ProHoster > Блог > адміністрування > Великий FAQ щодо кібербезпеки медичних інформаційних систем

Великий FAQ щодо кібербезпеки медичних інформаційних систем

Аналітичний огляд загроз кібербезпеці для медичних інформаційних систем, актуальних у період з 2007 до 2017 року.

– Наскільки поширені у Росії медичні інформаційні системи?
– Чи можна докладніше про єдину інформаційну державну систему охорони здоров'я (ЄДСІЗ)?
– Чи можна докладніше про технічні особливості вітчизняних медичних інформаційних систем?
– Якою є ситуація з кібербезпекою вітчизняної системи ЄМІАС?
– Яка ситуація із кібербезпекою медичних інформаційних систем – у цифрах?
- Чи комп'ютерні віруси можуть заразити медичне обладнання?
– Наскільки небезпечні віруси-здирники для медичного сектора?
– Якщо кіберінциденти такі небезпечні, навіщо виробники медичного обладнання комп'ютеризують свої пристрої?
– Чому кіберзлочинці перейшли з фінансового сектора та роздрібних магазинів – на медичні центри?
– Чому випадки інфікування вірусами-здирниками почастішали у медичному секторі та продовжують частішати?
– Лікарі, медсестри та пацієнти, які постраждали від WannaCry – чим для них це обернулося?
– Як кіберзлочинці можуть зашкодити клініці пластичної хірургії?
– Кіберзлочинець вкрав медичну картку – чим це загрожує її законному власнику?
– Чому крадіжка медичних карток має такий наростаючий попит?
– Як пов'язані крадіжки номерів соціального страхування із кримінальною індустрією підробки документів?
– Сьогодні багато розмов про перспективи та безпеку систем штучного інтелекту. Як із цим справи у медичному секторі?
- Чи здобув медичний сектор уроки із ситуації з WannaCry?
– Як медичним центрам забезпечити кібербезпеку?

Великий FAQ щодо кібербезпеки медичних інформаційних систем


Цей огляд відзначений листом подяки з боку МОЗ РФ (див. скрін під спойлером).

Великий FAQ щодо кібербезпеки медичних інформаційних систем

Наскільки поширені у Росії медичні інформаційні системи?

  • У 2006 році «Інформатика Сибіру» (IT-компанія, що спеціалізується на розробці медичних інформаційних систем) повідомила [38]: «MIT Technology Review періодично публікує традиційний перелік десяти перспективних інформаційно-комунікаційних технологій, які вже найближчим часом надаватимуть найбільший вплив на людське суспільство. У 2006 році 6 із 10 позицій у цьому переліку займали технології, так чи інакше пов'язані з питаннями медицини. 2007 рік був оголошений в Росії «роком інформатизації охорони здоров'я». З 2007 по 2017 рік динаміка залежності охорони здоров'я від інформаційно-комунікаційних технологій постійно наростає».
  • 10 вересня 2012 року інформаційно-аналітичний центр «Відкриті системи» повідомив [41], що у 2012 році до ЄМІАС (єдина медична інформаційно-аналітична система) було підключено 350 поліклінік Москви. Трохи пізніше, 24 жовтня 2012 року те саме джерело повідомило [42], що на даний момент 3,8 тис. лікарів мають автоматизовані робочі місця, а 1,8 млн. громадян уже випробували сервіс ЄМІАС. 12 травня 2015 року те саме джерело повідомило [40], що ЄМІАС діє у всіх 660 державних поліклініках Москви, і містить дані понад 7 млн. пацієнтів.
  • 25 червня 2016 року журнал «Профіль» опублікував [43] експертний висновок міжнародного аналітичного центру PwC: «Москва – єдиний мегаполіс, де повністю впроваджено єдину систему управління міськими поліклініками, тоді як подібне рішення в інших містах світу, у тому числі в Нью-Йорку та Лондоні, знаходиться лише на стадії обговорення». «Профіль» також повідомив, що на момент 25 липня 2016 року в ЄМІАС зареєстровано 75% москвичів (близько 9 млн. осіб), у системі працює понад 20 тис. лікарів; з моменту запуску системи проведено понад 240 млн записів до лікарів; щодня у системі виробляється понад 500 тис. різних операцій. 10 лютого 2017 року «Эхо Москвы», повідомило [39], що на даний момент у Москві вже більше 97% медичних прийомів проходять за попереднім записом, здійсненим через ЄМІАС.
  • 19 липня 2016 Вероніка Скворцова, міністр охорони здоров'я Російської Федерації заявила [11], що до кінця 2018 року 95% медичних центрів країни будуть підключені до єдиної інформаційної державної системи охорони здоров'я (ЄДІСЗ) - шляхом впровадження єдиної електронної медичної картки (ЕМК). Відповідний закон, який зобов'язує російські регіони підключитися до системи, пройшов громадське обговорення, узгоджено з усіма зацікавленими федеральними органами і найближчим часом надійде до уряду. Вероніка Скворцова повідомила, що у 83 регіонах організували електронний запис на прийом до лікаря; у 66 суб'єктах запровадили єдину регіональну систему диспетчеризації швидкої допомоги; у 81 регіоні країни працюють медичні інформаційні системи, до яких підключили автоматизовані робочі місця 57% лікарів. [11]

Чи можна докладніше про єдину інформаційну державну систему охорони здоров'я (ЄДСІЗ)?

  • ЄДСІЗ – це корінь усіх вітчизняних МІС (медичних інформаційних систем). Вона складається із регіональних фрагментів – РІСУЗ (регіональна інформаційна система управління охорони здоров'я). ЕМІАС, яка вже була згадана вище – це один із екземплярів РІСУЗ (найвідоміший і найперспективніший). [51] Як пояснює [56] редакція журналу «Директор інформаційної служби», ЄДСІЗ – це хмарно-мережева IT-інфраструктура, створенням регіональних сегментів якої займаються науково-дослідні центри Калінінграда, Костроми, Новосибірська, Орла, Саратова, Томська та інших міст Російської Федерації Федерації.
  • Завдання ЄДСІЗ – викорінити «клаптеву інформатизацію» охорони здоров'я; за допомогою стикування МІС різних відомств, кожне з яких до впровадження ЄДСІЗ користувалося своїм власним програмним забезпеченням, виготовленим за спецзамовленням, без жодних централізованих стандартів. [54] Починаючи з 2008 року, в основі єдиного інформаційного простору охорони здоров'я Російської Федерації лежать 26 галузевих IT-стандартів [50]. 20 із них – міжнародні.
  • Робота медичних центрів значною мірою залежить від МІС, таких як OpenEMR чи ЕМІАС. МІС забезпечують зберігання інформації про пацієнта: результати діагностики, дані про виписані препарати, історія хвороби тощо. Найпоширеніші компоненти МІС (на момент 30 березня 2017 року): EHR (Electronic Health Records) – система ведення електронних медичних карток, яка зберігає у структурованому вигляді дані пацієнта та веде його історію хвороби. NAS (Network Attached Storage) – мережеве сховище даних. DICOM (Digital Imaging and Communications in Medicine) – стандарт формування цифрових зображень та обміну ними у медицині. PACS (Picture Archiving and Communication System) – система зберігання та обміну зображеннями, що працює відповідно до стандарту DICOM. Створює, зберігає та візуалізує медичні зображення та документи обстежених пацієнтів. Найбільш поширена із DICOM-систем. [3] Всі ці МІС вразливі для всебічно розроблених кібератак, деталі проведення яких знаходяться у відкритому доступі.
  • У 2015 році Жиляєв П.С., Горюнова Т.І. та Володін К.І., технічні експерти «Пензенського державного технологічного університету» розповіли [57] у своїй статті, присвяченій кібербезпеці у медичному секторі, що до складу ЕМІАС входять: 1) ІМЕК (інтегрована медична електронна карта); 2) загальноміський регістр пацієнтів; 3) система керування потоками пацієнтів; 4) система інтегрованої медичної інформації; 5) система консолідованого управлінського обліку; 6) система персоніфікованого обліку медичної допомоги; 7) система управління медичними регістрами. Що стосується ІМЕК, то за повідомленням [39] радіо «Эхо Москвы» (10 лютого 2017) ця підсистема побудована, ґрунтуючись на передовому досвіді стандарту OpenEHR, який є найбільш прогресивною технологією, на яку поступово переходять технологічно розвинені країни.
  • Редакція журналу «Computerworld Росія» також пояснила [41], що крім інтеграції всіх цих сервісів між собою та з МІС лікувальних установ, ЕМІАС також інтегрована з програмним забезпеченням федерального фрагмента «ЄДІС-Здрав» (ЄДІС – єдина державна інформаційна система) та системами уряду, включаючи портали держпослуг. Трохи пізніше, 25 липня 2016 року редакція журналу «Профіль» уточнила [43], що ЄМІАС на даний момент поєднує в собі кілька сервісів: ситуаційний центр, електронну реєстратуру, ЕМК, електронний рецепт, листки непрацездатності, лабораторний сервіс та персоніфікований облік.
  • 7 квітня 2016 року редакція журналу «Директор інформаційної служби» повідомила [59], що ЄМІАС прийшла до аптек. У всіх московських аптеках, що відпускають препарати за пільговими рецептами, запущена «автоматизована система управління лікарським забезпеченням населення» – М-Аптека.
  • 19 січня 2017 року те саме джерело повідомило [58], що з 2015 року в Москві почалося впровадження єдиного радіологічного інформаційного сервісу (ЕРІС), інтегрованого з ЄМІАС. Для лікарів, які видають пацієнтам направлення на діагностику, розроблено технологічні карти з рентгенологічних досліджень, УЗД, КТ та МРТ, які інтегровані з ЕМІАС. У міру розширення проекту планується підключити до сервісу стаціонари з численним обладнанням. Багато лікарнях є власні МІС, з ними також належить інтегруватися. Редакція «Профілю» також констатує, що, бачачи позитивний столичний досвід, регіони теж заражаються інтересом до впровадження ЄМІАС.

