HSE оштрафовано на 300 000 євро після атаки програм-вимагачів на лікарню Талламор

HSE оштрафовано на 300 000 євро після атаки програм-вимагачів на лікарню Талламор

Ірландська Комісія із захисту даних (DPC) наклала штраф у розмірі 300 000 євро на Виконавчу службу охорони здоров’я (HSE) після витоку даних пацієнтів унаслідок атаки програм-вимагачів на Регіональну лікарню Мідлендс Талламор у графстві Оффалі. Атака була спрямована на лабораторну інформаційну систему лікарні та скомпрометувала персональні дані приблизно 84 000 осіб. Остаточне рішення DPC завершує офіційне розслідування інциденту й сигналізує про зростаючий регуляторний тиск на державні медичні установи щодо необхідності розглядати кібербезпеку як основну операційну відповідальність, а не як другорядне ІТ-завдання.

Що виявила атака програм-вимагачів на HSE про кібербезпеку лікарень

Інцидент у Талламорі не є поодиноким у системі HSE. У травні 2021 року ірландська служба охорони здоров’я зазнала однієї з найбільш руйнівних у Європі кібератак на державний сектор, коли масштабна атака програм-вимагачів змусила HSE повністю вимкнути всю ІТ-інфраструктуру в десятках лікарень по всій країні. Ця атака, приписувана угрупованню Conti, на тижні порушила надання медичної допомоги, а витрати на усунення наслідків сягнули сотень мільйонів євро.

Витік у Талламорі, хоча й вужчий за масштабом, показує, що оператори програм-вимагачів не завжди прагнуть повного захоплення мережі. Націлена атака на одну лабораторну інформаційну систему все одно може призвести до витоку величезних обсягів конфіденційних даних, залишаючись менш помітною, ніж повне вимкнення мережі. Рішення DPC провести офіційне розслідування та накласти значний штраф вказує на те, що регулятори виявили системні недоліки в тому, як HSE захищала цю конкретну систему, а не просто одноразовий технічний збій.

Для медичних організацій по всій Європі цей кейс підсилює чіткий сигнал: штрафи GDPR за витік даних більше не є теоретичними. Регулятори готові притягати до відповідальності державні органи, навіть якщо ті самі стали жертвами кримінальних атак.

Чому лабораторні дані 84 000 пацієнтів є особливо чутливими

Не всі персональні дані несуть однаковий ризик. Лабораторні дані перебувають на вершині шкали чутливості, оскільки можуть містити результати аналізів крові, діагностичні маркери, генетичну інформацію, ВІЛ-статус чи статус щодо інфекцій, що передаються статевим шляхом, а також показники хронічних захворювань. На відміну від витоку адреси електронної пошти чи номера телефону, цю інформацію неможливо змінити. Після витоку вона роками може використовуватися для дискримінації під час страхування, шантажу чи соціальної шкоди.

Пацієнти, чиї записи були порушені в Талламорі, могли й не здогадуватися, що їхні дані зберігалися в системі, під’єднаній до мережі, до якої могли дістатися оператори програм-вимагачів. Це структурна проблема, що виходить далеко за межі Ірландії. Лікарні повсюдно використовують застарілі системи, які ніколи не проєктувалися з розрахунком на мережеву безпеку, і лабораторні платформи — яскравий тому приклад. Їх часто купують як автономні пристрої, роками пізніше інтегрують у ширші мережі, і вони рідко отримують таку саму перевірку безпеки, як системи, з якими взаємодіють пацієнти.

Це одна з причин, чому витоки даних у сфері охорони здоров’я продовжують випереджати інші сектори як за частотою, так і за серйозністю, навіть попри те, що організації у фінансовому та роздрібному секторах значно посилили свій захист.

Як програми-вимагачі атакують медичні мережі та чому лікарні вразливі

Оператори програм-вимагачів обирають охорону здоров’я з кількох взаємопов’язаних причин. Дані — цінні. Організації перебувають під тиском швидкого відновлення роботи, що підвищує ймовірність сплати викупу. І, що критично, рівень безпеки багатьох лікарняних мереж залишається низьким порівняно з чутливістю даних, які вони зберігають.

