Hlavní navigace

Třetině pacientů v USA byla v loni odcizena osobní data

Petr Kajzar

Letos již byla v USA odcizena data o 14 milionech pacientů. V porovnání s většinou minulých let se jedná o průměrný rok. Ohroženy jsou nejen zdravotní záznamy, ale i čísla platebních karet.

V USA funguje systém hlášení úniků dat ve zdravotnictví, proto si můžeme udělat představu, jak se bezpečnostní situace ve zdravotnictví vyvíjí. Letos bylo prozatím nahlášeno 244 incidentů s únikem celkem více než 14 000 000 záznamů o pacientech. Vypadá to tedy na průměrný rok, když odhlédneme od loňského excesu, kdy uniklo více než 113 miliónů záznamů: v roce 2015 významně pomohl lednový únik dat téměř 80 miliónů pacientů společnosti Anthem, což už je vlastně čtvrtina populace USA! V celkovém součtu za minulý rok je to tedy více než třetina občanů Spojených států. V kontextu s tím, že zdravotnická dokumentace v USA neobsahuje jen obvyklé citlivé údaje a informace o zdravotním stavu, ale i čísla platebních karet a čísla účtů, je toto číslo více než znepokojivé.

Jak jsem ukázal v předchozích dílech seriálu, zdravotnictví se potýká se stejnými hrozbami, jako jiná odvětví: nejčastěji malware, ransomware a chyby zaměstnanců (ztráta přihlašovacích údajů, phishing, ztráta notebooku, apod.). Mnohdy útočníkovi stačí překonat firewall a proxy a jakmile je v síti, má již volné pole působnosti. Často se nedá ani přesně dohledat, která data byla kompromitována. Hlášení úniků v USA je výborný systém, který ale přes veškerou snahu zachytí spíše jen špičku ledovce.

Pojďme se tedy pro ukázku podívat na aktuální nedávné incidenty v USA z minulých týdnů. Začneme ale jednou starší zprávou o unikátním útoku.

Unikátní DDoS útok

32letý Martin Gottesfeld, který pod hlavičkou Anonymous v roce 2014 provedl DDoS útok na dětskou nemocnici, byl shledán vinným a hrozí mu až 5 let vězení.

Zprávu o průběhu procesu přinesly Washington Times. Dětská nemocnice Boston Children's Hospital byla napadena DDoS útokem Anonymous poté, co nemocnice ve spolupráci s úřady odmítla vydat 15letou dívku rodičům. Dle dostupných informací dívka trpěla vzácnou mitochondriální vadou, ale žila běžný život bez omezení. V inkriminovaném případě byla přijata do nemocnice kvůli chřipce, ale nakonec jí lékaři přilepili psychiatrickou diagnózu somatoformní poruchy. Po protestech rodiny a jejich snaze vzít si dívku domů nemocnice zkontaktovala úřady a odebrala dívku z péče rodičů.

Anonymous toto jednání považují za velmi časté a upozorňují na formu „zneužití dítěte ve zdravotnictví“ (medical child abuse). Proto v návaznosti na nesouhlas s postupem nemocnice podnikli několikadenní DDoS útok na její síť. DDoS útoky na zdravotnická zařízení zatím nejsou příliš častá, nedostupné webové stránky nemocnice neznamenají příliš velkou škodu a vnitřní síť lze v případě přetížení od vnější sítě odpojit. V úvodu se nemocnice dokázala bránit vlastními prostředky, ale poté, co útok dosáhl 27 Gbps, byla nucena využít služeb třetí strany. Pravděpodobný útočník byl na počátku roku 2016 odhalen a nyní tedy čeká na rozsudek. Zatím se jedná zřejmě o největší DDoS útok na zdravotnictví v historii.

Úniky dat

Data o 13 000 pacientech mohla uniknout díky phishingu na pracovníky Baystate Health, neziskové organizace spravující kromě odborných ambulancí a laboratoří i čtyři nemocnice v USA.

Dle sdělení tiskového odboru dostali pracovníci e-mail s phishingem, na který se nachytalo pět zaměstnanců a svěřili útočníkům své přihlašovací údaje do pracovního e-mailu. Na základě následné analýzy tak mohla uniknout data až o 13 000 pacientech, nicméně organizace tvrdí, že šlo pouze o jména, data narození, diagnózu a způsob léčby, data by tedy neměla obsahovat social security number (což je prakticky obdoba našeho rodného čísla) či platební údaje. Pacienti v USA totiž často za léčbu platí kartou či z účtu, takže informační systémy ve zdravotnictví USA obsahují i čísla karet a další citlivé údaje, které lze finančně zneužít.

Prolomení e-mailu zaměstnance Seattle Indian Health Board mohlo vést k úniku dat o 800 pacientech.