Чи можна докладніше про технічні особливості вітчизняних медичних інформаційних систем?

  • Інформація для цього параграфа взята - з аналітичного огляду [49] "Інформатики Сибіру". Близько 70% медичних інформаційних систем збудовано на реляційних базах даних. У 1999 р. 47% медичних інформаційних систем використовували локальні (настільні) БД, причому у переважній більшості випадків це були таблиці dBase. Такий підхід характерний для початкового періоду розробок програмного забезпечення для медицини та створення вузькоспеціалізованих продуктів.
  • Щороку кількість вітчизняних систем на основі настільних баз даних зменшується. 2003-го ця цифра становила вже лише 4%. На сьогоднішній день практично ніхто з розробників не використовує таблиці dBase. Деякі програмні продукти використовують свій формат баз даних; нерідко вони використовуються в електронних фармакологічних довідниках. Нині вітчизняному ринку є медична інформаційна система, побудована навіть у власній СУБД архітектури «клієнт-сервер»: e-Hospital. Важко уявити об'єктивні причини для подібних рішень.
  • Під час розробки вітчизняних медичних інформаційних систем переважно застосовуються такі СУБД: Microsoft SQL Server (52.18%), Cache (17.4%), Oracle (13%), Borland Interbase Server (13%), Lotus Notes/Domino (13%). Для порівняння: якщо проаналізувати все медичне програмне забезпечення, що використовує архітектуру клієнт-сервер, то частка СУБД Microsoft SQL Server складе 64%. Багато розробників (17.4%) допускають використання кількох СУБД, найчастіше це комбінація Microsoft SQL Server і Oracle. Дві системи (ІВ Кондопога [44] та Парацельс-А [45]) використовують кілька СУБД одночасно. Усі СУБД поділяються на два принципово різних види: реляційні та постріляційні (об'єктно-орієнтовані). На сьогоднішній день 70% вітчизняних медичних інформаційних систем побудовано на реляційних СУБД, а 30% – на стріляльних.
  • При розробці медичних інформаційних систем використовуються різні засоби програмування. Так наприклад, ДОКА+ [47] написана на PHP та JavaScript. «E-Hospital» [48] розроблено серед Microsoft Visual C++. Амулет – серед Microsoft Visual.NET». "Інфомед" [46], що працює під управлінням Windows (98/Me/NT/2000/XP), має дворівневу архітектуру клієнт-сервер; клієнтська частина реалізована мовою програмування Delphi; серверна частина – перебуває під керуванням СУБД Oracle.
  • Приблизно 40% розробників застосовують вбудований у СУБД інструментарій. Як редактор звітів 42% використовують власні розробки; 23% - кошти, вбудовані в СУБД. Для автоматизації проектування та тестування програмного коду 50% розробників використовують Visual Source Safe. Як програмне забезпечення для створення документації 85% розробників використовують продукцію Microsoft – текстовий редактор Word або, як, наприклад, творці e-Hospital – Microsoft Help Workshop.
  • У 2015 році Агеєнко Т.Ю. та Андріанов А.В., технічні експерти Московського технологічного інституту, опублікували статтю [55], де у всіх подробицях описали технічні деталі госпітальної автоматизованої інформаційної системи (ДАІС), у тому числі типову мережеву інфраструктуру медичного закладу та нагальні проблеми забезпечення її кібербезпеки. ДАІС – це захищена мережа, через яку функціонує ЄМІАС, найперспективніша з російських МІС.
  • «Інформатика Сибіру» стверджує [53], що два найбільш авторитетних науково-дослідних центри, що займаються розробкою МІС – це Інститут програмних систем РАН (розташований у стародавньому російському місті Переславль-Залеський) та некомерційна організація «Фонд розвитку та надання спеціалізованої медичної допомоги Медсанчасть- 168» (розташована в Академмістечку міста Новосибірськ). Сама ж «Інформатика Сибіру», яку також можна включити до цього списку – розташована у місті Омську.

Яка ситуація з кібербезпекою вітчизняної системи ЄМІАС?

  • 10 лютого 2017 року Володимир Макаров, куратор проекту ЄМІАС, у своєму інтерв'ю для радіо «Эхо Москвы» поділився думкою [39] щодо того, що абсолютної кібербезпеки не буває: «Завжди є ризик витоку даних. Треба звикати до того, що наслідком використання будь-яких сучасних технологій є те, що все може стати відомо про вас. Розкривають електронні поштові скриньки навіть перших держав». У зв'язку з цим можна згадати недавній інцидент, в результаті якого було скомпрометовано електронну пошту близько 90 членів парламенту Великобританії.
  • 12 травня 2015 року департамент інформаційних технологій Москви розповів [40] про чотири ключові моменти КСІБ (комплексна система інформаційної безпеки) для ЄМІАС: 1) фізичний захист – дані зберігаються на сучасних серверах, що знаходяться в підземних приміщеннях, доступ до яких суворо регламентований; 2) програмний захист – дані передаються у зашифрованому вигляді за захищеними каналами зв'язку; крім того, одночасно можна отримати інформацію лише по одному пацієнту; 3) авторизований доступ до даних – лікар ідентифікується за персональною смарт-карткою; для пацієнта ж передбачена двофакторна ідентифікація за полісом ЗМС та датою народження.
  • 4) Медичні та персональні дані зберігаються окремо, у двох різних базах, що додатково забезпечує їх безпеку; сервери ЕМІАС накопичують медичну інформацію у знеособленому вигляді: візити до лікаря, призначення, листи непрацездатності, напрямки, рецепти та інші подробиці; а персональні дані – номер полісу ЗМС, прізвище, ім'я, по батькові, стать та дата народження – містяться в базах Московського міського фонду обов'язкового медичного страхування; дані з цих двох баз даних з'єднуються візуально лише з моніторі лікаря, після його ідентифікації.
  • Однак незважаючи на неприступність такого захисту ЄМІАС, сучасні технології кібератак, – деталі проведення яких знаходяться у відкритому доступі, – дають можливість зламувати навіть такий захист. наприклад, опис атаки на новий браузер Microsoft Edge – в умовах відсутності програмних помилок та при активному стані всіх доступних захистів. [62] Крім того, відсутність помилок у коді програми - це вже сама по собі утопія. Докладніше про це – у презентації «Чумазі секретики кіберзахисників». [63]
  • 27 червня 2017 року клініка «Інвітро» через масштабну кібератаку призупинила збір біоматеріалу та видачу результатів аналізів у Росії, Білорусії та Казахстані. [64]
  • 12 травня 2017 року «Лабораторія Каспеського» зафіксувала [60] 45 тис. успішних кібер-атак вірусу-здирника WannaCry, у 74 країнах світу; причому більшість цих атак відбулися біля Росії. Через три дні (15 травня 2017 року) антивірусна компанія Avast зафіксувала [61] вже 200 тис. кіебер-атак вірусу-здирника WannaCry і повідомила, що більше половини цих атак - відбулися на території Росії. Інформаційне агентство БіБіСі повідомило (13 травня 2017 року), що в Росії жертвами вірусу, серед інших, стали МОЗ, МВС, Центробанк та Слідчий комітет. [61]
  • Проте прес-центри цих та інших російських відомств в один голос стверджують, що кібер-атаки вірусу WannaCry, хоч і мали місце, але успіхом не мали. Більшість російськомовних публікацій про плачевні інциденти з WannaCry, згадуючи те чи інше російське відомство, – поспішно додають щось на кшталт: «Але за офіційними даними, шкоди завдано не було». З іншого боку, західна преса впевнена, що наслідки від кібер-атаки вірусу WannaCry більш відчутні, ніж представлено в російськомовній пресі. Західна преса настільки впевнена в цьому, що навіть зняла з Росії підозри щодо причетності до цієї кібератаки. Кому довіряти більше – західним чи вітчизняним ЗМІ – особиста справа кожного. При цьому варто врахувати, що і той і інший сторони мають свої мотиви для перебільшення і применшення достовірних фактів.

Яка ситуація із кібербезпекою медичних інформаційних систем – у цифрах?