Лікарняні мережі характеризуються великою кількістю під’єднаних пристроїв, багато з яких працюють на застарілих операційних системах або прошивках. Медичні пристрої, обладнання для візуалізації та спеціалізовані діагностичні системи часто неможливо оновити без участі виробника або простою обладнання, який не можуть собі дозволити клінічні команди. Це створює постійні вразливості, які витончені зловмисники можуть використовувати ще довго після того, як дослідники з безпеки їх виявили.

Фішинг залишається найпоширенішим вектором початкового доступу. Один співробітник, який клацне шкідливе посилання в електронному листі, може надати точку опори, потрібну зловмиснику для латерального переміщення мережею, поки не дістанеться цінних систем, як-от бази даних пацієнтів або, як у Талламорі, лабораторні платформи. Розуміння того, як програми-вимагачі поширюються інституційними мережами, є важливим контекстом для всіх, хто працює в ІТ-середовищі охорони здоров’я або адмініструє його.

Штраф DPC для HSE неявно визнає, що частини цієї вразливості можна було уникнути. Хоча конкретні технічні висновки розслідування ще не опубліковані повністю, регуляторні органи зазвичай зосереджують свої дії на недоліках контролю доступу, сегментації мережі та готовності до реагування на інциденти.

Що це означає для вас: практичні кроки для пацієнтів і медичних працівників

Якщо ви пацієнт, найперший крок — обізнаність. Якщо ви отримували допомогу в Регіональній лікарні Мідлендс Талламор і не отримали сповіщення про цей витік, уважно відстежуйте будь-які повідомлення від HSE. Звертайте увагу на незвичні звернення від страхових компаній, роботодавців або невідомих осіб, які згадують вашу історію хвороби, оскільки це може свідчити про зловмисне використання ваших даних.

Для медичних працівників, особливо тих, хто отримує доступ до клінічних систем з кількох локацій або через спільні мережі, поверхня ризику ширша, ніж більшість усвідомлює. Використання VPN у мережах Wi-Fi лікарень чи клінік додає рівень шифрування вашого з’єднання, знижуючи ризик перехоплення облікових даних. Це особливо актуально для персоналу, який входить до систем керування пацієнтами або лабораторних систем віддалено чи через спільні термінали.

Для ІТ-команд та адміністраторів у сфері охорони здоров’я випадок у Талламорі пропонує чіткий перелік пріоритетів:

• Сегментація мережі: Забезпечте, щоб лабораторні системи та інші спеціалізовані платформи перебували в ізольованих мережевих сегментах, до яких неможливо дістатися безпосередньо із загальних мереж персоналу.
• Контроль доступу: Застосовуйте принцип найменших привілеїв, тобто користувачі та системи повинні мати доступ лише до того, що їм справді потрібно.
• Керування оновленнями: Створіть формальний процес для виявлення та усунення вразливостей у медичних і лабораторних системах, навіть там, де потрібна координація з виробником.
• Планування реагування на інциденти: Майте перевірений, задокументований план ізоляції скомпрометованих систем і повідомлення регуляторів у 72-годинне вікно GDPR.
• Навчання персоналу: Регулярне, реалістичне тренування з симуляції фішингу знижує ймовірність початкового зламу.

Штраф у розмірі 300 000 євро для HSE — це серйозне покарання, але репутаційні та операційні втрати від масштабного витоку даних пацієнтів унаслідок атаки програм-вимагачів набагато перевищують будь-яку регуляторну санкцію. Для 84 000 осіб, чиї лабораторні результати були викриті в Талламорі, наслідки є особистими та потенційно довготривалими.

Якщо ви працюєте в медичному закладі або регулярно його відвідуєте, знайдіть час переглянути власну практику гігієни даних. Використовуйте надійні, унікальні паролі для будь-якого порталу пацієнта чи клінічної системи, до якої маєте доступ. Увімкніть двофакторну автентифікацію там, де це можливо. І подумайте про використання надійного VPN під час підключення до будь-якої мережі, яку ви не контролюєте повністю. Невеликі звички, яких дотримуються постійно, призводять до значних змін у реальній безпеці.