Компания InfoWatch проанализировала их в сфере здравоохранения за 9 месяцев 2022 года
На взгляд специалистов компании, пока можно говорить о сохранении довольно высокой хакерской активности после пика пандемии COVID-19 (2020-2021 годы). Когда злоумышленники не стали присоединяться к некоему этическому кодексу отдельных группировок, а вместо этого принялись атаковать медучреждения, до предела загруженные спасением жизней больных с опасной инфекцией. Естественно, в такой ситуации клиники не могли уделять должного внимания кибербезопасности.
В то же время, складывается мнение, что несмотря на определенные успехи в цифровизации медицины как в мире, так и в России, соответствующие учреждения и сейчас не уделяют должного внимания информационной безопасности. Зачастую это направление финансируется по остаточному принципу, и даже крупные клиники часто не имеют выделенных специалистов по ИБ. Из этого можно предположить, что в больницах, поликлиниках и лабораториях существенно вырос уровень латентности инцидентов. Существенное снижение количества зафиксированных в публичном пространстве утечек из сферы здравоохранения начало снижаться вскоре после острой фазы пандемии (в мире даже раньше, чем в России).
Нельзя забывать, что персональные данные пациентов, истории болезней и другая конфиденциальная информация представляет немалый интерес как для хакеров, так и для внутренних нарушителей. Кроме того, в медицине до сих пор широко используется бумажная документация, сведения из которой нередко компрометируются по небрежности персонала.
О серьезных проблемах с защитой информации в национальных системах здравоохранения косвенно говорит резкий рост количества утекших записей: за девять месяцев 2022 г. в мире утекло без малого 150 млн записей ПДн, то есть в три с лишним раза больше, чем за январь-сентябрь предыдущего года.
Из них в России из медучреждений зафиксирована утечка более 31 млн записей. Почти весь этот объем записей за исследованный период пришелся на инцидент в сети лабораторий «Гемотест». Позднее эта компания была оштрафована на 60 тыс. рублей (менее $1 тыс.). Отметим, что в России размер штрафов за утечки пока скорее символический и вряд ли мотивирует компании к полному соблюдению мер ИБ и укреплению систем защиты информации.
Издание КоммерсантЪ утверждает: «На продаже в подпольном сегменте Сети появилась база данных клиентов «Гемотеста», в которой 31 млн строк. В ней содержатся ФИО, дата рождения, адрес, телефон, электронная почта, серия и номер паспорта, номера страховки и СНИЛС. Предположительно данные были получены в результате эксплуатации уязвимости в ИТ-системе компании. В США, где развиты медицинское страхование и учреждения здравоохранения давно перешли на «цифровые рельсы», уже много лет действует законодательство о защите персональных данных пациентов (HIPAA, HITECH). Штрафы за нарушения требований этих законов зачастую исчисляются сотнями тысяч, а то и миллионами долларов.
Генеральная прокуратура Нью-Йорка сообщала: «Компания EyeMed, предоставляющая услуги диагностики и лечения глазных заболеваний, выплатит $600 тыс. в результате потери конфиденциальной информации более 2 млн. пациентов. Хакерам удалось взломать учетную запись электронной почты EyeMed и похитить такие персональные данные, как имена, почтовые адреса, номера социального страхования, а также сведения о лечении».
Таким образом, EyMed заплатила примерно в 600 раз больше за потерю данных 2 млн пациентов, чем «Гемотест» за утечку информации более 30 млн клиентов лабораторий.
Исходя из анализа активности теневого рынка данных, даже с учётом повторений и поддельных баз, можно предположить, что количество утечек персональных данных из медучреждений значительно выше, чем дает изучение публичных инцидентов.
В 2022 г. в мире существенно выросла доля утечек информации в результате действий внешних нарушителей. Здравоохранение здесь не исключение. В январе-сентябре в мировом здравоохранении 94% случаев компрометации данных пришлись именно на внешних нарушителей, в российском – 75% случаев.
Таким образом, несмотря на некоторое снижение количества утечек данных за изученный период, можно говорить о высокой активности хакеров. В то же время, вероятно, большой пласт утечек внутреннего характера оказался в серой зоне, то есть не был зафиксирован из-за слабости систем защиты во многих медицинских учреждениях.
В компании InfoWatch считают, что резкое снижение доли утечек внутреннего характера, то есть совершенных сотрудниками, — это сигнал по росту латентности инцидентов. В январе-сентябре 2020 г. из-за действий персонала произошло 44% утечек в мировом здравоохранении и почти 90% в российском. Но уже третий года эта доля падает, и дело здесь явно не в опережающих темпах роста количества утечек по вине внешних злоумышленников. Внутренние нарушения стали намного реже попадать на «радары» систем защиты, а на многие случаи небрежного обращения персонала с данными пациентов (выброшенные карты из архива, неконтролируемый доступ к электронной истории болезни и т.д.), вероятно, уже перестали обращать внимание. Как следствие, стало меньше подобных сообщений в СМИ.
