Закрытые данные и забытые рентгеновские снимки. Кибератака в медцентре может иметь серьезные последствия

Обыкновенно начавшийся день до обеда приобрел неожиданный поворот, когда семейный врач Кармен Йоллер хотела занести данные пациента в компьютер, однако не смогла связаться с сервером. Довольно скоро выяснилась пугающая причина: криптовирус захватил компьютер, закрыл все данные центра семейных врачей и потребовал выкуп. Так началась постигшая Таллиннский центр семейных врачей Кивимяэ в конце прошлого года кибератака.

"Мы выключили компьютерную сеть и продолжили с бумагой и ручкой. Наши пациенты были понимающими и поняли проблему. В то же время мы тоже не знали ничего более конкретного и не могли им ничего сказать", — вспомнила Йоллер страх, не могли ли утечь данные пациентов. В списке центра семейных врачей было приблизительно 4300 пациентов, данные которых преступники закрыли. Утечки все-таки не произошло.

Йоллер связалась со знакомым ИТ-специалистом и отделом киберинцидентов RIA. На прояснение ситуации ушло три с половиной дня. Перебои в рабочем процессе были еще и после разрешения первого кризиса, и центр семейных врачей восстановил нормальный ритм работы только через две недели.

"С одним пациентом все могло бы пойти и хуже. Мы сделали ему рентгеновское обследование, согласно которому получили плохой результат. Однако тогда из-за кибератаки в центре поднялась кутерьма. Напоминание о звонке пациенту было записано в регистратуре, но я не могла с компьютера посмотреть регистратуру. Также его номер телефона был закриптован. К этому времени его самочувствие успело очень ухудшиться. Он через несколько дней пришел снова уже в худшем состоянии, и тогда мы доставили его на скорой помощи дальше", — привела Йоллер предупреждающий пример, какую реальную опасность для здоровья человека таит в себе кибератака. Сейчас со здоровьем пациента, к счастью, все в порядке.

Центру семейных врачей Кивимяэ повезло. Они сохранили данные пациентов на трех жестких дисках, из которых злоумышленникам удалось криптировать только два. Поэтому данные смогли восстановить. Но в эстонских центрах семейных врачей есть и другой пример.

В компьютерах ставшего жертвой такой же атаки с выкупом центра семейных врачей криптировали 4000 документов. Преступники хотели получить за их открытие 1,5 биткоина, что тогда означало приблизительно 3500 евро. В центре семейных врачей пытались сделать для открытия данных все возможное: заменили жесткие диски, заново установили операционную систему и использованную инфосистему. Хотя криптированные файлы получили, их не удалось открыть. В итоге центр семейных врачей решил выплатить деньги хакерам и получил необходимые для декриптования ключи. В этом случае данные пациентов в ходе атаки тоже не утекли, но то, что база данных некоторое время была закрыта, сильно нарушило работу центра семейных врачей.

Кармен Йоллер пояснила на примере центра семейных врачей Кивимяэ, что в случае, если бы у них не было возможности восстановить данные, улетучились бы данные примерно за десять лет. "На бумаге у нас их вообще нет. Восстановить можно было бы, может быть, только записанные в дигитальной истории вещи, однако контакты и все остальное пропало бы", — отметила она. После кибератаки центр семейных врачей Кивимяэ изменил культуру работы: внешние диски нужно отделять от компьютеров, чтобы их невозможно было атаковать. Помимо этого следует по меньшей мере раз в неделю делать резервную копию данных. Первая атака принесла центру семейных врачей Кивимяэ расходы до 1400 евро, чтобы купить новые жесткие диски. Не говоря, разумеется, о потраченных на атаку рабочих часах и нарушении работы центра.

Из обнародованного вчера ежегодника RIA выясняется, что в течение прошлого года в эстонском секторе здравоохранения имело место 32 случая киберзащиты, десять из которых напрямую повлияли на работу больниц или семейных врачей.

"Хотя большие потрясения обошли стороной эстонские учреждения здравоохранения, мы со своими высоко дигитализированными услугами здравоохранения чрезвычайно зависимы от надежности инфосистем", — констатирует ежегодник и рекомендует обращать больше внимания на оценку киберрисков и системную организацию информационной защиты.

В интересах лучшей подготовки к таким ситуациям делают пробные атаки. В Эстонии RIA ходил беседовать с крупнейшими больницами и около десяти крупнейших больниц также организовали пробную атаку.

"Шаг за шагом у руководителей сферы здравоохранения растет понимание о важности киберзащиты, и его также увеличили поражения последних лет. Мы тестировали, давали рекомендации, и руководство на основании этого может сделать коррективы, как выстроить системы или сделать инвестиции. Без нашего внимания раньше оставались центры семейных врачей, потому что по прежнему правовому порядку они не были поставщиками жизненно важных услуг. Теперь, благодаря Закону о кибербезопасности, эта ситуация изменится. Очевидно, мы также начнем системно предлагать им поддержку", — отметил руководитель службы кибербезопасности RIA Уку Сяреканно. Хотя ситуация, по словам Сяреканно, постоянно улучшалась, он сказал, что от небольших центров семейных врачей и невозможно ожидать, чтобы они полностью самостоятельно занимались своей информационной защитой, потому что их основная задача — все-таки лечение, а не информатика.

"Мы рекомендуем, чтобы небольшие учреждения закупали целостную услугу, которая предлагает как оборудование, программное обеспечение, так и программы защиты от вредоносного программного обеспечения", — добавил он. И подчеркнул, что суммы, которые изначально могут казаться большими расходами для киберзащиты, окупятся безопасно защищенными данными.

Около 65% связанных с эстонскими учреждениями здравоохранения киберинцидентов были вызваны вредоносным программным обеспечением, то есть вирусами, которые используют уязвимости систем. В течение последних лет начали шире распространяться требования выкупа. Все-таки можно сказать, что ни одно из эстонских учреждений здравоохранения не было атаковано умышленно. Проблемы возникали тогда, когда через компьютерные сети проходит какая-нибудь большая волна киберугроз.

Полный текст статьи читайте в Eesti Päevaleht.