Osobné údaje sa stávajú cieleným terčom hackerov.
V častých prípadoch sme svedkami krádeže osobných dát v e-shopoch alebo rôznych internetových službách. Kým pri e-shopoch nemusia spôsobovať príliš veľké škody, vzhľadom na dopad súkromia používateľa, zdravotníctvo je, ako sa hovorí, iná káva.
Hovoriť o osobných údajoch a ich citlivosti v spojení so zdravotníckym segmentom, či už sú to priamo nemocnice alebo organizácie, naberá nový rozmer. Stačí si porovnať, ako veľmi by vám prekážali uniknuté údaje z nejakého internetového obchodu o vašich nákupoch a ako veľmi by vám prekážali uniknuté údaje. Napríklad vaša zdravotná dokumentácia za posledných 5 rokov.
Nielen nemocnice, ale aj vaše hodinky
Okrem toho, že únik takýchto údajov môže poškodiť vaše súkromie, ide aj o riziko narušenia zdravotnej starostlivosti. Téza o úniku dát ale hovorí aj o tom, že mohli byť modifikované. V štátoch, kde je vysoká elektronizácia týchto služieb, môže byť rizikové aj spomalenie liečebných procesov. Postačí napríklad vymazať údaje o krvných skupinách a celý proces pomoci sa spomalí už na začiatku. Pre niektorých pacientov to môže byť rizikové až kritické.
Do celkového koláča nazvaného „Vaše zdravotné údaje a citlivé dáta“ vstupujú ďalšie platformy. Nemusí to byť len samotná nemocnica, ale aj služby, napríklad platformy na telemedicínu, prípadne rôzne fakturačné systémy. Nakoniec ani útoky na dodávateľský reťazec nebývajú sporadické a aj tie môžu predstavovať slabý článok v celkovom reťazci zabezpečenia vašich dát.
Dostávame sa k nositeľným zariadeniam, ako sú napríklad smart hodinky. Aké riziko by mohli predstavovať takéto zariadenia? Samotné hodinky možno žiadne, no zbierajú o vás množstvo dát. S ich funkcionalitou, ktorá sa čoraz viac rozrastá, sa o vás zbiera čoraz viacej údajov.
A keďže ste hodinkami prihlásení do konkrétnej služby, poznajú aj majiteľa týchto záznamov. Hackeri asi nebudú napádať práve vaše hodinky, ale zamerajú sa na synchronizačné servery a služby, kam sa všetky dáta z hodiniek konkrétneho výrobcu ukladajú. Jednou ranou majú k dispozícii záznamy o desiatkach miliónov používateľov.
Útoky na Slovensku a vo svete
24. januára tohto roku sa na Slovensku udial kybernetický útok na Všeobecnú zdravotnú poisťovňu (VšZP). Išlo o bežne zaužívaný typ útoku nazvaný ako DDoS, teda Distributed Denial of Service. Hackeri sa pri takomto útoku snažia zahltiť servery obrovským množstvom dopytov a tým ich preťažiť. Popritom sa pokúsili získať citlivé údaje poistencov, no podľa vyjadrení poisťovne neboli úspešní a dáta sa podarilo ochrániť.
Kuriozitou na tomto prípade bolo, že útok zároveň prebiehal aj cez SMS správy. Podvodníci cielili na používateľov, ktorým boli rozposielané falošné smsky. Na základe nich sa ich snažili nalákať na klamlivú správu.
Tá obsahovala informáciu o konci platnosti karty poistenca. Variantov mohlo byť niekoľko, no s touto správou sme sa stretli aj my. Vzhľadom na to, že autor článku nie je poistencom tejto poisťovne, bolo jasné, že ide o podvod. Pre poistencov to ale také jasné byť nemuselo.
Častým znakom je získanie informácií o vašej kreditnej karte. Akonáhle sa toto stane na základe informácií z SMS, je to problém. Údaje z karty na internete vypĺňate, aj keď nakupujete. Nie keď ťukáte na nejaký internetový odkaz z SMS. Všimnite si, že adresa je zvláštna už na pohľad a so VšZP ani inou oficiálnou inštitúciou nemá nič spoločné.
Ako vidno, ani Slovensko nie je imúnne a myslieť si, že rozloha štátu alebo menší počet obyvateľov môže od útoku ochrániť, je mylné. Len za minulý rok bolo v Spojených štátoch niekoľko hackerských útokov na nemocnice, lekárne, ale aj poisťovne s dopadom na milióny obyvateľov.
Ako príklad môžeme uviesť kybernetický útok v máji minulého roku na nemocnice spoločnosti Ascension. Nemocničné zariadenia mali výpadky svojich systémov naprieč celými Spojenými štátmi.
Obrovský výpadok zaznamenala aj spoločnosť United Health, ktorej činnosťou záujmu je poskytovanie zdravotného poistenia, ako aj dátových zdravotníckych služieb. Útok zasiahol viac ako 100 miliónov ľudí.
