Атака программы-вымогателя на ChipSoft раскрыла данные нидерландских пациентов

Атака программы-вымогателя бьёт в самое сердце нидерландских медицинских записей

Масштабная атака программы-вымогателя на ChipSoft, одного из наиболее широко используемых в Нидерландах поставщиков программного обеспечения для ведения электронных медицинских карт, потрясла нидерландский сектор здравоохранения. Не менее дюжины больниц уже подали уведомления в Голландский орган по защите данных (AP), а следователи продолжают устанавливать полный масштаб утечки.

Масштаб потенциальной утечки весьма значителен. Платформа HiX компании ChipSoft используется примерно в 70% нидерландских больниц для управления электронными медицинскими картами. Это означает, что единственная атака на одного поставщика программного обеспечения может иметь волновой эффект на большинство больниц страны, потенциально затрагивая личные и медицинские данные миллионов пациентов.

Какие данные могут оказаться под угрозой

Электронные медицинские карты содержат одни из наиболее чувствительных персональных данных: диагнозы, истории лечения, сведения о принимаемых лекарствах, идентификационные номера и контактную информацию. Когда программа-вымогатель проникает в систему, обрабатывающую подобные данные, риски выходят далеко за рамки временных сбоев в работе.

Расследование в настоящее время сосредоточено на вопросе о том, был ли перехвачен трафик данных в ходе атаки. Это принципиальный вопрос. Программы-вымогатели не всегда только блокируют системы и требуют выкуп; всё чаще злоумышленники похищают данные до или во время шифрования, получая тем самым рычаги давления для схем двойного вымогательства. Если данные были перехвачены при передаче, это может означать, что записи были скопированы и полностью выведены из защищённых сред.

Больницы, использующие программное обеспечение ChipSoft, оказались в непростом положении: им приходится одновременно уведомлять регуляторов и пытаться понять, были ли данные похищены и в каком объёме. Согласно европейскому регламенту GDPR, организации обязаны сообщать об утечках данных надзорным органам в течение 72 часов с момента их обнаружения, а в зависимости от степени риска им может потребоваться также уведомить пострадавших лиц.

Почему здравоохранение является приоритетной целью для программ-вымогателей

Сектор здравоохранения стал одной из наиболее часто атакуемых отраслей в мире с точки зрения атак программ-вымогателей. Тому есть несколько причин. Медицинские записи высоко ценятся на подпольных рынках, поскольку содержат богатую комбинацию личной и финансовой информации. Больницы также работают под сильным давлением, требующим бесперебойной работы систем, что может подталкивать их к более быстрой выплате выкупа ради восстановления доступа.

Атаки на цепочку поставок программного обеспечения, при которых преступники атакуют поставщика, используемого множеством организаций, вместо того чтобы атаковать каждую организацию по отдельности, многократно увеличивают потенциальный ущерб. Взломав одну компанию, такую как ChipSoft, злоумышленники получают плацдарм, распространяющийся на всю сеть клиентов, использующих это программное обеспечение. Такой подход эффективен для атакующих и разрушителен для организаций и частных лиц, оказавшихся под ударом.

Нидерланды — не единственный пострадавший. Медицинские учреждения по всей Европе и Северной Америке сталкивались с аналогичными инцидентами в последние годы, и эта тенденция не демонстрирует признаков разворота.

Что это означает для вас

Если вы являетесь пациентом нидерландской больницы, использующей платформу HiX от ChipSoft, ваши медицинские и личные данные могли быть раскрыты. Рекомендуем принять следующие меры:

• Следите за уведомлениями. Больницы, затронутые утечкой, обязаны информировать пациентов, чьи данные оказались под угрозой. Обращайте внимание на официальные сообщения от вашего медицинского учреждения.
• Будьте бдительны в отношении фишинговых атак. После утечки данных злоумышленники нередко используют похищенную информацию для составления убедительных фишинговых писем или телефонных звонков. Относитесь с подозрением к нежелательным контактам, якобы исходящим от вашей больницы или страховщика.
• Узнайте о своих правах согласно AP. В соответствии с GDPR вы вправе запросить у организаций информацию о том, какие данные они хранят о вас и как их обрабатывают. Голландский орган по защите данных является соответствующим ведомством, если у вас есть опасения относительно обращения с вашими данными.
• Осознайте пределы вашего контроля. Когда ваши данные хранятся третьей стороной — больницей или её поставщиком программного обеспечения — вы имеете ограниченный прямой контроль над их безопасностью. Это делает ещё более важным то, чтобы учреждения серьёзно относились к своим обязательствам по защите данных.

Для организаций здравоохранения и ИТ-администраторов этот инцидент служит напоминанием о том, что управление рисками поставщиков имеет существенное значение. Зависимость от единой платформы в большей части национальной системы здравоохранения создаёт риск концентрации. Регулярные аудиты безопасности, планирование реагирования на инциденты и обеспечение шифрования данных при передаче — это базовые требования, а не дополнительные опции.

Инцидент с ChipSoft всё ещё расследуется, и полная картина того, какие данные пострадали, может сложиться лишь через несколько недель. Пациенты заслуживают своевременного и прозрачного общения от учреждений, которым доверено хранение их наиболее конфиденциальной информации. Регуляторы, больницы и поставщики программного обеспечения — все они несут ответственность за соблюдение этого стандарта.