Атака програми-вимагача на ChipSoft розкрила дані нідерландських пацієнтів

Атака програми-вимагача вдарила в саме серце нідерландської системи медичних записів

Масштабна атака програми-вимагача на ChipSoft, одного з найпоширеніших у Нідерландах постачальників програмного забезпечення для електронних медичних записів, сколихнула нідерландський сектор охорони здоров'я. Щонайменше дюжина лікарень вже подала повідомлення до Нідерландського органу захисту даних (AP), а слідчі досі встановлюють повний масштаб витоку.

Масштаб потенційного розкриття даних є значним. Платформа HiX від ChipSoft використовується приблизно 70% нідерландських лікарень для управління електронними медичними записами. Це означає, що одна атака на одного постачальника програмного забезпечення може мати ефект доміно на більшість лікарняної мережі країни, потенційно зачіпаючи персональні та медичні дані мільйонів пацієнтів.

Які дані можуть перебувати під загрозою

Електронні медичні записи містять одні з найбільш чутливих персональних даних, що існують: діагнози, історії лікування, відомості про медикаменти, ідентифікаційні номери та контактну інформацію. Коли програма-вимагач проникає в систему, що обробляє такі дані, ризики виходять далеко за межі тимчасових збоїв у роботі.

Розслідування наразі зосереджене на тому, чи був перехоплений трафік даних під час атаки. Це принципово важливе питання. Програми-вимагачі не завжди лише блокують системи й вимагають викуп; дедалі частіше зловмисники викрадають дані до або під час шифрування, отримуючи важіль впливу для схем подвійного вимагання. Якщо дані були перехоплені під час передачі, це може означати, що записи були скопійовані та повністю вилучені із захищених середовищ.

Лікарні, що використовують програмне забезпечення ChipSoft, опинилися в складному становищі: вони мають одночасно повідомляти регуляторів і намагатися з'ясувати, що саме — якщо взагалі щось — було викрадено. Відповідно до європейських правил GDPR, організації зобов'язані повідомляти наглядові органи про витоки даних протягом 72 годин з моменту їх виявлення, а також можуть бути зобов'язані інформувати постраждалих осіб залежно від ступеня ризику.

Чому охорона здоров'я є основною мішенню для програм-вимагачів

Сектор охорони здоров'я став однією з найбільш часто атакованих галузей у світі для програм-вимагачів. Для цього є кілька причин. Медичні записи мають високу цінність на тіньових ринках, оскільки містять багату комбінацію особистої та фінансової інформації. Лікарні також працюють під величезним тиском щодо підтримки безперебійної роботи систем, що може змушувати їх швидше погоджуватися на виплату викупу для відновлення доступу.

Атаки на ланцюжки постачання програмного забезпечення, коли злочинці атакують постачальника, який обслуговує багато організацій, а не нападають на кожну організацію окремо, значно примножують потенційні збитки. Зламавши одну компанію, як-от ChipSoft, зловмисники здобувають плацдарм, що охоплює всю мережу клієнтів, які залежать від цього програмного забезпечення. Такий підхід є ефективним для зловмисників і руйнівним для організацій та осіб, що стають його жертвами.

Нідерланди — не ізольований випадок. Постачальники медичних послуг по всій Європі та Північній Америці стикалися з подібними інцидентами останніми роками, і ця тенденція не демонструє жодних ознак зміни.

Що це означає для вас

Якщо ви є пацієнтом нідерландської лікарні, що використовує платформу HiX від ChipSoft, ваші медичні та персональні дані могли бути розкриті. Ось що вам слід розглянути:

• Стежте за повідомленнями. Лікарні, постраждалі від витоку, зобов'язані інформувати пацієнтів, якщо їхні дані були залучені. Слідкуйте за офіційними повідомленнями від вашого медичного закладу.
• Будьте пильні щодо фішингових спроб. Після витоку даних зловмисники часто використовують викрадену інформацію для складання переконливих фішингових електронних листів або телефонних дзвінків. Ставтеся скептично до небажаних контактів, що нібито надходять від вашої лікарні або страховика.
• Дізнайтеся про свої права відповідно до AP. Відповідно до GDPR, ви маєте право запитувати в організацій інформацію про те, які дані вони зберігають про вас і як вони були оброблені. Нідерландський орган захисту даних є відповідним органом, якщо у вас є занепокоєння щодо поводження з вашими даними.
• Усвідомте межі того, що ви можете контролювати. Коли ваші дані зберігаються третьою стороною — лікарнею або її постачальником програмного забезпечення — ви маєте обмежений прямий контроль над їхньою безпекою. Це робить ще більш важливим те, щоб установи серйозно ставилися до своїх зобов'язань щодо захисту даних.

Для організацій охорони здоров'я та ІТ-адміністраторів цей витік є нагадуванням про важливість управління ризиками постачальників. Залежність від єдиної платформи для значної частини національної системи охорони здоров'я створює концентраційний ризик. Регулярні аудити безпеки, планування реагування на інциденти та забезпечення шифрування даних у процесі передачі є базовими вимогами, а не необов'язковими доповненнями.

Інцидент із ChipSoft досі перебуває під слідством, і повна картина того, які дані були порушені, може виявитися лише через кілька тижнів. Пацієнти заслуговують на своєчасне та прозоре спілкування з боку установ, яким довірили свою найбільш чутливу інформацію. Регулятори, лікарні та постачальники програмного забезпечення — всі мають зіграти свою роль у дотриманні цього стандарту.