Koliko su medicinski podaci sigurni od hakerskih napada?

Iako tehnološki stručnjaci konstantno upozoravaju korisnike interneta, smartfona i računara na mogućnosti hakerskih napada, krađe podataka (data breaches), krađe identiteta (identity theft), te preuzimanja njihovih uređaja u svrhu daljih napada (tzv. zombi uređaji), čini se da se ovim problemima u praksi ne pridaje dovoljno na značaju.

To važi i za državne IT sisteme i baze podataka, budući da po svojoj nameni, državne službe i agencije prikupljaju najviše osetljivih podataka o građanima. Ti podaci se kreću od identifikacijskih – o samoj osobi, lokacijskih – o nekretninama koje poseduje, financijskih, te do onih najosetljivijih, koji potencijalno mogu izazvati i najveću štetu u slučaju zloupotrebe – medicinskih.

Hakeri ne moraju biti medicinski stručnjaci

Današnji zdravstveni sistemi u velikoj većini industrijski razvijenih zemalja u velikoj se meri oslanjaju na čitav niz elektronskih i digitalnih uređaja, kojima se prati stanje pacijenata, vrši kompleksna dijagnostika brojnih oboljenja, te se pomoću njih primenjuju terapije u procesu lečenja. Kompjuterski sistemi su tako postali ključni u svim fazama lečenja – od prijema pacijenata i osnovnih analiza, dalje specijalističke dijagnostike, sve do sekundarnog i tercijalnog procesa u bolničkim uslovima, i krajnjeg završetka procesa lečenja. Digitalizacija zdravstvenih isprava je još jedan od primera tzv. ‘computer-based medical intelligence’ sistema. Lekovi i terapije se danas pacijentima najvećim delom izdaju unutar zatvorenog softverskog sistema koji je povezan sa samom zdravstvenom legitimacijom i podacima koji su u njoj sadržani.

Celokupan ovaj proces nepobitno generiše i  čitav niz ličnih podataka, koji ostavljaju ‘digitalni otisak’ (eng. digital trail). U praksi, medicinski podaci prođu kroz najmanje tri do pet različitih informacionih sistema dok se na kraju sama zdravstvena usluga realizuje ili proces lečenja završi. Iako se u praksi u većini zdravstvenih ustanova koristi ‘intranet’ (podaci ne putuju po ‘javnom’ internetu, već u zatvorenoj internoj mreži), te različite vrste enkripcije podataka (SHA i HttpS) i dalje ostaje problem i mogućnost napada i krađe podataka ‘u tranzitu’ između različitih zdravstvenih ustanova, razlilitih specijalističkih odeljenja i Fondova za zdravstveno osiguranje. Potencijalni napadači ne moraju imati gotovo nikakva medicinska znanja, budući da su zdravstveni podaci po pravilu uvek vezani za matični broj pacijenta, te njegov ‘lični broj zdravstvenog osiguranja’ ili međunarodnu zdravstvenu polisu. Hakeri i maliciozni napadači na taj način mogu direktno targetirati tačno određene osobe, sa samo par podataka, kao što su ime i njihov matični broj. Takođe, za razliku od gotovo svih drugih vidova hakerskih napada, gde se podaci preuzimaju ‘u celini’ (eng. data syphoning), te se kasnije ‘razvrstavaju’ i analiziraju kako bi se došlo do onih najvrednijih, kod medicinskih podataka su najvećim delom u pitanju tekstualne informacije (lični podaci, podaci o terapiji ili toku procesa lečenja, te različite medicinske šifre). Ovakvi podaci i kompjuterske datoteke obično zauzimaju veoma malo prostora na računarskim sistemima, što dodatno otežava detektovanje hakerskog napada i njihovu zloupotrebu.

