Hlavní navigace

Třetině pacientů v USA byla v loni odcizena osobní data

26. 10. 2016
Doba čtení: 5 minut

Sdílet

Letos již byla v USA odcizena data o 14 milionech pacientů. V porovnání s většinou minulých let se jedná o průměrný rok. Ohroženy jsou nejen zdravotní záznamy, ale i čísla platebních karet.

V USA funguje systém hlášení úniků dat ve zdravotnictví, proto si můžeme udělat představu, jak se bezpečnostní situace ve zdravotnictví vyvíjí. Letos bylo prozatím nahlášeno 244 incidentů s únikem celkem více než 14 000 000 záznamů o pacientech. Vypadá to tedy na průměrný rok, když odhlédneme od loňského excesu, kdy uniklo více než 113 miliónů záznamů: v roce 2015 významně pomohl lednový únik dat téměř 80 miliónů pacientů společnosti Anthem, což už je vlastně čtvrtina populace USA! V celkovém součtu za minulý rok je to tedy více než třetina občanů Spojených států. V kontextu s tím, že zdravotnická dokumentace v USA neobsahuje jen obvyklé citlivé údaje a informace o zdravotním stavu, ale i čísla platebních karet a čísla účtů, je toto číslo více než znepokojivé.

Jak jsem ukázal v předchozích dílech seriálu, zdravotnictví se potýká se stejnými hrozbami, jako jiná odvětví: nejčastěji malware, ransomware a chyby zaměstnanců (ztráta přihlašovacích údajů, phishing, ztráta notebooku, apod.). Mnohdy útočníkovi stačí překonat firewall a proxy a jakmile je v síti, má již volné pole působnosti. Často se nedá ani přesně dohledat, která data byla kompromitována. Hlášení úniků v USA je výborný systém, který ale přes veškerou snahu zachytí spíše jen špičku ledovce.

Pojďme se tedy pro ukázku podívat na aktuální nedávné incidenty v USA z minulých týdnů. Začneme ale jednou starší zprávou o unikátním útoku.

Unikátní DDoS útok

32letý Martin Gottesfeld, který pod hlavičkou Anonymous v roce 2014 provedl DDoS útok na dětskou nemocnici, byl shledán vinným a hrozí mu až 5 let vězení.

Zprávu o průběhu procesu přinesly Washington Times. Dětská nemocnice Boston Children's Hospital byla napadena DDoS útokem Anonymous poté, co nemocnice ve spolupráci s úřady odmítla vydat 15letou dívku rodičům. Dle dostupných informací dívka trpěla vzácnou mitochondriální vadou, ale žila běžný život bez omezení. V inkriminovaném případě byla přijata do nemocnice kvůli chřipce, ale nakonec jí lékaři přilepili psychiatrickou diagnózu somatoformní poruchy. Po protestech rodiny a jejich snaze vzít si dívku domů nemocnice zkontaktovala úřady a odebrala dívku z péče rodičů.

Anonymous toto jednání považují za velmi časté a upozorňují na formu „zneužití dítěte ve zdravotnictví“ (medical child abuse). Proto v návaznosti na nesouhlas s postupem nemocnice podnikli několikadenní DDoS útok na její síť. DDoS útoky na zdravotnická zařízení zatím nejsou příliš častá, nedostupné webové stránky nemocnice neznamenají příliš velkou škodu a vnitřní síť lze v případě přetížení od vnější sítě odpojit. V úvodu se nemocnice dokázala bránit vlastními prostředky, ale poté, co útok dosáhl 27 Gbps, byla nucena využít služeb třetí strany. Pravděpodobný útočník byl na počátku roku 2016 odhalen a nyní tedy čeká na rozsudek. Zatím se jedná zřejmě o největší DDoS útok na zdravotnictví v historii.

Úniky dat

Data o 13 000 pacientech mohla uniknout díky phishingu na pracovníky Baystate Health, neziskové organizace spravující kromě odborných ambulancí a laboratoří i čtyři nemocnice v USA.

