Медицинская информационная кража
/Хакерские атаки на банки давно стали привычным явлением жизни в мире интернета. Новой ветвью стали кражи информации из больниц. Но что можно украсть в больнице? Но как гений совместим со злодейством, так и прогресс сочетается с криминалом. Прошедший 2015 год стал, по всей видимости, поворотным в доселе относительно спокойной компьютерной истории медицины.
В феврале 2015 года узкий мир новостей из сферы IT-технологий для здравоохранения взорвался как сверхновая звезда, заполнив собой сначала новостное пространство мира медицинского страхования, далее сферу страхования в целом, перекинулся на старую тему неприкосновенности личной жизни звезд бизнеса и политики и их шантажа. Сейчас аналитики прогнозируют вероятность террористических атак на любого пациента рядовой клиники в любой точке земного шара.
В тот месяц стало известно о двух самых крупных в истории кражах медицинской информации, совершенных хакерами. Журнал Financial Times со ссылкой на министерство здравоохранения США, подтвержденной информацией от социальных служб, сообщил, что данные почти 90 миллионов клиентов страховых компаний Anthem и Premera Blue Cross были похищены.
Лето оказалось не менее «жарким», чем зима. В июле свыше восьми миллионов досье было похищено из базы данных клиники Los Angeles Health Калифорнийского университета и компании Medical Informatics Engineering.
Следующий скандал с кражей медицинской информации более одного миллиона клиентов компании CareFirst заставил задуматься о важности более тщательной защите информации. Тема интернет-безопасности медицинских организаций стала предметом разбирательства на уровне секретных служб и правительства. Вспомнили о двух киберкражах медицинской информации в 2014 году. Кражи происходили и в 2013, и в 2011 годах.
На этом фоне пропажа незашифрованного ноутбука компании Premier Healthcare (медицинской группы, базирующейся в Блумингтоне, штат Индиана) не нанесла большого ущерба. Согласно заявлению группы, кража была обнаружена в начале января 2015 года, после того, как ноутбук исчез из административного офиса, который был заперт и имел охранную сигнализацию. Защищенная медицинская информация о более чем 200 тысячах человек оказалась под угрозой: в то время как устройство требовало пароль, сама информация не была зашифрована. К счастью для компании, ноутбук был возвращен, и никакие данные не были раскрыты.
«Десять лет назад не было никаких киберугроз для организаций здравоохранения, — говорит Дениз Андерсон, президент Национального медицинского информационного и аналитического Центра США. – Но теперь электронные медицинские записи, Интернет и система мобильной связи создают почву для атаки хакеров».
«Организованные преступники начали активно атаковать сферу здравоохранения где-то с 2012 года. С тех пор их тактика становится все более изощренной и злоумышленники все чаще атакуют сферу здравоохранения», – говорит Курт Лонг, генеральный директор по безопасности некоммерческой исследовательской организации FairWarning специализирующейся на обеспечении безопасности в области общественного здоровья и охране окружающей среды для специализированного сайта Healthcare IT News. В итоге для противодействия преступникам были подключены силы ФБР.
Необходимость подключения к расследованию секретных служб была вызвана вовсе не желанием успокоить общественное мнение в канун президентской гонки. «Первоначально кибератаки на объекты здравоохранения были организованы хактивистами – хакерами, представлявшимися борцами с бездействующим правительством, — рассказывает Курт Лонг, – Но выяснилось, что добываемая с их помощью конфиденциальная медицинская информация представляет огромный интерес для преступных сообществ, специализирующихся на мошенничестве с налогами». Ситуация осложнилась, когда стало известно, что преступники из Китая, по словам Курта Лонга, «ищут наши государственные секреты или хотят шантажировать послов США». Трудно сказать, какие государственные секреты заключались в медицинских картах клиентов Anthem, но само упоминание о «китайском следе» выводит тему на принципиально иной уровень.
С другой стороны, уровень простого криминала ради денег тоже нельзя недооценивать. Это подтвердил случай, произошедший в Калифорнии в Голливудском пресвитерианском медицинском центре. Компьютерный вирус зашифровал электронные карты пациентов и другие рабочие документы. Вымогатели потребовали за ключ-дешифратор сумму в биткойнах, эквивалентных сумме в 17 тысяч долларов США. Руководство клиники согласилось на сделку и, очевидно, поступило рационально. Потому что уже был известен аналогичный случай, произошедший в Германии. Тогда руководство отказалось платить вымогателям, клинику отключили от сети Интернет и стали вручную восстанавливать базы. В течение двух недель, пока продолжалась эта кропотливая работа, не проводились даже срочные операции, а полная отладка систем закончилась только через несколько месяцев, что нанесло клинике непоправимый ущерб, в том числе и моральный. Калифорнийские менеджеры решили, что лучше поступить иначе. Но не допустить утечку информации они были не в состоянии – американское законодательство обязывает сообщать правоохранителям о каждом таком случае.