  • 1 червня 2017 року Ребекка Вейнтраб (главлікар «Brigham and Women's Hospital» з докторським ступенем) та Джорам Боренштейн (інженер кібербезпеки) у своїй спільній статті, опублікованій на сторінках «Harvard Business Review» заявили [18], що цифрова епоха значно у даних та обмін медичними картками між різними медичними центрами: сьогодні медичні картки пацієнтів стали мобільними та переносними. Проте за такі цифрові зручності медичним центрам доводиться розплачуватись серйозними ризиками кібербезпеки.
  • 3 березня 2017 року інформаційне агентство «SmartBrief» повідомило [24], що в перші два місяці 2017 року сталося близько 250 інцидентів кібербезпеки, внаслідок яких було викрадено понад мільйон конфіденційних записів. 50% цих інцидентів припало на малий та середній бізнес (не включаючи сектор охорони здоров'я). Близько 30% припало на сектор охорони здоров'я. Трохи пізніше, 16 березня те саме агентство повідомило [22], що лідер інцидентів кібербезпеки на момент поточного 2017 року – медичний сектор.
  • 17 січня 2013 року Майкл Грег, керівник консалтингової фірми «Продумані рішення», що спеціалізується на кібербезпеці, повідомив [21], що у 2012 році 94% медичних центрів стали жертвами витоку конфіденційної інформації. Це на 65% більше, ніж у 2010–2011 роках. Найгірше, 45% медичних центрів повідомили, що з часом масштаб витоків конфіденційної інформації стає все серйознішим; і зізналися, що у них у період 2012-2013 сталося понад п'ять таких серйозних витоків. А в тому, що подібним витокам можна запобігти, або хоча б можна дізнатися про те, що вони мали місце – впевнені менше половини медичних центрів.
  • Майкл Грег також повідомив [21], що в період 2010-2012, всього за три роки, понад 20 млн. пацієнтів стали жертвами крадіжки ЕМК, які містять чутливу конфіденційну інформацію: діагнози, лікувальні процедури, платіжну інформацію, деталі страхового забезпечення, номер соціального страхування та багато іншого. Кіберзлочинець, який вкрав ЕМК, може скористатися почерпнутою з неї інформацією найрізноманітнішими способами (див. параграф «Як пов'язані крадіжки номерів соціального страхування з кримінальною індустрією підробки документів?»). Однак, незважаючи на все це, захист ЕМК у медичних центрах найчастіше менш слабкий, ніж захист особистої електронної пошти.
  • 2 вересня 2014 року Майк Оркут, технічний експерт MIT заявив [10], що інциденти зараження вірусами-здирниками частішають з кожним роком. У 2014 році було на 600% більше інцидентів, ніж у 2013. Американське ФБР також повідомило [26], що в 2016 році щодня відбувалося понад 4000 випадків цифрового здирництва – у чотири рази більше, ніж у 2015 році. При цьому тривожна не лише сама тенденція зростання інцидентів зараження вірусами-вимагачами; тривожний також і поступове зростання - цілеспрямованих атак. Найчастіші цілі таких атак: фінансові установи, роздрібна торгівля та медичні центри.
  • 19 травня 2017 року інформаційне агентство «БіБіСі» опублікувало [23] звіт Verizon за 2017 рік, згідно з яким 72% інцидентів з вірусами-вимагачами припадають на медичний сектор. За останні 12 місяців кількість таких інцидентів зросла на 50%.
  • 1 червня 2017 року в «Harvard Busines Review» було опубліковано [18] звіт, наданий міністерством охорони здоров'я та соціального забезпечення США, в якому повідомляється, що у 2015 році було вкрадено понад 113 мільйонів ЕМК. У 2016 році – понад 16 мільйонів. При цьому, незважаючи на те, що порівняно з 2016 роком спостерігається різкий спад кількості інцидентів, загальна тенденція все ж таки має наростаючу динаміку. На початку 2017 року аналітичний центр Expirian заявив [27], що охорона здоров'я на сьогоднішній день – найзатребуваніша мета кіберзлочинців.
  • Витік даних про пацієнтів у медичних системах поступово переходить [37] у розряд найбільш нагальних проблем сфери охорони здоров'я. Так, за даними компанії InfoWatch, за останні два роки (2005-2006) кожна друга медична організація допустила витік інформації про пацієнтів. При цьому 60% витоків даних відбуваються не каналами зв'язку, а через конкретних людей, які виносять конфіденційну інформацію за межі організації. Лише 40% витоків інформації відбувається з технічних причин. Найслабша ланка [36] у кібербезпеці медичних інформаційних системи – це люди. Можна витратити величезні кошти створення систем захисту, а низькооплачуваний співробітник продасть інформацію за тисячну частку цієї вартості.

Чи комп'ютерні віруси можуть заразити медичне обладнання?

  • 17 жовтня 2012 року Девід Телбот, технічний експерт MIT, повідомив [1], що медичне обладнання, яке використовується всередині медичних центрів, стає все більш комп'ютеризованим, все більш «розумним» і все більш гнучким для перепрограмування; а також все частіше має функцію підтримки роботи з мережею. В результаті медичне обладнання стає все більш чутливим для кібератак та зараження вірусами. Проблема погіршується тим фактом, що виробники зазвичай не дозволяють модифікувати своє обладнання навіть для того, щоб забезпечити його кібербезпеку.
  • Так, наприклад, в 2009 році мережевий черв'як Conficker просочився в медичний центр Beth Israel і заразив там частину медичного обладнання, у тому числі робочу станцію акушерської допомоги (від Philips) і робочу станцію рентгеноскопії (від General Electric). З метою запобігання виникненню подібних інцидентів у майбутньому Джон Халмак, IT-директор цього медичного центру, – і за сумісництвом професор Гарвардської Школи Медицини з докторським ступенем, – вирішив відключити на цьому обладнанні функцію підтримки роботи з мережею. Однак він зіткнувся з тим, що обладнання «не може бути оновлено через нормативні обмеження». Йому були потрібні значні зусилля, щоб узгодити з виробниками відключення мережевих можливостей. Однак відключення від мережі – не ідеальне рішення. Особливо в умовах зростаючої інтеграції та взаємозалежності медичного обладнання. [1]
  • Це щодо «розумного» обладнання, яке використовується всередині медичних центрів. Але є ще й медичні пристрої, до яких відносяться інсулінові помпи і імплантовані кардіостимулятори. Вони все частіше піддаються кібератакам та зараженню комп'ютерними вірусами. [1] В якості ремарки можна також відзначити, що 12 травня 2017 року (у день тріумфу вірусу-здирника WannaCry) один з кардіохірургів повідомив [28], що в розпал операції, що проводиться ним на серці, кілька комп'ютерів дали сильний збій, - проте , на щастя, йому все ж таки вдалося успішно завершити операцію.

Наскільки небезпечні віруси-здирники для медичного сектора?

  • 3 жовтня 2016 Мохаммед Алі, керівник фірми «Carbonite», що спеціалізується на рішеннях для кібербезпеки, пояснив [19] на сторінках «Harvard Business Review», що вірус-вимагач – це тип комп'ютерного вірусу, який блокує користувачеві доступ до його системи; доти, доки не буде заплачено викуп. Вірус-вимагач шифрує жорсткий диск, в результаті чого користувач втрачає доступ до інформації на своєму комп'ютері, а за надання ключа, що дешифрує, вірус-вимагач вимагає викуп. Щоб уникнути зустрічі з правоохоронними органами, зловмисники користуються анонімними способами оплати, такими як биткоін. [19]
  • Мохаммед Алі також повідомив [19], що розповсюджувачі вірусів-здирників з'ясували, що найбільш оптимальна ціна викупу при атаці на пересічних громадян та власників малого бізнесу – від $300 до $500. Це сума, з якої багато хто готовий розлучитися - зіткнувшись з перспективою втратити всі свої цифрові заощадження. [19]
  • 16 лютого 2016 року інформаційне агентство «Guardian» повідомило [13], що внаслідок зараження вірусом-вимагачем, медперсонал «Hollywood Presbyterian Medical Center» втратив доступ до своїх комп'ютерних систем. В результаті лікарі були змушені спілкуватися факсом, медсестри – записувати історію хвороби у старомодних паперових медичних картках, а пацієнти – їхати до лікарні, щоб особисто забрати результати аналізів.
  • 17 лютого 2016 року керівництво медичного центру «Hollywood Presbyterian Medical Center» опублікувало [30] заяву такого змісту: «Ввечері 5 лютого наші співробітники втратили доступ до лікарняної мережі. Шкідлива програма заблокувала наші комп'ютери та зашифрувала всі наші файли. Правоохоронні органи було негайно повідомлено. Експерти кібербезпеки допомагали відновити доступ до наших комп'ютерів. Сума викупу, що запитується, становила 40 біткоїнів ($17000). Найшвидший та найефективніший спосіб відновлення наших систем та адміністративних функцій полягав у тому, щоб заплатити викуп тощо. отримати ключ дешифрування. З метою відновлення працездатності лікарняних систем ми були змушені зробити це».
  • 12 травня 2017 року інформаційне агентство New York Times повідомило [28], що в результаті інциденту з WannaCry деякі лікарні були настільки паралізовані, що навіть бірки з іменами для новонароджених роздрукувати не могли. У лікарнях пацієнтам казали: «Ми не можемо вас обслужити, бо наші комп'ютери вийшли з ладу». Це досить незвично чути в таких великих містах, як Лондон.