Dle sdělení tiskového odboru dostali pracovníci e-mail s phishingem, na který se nachytalo pět zaměstnanců a svěřili útočníkům své přihlašovací údaje do pracovního e-mailu. Na základě následné analýzy tak mohla uniknout data až o 13 000 pacientech, nicméně organizace tvrdí, že šlo pouze o jména, data narození, diagnózu a způsob léčby, data by tedy neměla obsahovat social security number (což je prakticky obdoba našeho rodného čísla) či platební údaje. Pacienti v USA totiž často za léčbu platí kartou či z účtu, takže informační systémy ve zdravotnictví USA obsahují i čísla karet a další citlivé údaje, které lze finančně zneužít.

Prolomení e-mailu zaměstnance Seattle Indian Health Board mohlo vést k úniku dat o 800 pacientech.

Šlo o pracovní e-mailový účet zaměstnance, který mohl obsahovat kromě dat o pacientech i jejich platební údaje. Seattle Indian Health Board je nezisková organizace působící ve zdravotních službách ve státě Washington v USA. Tisková zpráva tvrdí, že k odhalení útoku došlo po 4 hodinách od prolomení účtu a klasicky se brání, že dodržuje pravidla HIPAA (Health Insurance Portability and Accountability Act), která mají zajišťovat bezpečnost dat pacientů. Nicméně HIPAA je spíše „nutné absolutní minimum“ než ideální stav, pročež zdravotnické organizace musí pro zajištění optimální bezpečnosti dat jít mnohem výše nad pravidla daná HIPAA.

Zaměstnankyně Health Access Network byla vyhozena poté, co neoprávněně sledovala klinická data pacientů.

Health Access Network je síť zdravotnických zařízení v USA pečující asi o 17 000 pacientů. Dle zprávy se jedna ze zaměstnankyní v rámci své práce setkávala s citlivými daty pacientů, avšak dle monitoringu se letos během července a srpna zjistilo, že přistupuje i k dokumentacím, se kterými v rámci své práce nemá přicházet do styku. Samozřejmě nelze úplně vyloučit, že si citlivé údaje včetně platebních metod neopisovala nebo nekopírovala a že nebyla data zneužita. Zatím s ní byl jen rozvázán pracovní poměr, avšak v USA se podobné případy velmi důsledně řeší i u soudu.

Podobně byl řešen případ zdravotní sestřičky z Nového Zélandu, které během své práce nahlížela do dokumentací jiných pacientů během let 2011–2013. Údajně se jednalo zhruba o 1000 pacientů, o které nepečovala, ale jejichž dokumentaci si prohlížela. Opět není jisté, zdali došlo k úniku citlivých dat.

V ČR je podobná praxe zatím nezvyklá, zdravotnický personál často může přistupovat k datům pacientů, o které bezprostředně nepečuje, a monitoring těchto přístupů se provádí jen výjimečně (ačkoli z logů lze samozřejmě návštěvy dokumentace dohledat).

Ransomware napadl dětskou nemocnici, postižena byla data o 33 tisících pacientech.

K napadení došlo na počátku října, nemocnice ihned po zjištění útoku vypnula informační systém, aby zabránila únikům dat. Dle jejich zprávy došlo i ke ztrátě části dokumentace, tudíž lze předpokládat, že byly napadeny i zálohy (a nebo nebyly provedeny).

root_podpora

Závěr

Soudí se, že průměrný úspěšný útočník se může ve zdravotnickém informačním sytému pohybovat průměrně 204 dnů, než je odhalen. To poskytuje spoustu času prakticky nekontrolovaně a nemonitorovaně kopírovat data. Útočníkovi přitom stačí často překročit vstupní bariéru sítě. I v USA, kde jsou nastavena alespoň určitá pravidla HIPAA, je každoročně zasaženo několik procent obyvatel únikem svých citlivých a platebních údajů ze zdravotnických systémů. Ukazuje to, že ani systémově nastavená pravidla nejsou vše, například v USA je potřeba doporučení HIPAA brát jako nutný základ než za optimální stav, a jako vždy je nutno upozorňovat zaměstnance na hrozby útoků na citlivá data pomocí phishingu a sociálního inženýrství.

Loňský rok s rekordními úniky dat o pacientech v USA byl zatím ojedinělý, ale přesto je každoroční bilance 10–20 milionů uniklých záznamů v USA děsivá, týká se prakticky pěti procent populace. To je hodně – zejména v zemi, kde jsou nastavena bezpečnostní pravidla, pravidelně se konají přísné soudy s viníky úniků a na bezpečnost se klade obrovský důraz.

Byl pro vás článek přínosný?