В течение короткого времени было зафиксировано еще пять кибернападений на клиники в Европе, два в США и одно в Канаде. По данным Ponemon Institute (исследовательская организация США, специализирующаяся на управлении конфиденциальностью в сфере бизнеса и управления), каждое медицинское учреждение США подвергается кибератаке хотя бы раз в месяц. Было опрошено 535 специалистов IT-безопасности, работающих в государственных и частных организациях здравоохранения. Они подтвердили, что наиболее распространенная угроза — уязвимость программного обеспечения, которому более трех месяцев. На втором месте опасность, исходящая от присылаемых по электронной почте писем с целью заставить пользователя нажать на вредоносный код.
«С точки зрения преступника, привлекательность таких атак состоит в том, что они сопряжены с относительно низким уровнем риска, обладают большим потенциалом для обогащения, — полагает генеральный директор Secure Ideas, компании, специализирующейся на защите данных, Кевин Джонсон. – Я бы назвал этот вид криминала фантастикой и волшебством, имея ввиду его доступность и легкость – для него достаточно базовых хакерских знаний и навыков, если бы он не был столь опасен для общества, если бы здравоохранение можно было бы так же легко защитить на базовых уровнях IT-технологий».
Между тем, американские страховщики полагают, что большинство жителей США могут спать относительно спокойно. Во-первых, утверждают они, хакеры не получили информацию о диагнозах пациентов и их платежных данных (хотя это и вызывает определённые сомнения, учитывая, что нападающие по нескольку месяцев «сидели» в сетях страховщиков). Во-вторых, украденные данные не появились на подпольных биржах, что является очередным «индикатором компрометации» групп, сотрудничающих с китайскими спецслужбами. Но это продлится, надо полагать, недолго. Аналитический отдел Health Insights компании IDC опубликовал доклад, прогнозирующий в текущем году резкую активизацию преступных группировок, специализирующихся на монетизации информации о здоровье пациентов.
Не разделяют оптимизм страховщиков и высокопоставленные чиновники и политики. «Медицинские записи содержат огромное количество информации, которая может быть использована для мошенничества, – заявила Кэтлин Сибелиус, политик, занимавшая пост министра здравоохранения США с 2009 по 2014 годы. – Отсутствие надежных протоколов безопасности и стандартизации обмена данными между системами организаций, помещают организации здравоохранения в группу повышенного риска».
«Простое несанкционированное отслеживание ваших данных, которые входят в электронную систему документооборота клиники и перемещаются внутри нее, может стать огромной проблемой, – вторит экс-министру Сьюзанн Видап, старший аналитик кибербезопасности министерства здравоохранения США в интервью телекомпании Verizon. – Выберите подход для работы с данными вашей безопасности. Изучите все места, где были собраны данные, как они обрабатываются и как они движутся в организации, убедитесь, что они защищены. Если вы не знаете этого, то будет трудно обеспечить меры безопасности. Количество устройств, подключенных к сети, также может сыграть огромную роль в уровне риска и уязвимости для системы. В больницах, как правило, большое количество устройств, подключенных к сети, и каждое из них может открыть окно для злоумышленников, тем более что многие из этих устройств работают на старых операционных системах или не обладают должной защитой».
Специалисты предлагают и вполне конкретные меры. Тони Джиадоменико, старший менеджер безопасности IT организации WEDI, специализирующейся на информационном обмене в сфере здравоохранения не сомневается, что «сильная стратегия кибербезопасности должна отслеживать, контролировать атаки и быстро восстанавливаться после нарушений. На сегодняшний день существует несколько структур кибербезопасности, которые организации могут использовать в качестве рекомендованных — это ISO, COBIT и NIST — и на их базе разработать структуры (архитектуру) безопасности».