Якщо кіберінциденти такі небезпечні, навіщо виробники медичного обладнання комп'ютеризують свої пристрої?

  • 9 липня 2008 року, Крістіна Гріфантіні, технічний експерт MIT, у своїй статті «Медичні центри: епоха Plug and Play» зазначила [2]: Страшна різноманітність нових «розумних» медичних приладів у лікарнях – обіцяє якісніший догляд за пацієнтами. Однак проблема в тому, що ці прилади, як правило, несумісні один з одним, навіть якщо випускаються тим самим виробником. Тому лікарі відчувають гостру потребу в інтеграції всього медичного обладнання на єдину комп'ютеризовану мережу.
  • 9 липня 2009 року Дуглас Розіндейл, IT-фахівець «Управління з питань охорони здоров'я ветеранів», – та за сумісництвом професор Гарвардської Школи Медицини з докторським ступенем, – констатував [2] нагальну необхідність комп'ютеризованої інтеграції медичного обладнання такими словами: «Сьогодні доступно безліч із закритою архітектурою, від різних постачальників – але проблема в тому, що вони не можуть взаємодіяти один з одним. І це створює складнощі у догляді за пацієнтами».
  • Коли медичні прилади роблять незалежні вимірювання і не обмінюються ними один з одним, вони не можуть оцінити стан пацієнта комплексно, і тому б'ють на сполох при найменшому відхиленні показників від норми, з приводу і без приводу. Це створює значні незручності для медсестер, особливо у відділенні інтенсивної терапії, де таких незалежних приладів дуже багато. Без інтеграції та підтримки мережі, у відділенні інтенсивної терапії буде творитися божевільня. Інтеграція та підтримка локальної мережі дають можливість скоординувати роботу медичних приладів та медичних інформаційних систем (особливо взаємодію цих приладів з ЕМК пацієнтів), що призводить до суттєвого скорочення кількості помилкових сигналів тривоги. [2]
  • У лікарнях багато застарілого дорогого обладнання, яке не підтримує роботу з мережею. Зазнаючи гострої потреби в інтеграції, лікарні або поступово змінюють це обладнання на нове, або допрацьовують його, щоб воно могло інтегруватися в загальну мережу. При цьому навіть з новим обладнанням, яке розроблялося з урахуванням можливості інтеграції, ця проблема вирішена не цілком. Тому що кожен виробник медичного обладнання, що рухається вічною конкуренцією, прагне зробити так, щоб його пристрої могли інтегруватися тільки один з одним. Однак багато відділень невідкладної допомоги потребують такого специфічного набору різних пристроїв, який жоден виробник поодинці надати не в змозі. Тому вибір одного виробника не вирішить проблему сумісності. Це ще одна проблема, яка стоїть на шляху до комплексної інтеграції. І лікарні вкладають у її вирішення значні кошти. Бо інакше несумісне одне з одним обладнання – перетворить лікарню, своїми хибними сигналами тривоги, на божевільню. [2]
  • 13 червня 2017 року Пітер Проновост, лікар з докторським ступенем та заступник директора з питань безпеки пацієнтів великого медичного центру «Johns Hopkins Medicine», поділився [17] на сторінках «Harvard Business Review» своїми думками щодо необхідності комп'ютеризації медичного обладнання: «Візьмемо наприклад, дихальний апарат. Оптимальний режим вентилювання легень пацієнта перебуває у прямій залежності від того, який у пацієнта зростання. Зростання пацієнта зберігається в ЕМК. Як правило, дихальний апарат з ЕМК не взаємодіє, тому лікарям доводиться отримувати цю інформацію вручну, робити деякі розрахунки на папері та вручну задавати параметри дихального апарату. Якби дихальний апарат та ЕМК були пов'язані за допомогою комп'ютеризованої мережі, то цю операцію можна було б автоматизувати. Аналогічна рутина з обслуговування медичного обладнання існує між десятками інших медичних пристроїв. Тому лікарям доводиться щоденно виконувати сотні рутинних операцій; що супроводжується помилками – хоч і рідкісними, але неминучими».
  • Нові комп'ютеризовані лікарняні ліжка оснащуються набором високотехнологічних сенсорів, які можуть відстежувати найрізноманітніші параметри пацієнта, що лежить на ній. Наприклад, ці ліжка, відстежуючи динаміку переміщень пацієнта по ліжку, можуть визначати, чи він ризикує отримати пролежні. Ці високотехнологічні рецептори - беруть на себе 30% від вартості всього ліжка. Однак без комп'ютеризованої інтеграції від цього «розумного ліжка» мало користі – адже вона не зможе порозумітися з іншими медичними пристроями. Аналогічна ситуація спостерігається з «розумними бездротовими моніторами», які вимірюють ЧСС, МПК, артеріальний тиск тощо. Без інтеграції всієї цієї апаратури в єдину комп'ютеризовану мережу, і передусім забезпечення прямої взаємодії з ЕМК пацієнтів, від неї мало толку. [17]

Чому кіберзлочинці перейшли з фінансового сектора та роздрібних магазинів – на медичні центри?

  • 16 лютого 2016 року Джулія Черрі, спеціальний кореспондент «Guardian», поділилася своїми спостереженнями щодо того, що медичні центри для кіберзлочинців особливо привабливі, тому що їхні інформаційні системи – завдяки загальнонаціональному прагненню медичних центрів оцифровувати різноманітні медичні картки – містять багату Включаючи номери кредитних карток, особисту інформацію про пацієнтів та конфіденційні медичні дані. [13]
  • 23 квітня 2014 року Джим Фінкл, аналітик кібербезпеки з інформаційного агентства «Reuters» пояснив [12], що кіберзлочинці намагаються йти по лінії найменшого опору. Системи кібербезпеки медичних центрів набагато слабші, порівняно з іншими секторами, в яких цю проблему вже усвідомили та прийняли ефективні контрзаходи. Тому кіберзлочинці ними й залучаються.
  • 18 лютого 2016 року Майк Оркут, технічний експерт MIT повідомив, що інтерес кіберзлочинців до медичного сектору обумовлений такими п'ятьма причинами: 1) Більшість медичних центрів вже перенесли всі свої документи та картки у цифровий вигляд; решта – перебувають у процесі такого перенесення. Дані цих карток містять особисту інформацію, яка цінується на чорному ринку Даркнета. 2) Кібербезпека у медичних центрах ні у пріоритеті; вони часто використовують застарілі системи та не підтримують їх належним чином. 3) Необхідність швидкого доступу до даних у невідкладних ситуаціях часто перевершує необхідність забезпечення безпеки, через що лікарні схильні нехтувати кібербезпекою, навіть усвідомлюючи можливі наслідки. 4) Лікарні підключають до своєї мережі все більше пристроїв, завдяки чому у поганих хлопців з'являється більше варіантів проникнення в лікарняну мережу. 5) Тенденція до більш персоналізованої медицини – зокрема потреба пацієнтів до всеосяжного доступу до своїх ЕМК, – робить МІС ще доступнішою мішенню. [14]
  • Роздрібна торгівля та фінансовий сектор вже давно є популярною мішенню кіберзлочинців. У міру того як викрадена з цих установ інформація заполонює чорний ринок Даркнета, вона стає дешевшою, і відповідно поганим хлопцям не вигідно красти і продавати її. Тому погані хлопці зараз освоюють новий, більш рентабельний сектор. [12]
  • На чорному ринку Даркнета медичні картки набагато дорожчі, ніж номери кредитних карток. По-перше тому, що їх можна використовувати для доступу до банківських рахунків та отримання рецептів на контрольовані ліки. По-друге, тому що факт крадіжки медичної картки та факт її незаконного використання виявити набагато складніше, і з моменту зловживання до моменту виявлення проходить набагато більше часу, ніж у випадку зі зловживанням кредитною карткою. [12]
  • Як повідомили фахівці Dell, деякі особливо заповзятливі кіберзлочинці комбінують шматочки інформації про здоров'я, витягнуті з вкрадених медичних карток, – з іншими чутливими даними, тощо. збирають пакет підроблених документів. Такі пакети на жаргоні чорного ринку Даркнета називаються fullz і kitz. Ціна кожного такого пакета перевищує $1000. [12]
  • 1 квітня 2016 року Том Саймонт, технічний експерт MIT, розповів [4], що суттєва відмінність кіберзагроз у медичному секторі полягає – у тяжкості наслідків, які вони обіцяють. Наприклад, якщо ви втратите доступ до своєї робочої електронної пошти, ви природно засмутитеся; проте втратити доступ до медичних карток, у яких міститься інформація, необхідна лікування пацієнтів – зовсім інша справа.
  • Тому для кіберзлочинців, які розуміють, що ця інформація для лікарів дуже цінна, медичний сектор є дуже привабливою мішенню. Настільки привабливою, що вони постійно інвестують значні кошти – у те, щоб робити своїх вірусів-вимагачів ще досконалішими; у те, щоб у своїй вічній боротьбі з антивірусними системами залишатися на крок попереду. Вражаючі суми, які вони збирають за допомогою вірусів-вимагачів, дають можливість не скупитися на такі інвестиції, і ці витрати окупаються з лишком. [4]

Чому випадки інфікування вірусами-здирниками почастішали в медичному секторі та продовжують частішати?

