Kybernetická bezpečnost ve zdravotnictví je zásadní pro ochranu citlivých údajů pacientů a zajištění integrity zdravotnických systémů. S rostoucím propojením digitálních technologií narůstá také zranitelnost těchto systémů vůči kybernetickým hrozbám. AEHRC za pomoci výzkumných kapacit pěti různých skupin přispívá k digitální transformaci zdravotní péče v Austrálii. Od sledování novorozenců na dálku po analýzu lékařských snímků pomocí umělé inteligence – AEHRC inovuje a zlepšuje zdravotnické služby. Přesto čelí výzvám spojeným s obrovským množstvím dat a složitými regulačními požadavky, které kladou důraz na zabezpečení v celém ekosystému zdravotní péče.
zdravotnictví kybernetická bezpečnost citlivé údaje kybernetické útoky zdravotní systémy
S tím, jak se zdravotnické systémy po celém světě stále více obracejí k pokrokům v oblasti digitálních technologií s cílem zlepšit klinickou kvalitu a nákladovou efektivitu, začínají se objevovat nové výzvy v oblasti kybernetické bezpečnosti. Kromě toho se s rostoucím propojením zdravotnických ekosystémů prostřednictvím různých zúčastněných stran (např. nemocnic, klinik, lékáren a dodavatelů třetích stran) zvětšuje také plocha pro útoky kyberzločinců a složitost zabezpečení pacientů a dalších důvěrných informací. Přítomnost citlivých informací uložených ve zdravotnických systémech spolu s nedostatečnými bezpečnostními opatřeními činí ze zdravotnické infrastruktury lákavý cíl pro celou řadu kyberzločinců od organizovaných kybernetických skupin až po násilné extremisty. V celosvětovém měřítku jsou kybernetické hrozby související s daty i nadále jednou z hlavních hrozeb ve zdravotnictví.
V období od ledna 2021 do března 2023 byli kybernetickými útoky postiženi zejména poskytovatelé zdravotní péče v Evropské unii (54 % z celkového počtu incidentů), hlavně nemocnice (42 %). [1] Kromě toho se četnost kybernetických útoků na nemocnice a zdravotnické systémy v USA v letech 2016 až 2021 více než zdvojnásobila. [2] Tento trend potvrzuje i výzkum, který odhalil, že v celosvětovém měřítku došlo v sektoru zdravotnictví k meziročnímu nárůstu kybernetických útoků o 22 %. [3] V Austrálii došlo mezi lety 2019 a 2020 k 84% nárůstu nahlášených kybernetických incidentů ve zdravotnictví a v první polovině roku 2021 bylo nahlášeno 85 případů narušení bezpečnosti dat. [4] Australský sektor zdravotní péče také nahlásil nejvyšší počet narušení ochrany osobních údajů regulátorovi ochrany osobních údajů v druhé polovině roku 2022. [5]
Zatímco důsledky zanedbání kybernetické bezpečnosti v jakémkoli odvětví zahrnují finanční ztráty, narušení provozu a poškození pověsti, narušení kybernetické bezpečnosti ve zdravotnictví s sebou nese další nebezpečí ohrožení pacientů. Např. průměrné náklady na útok ransomware (včetně prostojů a nákladů na síť) mohou činit 900 000 australských dolarů [6] a v USA je průměrné zaplacené výkupné přibližně 131 000 USD. [7] Možné škody a dopady na blaho
pacientů však mohou být mnohem obtížněji odstranitelné, nebo dokonce nemožné a jejich následné dopady jsou nepochopitelné.