Многие из этих оборонительных стратегий, по мнению Джиадоменико, в общих чертах можно классифицировать по трем направлениям: 1. Обеспечить защиту от киберугрозы до того, как она войдет в сеть, с помощью основных мер безопасности: убедиться, что операционная система защищена от вирусных программ, а антивирусное ПО на серверах обновлено и исправно. 2. Исследовать угрозы, которые могут нависнуть над безопасностью системы. Ни одна организация не может предотвратить все кибератаки, поэтому необходимо создать четкую систему реагирования, которая сможет оповестить сотрудников о возможной угрозе. 3. Реагировать на любые неполадки сети. Проверить работу сервера, и, в зависимости от количества данных, хранящихся на внутренних или внешних серверах, организации может потребоваться координация откликов о нарушениях с другими организациями. Риск кибератак больше не является заботой одного лишь IT отдела. В настоящее время – это ключевой вопрос, который должен быть рассмотрен руководством».
Все эти проблемы, к сожалению, уже дошли до России. Принятый еще в 2006 году Федеральный Закон № 152 «О персональных данных», не смотря на предусмотренную в нем строгую ответственность (Ст.137 УК «Нарушение неприкосновенности частной жизни» грозит штрафом до 300000 рублей, арестом на 4 месяца или исправительными работами до 1 года), не стал непреодолимой преградой для хакерства в области медицины. Только это хакерство еще не приобрело такого бизнес-характера, как на Западе. Но оно уже есть и формирование такого характера – дело времени.
Экспертами аналитического центра InfoWatch был составлен рейтинг стран по числу утечек конфиденциальной информации. Лидером стали США. Но Россия заняла в нем второе место! По данным аналитиков, за первое полугодие прошлого года было зарегистрировано 59 случаев утечки конфиденциальных данных из российских компаний и госорганизаций. В списке пострадавших оказались МТС, ВТБ 24, РЖД, СОГАЗ, а также Apple, Google и Microsoft. Как отмечают эксперты, с начала этого года более 260 млн. записей персональных данных попали в третьи руки. В их числе и платежная информация.
В феврале этого года на одном из сайтов Алтайского края оказались выложенными в открытом доступе персональные данные пациентов: имена, места прописки, сведения о поставленном диагнозе. Информация относилась к недоношенным детям, имеющим риск развития ретинопатии (нарушения кровоснабжения сетчатки). Среди пострадавших оказались жители Барнаула, Рубцовска, Бийска, а также пациенты из Горно-Алтайска. Какая-либо защита данных отсутствовала и, как указал один из пользователей, базу даже можно было редактировать. Сведения попали в Интернет из базы одной из больниц края. По сообщению местного телеканала «Катунь 24», следственными органами СК РФ по Алтайскому краю проводится доследственная проверка, по результатам которой будет принято процессуальное решение.
Зачем отечественные хакеры ломают российские больничные системы, если они не интересны налоговым мошенникам, как в США или китайским разведчикам? Специализированый сайт SecurityLab полагает, что такого рода информацию мошенники будут использовать для телефонного фишинга (представиться врачом и убедить приобрести дорогостоящее лекарство; подобные аферы в отношение пожилых больных людей происходят повсеместно). По прежнему остается актуальным банальный шантаж пациента (угроза разглашения информации). Можно шантажировать и организации (угроза судебных преследований компании, допустившей утечку, со стороны пациентов). Можно предположить варианты с недобросовестной конкуренцией (кража информации о платежеспособных пациентах, внесение изменений в документацию и т.д.). Как говорят эксперты, украденная медицинская информация, в отличие от украденной банковской информации, не имеет срока давности.
Но отечественные эксперты и специалисты отмечают, что «Единая медицинская информационно-аналитическая система Москвы (ЕМИАС) использует современную систему безопасности, которая исключает потерю медицинских данных пациента — все персональные данные хранятся в разных базах и «встречаются» только в компьютере лечащего врача во время приема» — сообщают в пресс-службе ЕМИАС.
«Персональные (ФИО, пол, дата рождения и номер полиса) и медицинские (визиты к врачу, направления, рецепты, результаты исследований, листы нетрудоспособности, процедуры) данные защищены на трех уровнях: физическом, цифровом и системой авторизации. Во-первых, вся информация хранится на современном серверном оборудовании, расположенном в подземных помещениях, доступ к серверам оснащен системой контроля. Во-вторых, все данные передаются в зашифрованном виде по защищенным каналам связи, а информацию можно получить только по одному пациенту единовременно. При этом данные нельзя скопировать, сохранить или случайно удалить из системы. Кроме того, войти в систему может только авторизованный пользователь. Для избегания ошибок идентификация пациента двухфакторная — она происходит по полису ОМС и дате рождения, а врач авторизуется с помощью персональной смарт-карты».