Nisu zaštićeni ni najmoderniji sistemi

Početkom 2015 godine otkriven je, do tada, najveći hakerski napada na neki zdravstveni informacioni sistem. Uz pomoć naprednog malware kompjuterskog virusa, hakeri su uspeli do dođu do podataka više od 4.5 miliona pacijenata upadom u bazu ‘UCLA Heakth’ u Kaliforniji. Američki FBI je kasnije istragom utvrdio iza ovog napada najverovatnije stoje kineski hakeri iz grupe ‘STORM 0558’. Takođe, utvrđeno je i da hakeri nisu imali preterano težak posao, budući da je cela ‘UCLA Health’ baza podataka bila bez enkripcije, a na nekim serverima su bile ‘default’ (osnovne fabričke) šifre za pristup. Zbog ovoga, ‘UCLA Health’ je bio kažnjen sa 7.5 miliona dolara zbog kršenja ‘HIPAA’ seta zakona. Američki stručnjaci smatraju da je ista hakerska grupa bila i iza krađe podataka iz sistema jedne od najvećih osiguravajućih kuća ‘Community Health Systems’, kada je krajem 2014. Tada su sličnim malware virusom ukradeni zdravstveni podaci oko 4 miliona pacijenata. Samo pola godine kasnije, u julu 2015, hakeri su ukrali podatke 3.8 miliona pacijenata u napadu na kompaniju ‘Medical Information Engineering’, koja je jedna od vodećih na polju softvera za medicinske baze podataka, a time je direktno bilo ugroženo i preko 230 zdravstvenih ustanova koje su koristile njihove aplikacije. Da hakerski napadi funkcionišu i ‘odozdo nagore’, pokazao je napad na osiguravajuću kuću ‘Broward Heath’ na Floridi početkom 2022. Tada su hakeri uspeli da kroz sistem lokalne bolnice, koji nije bio dobro obezbeđen, dođu i do velike baze podataka u ‘Browardu’ i ukradu podatke 1.3 miliona pacijenata. U martu iste godine hakeri su napadom na sisteme nekoliko lokalnih apoteka u Parizu dođu do pristupnih podataka za mrežu unutar “L’ Assurance Maladie” jednog od najvećih osiguravača u Francuskoj, te ukradu podatke oko pola miliona zdravstvenih osiguranika. Sličan napad se dogodio i sredinom prošle godine, kada je na sisteme farmaceutskog giganta ‘PharMerica Corporation’ izvršen hakerski napad u kojima su ukradeni zdravstveni podaci oko 6 miliona amerikanaca. Napad je obuhvatio i kompaniju ‘Brightspring Health’, budući da su njihovi kompjuterski sistemi i mreže bili povezani. Američke federalne službe procenjuju da godišnje zdravstveni sistem gubi između 100 i 300 milona dolara zbog zastoja usled hakerskih napada, dok su posredne štete nastale odlaganjem terapija i lečenja u milijardama dolara.

Na Balkanu ništa (nije) novo

U regionu su, pored opasnosti od hakerskih napada, daleko izraženiji problemi nedovoljnog stručnog kadra, kao i nedovoljnog finansiranja zaštite podataka pacijenata.

Jedan od velikih problema je i tzv. ‘MiM’ (Man in the Midlle, Čovek u sredini). U praksi to znači da se i pored informatizacije zdravstvenog sistema, mnogi podaci i dalje bespotrebno štampaju, podaci se više puta ručno unose na različitim nivoima (primarnoj, te sekundarnoj zdravstvenoj zaštiti), a pacijenti su primorani da tako odštampanu dokumentaciju lično nose na druga odeljenja u okviru iste Bolnice ili Doma zdravlja. Ovaj proces je poznat kao ‘data spillage’ (presipanje podataka) i ostavlja brojne mogućnosti za različite propuste i zloupotrebe. Takođe, veliki problem je i neravnomerno ulaganje u zdravstvene ustanove, usled čega su one van velikih gradova primorane da se oslanjaju na donacije kao primarni vid nabavke računara, monitora i štampača, te različite opreme, poput aparata za merenje pritiska, šećera u krvi, kapaciteta pluća, i druge laboratorijske opreme. Tako nije retkost ni korišćenje računara koji su stari deset i više godina, te koriste u potpunosti zastarele operativne sisteme Windows XP i Windows 7. Njih više ne podržava ni sam njihov proizvođač, kompanija Microsoft, a hakerima je na ‘mračnom internetu’ (Dark Web) dostupan veliki broj resursa o bezbednosnim propustima unutar ovakvih operativnih sistema. Takođe, na njih se najčešće ne mogu instalirati ni nove ‘bezbednosne zakrpe’ (security update), koje su neophodne, budući da se na njima svakodnevno obrađuju osetljivi medicinski podaci.