Vznikající digitální řešení (AEHRC)
Australské výzkumné centrum pro digitální zdravotnictví (Australian eHealth Research Centre, https://aehrc.csiro.au/) je národním výzkumným programem v oblasti digitálního zdravotnictví v Austrálii. AEHRC využívá schopnosti pěti výzkumných skupin – Sémantika a interoperabilita zdravotnických dat, Biomedicínská informatika, Transformační bioinformatika, Digitální terapie a péče a Analýza zdravotnických systémů – k podpoře digitální transformace zdravotní péče v celé Austrálii. AEHRC provádí výzkum v oblasti dat a interoperability, virtuální péče a precizního zdraví:
- Přední světový výzkum v oblasti mobilního zdravotnictví včetně prvního ověření vzdáleného poskytování kardiologické rehabilitace, léčby těhotenské cukrovky, onemocnění ledvin, srdečního selhání, mrtvice a duševních onemocnění.
- Technologie pro chytřejší a bezpečnější domovy (Smarter Safer Homes, SSH), jejichž cílem je podpořit starší lidi, aby mohli déle žít nezávisle ve svých domovech. Platforma SSH zahrnuje systém domácího monitorování založený na senzorech (sběr dat), server cloud computingu (analýzy dat) a klientský modul (prezentace dat) s aplikací pro tablety, portál pro rodiny a portál pro poskytovatele péče.
- Modely umělé inteligence včetně systému, který kombinuje zobrazovací a nezobrazovací biomarkery pro lepší detekci a hodnocení diabetické retinopatie, a detekce zubního kazu a počtu zubů ze zubních snímků. Klíčová překážka těchto různorodých iniciativ spočívá ve správě rozsáhlého množství dat, která v rámci těchto řešení vznikají a zahrnují elektronické zdravotní záznamy, lékařská zobrazovací data a informace umožňující osobní identifikaci. Je nezbytné zajistit, aby bylo vynaloženo veškeré úsilí na pochopení správných a bezpečných metod sdílení těchto informací, které ochrání pacienty i systémy zdravotní péče.
Regulační prostředí
Systémy zdravotní péče se musejí pohybovat ve složitém regulačním prostředí včetně předpisů, jako je zákon o odpovědnosti za přenos údajů o zdravotním pojištění (HIPAA) v USA, nařízení o ochraně osobních údajů (GDPR) v Evropě a zákon o ochraně soukromí v Austrálii.
Dodržování těchto regulačních požadavků přidává další vrstvu složitosti ochrany zdravotnických dat. Zdravotnické systémy se musejí orientovat ve složitých právních a regulačních rámcích a zároveň zajistit soulad se zákony na ochranu dat a oborovými standardy. Dosažení souladu s předpisy vyžaduje značné zdroje a odborné znalosti a nedodržení předpisů může mít za následek přísné sankce, právní závazky, poškození pověsti i nepříznivé důsledky pro pacienty. Porušení ochrany údajů ve zdravotnictví může mít za následek neoprávněný přístup, krádež nebo zveřejnění citlivých osobních údajů, lékařských záznamů, fakturačních údajů atd. Takováto narušení nejen narušují soukromí pacientů, ale také vystavují jednotlivce krádeži identity a finančním podvodům.
