A ChipSoft zsarolóvírus-támadás holland betegadatokat tesz ki

Zsarolóvírus-támadás csap a holland egészségügyi nyilvántartások szívébe

Egy jelentős zsarolóvírus-támadás érte a ChipSoftot, a Hollandia egyik legelterjedtebb elektronikus betegnyilvántartó szoftverszolgáltatóját, amely sokkolta a holland egészségügyi szektort. Legalább egy tucat kórház már benyújtotta értesítését a holland Adatvédelmi Hatóságnak (AP), és a nyomozók még mindig a jogsértés teljes mértékének meghatározásán dolgoznak.

A potenciális adatkitettség mértéke jelentős. A ChipSoft HiX platformját a holland kórházak közel 70%-a használja az elektronikus betegnyilvántartások kezelésére. Ez azt jelenti, hogy egyetlen, egy szoftverszállítót ért támadás hullámszerű hatásokat válthat ki az ország kórházi hálózatának nagy részén, és potenciálisan több millió beteg személyes és orvosi adatát érintheti.

Milyen adatok kerülhetnek veszélybe

Az elektronikus betegnyilvántartások a legérzékenyebb személyes adatok egyikét tartalmazzák: diagnózisokat, kezelési előzményeket, gyógyszerészeti részleteket, azonosítószámokat és kapcsolattartási adatokat. Amikor zsarolóvírus hatol be egy ilyen adatokat kezelő rendszerbe, a kockázatok messze túlmutatnak az átmeneti fennakadáson.

A nyomozások jelenleg arra összpontosítanak, hogy a támadás során történt-e adatforgalom-lehallgatás. Ez kulcskérdés. A zsarolóvírus nem csupán lezárja a rendszereket és váltságdíjat követel; a támadók egyre gyakrabban szűrik ki az adatokat a titkosítás előtt vagy közben, így kétszeres zsarolási sémák alkalmazásához szereznek tőkeáttételt. Ha az adatokat az átvitel során lehallgatták, az azt jelenti, hogy a nyilvántartásokat lemásolták és teljesen eltávolították a biztonságos környezetekből.

A ChipSoft szoftverére támaszkodó kórházak most abban a nehéz helyzetben vannak, hogy egyszerre kell értesíteniük a szabályozó hatóságokat, és megpróbálniuk megérteni, hogy mi, és egyáltalán mi veszett el. Az európai GDPR-szabályok értelmében a szervezeteknek a jogsértésről való tudomásszerzéstől számított 72 órán belül be kell jelenteniük az adatvédelmi incidenseket a felügyeleti hatóságoknak, és a kockázat súlyosságától függően esetleg az érintett személyeket is tájékoztatniuk kell.

Miért az egészségügy a zsarolóvírusok elsődleges célpontja

Az egészségügyi szektor globálisan az egyik leggyakrabban célba vett iparággá vált a zsarolóvírus-támadások terén. Ennek több oka is van. Az orvosi nyilvántartások nagy értéket képviselnek a feketepiacon, mivel személyes és pénzügyi adatok gazdag kombinációját tartalmazzák. A kórházak emellett rendkívüli nyomás alatt működnek a rendszereik folyamatos üzemeltetése érdekében, ami miatt hajlamosabbak lehetnek gyorsan váltságdíjat fizetni a hozzáférés visszaállítása céljából.

A szoftverellátási lánc elleni támadások – amelyek során a bűnözők nem az egyes szervezeteket, hanem az általuk használt szállítót veszik célba – megsokszorozza a lehetséges károkat. A ChipSofthoz hasonló egyetlen vállalat feltörésével a támadók olyan megvetőhelyet szereznek, amely kiterjed az adott szoftvert használó ügyfelek teljes hálózatára. Ez a megközelítés hatékony a támadók számára, és pusztító a célba vett szervezetek és személyek számára.

Hollandia nem elszigetelt eset. Az európai és észak-amerikai egészségügyi szolgáltatók az elmúlt években hasonló incidensekkel szembesültek, és a tendencia nem mutat megfordulási jeleket.

Mit jelent ez az Ön számára

Ha Ön egy olyan holland kórház betege, amely a ChipSoft HiX szoftverét használja, előfordulhat, hogy orvosi és személyes adatai veszélybe kerültek. Íme, mit érdemes megfontolnia:

• Figyelje az értesítéseket. A jogsértés által érintett kórházak kötelesek tájékoztatni a betegeket, ha adataik érintve voltak. Figyeljen az egészségügyi szolgáltatójától érkező hivatalos közleményekre.
• Legyen éber az adathalász kísérletekkel szemben. Adatvédelmi incidens után a támadók gyakran ellopott adatokat használnak fel meggyőző adathalász e-mailek vagy telefonhívások összeállításához. Legyen szkeptikus az olyan kéretlen megkeresésekkel szemben, amelyek kórházától vagy biztosítójától érkezőnek állítják magukat.
• Ismerje meg AP-jogait. A GDPR értelmében Önnek joga van arra, hogy a szervezetektől tájékoztatást kérjen arról, milyen adatokat kezelnek Önről, és hogyan dolgozták fel azokat. Ha aggályai vannak adatainak kezelésével kapcsolatban, a holland Adatvédelmi Hatóság az illetékes szerv.
• Értse meg, mit tud és mit nem tud befolyásolni. Ha adatait egy harmadik fél, például egy kórház vagy annak szoftverszállítója kezeli, közvetlen befolyása korlátozott azok biztonságára. Ez még fontosabbá teszi, hogy az intézmények komolyan vegyék adatvédelmi kötelezettségeiket.

Az egészségügyi szervezetek és informatikai rendszergazdák számára ez a jogsértés emlékeztető arra, hogy a szállítói kockázatkezelés igenis számít. Ha a nemzeti egészségügyi rendszer nagy részén egyetlen platformra támaszkodnak, az koncentrációs kockázatot teremt. A rendszeres biztonsági auditok, az incidenskezelési tervezés, valamint az átvitel közbeni adatok titkosításának biztosítása alapkövetelmény, nem opcionális kiegészítő.

A ChipSoft-incidens vizsgálata még folyamatban van, és az érintett adatok teljes képe hetek alatt alakulhat ki. A betegek jogosultak arra, hogy az érzékeny adataikkal megbízott intézményektől időben és átlátható módon kapjanak tájékoztatást. A szabályozó hatóságoknak, a kórházaknak és a szoftverszolgáltatóknak egyaránt szerepük van abban, hogy ezt a mércét teljesítsék.