  • 1 червня 2017 року Ребекка Вейнтраб (главлікар "Brigham and Women's Hospital" з докторським ступенем) та Джорам Боренштейн (інженер кібербезпеки) опублікували [18] в "Harvard Business Review" результати свого спільного дослідження щодо кібербезпеки в медичному секторі. Ключові тези їх дослідження наведені нижче.
  • Жодна організація не застрахована від злому. Така реальність, в якій ми живемо, і ця реальність стала особливо очевидною, коли в середині травня 2017 відбулося гучне поширення вірусу-здирника WannaCry, який заразив медичні центри та інші організації по всьому світу. [18]
  • У 2016 році адміністратори великої поліклініки Hollywood Presbyterian Medical Center несподівано виявили, що втратили доступ до інформації на своїх комп'ютерах. Лікарі не могли отримати доступу до ЕМК своїх пацієнтів; і навіть до своїх власних звітів. Уся інформація на їх комп'ютерах була зашифрована вірусом-вимагачем. Поки вся інформація поліклініки перебувала у заручниках у зловмисників, лікарі були змушені перенаправляти клієнтів до інших лікарень. Два тижні вони писали все на папері, поки не наважилися заплатити викуп, який вимагають зловмисники – $17000 (40 біткоїнів). Відстежити платіж було неможливо, оскільки викуп було сплачено через анонімну систему оплати биткоин. Якби фахівці кібербезпеки кілька років тому почули, що ЛПР спантеличуватимуть конвертуванням грошей у криптовалюту – щоб віддати викуп розробнику вірусу, вони б не повірили. Однак сьогодні сталося саме це. Звичайні люди, власники малого бізнесу та великі корпорації – всі вони перебувають під прицілом вимагаючих вірусів. [19]
  • Що стосується соціальної інженерії, то фішинг-листи, що містять шкідливі посилання та вкладення – більше не відправляються від імені заморських родичів, які бажають заповідати вам частину свого багатства, в обмін на конфіденційну інформацію. Сьогодні фішинг-листи – це грамотно підготовлені звернення, без друкарських помилок; нерідко замасковані під офіційні документи з логотипами та підписами. Деякі з них не відрізняються від звичайного ділового листування або від правомірних повідомлень на оновлення програм. Іноді ЛПР, зайняті підбором персоналу, отримують листи від кандидата, який подає великі надії – з прикладеним до листа резюме, в яке вбудований вірус-вимагач. [19]
  • Проте просунута соціальна інженерія – це півбіди. Ще страшнішим є той факт, що запуск вірусу-здирника може відбутися і без безпосередньої участі користувача. Віруси-здирники можуть поширюватися через дірки в системі безпеки; або через незахищені старі програми. Щонайменше щотижня з'являється принципово новий вид вірусу-вимагача; і кількість способів проникнення вірусів-вимагачів до комп'ютерних систем постійно зростає. [19]
  • Так наприклад, що стосується вірусу-здирника WannaCry… Спочатку (15 травня 2017) експерти безпеки прийшли до висновку [25], що головна причина зараження національної системи охорони здоров'я Великобританії полягає в тому, що лікарні використовують застарілу версію операційної системи Windows – XP (лікарні використовують цю систему, тому що багато дорогого лікарняного обладнання несумісне з новішими версіями Windows). Однак трохи пізніше (22 травня 2017 року) з'ясувалося [29], що спроба запуску WannaCry на Windows XP часто до збоїв комп'ютера призводила, без зараження; а основна частина заражених машин - працювала під керуванням Windows 7. Крім того, спочатку вважалося, що вірус WannaCry поширився за допомогою фішингу, проте згодом з'ясувалося, що цей вірус поширювався сам, - подібно до мережевого черв'яка, - без сприяння з боку користувача.
  • Крім того, існують спеціалізовані пошукові системи, які шукають не сайти в мережі, а фізичне обладнання. Через них можна дізнатися де, в якій лікарні, яке обладнання, підключено до мережі. [3]
  • Ще один істотний фактор поширеності вірусів-вимагачів – доступ до криптовалюти біткоін. Легкість анонімного збору платежів із усього світу – сприяє зростанню кіберзлочинів. Крім того, переводячи здирникам гроші, ви тим самим стимулюєте повторні здирства на свою адресу. [19]
  • При цьому кіберзлочинці навчилися захоплювати навіть ті системи, на яких розгорнутий найсучасніший захист, і найсвіжіші оновлення програмного забезпечення; а засоби виявлення та дешифрування (до яких системи захисту вдаються) працюють далеко не завжди; особливо, якщо атака адресна та унікальна. [19]
  • Проте, проти вірусів-вимагачів все ж таки є ефективний контрзахід: робити резервні копії критичних даних. Щоб у разі виникнення неприємностей дані можна було легко відновити. [19]

Лікарі, медсестри та пацієнти, які постраждали від WannaCry – чим для них це обернулося?

  • 13 травня 2017 року Сара Марш, журналіст «Guardian», опитала кілька людей, які стали жертвами вірусу-здирника WannaCry, щоб зрозуміти, чим обернувся [5] цей інцидент для постраждалих (імена змінені, з міркувань конфіденційності):
  • Сергій Петрович, лікар: Я не міг надавати пацієнтам належну допомогу. Хоч би як керівники переконували громадськість, що кібер-інциденти не впливають на безпеку кінцевих пацієнтів – це неправда. Ми навіть рентгенівські знімки не могли робити, коли наші комп'ютеризовані системи з ладу вийшли. А без цих знімків не обходиться практично жодна лікувальна процедура. Наприклад, цього злощасного вечора я приймав пацієнта, і мені потрібно було направити його на рентгенівський знімок, але оскільки наші комп'ютеризовані системи були паралізовані, я не зміг зробити цього. [5]
  • Віра Михайлівна, пацієнтка з раком молочної залози: Пройшовши сеанс хіміотерапії, я була на дорозі з лікарні, але в цей момент трапилася кібератака. І хоча сеанс уже було пройдено, мені довелося провести в лікарні ще кілька годин – чекаючи, коли мені нарешті видадуть ліки. Затримка вийшла через те, що перед тим як видати ліки медперсонал перевіряє їх на відповідність рецептам, а ці перевірки проводяться комп'ютеризованими системами. Пацієнти, які йшли по черзі за мною, вже були в палаті для проходження сеансу хіміотерапії; їхні ліки також вже доставили. Але оскільки їхню відповідність рецептам перевірити було неможливо – процедура відкладалася. Лікування решти пацієнтів взагалі перенесли наступного дня. [5]
  • Тетяна Іванівна, медсестра: У понеділок ми не могли переглядати ЕМК пацієнтів та список запланованих на сьогодні прийомів. На прийомі заявок у ці вихідні чергувала я, тому в понеділок, коли наша лікарня стала жертвою кібератаки, мені довелося згадувати, хто саме повинен прийти на прийом. Інформаційні системи нашої лікарні заблокували. Ми не могли переглядати історію хвороби, не могли переглядати рецепти на ліки; не могли переглядати адреси та контактні дані пацієнтів; заповнювати документи; перевіряти результати аналізів. [5]
  • Євген Сергійович, системний адміністратор: Зазвичай по п'ятницях по обіді у нас найбільше відвідувачів. Так було і цієї п'ятниці. У лікарні було повно людей, а на прийомі телефонних заявок чергували 5 співробітників лікарні, і їх телефони дзвонили безперервно. Усі наші комп'ютерні системи працювали без збоїв, але приблизно о 15:00 усі екрани комп'ютерів почорніли. Наші лікарі та медсестри втратили доступ до ЕМК пацієнтів, а співробітники, які чергували на прийомі дзвінків, – не могли вносити заявки в комп'ютер. [5]

Як кіберзлочинці можуть зашкодити клініці пластичної хірургії?

  • Як повідомляє «Guardian» [6], 30 травня 2017 року злочинне угруповання «Царська гвардія» опублікувало конфіденційні дані 25 тис. пацієнтів литовської клініки пластичної хірургії «Grozio Chirurgija». У тому числі приватні інтимні фотографії, зроблені до, під час та після операцій (їх зберігання необхідне через специфіку роботи клініки); а також скани паспортів та номери соціального страхування. Оскільки клініка має гарну репутацію та демократичні ціни, її послугами користуються жителі 60 країн, у тому числі знаменитості світового масштабу [7]. Усі вони стали жертвами цього кіберінциденту.
  • Декількома місяцями раніше, зламавши сервери клініки і викравши з них дані, «гвардійці» вимагали викуп у розмірі 300 біткоїнів (близько $800 тис.). Керівництво клініки відмовилося співпрацювати з «гвардійцями», і залишилося непохитним навіть коли «гвардійці» знизили ціну викупу до 50 біткоїнів (близько $120 тис.). [6]
  • Втративши надію отримати викуп від клініки, «гвардійці» вирішили перейти на її клієнтів. У березні вони опублікували в Даркнеті фотографії 150 пацієнтів клініки [8], щоб налякати інших і змусити їх розщедритися. «Гвардійці» вимагали викуп від 50 до 2000 євро, з виплатою в біткоїні – залежно від популярності жертви та інтимності викраденої інформації. Точна кількість пацієнтів, що зазнали шантажу, невідома, але в поліцію звернулися кілька десятків постраждалих. Тепер, через три місяці, «гвардійці» опублікували конфіденційні дані ще 25 тис. клієнтів. [6]

Кіберзлочинець вкрав медичну картку – чим це загрожує її власнику?