Případy kybernetických útoků
V květnu 2017 způsobil dramatický kybernetický útok změnu paradigmatu v oblasti kybernetické kriminality ve zdravotnictví. Anglickou Národní zdravotní službu (NHS) zasáhl ransomware „WannaCry“, který využíval „známou zranitelnost“ ve starších neopravených operačních systémech Windows. [8] Kromě NHS zasáhl WannaCry celosvětově více než 200 000 počítačů. [9] Vzhledem k tomu, že NHS v té době používala starší neopravené operační systémy, narušil útok přibližně 683 organizací NHS nebo přidružených organizací, zrušil 19 000 návštěv pacientů a stál 92 mil. liber. [10] Navíc právě v tomto roce byla NHS napadena jinou kybernetickou zločineckou organizací s názvem INC Ransom. Tentokrát byly z NHS Dumfries & Galloway odcizeny odhadem 3 TB klinických a finančních informací, které byly vyhozeny na dark-web. [11]
A aby toho nebylo málo, v USA došlo k útoku na společnost Change Healthcare, kde byly odcizeny milióny zdravotních, pojišťovacích a dalších citlivých záznamů o celkovém objemu 4 TB a prodány tomu, kdo nabídl nejvyšší cenu na dark- -webovém tržišti. [12] Podle zpráv zaplatili kupující za informace 22 mil. USD. [13]
Během pandemie COVID-19 byl zaznamenán prudký nárůst škodlivých kybernetických aktivit a útoků ransomwaru na zdravotnická odvětví. Útoky byly zaznamenány již v březnu 2020, přičemž donucovací orgány včetně Mezinárodní organizace kriminální policie (INTERPOL) sdílely varování před hrozbou kybernetických útoků. [14]
V březnu 2020 zažila Fakultní nemocnice Brno v České republice útok ransomwaru, který přiměl její vedení k zavedení různých opatření. Ta zahrnovala vypnutí sítě, přesun pacientů do okolních zařízení, změnu plánovaných zákroků a přechod personálu na méně efektivní papírové pracovní postupy. K tomuto incidentu došlo právě v době, kdy země vyhlásila v reakci na pandemii stav nouze. [15]
Uprostřed pandemie COVID-19 v říjnu 2020 varovaly americké vládní úřady před prudkým nárůstem útoků ransomwaru na nemocnice. Zneužití krize k finančnímu zisku je pozoruhodné: v roce 2018 činily průměrné náklady na dešifrování při útoku ransomwarem 5 000 USD. V roce 2020, uprostřed pandemie, se však tyto požadavky vyšplhaly na částky od 200 000 USD do několika miliónů dolarů, protože si zločinecké skupiny uvědomily kritický význam nemocničních systémů. [16]
V září 2022 se Medibank, významná australská zdravotnická společnost, stala obětí kybernetického útoku a následného vyzrazení soukromých informací odhadem 10 miliónů zákazníků (přibližně 40 % australské populace). Kromě nezměrných emocionálních a finančních dopadů byl závažnějším dopadem výpadku výpadek telekomunikací s omezeným/ žádným přístupem na číslo tísňové linky pro Austrálii. To mělo za následek hlášená úmrtí občanů, kteří neměli přístup k sanitkám. [17]
Již v dubnu 2024 informovala americká zdravotnická organizace Kaiser Permanente 13,4 miliónu současných a bývalých členů o přenosu dat technologickým společnostem, který potenciálně obsahoval některé jejich osobní údaje. Tento incident představuje největší potvrzený únik dat souvisejících se zdravotní péčí v USA. [18]
Regulační orgány na celém světě si uvědomují mimořádný význam kybernetické bezpečnosti ve zdravotnictví a snaží se zavádět opatření zaměřená na posílení ochrany údajů a soukromí.
Zohlednění kybernetické bezpečnosti
Kybernetická bezpečnost zahrnuje široké spektrum opatření zaměřených na ochranu systémů, sítí a dat před neoprávněným přístupem, narušením a škodlivými aktivitami. Zdravotnické organizace se při snaze o zlepšení kybernetické bezpečnosti a kybernetické odolnosti obvykle potýkají s několika problémy.
Hrozby
Rostoucí rozšíření inteligentních zařízení internetu věcí (IoT), jako jsou kardiostimulátory, inzulínové a infuzní pumpy, vneslo do zdravotnických systémů nová rizika v oblasti kybernetické bezpečnosti. Značné množství těchto zařízení postrádá dostatečná bezpečnostní opatření, což je činí zranitelnými vůči hackerským útokům, neoprávněným vstupům a manipulaci. Zneužití zranitelností zdravotnických přístrojů může vést k ohrožení života a ohrozit pacienty možností zranění nebo úmrtí.