Издание Bangkok Post сообщило: «Неизвестный хакер выставил на продажу в даркнете персональные данные почти 39 млн пациентов. Предположительно, данные пациентов были похищены в результате взлома сети одного из крупнейших в Таиланде медицинских учреждений – больницы Сирирадж (Siriraj Hospital). Покупатель может получить такую конфиденциальную информацию, как имена, адреса, номера удостоверений личности, номера телефонов, половая принадлежность, даты рождения и т.д».
Таким образом, из-за высокой хакерской активности и, предположительно, повышенной латентности утечек по вине внутренних нарушителей, в общем распределении утечек публичного характера их доля снизилась в несколько раз буквально в течение года.
Одновременно с резким ростом нарушений внешнего характера в здравоохранении выросла доля умышленных утечек – как внешних, так и внутренних. Здесь можно выдвинуть две гипотезы: во-первых, информация из клиник становится все более ликвидным товаром на черном рынке данных и удобной основой для мошеннических действий, а во-вторых, вследствие роста кибератак и обращения основного внимания на них, можно сделать предположение, что резко выросла латентность нарушений, прежде всего внутренних. Вероятно, системы контроля за персоналом если и присутствуют в медучреждениях (в основном в крупных), то отстают по уровню реализации политик ИБ от широкого спектра актуальных угроз, в том числе новых. В период пандемии, когда вопросам ИБ в здравоохранении объективно уделялось недостаточно внимания, возможности предупреждения и обнаружения нарушений стали еще более ограниченными.
Компания Shields Health сообщила: «Поставщик медицинских услуг Shields Health Care Group из штата Массачусетс сообщил, что в результате кибератаки могли быть затронуты персональные данные примерно двух миллионов пациентов. Злоумышленники похитили такую конфиденциальную информацию, как полные имена пациентов, номера социального страхования (SSN), данные о диагнозах, а также платежную информацию, номера медицинских карт, ID пациентов, даты рождения, адреса и сведения о лечении. В общей сложности могла быть украдена конфиденциальная информация двух миллионов пациентов».
Посмотрим на распределение внутренних нарушений по характеру умысла. Среди утечек информации внутреннего характера, сведения о которых попали в открытые источники, в мире доминируют умышленные нарушения, то есть сотрудники умышленно разглашают или распространяют персональные данные пациентов Существенный рост их доли может свидетельствовать о давно назревшей проблеме контроля за персоналом медучреждений, имеющих доступ к персональным данным пациентов и другой конфиденциальной информации. Это видно даже по той «верхушке айсберга», которая доступна взгляду общественности.
Российская компания SecurityLab.ru информировала, что 8 лет лишения свободы могут получить работники скорой помощи в Оренбурге, которые «сливали» информацию ритуальным агентствам. Об этом рассказали в региональном УФСБ. По данным ведомства, речь идет о двух жителях областного центра. Как сообщает сайт 1743.ru , один из них является сотрудником ГБУЗ «ООКССМП», который работал специалистом по защите информации. По версии следствия, мужчина установил вредоносную программу, которая была подключена к базе данных о вызовах в скорую. Полученные таким образом данные пересылались в чат в Telegram, в котором состояли агенты ритуальных услуг.
Распределение утечек конфиденциальной информации в медучреждениях по типу виновников подкрепляет гипотезу о большой активности хакеров и серьезных проблемах с выявлением инцидентов по вине персонала. Доля хакеров в 2022 году резко выросла, тогда как случаев утечек информации из-за действий (или бездействия) персонала клиник фиксируется намного меньше, что расходится с ранее зафиксированными тенденциями, например, в период пандемии.
В своих предыдущих отчетах по здравоохранению компания InfoWatch фиксировалf, что доминирующим типом нарушителя выступают сотрудники. Еще пять лет назад среди утечек данных в мире доля хакеров составляла чуть больше 30%, а в медучреждениях России и вовсе не было зафиксировано ни одного нарушения по вине внешних злоумышленников. В ходе исследования, посвященного утечкам информации из медучреждений в период пандемии COVID-19, была выявлена схожая картина.
О том, что ошибки сотрудников системы здравоохранения при работе с информацией могут приводить к самым серьезным последствиям для пациентов, свидетельствует случай в медицинском центре университета Содружества Вирджинии.
The Daily Swig gbcfkf: «Virginia Commonwealth University Health System допустил утечку конфиденциальной информации тысяч людей, которым делали операции по пересадке органов и которые при этом выступали донорами. Компрометация конфиденциальной информации произошла из-за ошибки на портале VCU
Health». Согласно заявлению VCU Health, могли быть скомпрометированы такие данные, как номера социального страхования, номера медицинских карт, результаты лабораторных исследований и другая информация. Эти данные могли быть доступны донорам органов, реципиентам и их представителям при заходе на портал для пациентов. В VCU Health считают, что утечка информации могла затронуть персональные данные около 4500 человек.