Pred dvomi rokmi nemocnica vo francúzskom meste Corbeil-Essonnes čelila kybernetickému útoku, ktorý narušil jej prevádzku až na niekoľko týždňov. Nemocnica Simone Veil v meste Cannes bola v roku 2024 napadnutá hackermi a bolo odcudzených až 61 GB dát o pacientoch.
Ochrana dát má svoje pravidlá
Odborníci z ESET-u hovoria o tom, že vždy je lepšie predchádzať rizikám a mať vybudovaný systém ochrany a prevencie, než následne čeliť škodám. Tie bývajú v oveľa väčšom finančnom rozsahu ako používanie dostatočných metód ochrany a na to naviazaných softvérových riešení. Ich platforma na ochranu pre firmy sa nazýva ESET Protect.
Zdroj: ESETZdravotnícke informácie nie sú tvorené len vašimi dátami. Nie je to len o ochrane osobných kariet pacientov. Je dôležité podotknúť, že ochrana citlivých dát zdravotníckeho segmentu sa týka napríklad aj diagnostických systémov alebo rôznych technologických postupov.
V tomto smere sú zavedené prísne regulácie a nariadenia o ochrane osobných údajov. Je potrebné dodržiavať samostatné predpisy ako napríklad GDPR platné v Európskej únii alebo HIPAA (Health Insurance Portability and Accountability Act), čo je obdoba GDPR pre Spojené štáty so zameraním na zdravotné údaje.
Zariadenia, ktoré sú zdravotníckeho charakteru alebo spolupracujú v rámci reťazca s týmto typom zariadení, by mali mať pravidelné audity. V nadväznosti na to aj pravidelné hodnotenia bezpečnosti alebo napríklad penetračné testy, ktoré identifikujú potenciálne riziká a zraniteľnosti v systémoch. Je množstvo firiem, ktoré sa tomu na Slovensku venujú a takéto testovanie podstupujú napríklad aj telekomunikační operátori.
Viacfaktorová autentifikácia
Za základ sa dá považovať adekvátna softvérová výbava, ktorá bude chrániť fyzické zariadenia ako nemocnice či iné spoločnosti v kybernetickom svete. Faktom ale je, že za absolútny základ sa rovnako považuje aj prísne nastavenie obmedzenia prístupu údajov. Nie je teda vhodné, aby každý zamestnanec mal prístup všade.
Ďalším stupňom je viacfaktorová autentifikácia, ktorá zvyšuje zabezpečenie doplňujúcim prvkom. Tento typ ochrany vám môže byť dobre známy, nakoľko čoraz viacej služieb vás upozorňuje na jeho zavedenie. Je to napríklad či Gmail alebo aj herné konto Steam.
Dvojfaktorovú autentifikáciu umožňuje nastaviť dnes takmer každá internetová služba a znamená to, že po zadaní hesla sa budete musieť verifikovať ešte vygenerovaným kódom cez autentifikačnú aplikáciu. Proces aktivácie doplnkového ochranného prvku je veľmi jednoduchý a určite ho odporúčame. Stačí si do vášho smartfónu nainštalovať aplikácie ako Google alebo Microsoft Authenticator.
Šifrovanie ako účinná metóda
Uniknuté údaje nemusia byť taký problém, ak ich máte šifrované. Dôležité ale je, aby všetky dáta boli šifrované nielen na koncových staniciach alebo serveroch. Tiež platí, že manipulácia s nimi musí byť nejakým spôsobom zabezpečená.
Dešifrovanie dát pri kopírovaní na flash disk predstavuje výrazné bezpečnostné riziko. Nehovoriac o tom, že flash disky možno nebudú v niektorých organizáciách alebo úrovniach používateľov povolené.
Pri ochrane osobných dát sa hovorí aj o anonymizácii údajov. Znamená to, že údaje síce budú od zákazníkov alebo používateľov či pacientov zbierané, no vo výslednej forme budú anonymizované tak, aby ich nikto nedokázal priradiť ku konkrétnej osobe.
Takýto prístup nájdete v rôznych inštitúciách. Nemusia to byť len zdravotnícke zariadenia. Typicky ide napríklad o dáta, ktoré sú poskytované z inteligentných hodiniek a náramkov. Na to, aby firma spĺňala bezpečnostné kritériá a zároveň dokázala s dátami zmysluplne pracovať, ich nepotrebuje všetky.
Postačia im dáta, ktoré budú hovoriť o určitej vekovej skupine ľudí s istými zvykmi, nameranými hodnotami alebo zadanými údajmi. Konečné priradenie nemusí byť na konkrétnu osobu, ale na skupinu osôb. Napríklad v rozsahu 20 až 25 rokov, ktorí často zapínajú tréning XY a majú nepokojný spánok po vypití kávy, čo aj uviedli v aplikácii na sledovanie zdravia.
Prečítajte si aj:
