Ransomware napad na ChipSoft otkrio podatke nizozemskih pacijenata

Ransomware napad udara u srce nizozemskih zdravstvenih evidencija

Značajan ransomware napad na ChipSoft, jednog od najraširenijih pružatelja softvera za elektroničke zdravstvene kartone u Nizozemskoj, izazvao je potres u nizozemskom zdravstvenom sektoru. Najmanje desetak bolnica već je podnijelo obavijesti Nizozemskom tijelu za zaštitu podataka (AP), a istražitelji još uvijek rade na utvrđivanju punog opsega povrede podataka.

Razmjer potencialne izloženosti je znatan. ChipSoftova platforma HiX koristi se u otprilike 70% nizozemskih bolnica za upravljanje elektroničkim zdravstvenim kartonima. To znači da jedan napad na jednog dobavljača softvera može imati valne učinke na većinu bolničke mreže u zemlji, potencijalno zahvaćajući osobne i medicinske podatke milijuna pacijenata.

Koji podaci bi mogli biti ugroženi

Elektronički zdravstveni kartoni sadrže neke od najosjetljivijih osobnih podataka koji postoje: dijagnoze, povijest liječenja, detalje o lijekovima, identifikacijske brojeve i kontaktne podatke. Kada ransomware prodre u sustav koji rukuje ovakvim podacima, rizici sežu daleko izvan privremenog prekida rada.

Istrage su trenutno usmjerene na to je li podatkovni promet bio presretnut tijekom napada. To je ključno pitanje. Ransomware ne zaključava samo sustave i ne zahtijeva isplatu; sve češće napadači eksfiltriraju podatke prije ili tijekom enkripcije, čime si osiguravaju polugu za sheme dvostruke iznude. Ako su podaci bili presretnuti u prijenosu, to bi moglo značiti da su kartoni kopirani i u potpunosti izvučeni iz sigurnih okruženja.

Bolnice koje se oslanjaju na ChipSoftov softver sada su u teškoj poziciji da istovremeno obavještavaju regulatore i pokušavaju razumjeti što je, ako išta, ukradeno. Prema europskim pravilima GDPR-a, organizacije moraju prijaviti povrede podataka nadzornim tijelima u roku od 72 sata od saznanja o njima, a ovisno o težini rizika možda će morati obavijestiti i pogođene pojedince.

Zašto je zdravstvo primarna meta ransomware napada

Zdravstveni sektor postao je jedna od najčešće napadanih industrija u svijetu kada je riječ o ransomware napadima. Za to postoji nekoliko razloga. Medicinski kartoni visoko su cijenjeni na podzemnim tržištima jer sadrže bogatu kombinaciju osobnih i financijskih podataka. Bolnice također rade pod iznimnim pritiskom da održe sustave u radu, što ih može učiniti spremnijima da brzo plate otkupninu kako bi povratile pristup.

Napadi na lance opskrbe softverom, pri kojima kriminalci napadaju dobavljača kojeg koriste mnoge organizacije umjesto da napadaju svaku organizaciju pojedinačno, višestruko umnožavaju potencijalnu štetu. Upadom u jednu tvrtku poput ChipSofta, napadači stječu uporište koje se proteže na cijelu mrežu korisnika koji se oslanjaju na taj softver. Ovakav pristup je učinkovit za napadače, a razoran za organizacije i pojedince koji se nađu na udaru.

Nizozemska nije izoliran slučaj. Pružatelji zdravstvenih usluga diljem Europe i Sjeverne Amerike suočavali su se s sličnim incidentima posljednjih godina, a taj trend ne pokazuje znakove obrta.

Što to znači za vas

Ako ste pacijent u nizozemskoj bolnici koja koristi ChipSoftovu platformu HiX, vaši medicinski i osobni podaci možda su bili izloženi. Evo što biste trebali razmotriti:

• Pratite obavijesti. Bolnice pogođene povredom podataka dužne su obavijestiti pacijente ako su njihovi podaci bili zahvaćeni. Pratite službene komunikacije svog pružatelja zdravstvenih usluga.
• Budite oprezni na phishing pokušaje. Nakon povrede podataka, napadači često koriste ukradene informacije za sastavljanje uvjerljivih phishing e-poruka ili telefonskih poziva. Budite skeptični prema neželjenim kontaktima koji tvrde da dolaze od vaše bolnice ili osiguravatelja.
• Provjerite svoja prava prema AP-u. Prema GDPR-u, imate pravo od organizacija zatražiti informacije o tome koje podatke o vama posjeduju i kako su obrađeni. Nizozemsko tijelo za zaštitu podataka nadležno je tijelo ako imate zabrinutosti oko načina rukovanja vašim podacima.
• Razumite granice onoga što možete kontrolirati. Kada vaše podatke čuva treća strana poput bolnice ili njenog dobavljača softvera, imate ograničenu izravnu kontrolu nad njihovom sigurnošću. Upravo to čini još važnijim da institucije ozbiljno shvate svoje obveze zaštite podataka.

Za zdravstvene organizacije i IT administratore, ova povreda podataka podsjetnik je da upravljanje rizicima dobavljača ima veliku važnost. Oslanjanje na jednu platformu za velik dio nacionalnog zdravstvenog sustava stvara rizik koncentracije. Redovite sigurnosne revizije, planiranje odgovora na incidente i osiguravanje enkripcije podataka u prijenosu temeljni su zahtjevi, a ne neobavezni dodaci.

Incident s ChipSoftom još je uvijek pod istragom, a potpuna slika o tome koji su podaci bili zahvaćeni mogla bi trebati tjednima da se razjasni. Pacijenti zaslužuju pravovremenu i transparentnu komunikaciju od institucija kojima su povjerili svoje najosjetljivije podatke. Regulatori, bolnice i pružatelji softvera svi imaju ulogu u osiguravanju da se taj standard ispuni.