  • 19 жовтня 2016 року Адам Левін, експерт кібербезпеки, який очолює науково-дослідний центр «CyberScout», зазначив [9], що ми живемо в той час, коли медичні картки почали включати тривожну кількість надмірно інтимної інформації: про хвороби, діагнози, лікування та лікування проблем зі здоров'ям. Потрапивши ні в ті руки, ця інформація може бути використана для отримання вигоди на чорному ринку Даркнета, тому кіберзлочинці часто вибирають як свою мішеню - медичні центри.
  • 2 вересня 2014 року Майк Оркут, технічний експерт MIT, заявив [10]: «У той час як вкрадені номери кредитних карток і номери соціального страхування самі по собі на чорному ринку Даркнета мають все менший попит – медичні картки, з багатим набором особистої інформації, там у гарній ціні. У тому числі тому, що дають незастрахованим особам можливість отримати медичну допомогу, яку вони інакше не могли б собі дозволити».
  • Вкрадена медична картка може бути використана для отримання медичної допомоги від імені законного власника цієї картки. В результаті в медичній картці буде перемішано медичні дані її законного власника та медичні дані злодія. Крім того, якщо злодій продає вкрадені медичні картки третім особам, то картка може бути забруднена ще більше. Тому, прийшовши до лікарні, законний власник картки ризикує отримати медичну допомогу, яка буде заснована на чужій групі крові, на чужій історії хвороби, на чужому переліку алергічних реакцій тощо. [9]
  • Крім того, злодій може вичерпати страховий ліміт законного власника медичної картки, що позбавить останнього можливості отримати необхідну медичну допомогу, коли вона буде потрібна. У самий невідповідний час. Адже багато страхових планів мають річні обмеження на певні види процедур та лікування. І вже точно жодна страхова компанія не платитиме вам за дві операції апендициту. [9]
  • Використовуючи вкрадену медичну картку, злодій може зловживати рецептами на ліки. Позбавляючи при цьому законного власника можливості отримати необхідні ліки, коли вони будуть потрібні. Адже рецепти на ліки зазвичай лімітовані. [9]
  • Усунення масованих кібератак на кредитні та дебітові картки – не так уже й проблематично. Захист від цілеспрямованих фішингових атак – трохи проблематичніший. Однак коли йдеться про крадіжку ЕМК та зловживання ними, злочин може бути майже невидимим. Якщо факт злочину і виявляється, то зазвичай лише у надзвичайній ситуації, коли наслідки можуть бути буквально небезпечними для життя. [9]

Чому крадіжка медичних карток має такий наростаючий попит?

  • У березні 2017 року «Центр боротьби з розкраданнями особистих даних» повідомив, що понад 25% витоків конфіденційних даних – припадає на медичні центри. Ці витоки завдають медичним центрам щорічних збитків у розмірі $5,6 млрд. Нижче наведено кілька причин, чому крадіжка медичних карток має такий наростаючий попит. [18]
  • Медичні картки - найбільш ходовий товар на чорному ринку Даркнета. Медичні картки продаються там $50 за штуку. Для порівняння, номери кредитних карток продаються в Даркнеті по $1 за штуку – в 50 разів дешевше, ніж медичні картки. Попит на медичні картки також зумовлений тим, що вони є витратним матеріалом у складі комплексних кримінальних послуг з підробки документів. [18]
  • Якщо покупець медичних карток не знайшовся, зловмисник може скористатися медичною карткою сам і здійснити традиційну крадіжку: медичні картки містять достатньо інформації, щоб від імені жертви завести кредитну картку, відкрити банківський рахунок або взяти позику. [18]
  • Маючи на руках вкрадену медичну картку, кіберзлочинець, наприклад, може провести складну цілеспрямовану фішингову атаку (образно кажучи, заточити фішингову спис), видавши себе за банк: «Доброго дня, нам відомо, що ви збираєтеся лягти на операцію. Не забудьте сплатити за супутні послуги, перейшовши за цим посиланням». І тоді ви думаєте: «Добре, якщо вони знають, що в мене операція завтра – напевно, це дійсно від банку лист». Якщо зловмиснику і тут не вдається реалізувати потенціал вкрадених медичних карток, він може скористатися вірусом-вимагачем, щоб вимагати гроші у медичного центру – за відновлення доступу до заблокованих систем та даних. [18]
  • Медичні центри дуже повільно впроваджують методи кібербезпеки, які вже відпрацьовані в інших галузях, що дуже іронічно, оскільки в обов'язки медичних центрів входить забезпечення лікарської таємниці. Крім того, у медичних центрів, як правило, суттєво менші бюджети на кібербезопапсність та суттєво менш кваліфіковані фахівці кібербезпеки – чим, наприклад, у фінансових організацій. [18]
  • Медичні IT-системи щільно пов'язані із фінансовими послугами. Наприклад, медичні центри можуть мати гнучкі плани заощаджень у разі непередбачених витрат, з власними платіжними картками чи ощадними рахунками – у яких зберігаються шестизначні суми. [18]
  • Багато організацій співпрацюють з медичними центрами та надають своїм службовцям індивідуальну оздоровчу систему. Це дає зловмиснику можливість за допомогою злому медичних центрів – отримувати доступ до конфіденційної інформації корпоративних клієнтів медичного центру. Не кажучи вже про те, що в ролі зловмисника може виступити сам роботодавець - продаючи по-тихому медичні дані своїх співробітників третім особам. [18]
  • Медичні центри мають розгалужені ланцюги постачання та масові списки постачальників, з якими у них налагоджено цифровий зв'язок. Через злому IT-систем медичного центру, зловмисник може захоплювати також системи постачальників. Крім того, постачальники, пов'язані з медичним центром цифровим зв'язком, вже самі по собі є зловмисником привабливою точкою входу до IT-систем медичного центру. [18]
  • В інших областях захист став дуже витонченим, і тому зловмисникам довелося освоїти новий сектор, де транзакції здійснюються через вразливе обладнання та вразливе програмне забезпечення. [18]

Як пов'язані крадіжки номерів соціального страхування з кримінальною промисловістю підробки документів?

  • 30 січня 2015 року інформаційне агентство «Tom's Guide» пояснило [31], чим звичайне підроблення документів відрізняється від комбінованого. У найпростішому випадку підробка документів у тому, що шахрай просто видає себе якусь іншу особистість, користуючись її ім'ям, номером соціального страхування (SSN) та інший особистою інформацією. Подібний факт шахрайства – виявляється досить швидко і легко. При комбінованому підході, погані хлопці створюють абсолютно нову особистість. Підробляючи документ, вони беруть реальний SSN і додають фрагменти особистої інформації кількох різних людей. Це чудовисько Франкенштейна, зшите з особистої інформації різних людей, – виявити вже набагато складніше, ніж просте підроблення документа. Оскільки шахрай використовує лише деяку інформацію кожної з жертв – його шахрайські махінації не будуть зв'язуватись із законними власниками цих фрагментів особистої інформації. Так наприклад, при перегляді активності свого SSN, його законний власник не виявить там нічого підозрілого.
  • Погані хлопці можуть використати свою чудовисько Франкенштейна для того, щоб влаштуватися на роботу або взяти кредит [31], а також для того, щоб відкривати фіктивні фірми [32]; для здійснення покупок, отримання прав водія і паспортів [34]. При цьому навіть у разі взяття кредиту відстежити факт підробки документів дуже складно, і тому якщо банкіри почнуть проводити розслідування, то до відповіді швидше за все буде покликаний законний власник того чи іншого фрагмента особистої інформації, а не творець чудовиська Франкенштейна.
  • Несумлінні підприємці можуть використати підробку документів для обману кредиторів – за допомогою створення т.зв. бізнес-бутерброд. Суть бізнес-бутерброду полягає в тому, що недобросовісні підприємці можуть створити кілька фальшивих особистостей і представити їх як клієнтів свого бізнесу – тим самим створивши видимість успішності бізнесу. Так вони стають більш привабливими для своїх кредиторів та отримують можливість користуватися вигіднішими умовами кредитування. [33]
  • Крадіжка особистою інформацією та зловживання нею – найчастіше довгий час залишається непоміченою її законним власником, проте може завдати йому значних незручностей, у невідповідний час. Наприклад, законний власник SSN може подати заявку на отримання соціальних послуг, і отримати відмову через надмірний доход, який виник у результаті сфабрикованого бізнес-бутерброду, в якому використано його SSN. [33]
  • Починаючи з 2007 року і по наші дні, багатомільярдний кримінальний бізнес із підробки документів на основі SSN набирає все більшої популярності [34]. При цьому шахраї воліють ті SSN, які активно не використовуються їх законними власниками, - до них відносяться SSN дітей і померлих. За даними інформаційного агентства «СіБіСі», у 2014 році щомісячні інциденти обчислювалися тисячами, тоді як у 2009 році їх було не більше 100 на місяць. Експоненційне зростання цього виду шахрайства, і особливо його вплив на особисті дані дітей, матиме в майбутньому сумні для молодих наслідки. [34]
  • Дитячі SSN використовуються в цій шахрайській схемі у 50 разів частіше, ніж SSN дорослих. Такий інтерес до SSN дітей обумовлений тим фактом, що SSN дітей зазвичай не активний щонайменше до 18 років. Т.о. якщо батьки неповнолітніх дітей не тримають руку на пульсі їх SSN, – то їх чаду в майбутньому можуть відмовити у видачі прав водія або у видачі кредиту на навчання. Також це може ускладнити працевлаштування – якщо інформація про сумнівну SSN-активність стане доступна потенційному роботодавцю. [34]

Сьогодні багато розмов про перспективи та безпеку систем штучного інтелекту. Як із цим справи у медичному секторі?

