HSE amendat cu 300.000 € după un atac ransomware asupra Spitalului Tullamore

HSE amendat cu 300.000 € după un atac ransomware asupra Spitalului Tullamore

Comisia pentru Protecția Datelor din Irlanda (DPC) a aplicat o amendă de 300.000 de euro împotriva Health Service Executive (HSE) în urma unei breșe de securitate a datelor pacienților, cauzată de un ransomware, la Midlands Regional Hospital Tullamore din comitatul Offaly. Atacul a vizat sistemul informatic de laborator al spitalului și a compromis datele personale a aproximativ 84.000 de persoane. Decizia finală a DPC marchează încheierea unei anchete oficiale privind incidentul și semnalează o presiune tot mai mare din partea autorităților de reglementare asupra organismelor de sănătate publică, pentru a trata securitatea cibernetică drept o responsabilitate operațională esențială, nu o simplă preocupare secundară de IT.

Ce a scos la iveală atacul ransomware asupra HSE despre securitatea cibernetică a spitalelor

Incidentul de la Tullamore nu este un eveniment izolat în cadrul HSE. Serviciul de sănătate irlandez a suferit unul dintre cele mai grave atacuri cibernetice din sectorul public european în mai 2021, când un asalt ransomware de amploare a forțat HSE să-și închidă întreaga infrastructură IT în zeci de spitale la nivel național. Acel atac, atribuit grupului de ransomware Conti, a provocat săptămâni de perturbări în îngrijirea pacienților și a costat sute de milioane de euro pentru remediere.

Breșa de la Tullamore, deși mai restrânsă ca amploare, demonstrează că operatorii de ransomware nu urmăresc întotdeauna compromiterea totală a rețelei. Vizarea unui singur sistem informatic de laborator poate totuși furniza volume enorme de date sensibile, rămânând în același timp mai dificil de detectat decât o oprire generală a rețelei. Decizia DPC de a demara o anchetă oficială și de a aplica o amendă semnificativă sugerează că autoritățile de reglementare au constatat deficiențe sistemice în modul în care HSE a protejat acest sistem particular, nu doar o defecțiune tehnică izolată.

Pentru organizațiile din domeniul sănătății din întreaga Europă, acest caz întărește un mesaj clar: amenzile GDPR pentru breșele de date nu mai sunt teoretice. Autoritățile de reglementare sunt dispuse să tragă la răspundere organismele publice chiar și atunci când acestea sunt ele însele victime ale unor atacuri infracționale.

De ce datele de laborator a 84.000 de pacienți sunt deosebit de sensibile

Nu toate datele personale prezintă riscuri egale. Datele de laborator se situează în partea superioară a scalei de sensibilitate, deoarece pot include rezultatele analizelor de sânge, markeri de diagnostic, informații genetice, statutul HIV sau BTS și indicatori ai afecțiunilor cronice. Spre deosebire de o adresă de e-mail sau un număr de telefon divulgat, aceste informații nu pot fi modificate. Odată expuse, ele pot fi folosite pentru discriminare la asigurări, șantaj sau prejudicii sociale timp de ani de zile.

Pacienții ale căror dosare au fost afectate la Tullamore este posibil să nu fi avut nicio idee că datele lor erau stocate într-un sistem conectat la o rețea la care operatorii de ransomware puteau avea acces. Aceasta este o problemă structurală care se extinde cu mult dincolo de Irlanda. Spitalele operează în mod obișnuit sisteme vechi care nu au fost niciodată proiectate având în vedere securitatea rețelei, iar platformele de laborator sunt un exemplu perfect. Ele sunt adesea achiziționate ca echipamente autonome, integrate în rețele mai ample ani mai târziu și rareori primesc aceeași analiză de securitate ca sistemele orientate către pacient.

Acesta este unul dintre motivele pentru care breșele de date din domeniul sănătății continuă să depășească alte sectoare atât ca frecvență, cât și ca gravitate, chiar dacă organizațiile din domeniul financiar și retail și-au întărit semnificativ apărarea.

Cum vizează ransomware-ul rețelele din domeniul sănătății și de ce sunt spitalele vulnerabile

Operatorii de ransomware vizează domeniul sănătății din mai multe motive care se suprapun. Datele sunt valoroase. Organizațiile sunt sub presiune pentru a restabili rapid operațiunile, ceea ce le face mai predispuse să plătească. Și, esențial, postura de securitate a multor rețele spitalicești rămâne slabă în raport cu sensibilitatea a ceea ce stochează.

