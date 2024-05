Ki védi meg az egészségügyi adatainkat? És ki az adatokat kezelő kórházi rendszereket? Miért fontos ez mindenki számára? Egy egyszerű esetpélda alapján mindannyian megérhetjük. Egy kórházban annak rendje és módja szerint zajlanak a CT-vizsgálatok. Ezeken az eredményeken túlzás nélkül betegéletek múlhatnak. Ám mi történik, ha egy rosszindulatú elektronikus behatolás nyomán úgynevezett zsarolóvírussal fertőződik meg a rendszer? Az eredmények nem elérhetők vagy egészen egyszerűen törlődnek a kórházi rendszerből. Vagy – legrosszabb verzióként – a behatoló program külsős megbízó számára gyűjt érzékeny egészségügyi adatokat. Ráadásul, biztonsági mentés hiányában az eredmények elő sem varázsolhatók a kórházi rendszerből. Az eset részben megtörtént egy magyarországi kórházban, és nem kizárt, hogy a jövőben is történnek hasonló kísérletek, amelyek nyomán meginoghat az egészségügyi információs rendszer.

Mi az a kibertámadás?

A számítógépes támadás egy személy vagy szervezet szándékos kárt okozó kísérlete, digitális rendszereik (például számítógépeik) megtámadásával, hogy ellopják, manipulálják, megzavarják a hozzáférést, vagy megsemmisítsék az általuk bizalmasnak tartott és/vagy függőnek tartott adatokat vagy alkalmazásokat. Kibertámadások gyakrabban fordulnak elő, ha egy személynek vagy szervezetnek olyan rendszerei vannak, amelyek csatlakoznak az internethez. A számítógépes támadók gyakran megpróbálják rávenni az embereket, hogy hozzáférést biztosítsanak számukra ezekhez a rendszerekhez oly módon, hogy olyan e-maileket küldenek nekik, amelyek törvényesnek tűnő mellékleteket vagy hivatkozásokat tartalmaznak, de rákattintva a támadó hozzáférhet a személy számítógépéhez vagy egy szervezet hálózatához.

Mivel az egészségügy továbbra is életfontosságú szolgáltatásokat lát el, továbbá a kezelés és a betegellátás új technológiákkal történő javításán dolgozik, a bűnözők és a kiberfenyegetettség szereplői igyekeznek kihasználni a változásokkal párosuló sebezhetőséget.

Az egyre gyakoribb és kifinomultabb kibertámadások a hihetetlenül felgyorsult digitalizáció számos gyengeségre világítanak rá. Fotó: Getty Images



Dr. Bencsik Balázs, a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) igazgatója szerint „hazánkban hasonló a helyzet, mint az Európai Unió számos más országában”. Erről a közelmúltban lezajlott XXII. IME Adatvezérelt Egészségügy és Kiberbiztonsági Konferencián tartott előadásában beszélt. Különösen fontos mindez annak a fényében, hogy a NIS2 irányelvnek való megfelelés kötelező érvényű változtatásokat és adminisztrációt ír elő. Az Európai Unió egész területén magas szintű kiberbiztonságot biztosító intézkedések szükségesek a megfelelő védelemhez. Az egyre gyakoribb és kifinomultabb kibertámadások a hihetetlenül felgyorsult digitalizáció számos gyengeségre világítanak rá az EU-n belül.



Hogy kire vonatkozik a NIS2 irányelv? Gyakorlatilag mindenkire, így természetesen az egészségügy minden területére.



Szerte a világon hetente több száz egészségügyi kibertámadást regisztrálnak, melyekben esetenként átlagosan minimum 200 ezer páciens adata érintett. Éves szinten a több százmilliót is meghaladja a kibertámadásban érintett áldozatok száma, a kiberbűnözők által okozott kár pedig eléri az 50 milliárd eurót. A kiberbűnözők által elkövetett adatlopások és adathalászat révén személyes és különösen bizalmas információk kerülhetnek illetéktelen kezekbe, ami súlyos következményekkel járhat mind a páciensek, mind az egészségügyi intézmények számára.