Šlo o pracovní e-mailový účet zaměstnance, který mohl obsahovat kromě dat o pacientech i jejich platební údaje. Seattle Indian Health Board je nezisková organizace působící ve zdravotních službách ve státě Washington v USA. Tisková zpráva tvrdí, že k odhalení útoku došlo po 4 hodinách od prolomení účtu a klasicky se brání, že dodržuje pravidla HIPAA (Health Insurance Portability and Accountability Act), která mají zajišťovat bezpečnost dat pacientů. Nicméně HIPAA je spíše „nutné absolutní minimum“ než ideální stav, pročež zdravotnické organizace musí pro zajištění optimální bezpečnosti dat jít mnohem výše nad pravidla daná HIPAA.

Zaměstnankyně Health Access Network byla vyhozena poté, co neoprávněně sledovala klinická data pacientů.

Health Access Network je síť zdravotnických zařízení v USA pečující asi o 17 000 pacientů. Dle zprávy se jedna ze zaměstnankyní v rámci své práce setkávala s citlivými daty pacientů, avšak dle monitoringu se letos během července a srpna zjistilo, že přistupuje i k dokumentacím, se kterými v rámci své práce nemá přicházet do styku. Samozřejmě nelze úplně vyloučit, že si citlivé údaje včetně platebních metod neopisovala nebo nekopírovala a že nebyla data zneužita. Zatím s ní byl jen rozvázán pracovní poměr, avšak v USA se podobné případy velmi důsledně řeší i u soudu.

Podobně byl řešen případ zdravotní sestřičky z Nového Zélandu, které během své práce nahlížela do dokumentací jiných pacientů během let 2011–2013. Údajně se jednalo zhruba o 1000 pacientů, o které nepečovala, ale jejichž dokumentaci si prohlížela. Opět není jisté, zdali došlo k úniku citlivých dat.

V ČR je podobná praxe zatím nezvyklá, zdravotnický personál často může přistupovat k datům pacientů, o které bezprostředně nepečuje, a monitoring těchto přístupů se provádí jen výjimečně (ačkoli z logů lze samozřejmě návštěvy dokumentace dohledat).

Ransomware napadl dětskou nemocnici, postižena byla data o 33 tisících pacientech.

K napadení došlo na počátku října, nemocnice ihned po zjištění útoku vypnula informační systém, aby zabránila únikům dat. Dle jejich zprávy došlo i ke ztrátě části dokumentace, tudíž lze předpokládat, že byly napadeny i zálohy (a nebo nebyly provedeny).

Závěr

Soudí se, že průměrný úspěšný útočník se může ve zdravotnickém informačním sytému pohybovat průměrně 204 dnů, než je odhalen. To poskytuje spoustu času prakticky nekontrolovaně a nemonitorovaně kopírovat data. Útočníkovi přitom stačí často překročit vstupní bariéru sítě. I v USA, kde jsou nastavena alespoň určitá pravidla HIPAA, je každoročně zasaženo několik procent obyvatel únikem svých citlivých a platebních údajů ze zdravotnických systémů. Ukazuje to, že ani systémově nastavená pravidla nejsou vše, například v USA je potřeba doporučení HIPAA brát jako nutný základ než za optimální stav, a jako vždy je nutno upozorňovat zaměstnance na hrozby útoků na citlivá data pomocí phishingu a sociálního inženýrství.

Loňský rok s rekordními úniky dat o pacientech v USA byl zatím ojedinělý, ale přesto je každoroční bilance 10–20 milionů uniklých záznamů v USA děsivá, týká se prakticky pěti procent populace. To je hodně – zejména v zemi, kde jsou nastavena bezpečnostní pravidla, pravidelně se konají přísné soudy s viníky úniků a na bezpečnost se klade obrovský důraz.

Našli jste v článku chybu?

26. 10. 2016 3:50

Upřímně, v případě zdravotních sester, které pročítají tisíce starých záznamů pacientů, jde spíše o chybu systému, která sestře neumožní vzdělat se na základě minulých případů. Stačilo by mít anonymizovaný mód, kdy by si odborný personál mohl prohlížet diagnózy pacientů bez osobních údajů.
Nebo oni nemají u kolonek s osobními údaji v systému jasně uvedeno, že toto se nezobrazuje v módu BĚŽNÝ UŽIVATEL? nemají anonymizovanou verzi Kazuistika?
V případě země, kde kvůli podobným věcem člověka klidně…

27. 10. 2016 10:02

andrej (neregistrovaný)

Toto je hlavny dovod preco sa mi nepaci zavadzanie systemu elektronickej zdravotnej karty.

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

DigiZone.cz: Velká cena v Abú Dhabí: 131 ti­síc diváků

Velká cena v Abú Dhabí: 131 ti­síc diváků

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

DigiZone.cz: Flix TV: dva set-top boxy za korunu

Flix TV: dva set-top boxy za korunu

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Vitalia.cz: Taky věříte na pravidlo 5 sekund?

Taky věříte na pravidlo 5 sekund?

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?