Rețelele spitalicești sunt caracterizate de un număr mare de dispozitive conectate, dintre care multe rulează sisteme de operare sau firmware-uri învechite. Dispozitivele medicale, echipamentele de imagistică și sistemele de diagnostic specializate adesea nu pot fi actualizate fără implicarea furnizorului sau fără perioade de nefuncționare a echipamentelor pe care echipele clinice nu și le pot permite. Acest lucru creează vulnerabilități persistente pe care actorii amenințărilor sofisticați le pot exploata mult timp după ce cercetătorii în securitate le-au identificat.

Phishing-ul rămâne cel mai frecvent vector de acces inițial. Un singur membru al personalului care face clic pe un link malițios într-un e-mail poate oferi punctul de sprijin de care un atacator are nevoie pentru a se deplasa lateral prin rețea până când ajunge la sisteme de mare valoare, precum bazele de date ale pacienților sau, ca în cazul Tullamore, platformele de laborator. Înțelegerea modului în care ransomware-ul se răspândește prin rețelele instituționale este un context esențial pentru oricine lucrează sau administrează medii IT din domeniul sănătății.

Amenda DPC împotriva HSE recunoaște implicit că o parte din această expunere era prevenibilă. Deși constatările tehnice specifice ale anchetei nu au fost publicate integral, organismele de reglementare își concentrează de obicei acțiunile de aplicare asupra deficiențelor în controlul accesului, segmentarea rețelei și pregătirea pentru răspunsul la incidente.

Ce înseamnă acest lucru pentru dumneavoastră: Pași practici pentru pacienți și lucrătorii din domeniul sănătății

Dacă sunteți pacient, cel mai imediat pas este conștientizarea. Dacă ați primit îngrijiri la Midlands Regional Hospital Tullamore și nu ați fost notificat cu privire la această breșă, monitorizați cu atenție orice comunicare din partea HSE. Fiți atent la contacte neobișnuite din partea asigurătorilor, angajatorilor sau unor părți necunoscute care fac referire la istoricul dumneavoastră medical, deoarece acest lucru ar putea indica faptul că datele dumneavoastră au fost utilizate în mod malițios.

Pentru lucrătorii din domeniul sănătății, în special cei care accesează sisteme clinice din mai multe locații sau din rețele partajate, suprafața de risc este mai largă decât își dau seama majoritatea oamenilor. Utilizarea unui VPN în rețelele Wi-Fi ale spitalelor sau clinicilor adaugă un strat de criptare conexiunii dumneavoastră, reducând riscul de interceptare a credențialelor. Acest lucru este deosebit de relevant pentru personalul care se conectează la sistemele de management al pacienților sau de laborator de la distanță sau prin terminale partajate.

Pentru echipele IT din domeniul sănătății și administratori, cazul Tullamore oferă o listă clară de priorități:

• Segmentarea rețelei: Asigurați-vă că sistemele de laborator și alte platforme specializate se află pe segmente de rețea izolate, care nu pot fi accesate direct din rețelele generale ale personalului.
• Controale de acces: Aplicați principiul privilegiului minim, ceea ce înseamnă că utilizatorii și sistemele ar trebui să poată accesa doar ceea ce au cu adevărat nevoie.
• Gestionarea actualizărilor: Construiți un proces formal pentru identificarea și abordarea vulnerabilităților din sistemele medicale și de laborator, chiar și atunci când este necesară coordonarea cu furnizorul.
• Planificarea răspunsului la incidente: Aveți un plan testat și documentat pentru izolarea sistemelor compromise și notificarea autorităților de reglementare în fereastra de 72 de ore prevăzută de GDPR.
• Instruirea personalului: Training-ul regulat și realist prin simulări de phishing reduce probabilitatea unei compromiteri inițiale.

Amenda de 300.000 de euro împotriva HSE este o sancțiune serioasă, dar costurile reputaționale și operaționale ale unei breșe majore de date a pacienților cauzate de ransomware depășesc cu mult orice sancțiune de reglementare. Pentru cele 84.000 de persoane ale căror rezultate de laborator au fost expuse la Tullamore, consecințele sunt personale și potențial de durată.

Dacă lucrați sau vizitați frecvent un cadru medical, acordați-vă timp pentru a vă revizui propriile practici de igienă a datelor. Folosiți parole puternice și unice pentru orice portal de pacient sau sistem clinic pe care îl accesați. Activați autentificarea cu doi factori acolo unde este disponibilă. Și luați în considerare utilizarea unui VPN de încredere atunci când vă conectați la orice rețea pe care nu o controlați pe deplin. Obiceiurile mici aplicate constant fac diferențe semnificative în rezultatele de securitate din lumea reală.