S tím, jak zdravotnický průmysl zavádí více IT zařízení a sdílí více dat, došlo k vzestupu a synergii dvou oblastí v rámci ekosystému kybernetické kriminality, které přímo ovlivňují digitální transformaci zdravotnictví: Trh zprostředkovatelů počátečního přístupu (Initial Access Broker – IAB) a využívání rozsáhlých jazykových modelů (Large Language Models – LLMS) k útokům na organizace.
IAB vydělávají na tom, že získají přístup k síti organizace a následně tento vzdálený přístup prodávají dalším kyberzločincům na dark webu. [19] IAB získávají přístup různými způsoby: prostřednictvím ukradených pověření, phishingu, zneužitím zranitelnost nebo nahráním malwaru pro vzdálený přístup prostřednictvím fyzického průniku. [20]
Škodlivé generativní UI nebo Jailbroken LLM dále snížily bariéru pro zneužití organizací včetně zdravotnictví. Zatímco my používáme LLMS, jako jsou ChatGPT, Gemini a další, k optimalizaci pracovních procesů, hledání odpovědí a získávání poznatků z velkých souborů dat; kybernetičtí zločinci si tyto technologie přizpůsobili ve svůj prospěch. Vyvinuli vlastní verze, jako jsou WolfGPT, WormGPT a FraudGPT [21,22]. Pandora je venku ze skříňky, zpátky se nevrací. Jediné, co kyberzločinec potřebuje, je záměr; díky generativní umělé inteligenci může provádět sofistikované útoky sociálního inženýrství a vyvíjet pokročilý malware s nebývalou lehkostí.
I při existenci technologické ochrany přetrvávají jako významné překážky kybernetické bezpečnosti ve zdravotnictví hrozby zevnitř a lidské chyby. Zlomyslní insideři, jako jsou nespokojení zaměstnanci a nepoctiví dodavatelé, mohou záměrně narušit systémy nebo zcizit citlivá data ve svůj vlastní prospěch. Naopak zaměstnanci s dobrými úmysly mohou neúmyslně podlehnout phishingovým schématům, kliknout na škodlivé odkazy nebo špatně nakládat s informacemi o pacientech, což může vést k neúmyslnému narušení dat a selhání zabezpečení.
S rostoucím využíváním veřejných cloudových služeb (AWS/GCP/Azure) jsou navíc data a zdroje zdravotnických informačních systémů neodmyslitelně sdíleny s jinými systémy pro vzdálený přístup, rozhodování, nouzové situace a další aspekty související se zdravotní péčí. Pokud tyto infrastruktury nejsou správně nakonfigurovány a udržovány, jsou velmi náchylné k narušení dat, což ohrožuje soukromí a bezpečnost pacientů i zdravotnických systémů.
Kybernetická odolnost
Byly identifikovány čtyři prioritní oblasti, které jsou nezbytné pro budování kybernetické odolnosti systémů zdravotní péče. Patří mezi ně nákladová omezení, zastaralá infrastruktura, nedostatek kvalifikovaného personálu a složité systémy poskytování zdravotní péče zahrnující více agentur. [23]
Zastaralé systémy, jako je síťové zdravotnické vybavení a pracovní stanice, často nemají dostatečná bezpečnostní opatření, takže jsou náchylné ke zneužití. Celosvětově je 83 % lékařských zobrazovacích zařízení nadále závislých na zastaralých technologiích, což výrazně zvyšuje zranitelnost vůči útokům. V zájmu budování kybernetické odolnosti musejí vedoucí pracovníci ve zdravotnictví upřednostňovat modernizace a aktualizace systémů, kdykoli je to možné.
Nízká kybernetická gramotnost ve zdravotnictví je zřejmá ze značného počtu kompromitací nemocnic, které pocházejí z e-mailových útoků a vnitřních hrozeb. Aby si zdravotnické organizace vychovaly pracovníky znalé kybernetické bezpečnosti, musejí upřednostňovat vzdělávání, poskytovat zaměstnancům základní dovednosti a podporovat je v ostražitosti.