A legérzékenyebb adataink egyértelműen az egészségügyi állapotunkat érintő információk. Ha ezeket egy kéretlen zsarolóvírus vagy hacker megszerzi, ma már akár tízmilliós összegeket követelhet értük. Több kritikus iparág is érintett a jövőben valószínűleg egyre sűrűbben előforduló kibertámadásokban, így az energiaipar, az élelmiszertermelés számos területe, a digitális szolgáltatók, de még a postai futárszolgálatok is. Az egészségügyi szereplők számára – élethű gyakorlatok formájában – szimulációkat tartanak a HunEX munkatársai – mondta el a konferencián Aradi Zoltán a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézetének munkatársa. A tavalyi évben is nagy sikerrel lezajlott gyakorlatsorozat keretében az intézmények vezetői és érintett munkatársai teljesen életszerű helyzetben és módon reagálhattak egy olyan helyzetre, amikor a kórházi adatbázis külső kibertámadás áldozatává vált. A társadalmi és gazdasági folyamatok működéséhez létfontosságú szolgáltatást nyújtó ágazatok esetében különösen indokolttá vált a rendszeres felkészülés. 2023 során 27 egészségügyi intézmény és dolgozói tesztelték tudásukat különböző helyzetekben. Arról, hogy mi a célja egy ilyen komplex, alapos előkészületeket megkívánó gyakorlatnak, Aradi Zoltán elmondta: „a dolgozók valós képességeinek és kapcsolatainak felmérése, felkészülés a megoldásokra és a kommunikációra. A legnagyobb problémát sok esetben ez utóbbi jelenti, vagyis az, hogy a krízis kialakulása idején hogyan kommunikálnak a kórházi menedzsment tagjai és a dolgozók. A gyakorlatok során, a szervezetek incidenskezeléssel összefüggő eljárási és technikai képességei mellett a döntés-előkészítési, hatósági és sajtókommunikációs folyamatok területén szerzett tudását is teszteltük. Egyik szimulált kerettörténet szerint egy, a résztvevőkkel szerződésben álló fejlesztőcéget ért egy korábban nem észlelt és elfedett célzott támadás, amely során a támadók egy magyar cég technikai adatait is tartalmazó táblázat birtokába jutottak. A játékos szervezetek értesítést kaptak a lehetséges támadásról, amelynek vizsgálatát maguknak a játékosoknak kellett végrehajtaniuk különböző technikai és médiahírek segítségével, kiszűrve a félrevezető, a vizsgálatok eredményességét hátráltató információkat.”

Az egészségügy továbbra is életfontosságú szolgáltatásokat lát el és a betegellátás új technológiákkal történő javításán dolgozik, a kiberbűnözők pedig igyekeznek kihasználni a változásokkal párosuló sebezhetőséget. Fotó: Getty Images

A betegek és hozzátartozók szempontjából a legfontosabb, hogy biztonságban érezzék magukat egy egészségügyi intézményen belül. Ha egy intenzív osztály ágyán fekvő, több digitális eszközzel monitorozott betegnek megáll a szíve, mert egy külső kibertámadás érte a kórház rendszerét, azonnal élővé válhat a probléma.



A közelmúltban, az Egyesült Államok legnagyobb egészségügyi fizetési rendszerét (Change Healthcare) ért kibertámadás miatt egy Ohióban lévő sürgősségi osztály teljesen leállt, és Floridában számlafizetési problémái következtében egy rákos betegeket ellátó központ legkritikusabb betegei számára a kemoterápiát sem tudta biztosítani. Ezek csak a sajtóban kiemelt esetek, de számos egészségügyi ellátó küzdött komoly problémákkal, a gyógyszerek kiváltásán és az orvosok fizetésén át a műtétek finanszírozásáig. „Egyszerűen rávilágít egészségügyi rendszerünk törékenységére” – mondta Ryan S. Higgins ügyvéd, aki egészségügyi szervezeteknek ad kiberbiztonsági tanácsokat. Az amerikai kórházipar „az amerikai történelem legjelentősebb kibertámadásának az Egyesült Államok egészségügyi rendszere ellen” minősítette az esetet, melynek megoldásait jelenleg is intenzíven keresik.



A hazai egészségügyi rendszer még nem szembesült hasonló nagyságrendű támadással, ám a jövőben minden eshetőségre fel kell készülnie mind az állami, mind pedig a magánszektor szereplőinek.