  • У червневому випуску 2017 року «MIT Technology Review», головний редактор журналу, що спеціалізується на технологіях штучного інтелекту, опублікував свою статтю «Темна сторона штучного інтелекту», в якій докладно відповів на це запитання. Ключові моменти його статті [35]:
  • Сучасні системи штучного інтелекту (ІІ) настільки складні, що навіть інженери, що їх проектують, не в змозі пояснити, яким чином ІІ приймає те чи інше рішення. На сьогоднішній день і в найближчому майбутньому – розробити систему ІІ, яка завжди може пояснити свої дії, неможливо. Технологія «глибокого навчання» – виявилася дуже ефективною при вирішенні нагальних проблем останніх років: розпізнавання зображень та голосу, мовний переклад, медичні програми. [35]
  • На ІІ покладаються значні надії щодо діагностування смертельних хвороб, щодо прийняття складних економічних рішень; і також очікується, що ІІ стане центральним елементом у багатьох інших галузях. Однак це не відбудеться – або, принаймні, не має статися – поки ми не знайдемо спосіб зробити таку систему глибокого навчання, яка зможе пояснювати ті рішення, які приймає. Інакше ми не зможемо передбачити, коли саме ця система дасть збій – а вона рано чи пізно його обов'язково дасть. [35]
  • Ця проблема стала нагальною вже зараз, а в майбутньому вона лише посилиться. Будь то економічні, військові чи медичні рішення. Комп'ютери, на яких запущені відповідні системи ІІ – запрограмували себе самі, причому таким чином, що ми не маємо можливості зрозуміти, «що у них на думці». Що говорити про кінцевих користувачів, коли навіть інженери, що проектують ці системи, не в змозі зрозуміти і пояснити їх поведінку. У міру розвитку систем ІІ, ми невдовзі можемо перейти межу, – якщо вже не перейшли її, – коли, покладаючись на ІІ, нам потрібно буде зробити «стрибок віри». Звичайно, будучи людьми, ми й самі не завжди можемо пояснити свої висновки, і часто спираємось на інтуїцію. Але чи можемо ми дозволити машинам думати так само - непередбачуваним і незрозумілим? [35]
  • У 2015 році «Маунт-Сінай», медичний центр у Нью-Йорку, – надихнувся застосувати концепцію глибокого навчання до своєї великої бази даних історій хвороб. Структура даних, що використовується для навчання ІІ-системи, включала сотні параметрів, які задавалися на основі результатів аналізів, діагностики, тестів і лікарських записів. Програму, яка обробляла ці записи, назвали «Глибокий Пацієнт». Її навчили із використанням записів про 700 тис. пацієнтів. При тестуванні нових записів вона виявилася дуже корисною для прогнозування хвороб. Без будь-якої взаємодії з експертом, «Глибокий Пацієнт» знаходив симптоми, приховані історія хвороби, – які на думку ІІ вказували на те, що пацієнт стоїть на порозі великих ускладнень, включаючи рак печінки. Ми і до цього експериментували з різними методами прогнозування, які як вихідні дані використовували історії хвороб багатьох пацієнтів, але результати «Глибокого Пацієнта» не йдуть з ними в жодне порівняння. Крім того, є абсолютно несподівані досягнення: «Глибокий Пацієнт» дуже добре передбачає наступ психічних розладів, таких як шизофренія. Але оскільки сучасна медицина не має інструментів для її передбачення, постає питання, як ІІ вдалося зробити це. Однак «Глибокий Пацієнт» не може пояснити, як він це робить. [35]
  • В ідеалі подібні інструменти повинні пояснювати лікарям, як вони дійшли того чи іншого висновку, – щоб, скажімо, обґрунтувати застосування тих чи інших ліків. Однак сучасні системи штучного інтелекту цього, на жаль, не вміють. Ми можемо створювати такі програми, але ми не знаємо, як вони працюють. Глибоке навчання – призвело системи ІІ до вибухового успіху. В даний час такі системи ІІ застосовуються для прийняття ключових рішень у таких галузях як медицина, фінанси, виробництво та ін. Можлива така природа самого інтелекту – що лише частина його піддається раціональному поясненню, тоді як здебільшого він приймає спонтанні рішення. Але до чого це призведе, коли ми дозволимо таким системам діагностувати рак та здійснювати військові маневри? [35]

Чи здобув медичний сектор уроки із ситуації з WannaCry?

  • 25 травня 2017 року інформаційне агентство «БіБіСі» повідомило, що одна з суттєвих причин нехтування кібербезпекою в медичних пристроях, що носяться, – їх низька обчислювальна потужність, обумовлена ​​жорсткими вимогами до їх розміру. Дві інші не менш значні причини: брак знань як писати безпечний код і терміни виходу кінцевого продукту, що підганяють.
  • У тому ж повідомленні «БіБіСі» зазначило [16], що в результаті досліджень програмного коду одного з кардіостимуляторів, у ньому було виявлено понад 8000 уразливостей; і що незважаючи на широку розголос проблем кібербезпеки, виявлених в результаті інциденту з WannaCry, лише 17% виробників медичного обладнання вжили конкретних заходів для забезпечення кібербезпеки своїх пристроїв. Що стосується медичних центрів, яким вдалося уникнути зіткнення з WannaCry, то діагностикою кібербезпеки свого обладнання спантеличилося лише 5% із них. Ці звіти були отримані невдовзі після того, як понад 60 організацій охорони здоров'я у Великій Британії стали жертвами кібератаки.
  • 13 червня 2017 року, через місяць після інциденту з WannaCry, Пітер Проновост, лікар з докторським ступенем та заступник директора з питань безпеки пацієнтів великого медичного центру «Johns Hopkins Medicine» обговорюючи [17] на сторінках «Harvard Business Review» нагальні завдання комп'ютеризованої обладнання, – ні слова не згадав про кібербезпеку.
  • 15 червня 2017 року, через місяць після інциденту з WannaCry, Роберт Перл, лікар з докторським ступенем та керівник двох медичних центрів, обговорюючи [15] на сторінках Harvard Business Review сучасні виклики, з якими стикаються розробники та користувачі систем ведення ЕМ ні сказав про кібербезпеку ні слова.
  • 20 червня 2017 року, через місяць після інциденту з WannaCry, група вчених з докторськими ступенями з Гарвардської Школи Медицини, які за сумісництвом є керівниками ключових підрозділів клініки «Brigham and Women's Hospital», опублікували [20] на сторінках «H обговорення круглого столу, присвяченого необхідності модернізації медичного обладнання з метою підвищення якості обслуговування пацієнтів. На круглому столі обговорювалися перспективи зниження навантаження на лікарів та зниження витрат за допомогою оптимізації технологічних процесів та комплексної автоматизації. У круглому столі взяли участь представники 34 провідних медичних центрів США. Обговорюючи модернізацію медичного обладнання, учасники поклали великі надії на інструменти прогнозування та розумні пристрої. Про кібербезпеки не було сказано жодного слова.

Як медичним центрам забезпечити кібербезпеку?