Cesty pacientů navíc často zahrnují kontakt s mnoha zdravotnickými zařízeními a poskytovateli, z nichž každý může představovat bezpečnostní riziko. Tato rozsáhlá síť zdravotnických zařízení, která sahá od vládních agentur přes poskytovatele pojištění až po výrobce zdravotnického vybavení, představuje při sdílení nezabezpečených zdravotních údajů s třetími stranami pozoruhodné nebezpečí. Zdravotnické služby by měly provádět rozsáhlé prověrky a porozumět zásadám vykazování a ochrany osobních údajů svých koncových dodavatelských řetězců.
Když vedoucí pracovníci ve zdravotnictví stojí před strategickou volbou, zda investovat do výsledků léčby pacientů nebo do kybernetické bezpečnosti, je optimální upřednostnit obojí. Péče o pacienty nemůže být efektivně zajištěna bez zaručení důvěrnosti, integrity dat a bezpečnosti systému. Vedoucí pracovníci proto stále více uznávají kybernetickou bezpečnost jako nezbytnou součást poskytování zdravotní péče.
Závěr
Zdravotnictví čelí nesčetným výzvám v oblasti kybernetické bezpečnosti, které vyplývají z rostoucí digitalizace záznamů o pacientech, zdravotnických přístrojů a administrativních systémů. Tyto překážky nejen ohrožují soukromí a bezpečnost pacientů, ale také vystavují zdravotnické organizace významným finančním rizikům a rizikům poškození pověsti. Pochopení složitosti těchto výzev v oblasti kybernetické bezpečnosti je zásadní pro vypracování účinných strategií na posílení kybernetické odolnosti.
Řešení problémů kybernetické bezpečnosti ve zdravotnictví vyžaduje mnohostranný přístup, který integruje technologický pokrok, dodržování právních předpisů a lidskou ostražitost. Zdravotnické subjekty musejí investovat do robustní infrastruktury kybernetické bezpečnosti, zavést komplexní iniciativy školení pro zaměstnance a pěstovat kulturu bezpečnostního povědomí a odpovědnosti. Spolupráce mezi zúčastněnými stranami v odvětví, vládními orgány a odborníky na kybernetickou bezpečnost je nezbytná pro vytvoření proaktivních ochranných mechanismů a zajištění důvěrnosti a integrity údajů pacientů v neustále se vyvíjejícím prostředí digitální zdravotní péče.
Použité zdroje:
[ 1 ] Checking-up on Health: Ransomware Accounts for 54 % of Cybersecurity Threats. The European Union Agency for Cybersecurity, July 05, 2023. https://www.enisa.europa.eu/news/checking-up-on-health-ransomware-accounts-for-54-of-cybersecurity-threats
[ 2 ] Neprash, H.T., et al. Trends in Ransomware Attacks on US Hospitals, Clinics, and Other Health Care Delivery Organizations, 2016–2021. JAMA Health Forum. 3(12):e224873. doi:10.1001/jamahealthforum, 2022
[ 3 ] Global cyberattacks continue to rise with Africa and APAC suffering most. Check Point Research, April 27, 2023. https://blog.checkpoint.com/research/global-cyberattacks-continue-to-rise/
[ 4 ] Cyber threats in Australian healthcare sector face increase in complexity and volume, following global patterns. Industrial Cyber, March 08, 2023. https://industrialcyber.co/medical/cyber-threats-in-australian-healthcare-sector-face-increase-in-complexity-and-volume-following-global-patterns/
[ 5 ] Notifiable data breaches report. Office of the Australian Information Commissioner. 8 Mar 2023. https://www.oaic.gov.au/__data/assets/pdf_file/0026/39068/OAIC-Notifiable-data-breaches-report-July-December-2022.pdf
