Dane pacjentów na celowniku hakerów

Przychodnie i szpitale stały się głównym celem cyberataków w Polsce i na świecie. Hakerzy polują m.in. na dane osobowe pacjentów, które nie zawsze są właściwie zabezpieczone w sektorze zmagającym się z permanentnym niedoinwestowaniem.

Publikacja: 20.11.2023 17:02

Dane pacjentów na celowniku hakerów

Foto: Adobe Stock

Jak informuje Adam Sanocki, rzecznik prasowy Urzędu Ochrony Danych Osobowych, imię i nazwisko, PESEL, adres zamieszkania pacjenta i wrażliwe dane o nim to źródło niewyobrażalnych zysków dla hakerów. Tymczasem poziom zabezpieczenia danych pacjentów, zarówno w przychodniach publicznych, jak i prywatnych, nie należy do najwyższych. Powodem są luki w oprogramowaniu czy nieprzestrzeganie procedur przez ludzi.

Dla okupu i danych

W Polsce liczba zgłoszonych cyberataków na placówki ochrony zdrowia wzrosła trzykrotnie w ciągu jednego roku – z 13 w 2021 do 43 w 2022 roku. Tak wynika z oficjalnych danych Ministerstwa Cyfryzacji. Na świecie opieka zdrowotna jest najczęściej atakowanym sektorem z blisko 1800 atakami tygodniowo, a w 2022 roku branża zanotowała wzrost liczby ataków o 74 proc. – ujawniają eksperci firmy Check Point Research.

Skala zagrożenia związanego z atakami na infrastrukturę IT w służbie zdrowia jest tak duża, że Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA), niezależna agencja Unii Europejskiej, postanowiła przyjrzeć się temu problemowi. Unijni eksperci przeanalizowali wszystkie incydenty cybernetyczne, zgłoszone w krajach UE od stycznia 2021 roku do marca 2023 roku. Na tej podstawie powstał raport "Health Threat Landscape". Wynika z niego, że ransomware to jedno z głównych zagrożeń w sektorze zdrowia, stanowiąc 54 proc. wszystkich incydentów. Co więcej, 43 proc. incydentów związanych z ransomware wiązało się z naruszeniem danych lub kradzieżą danych. To potwierdza, że nawet w przypadku ataków mających na celu wyłudzenie okupu, dane pacjentów są również celem hakerów. Bazy danych stanowiły cel 30 proc. wszystkich ataków.

Czytaj więcej

UODO bada wyciek danych lekarza "od recepty"

Ataki na duże i małe

Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl, mówi, że oficjalne statystyki najczęściej obejmują ataki typu ransomware czy DDos.

–  Pierwszy polega na zainfekowaniu systemu informatycznego złośliwym oprogramowaniem, które szyfruje dane użytkownika uniemożliwiając korzystanie z nich. Drugi to wysyłanie wielu zapytań przez zainfekowane komputery, które powodują przeciążenie serwera atakowanej placówki paraliżując jej system komputerowy. A ich celem jest wymuszenie okupu. Takie ataki są widoczne, dlatego o nich słyszymy, widzimy je w statystykach. Ale jak hakerzy wykradną dane pacjentów, to często dowiemy się o tym dopiero wtedy, kiedy zacznie się do nich zgłaszać komornik za niespłacanie kredytów, które ktoś zaciągnął na ich konto – tłumaczy Bartłomiej Drozd.

Do najgłośniejszego ataku ransomware na placówkę medyczną doszło rok temu – wówczas ofiarą hakerów padło Centrum Zdrowia Matki Polki. Kilka miesięcy później podobny atak na Centralny Szpital Kliniczny w Łodzi się nie powiódł – podejrzane działania zostały zauważone i specjaliści od cyberbezpieczeństwa profilaktycznie wyłączyli systemy informatyczne szpitala.

Przestępcy nie poprzestają na atakowaniu dużych placówek, które zaczynają być lepiej chronione. Wybierają na ofiarę także mniejsze lecznice, jak np. szpital w Pajęcznie.

Skutek uboczny digitalizacji 

Naruszenia w sektorze medycznym, związane z tzw. przełamaniem zabezpieczeń czy też atakiem ransomware są regularnie zgłaszane Prezesowi UODO.

– Nie są one tak liczne jak naruszenia powstałe w wyniku tzw. ludzkiego błędu. Jednak z uwagi na swój charakter, a w szczególności na liczbę osób oraz kategorie danych objętych incydentem, generują co do zasady wysokie ryzyka dla praw lub wolności osób fizycznych. Biorąc pod uwagę, że służba zdrowia przetwarza olbrzymią ilość tzw. szczególnych kategorii danych osobowych, które można bez przesady określić jako „dane krytyczne dla funkcjonowania społeczeństwa” oraz fakt, iż systemy informatyczne w określonych placówkach zdrowia nadal nie spełniają wymogów zgodnych z ogólnym rozporządzeniem o ochronie danych (RODO), nie dziwi fakt, że liczba ataków nie maleje, a biorąc pod uwagę zapowiedzi kolejnych działań mających na celu digitalizację usług medycznych, zapewne będzie wzrastać w kolejnych latach – mówi Adam Sanocki.

Jak informuje Adam Sanocki, rzecznik prasowy Urzędu Ochrony Danych Osobowych, imię i nazwisko, PESEL, adres zamieszkania pacjenta i wrażliwe dane o nim to źródło niewyobrażalnych zysków dla hakerów. Tymczasem poziom zabezpieczenia danych pacjentów, zarówno w przychodniach publicznych, jak i prywatnych, nie należy do najwyższych. Powodem są luki w oprogramowaniu czy nieprzestrzeganie procedur przez ludzi.

Dla okupu i danych

Pozostało 90% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Zawody prawnicze
Czystki w krakowskich prokuraturach. To ewenement w skali całego kraju
W sądzie i w urzędzie
Nastolatek ujawnił miliony od państwa dla o. Rydzyka. Teraz wygrał z nim w NSA
Prawo dla Ciebie
Drakońska kara za newsa. Szef KRRiT Maciej Świrski przegrał z Radiem Zet
Prawnicy
Małgorzata Paprocka: Spór o sądy był polityczną kreacją
Materiał Promocyjny
Technologia na etacie
Sądy i trybunały
Ujawniono drugi przypadek inwigilowania Pegasusem sędziego w Polsce
Materiał Promocyjny
Problem sukcesji w polskich firmach będzie narastał