai -puheluita. Suhtaudu epäilevästi ei-toivottuun yhteydenottoon, joka väittää tulevan sairaalastasi tai vakuutusyhtiöltäsi.
  • Selvitä AP-oikeutesi. GDPR:n nojalla sinulla on oikeus pyytää organisaatioilta tietoja siitä, mitä tietoja niillä on sinusta ja miten niitä on käsitelty. Hollannin tietosuojaviranomainen on asianomainen taho, jos sinulla on huolia tietojesi käsittelystä.
  • Ymmärrä hallintamahdollisuuksiesi rajat. Kun kolmas osapuoli, kuten sairaala tai sen ohjelmistotoimittaja, hallussapitää tietojasi, sinulla on rajallinen suora hallinta niiden turvallisuuteen. Tämä tekee entistä tärkeämmäksi sen, että laitokset ottavat tietosuojavelvoitteensa vakavasti.

Terveydenhuollon organisaatioille ja IT-järjestelmänvalvojille tämä tietomurto on muistutus siitä, että toimittajariskien hallinta on tärkeää. Yhden alustan varassa oleminen suuren osan kansallisesta terveydenhuoltojärjestelmästä yli luo keskittymisriskin. Säännölliset tietoturvatarkastukset, häiriötilanteiden reagointisuunnittelu ja siirrettävien tietojen salauksen varmistaminen ovat perusvaatimuksia, eivät valinnaisia lisätoimenpiteitä.

ChipSoft-tapaus on edelleen tutkittavana, ja täydellinen kuva siitä, mitä tietoja on vaikutettu, saattaa muodostua viikkojen kuluessa. Potilaat ansaitsevat oikea-aikaisen ja läpinäkyvän viestinnän laitoksilta, joille he ovat uskoneet arkaluonteisimmat tietonsa. Viranomaisilla, sairaaloilla ja ohjelmistotoimittajilla kaikilla on rooli sen varmistamisessa, että tämä standardi täyttyy.