[ 6 ] The State of Ransomware 2020. SOPHOS, May 2022. https://www.sophos.com/en-us/medialibrary/Gated-Assets/white-papers/sophos-the-state-of-ransomware-2020-wp.pdf
[ 7 ] Ransomware Trends 2021. Washington DC: Department of Health and Human Services, HHS Cybersecurity Program, Office of Information Security; March 06, 2021 https://www.hhs.gov/sites/default/files/ransomware-trends-2021.pdf
[ 8 ] What is WannaCry ransomware? Ransomware WannaCry: All you need to know (kaspersky.com) https://www.kaspersky.com/resource-center/threats/ransomware-wannacry
[ 9 ] NHS ransomware attack spreads worldwide, Collier R, Jun 2017, https://www.ncbi.nlm.nih.gov/pmc/articles/PMC5461132/
[ 10 ] Smart W. Lessons learned review of the WannaCry Ransomware Cyber Attack. London: Department of Health and Social Care; 2018 https://www.england.nhs.uk/wp-content/uploads/2018/02/06_pb_08_02_18-lessons-learned-review-wannacry-ransomware-cyber-attack.pdf
[ 11 ] Patient data published following INC Ransom attack on NHS Dumfries and Galloway, Hollingworth D, May 2024 https://www.cyberdaily.au/security/10534-patient-data-published-following-inc-ransom-attack-on-nhs-dumfries-and-galloway
[ 12 ] Change Healthcare data for sale on dark web as fallout from ransomware attack spirals out of control, Cluley G, April 2024, https://www.bitdefender.com.au/blog/hotforsecurity/change-healthcare-data-for-sale-on-dark-web-as-fallout-from-ransomware-attack- -spirals-out-of-control/
[ 13 ] Hackers Behind the Change Healthcare Ransomware Attack Just Received a $22 Million Payment, Greenberg A, Marc 2024, https://www.wired.com/story/alphv-change-healthcare-ransomware-payment/
[ 14 ] INTERPOL report shows alarming rate of cyberattacks during COVID-19. Lyon: INTERPOL; August 04, 2020 https://www.interpol.int/en/News-and-Events/News/2020/INTERPOL-report-shows-alarming-rate-of-cyberattacks-during-COVID-19.
[ 15 ] Porter S. Cyberattack on Czech hospital forces tech shutdown during coronavirus outbreak. HealthCareITNews. 2020. Mar 19, https://www.healthcareitnews.com/news/emea/cyberattack-czech-hospital-forces-tech-shutdown-during-coronavirus-outbreak
[ 16 ] Ransomware hits dozens of hospitals in an unprecedented wave. Newman LH, Oct 2020. https://www.wired.com/story/ransomware-hospitals-ryuk-trickbot/
[ 17 ] What Caused the Medibank Data Breach, Kost E, May 2023, https://www.upguard.com/blog/what-caused-the-medibank-data-breach
[ 18 ] Solis, N. Kaiser Permanente notifies 13.4 million members of data breach. April 26, 2024, https://www.pwc.com.au/health/health-matters/cyber-security-the-healthcare-sector.htm
[ 19 ] https://www.cisecurity.org/insights/blog/initial-access-brokers-how-theyre-changing-cybercrime
[ 20 ] https://www.watchguard.com/wgrd-news/blog/five-cybercriminal-entities-sell-access-2300-corporate-networks
[ 21 ] Hackers Released New Black Hat AI Tools XXXGPT and Wolf GPT, Dutta TS Apr 2023, https://cybersecuritynews.com/black-hat-ai-tools-xxxgpt-and-wolf-gpt/
[ 22 ] WormGPT, WolfGPT, FraudGPT and the Weaponization of Generative AI, Tosin J, Oct 2023, https://medium.com/@samtosin007/wormgpt-wolfgpt-fraudgpt-and-the-weaponization-of-generative-ai-cb94b1157b2a
[ 23 ] Arora R, Smart J, Wiggins J. Cyber security – The healthcare sector. PwC; PwC Australia, 2022, https://www.pwc.com.au/health/health-matters/cyber-security-the-healthcare-sector.html