Изучение утечек данных из сферы здравоохранения за последние 5 лет позволяет сделать о вывод, что некоторое снижение количества случаев компрометации информации за 9 месяцев 2022 года обусловлено значительно возросшим уровнем латентности нарушений, прежде всего, совершенных по вине персонала. Его рост начал проявляться еще в 2020 году, после завершения первой фазы пандемии. Судя по всему, в публичное информационное поле стало попадать намного меньше утечек, ставших следствием нарушений со стороны сотрудников медучреждений. Внимание всех привлечено к разгоревшемуся до уровня кибервойны противостоянию в киберпространстве.
В то же время рост объемов утекшей информации из сферы здравоохранения – в несколько раз – говорит о том, что данные о пациентах и деятельности медицинских учреждений стали очень привлекательным объектом для преступников. Развитие цифровизации здравоохранения разных стран привело к появлению удобных форм хранения и передачи больших объемов информации, содержащей персональные данные и врачебную тайну. Однако в условиях недостаточного внимания к информационной безопасности такое удобство влечет массу рисков как для медицины, так и для граждан: в развитых странах практически каждый имеет страховку или хоть раз побывал в качестве пациента коммерческой медицины.
Медицинские учреждения не относятся к числу главных болевых точек на отраслевой карте утечек конфиденциальной информации, то есть обстановку с кибербезопасностью там нельзя назвать критичной, однако и радужной тоже нельзя. Ряд актуальных исследований (например, отчет Ponemon Institute) показывают, что медицинские учреждения слабо готовы к отражению кибератак, так как направление ИБ финансируется явно недостаточно, значительное количество медицинского оборудования работает на устаревшем ПО и не поддерживает функции, обеспечивающие безопасность. Есть немало примеров, когда уровень безопасности в клиниках напрямую влияет на здоровье и жизни пациентов (атаки на оборудование для операционных и сервисное ПО для онкологических больных, попытки удаленного отключения кардиостимуляторов и т.д., в том числе повлекшие смерти пациентов). И то, что на этом фоне известных случаев утечек данных из сферы здравоохранения за эти 9 месяцев стало меньше, не успокаивает, а тревожит. Если в результате многочисленных атак и эксплуатации уязвимостей в Сеть пока «просочился» лишь небольшой процент украденных данных, значит, через некоторое время в Дарквебе можно ожидать намного больше объявлений о продаже информации из клиник и лабораторий (в разных вариантах и компоновках). Аналогично и с внутренними нарушителями: скомпрометированные в результате умышленных действий или небрежности данные рано или поздно станут удобным средством для мошенников.
Вероятно, в новой мировой реальности, когда происходит слом прежних устоев, а формирование многополярного мира провоцирует более жесткие столкновения в киберпространстве, сфера здравоохранения будет одной из главных арен борьбы.
Об исследовании
Исследование проводится на основе собственной базы утечек ЭАЦ, регулярно пополняемой специалистами ЭАЦ с 2004 года. Источником для этой базы являются публичные сообщения о случаях утечек информации из учреждений, организаций, предприятий любых организационных форм и форм собственности, включая органы государственной власти и управления, а также данные из некоторых закрытых и условно-закрытых источников (форумы, чаты, каналы).
В настоящий момент количество записей в базе превышает 20 тысяч.
Исследования ЭАЦ, в основном, ориентированы на анализ сообщений об утечках данных на английском и русском языках. Во многом с этим связана большая доля информации о российских утечках, сообщений об утечках из компаний англосаксонских стран и Европы. Также используется некоторое количество источников на арабском, японском, немецком, французском, испанском и итальянском языках.
Исследования ЭАЦ, в основном, ориентированы на анализ сообщений об утечках данных на английском и русском языках. Во многом с этим связана большая доля в базе информации об утечках в России и сообщений об утечках из компаний англосаксонских стран и Европы. Для обеспечения и увеличения полноты охвата также используются источники на арабском, японском, немецком, французском, испанском и итальянском языках. В целях данного исследования использовались публикации только на русском языке.
В ходе наполнения базы утечек ЭАЦ каждое сообщение об утечке классифицируется по закрытому списку признаков. Каждый признак обладает ограниченной вариативностью. К примеру, при классификации по страновой принадлежности каждому сообщению присваивается один из вариантов (название страны, на территории которой работает обладатель информации и где, предположительно, произошла утечка информации.
На сайте Экспертно-аналитического центра InfoWatch регулярно публикуются отчеты по утечкам информации и самые громкие инциденты с комментариями экспертов InfoWatch.
Экспертно-аналитический центр InfoWatch www.infowatch.ru/analytics