  • У 2006 році начальник Управління інформаційних систем спецзв'язку ФСТ Росії, генерал-лейтенант Микола Ільїн заявив [52]: «Питання інформаційної безпеки сьогодні актуальне як ніколи раніше. Кількість використовуваної техніки різко зростає. На жаль, сьогодні не завжди на етапі проектування враховуються питання інформаційної безпеки. Зрозуміло, що ціна вирішення цієї проблеми становить від 10 до 20 відсотків вартості самої системи та замовнику не завжди хочеться платити додаткові гроші. Тим часом, слід розуміти, що надійний захист інформації може бути реалізований лише у разі комплексного підходу, коли організаційні заходи поєднуються із впровадженням технічних засобів захисту».
  • 3 жовтня 2016 року Мохаммед Алі, в минулому ключовий співробітник IBM і Hewlett Packard, а нині керівник фірми «Carbonite», що спеціалізується на рішеннях для кібербезпеки, – поділився [19] на сторінках «Harvard Business Review» своїми спостереженнями щодо ситуації з кібербезпекою в медицині секторі: «Оскільки віруси-здирники такі поширені і шкода може бути настільки дорогою, я завжди дивуюся, коли в розмовах з CEO дізнаюся, що вони не надають цьому значення. У кращому випадку, CEO делегує проблеми кібербезпеки IT-відділу. Проте задля забезпечення ефективного захисту цього недостатньо. Тому я завжди закликаю СЕО: 1) включити заходи щодо запобігання впливу вірусів-вимагачів до списку пріоритетних завдань організаційного розвитку; 2) переглядати відповідну стратегію кібербезпеки не рідше одного разу на рік; 3) залучати всю свою організацію до відповідної освіти».
  • Можна запозичити усталені рішення з фінансового сектора. Головний висновок [18], який зробив фінансовий сектор із метушні з кібербезпекою: «Найдієвіший елемент кібербезпеки – це навчання персоналу. Тому що на сьогоднішній день основною причиною інцидентів кібербезпеки є людський фактор, зокрема схильність людей до фішингових атак. Тоді як сильне шифрування, страхування кіберрисків, багатофакторна авторизація, лексемізація, чіпування карток, блокчейн та біометрія – речі хоч і корисні, але значно другорядні».
  • 19 травня 2017 року інформаційне агентство «БіБіСі» повідомило [23], що у Великобританії після інциденту з WannaCry на 25% зріс продаж захисного програмного забезпечення. Однак, на думку фахівців Verizon, панічна покупка захисних програм – це не те, що потрібне для забезпечення кібербезпеки; на її забезпечення слід слідувати проактивної захисту, а чи не реактивної.

PS Сподобалася стаття? Якщо так, поставте лайк. Якщо за кількістю лайків (давайте наберемо 70) побачу, що читачі Хабра мають інтерес до цієї теми, через деякий час підготую продовження, з оглядом ще свіжіших загроз для медичних інформаційних систем.

Бібліографія

  1. David Talbot. Комп'ютерні віруси Are «Rampant» на медичних підприємствах в Hospitals // MIT Technology Review (Digital). 2012 року.
  2. Kristina Grifantini. «Plug and Play» Hospitals // MIT Technology Review (Digital). 2008 року.
  3. Денс Макрушін. Помилки «розумної» медицини // SecureList. 2017.
  4. Tom Simonite. З Hospital Ransomware Infections, Patients Are at Risk // MIT Technology Review (Digital). 2016.
  5. Sarah Marsh. NHS роботодавців і пацієнтів, як cyber-attack, був поставлений на них // The Guardian. 2017.
  6. Алекс Герн. Hackers publish private photos від cosmetic surgery clinic // The Guardian. 2017.
  7. Sarunas Cerniauskas. Lithuania: Cybercriminals Blackmail Plastic Surgery Clinic with Stolen Photos // OCCRP: Organized Crime and Corruption Reporting Progect. 2017 року.
  8. Ray Walsh. Naked Plastic Surgery Patient Photos Фотографії // BestVPN. 2017.
  9. Adam Levin. Physician Heal Thyself: Are Your Medical Records Safe? / / HuffPost. 2016.
  10. Mike Orcutt. Hackers Are Homing In on Hospitals // MIT Technology Review (Digital). 2014 року.
  11. Петро Шевців. Електронні медичні картки у 2017р. з'являться у всіх поліклініках Москви // АМІ: Російське агентство медико-соціальної інформації. 2016.
  12. Jim Finkle. Exclusive: FBI Warns // Reuters. 2014 року.
  13. Julia Carrie Wong. Los Angeles hospital returns до faxes and paper charts after cyberattack // The Guardian. 2016.
  14. Mike Orcutt. Hollywood Hospital's Run-In with Ransomware Is Part of an Alarming Trend in Cybercrime // MIT Technology Review (Digital). 2016 року.
  15. Robert M. Pearl, MD (Harvard). What Health Systems, Hospitals, and Physicians Потрібно до Know About Implementing Electronic Health Records // Harvard Business Review (Digital). 2017 року.
  16. 'Thousands' of known bugs found in pacemaker code // BBC. 2017.
  17. Peter Pronovost, MD. Hospitals Are Dramatically Overpaying for Their Technology // Harvard Business Review (Digital). 2017 року.
  18. Rebecca Weintraub, MD (Harvard), Joram Borenstein. 11 Things the Health Care Секторні Must Do to Improve Cybersecurity // Harvard Business Review (Digital). 2017 року.
  19. Mohamad Ali. Чи є Ваша компанія Ready для Ransomware Attack? // Harvard Business Review (Digital). 2016 року.
  20. Meetali Kakad, MD, David Westfall Bates, MD. Getting Buy-In for Predictive Analytics in Health Care // Harvard Business Review (Digital). 2017 року.
  21. Michael Gregg. Why Your Medical Records Are No Longer Safe / / HuffPost. 2013.
  22. Report: Health care leads in data breach incidents in 2017 // SmartBrief. 2017 року.
  23. Matthew Wall, Mark Ward. WannaCry: What can you do to protect your business? // BBC. 2017.
  24. More than 1M records exposed so far в 2017 data breaches // BBC. 2017.
  25. Алекс Герн. Who is to blame for exposing NHS to cyber-attacks? // The Guardian. 2017.
  26. How to Protect Your Networks від Ransomware // FBI. 2017.
  27. Прогноз витоку даних галузі // Rxperian. 2017.
  28. Steven Erlanger, Dan Bilefsky, Sewell Chan. UK Health Service Ignored Warnings for Months // The New York Times. 2017 року.
  29. Windows 7 hardest hit by WannaCry worm // BBC. 2017.
  30. Allen Stefanek. Hollwood Pressbyterian Medica Center.
  31. Linda Rosencrance. Synthetic Identity Theft: How Crooks Create a New You // Tom's Guide. 2015 року.
  32. What is Synthetic Identity Theft і How to Prevent It.
  33. Синтетична крадіжка особи.
  34. Steven D'Alfonso. Synthetic Identity Theft: Three Ways Synthetic Identities Are Created // Security Intelligence. 2014 року.
  35. Will Knight. The Dark Secret at the Heart of AI // MIT Technology Review. 120(3), 2017.
  36. Кузнєцов Г.Г. Проблема вибору інформаційної системи для лікувально-профілактичного закладу // «Інформатика Сибіру».
  37. Інформаційні системи та проблема захисту даних // «Інформатика Сибіру».
  38. ІТ у охороні здоров'я в найближчому майбутньому // «Інформатика Сибіру».
  39. Володимир Макаров. Відповіді на питання щодо системи ЄМІАС // Радіо «Відлуння Москви».
  40. Як захищають медичні дані москвичів // Відкриті системи. 2015 року.
  41. Ірина Шеян. У Москві впроваджують електронні медкарти //Computerworld Росія. 2012 року.
  42. Ірина Шеян. В одному човні //Computerworld Росія. 2012 року.
  43. Ольга Смирнова. Найрозумніше місто на Землі // Профіль. 2016.
  44. Цеплева Анастасія. Медична інформаційна система Кондопога // 2012.
  45. Медична інформаційна система «Парацельс-А».
  46. Кузнєцов Г.Г. Інформатизація муніципальної охорони здоров'я з використанням медичної інформаційної системи «ІНФОМЕД» // «Інформатика Сибіру».
  47. Медична інформаційна система (МІС) ДОКА+.
  48. E-Hospital. Офіційний сайт.
  49. Технології та перспективи // «Інформатика Сибіру».
  50. За якими IT-стандартами живе медицина у Росії?
  51. Регіональна підсистема (РІСУЗ) // «Інформатика Сибіру».
  52. Інформаційні системи та проблема захисту даних // «Інформатика Сибіру».
  53. Можливості медінформсистем // «Інформатика Сибіру».
  54. Єдиний інформаційний простір охорони здоров'я // «Інформатика Сибіру».
  55. Агєєнко Т.Ю., Андріанов А.В. Досвід інтеграції ЄМІАС та госпітальної автоматизованої інформаційної системи // ІТ-Стандарт. 3(4). 2015 року.
  56. IT лише на рівні регіонів: вирівнювання ситуації та забезпечення відкритості // Директор інформаційної служби. 2013.
  57. Жиляєв П.С., Горюнова Т.І., Володін К.І. Забезпечення захисту інформаційних ресурсів та сервісів у сфері охорони здоров'я //Міжнародний студентський науковий вісник. 2015 року.
  58. Ірина Шеян. Знімки у хмарах // Директор інформаційної служби. 2017.
  59. Ірина Шеян. Ефективність інформатизації охорони здоров'я – на останній милі // Директор інформаційної служби. 2016.
  60. «Лабораторія Касперського»: Росія найбільше постраждала від хакерських атак вірусу WannaCry // 2017.
  61. Андрій Махонін. РЗ та ЦБ повідомили про вірусні атаки // БіБіСі. 2017.
  62. Erik Bosman, Kaveh Razavi. Dedup Est Machina: Memory Deduplication як Advanced Exploitation Vector // Proceedings of IEEE Symposium on Security and Privacy. 2016. pp. 987-1004.
  63. Bruce Potter. Dirty Little Secrets of Information Security // DEFCON 15. 2007.
  64. Катерина Костіна. «Інвітро» заявила про призупинення прийому аналізів через кібератаки.

Джерело: habr.com

Додати коментар або відгук