Egyre nagyobb arányban válnak az egészségügyi intézmények és eszközök kibertámadások áldozatává. Már önmagában elég ijesztő, hogy valaki átveheti az irányítást egy beteg pacemakere felett, azonban mostanra már az ellopott egészségügyi adatok értékesebbek a feketepiacon, mint a bankkártya-információk.Az egészségügyben is nagyon fontos a digitalizáció folyamatos terjedése, legyen szó a kórházak működéséről vagy éppen a felhasznált eszközökről. A digitális, vezeték nélkül működő eszközök ráadásul egyre többünkben vannak ott: a beültethető szívritmusszabályzók, inzulinpumpák remek kompromisszumot nyújtanak, hiszen ezeken később műtéti beavatkozás nélkül lehet állítani a beteg állapotának megfelelően.
A digitalizáció azonban újfajta veszélyeket is magával hoz, hiszen amin valamilyen program fut, azt fel is lehet törni, főleg akkor, ha vezeték nélkül csatlakozik valamiféle hálózathoz. Ennek a veszélyeire már közel tíz éve felhívták a figyelmet egyetemi kutatók, miután a vezeték nélküli kapcsolódás hibáit kihasználva sikeresen törtek fel egy pacemakert.
A gyártók pedig csak lassan tanulnak, idén nyáron például félmillió pacemakert kellett visszahívnia egy vállalatnak ilyen sérülékenységek miatt.
Elsőre a dolog leginkább ijesztő része, hogy a támadók egész egyszerűen átvehetik az irányítást az adott eszköz felett, így egy pacemaker esetében például átállíthatják a beteg szívverésének szabályozását, vagy egész egyszerűen lekapcsolhatják az eszközt.
Ha azonban a nagy képet nézzük, ennél komolyabb következményekkel is járhat mindez.
Mivel ezek az eszközök többnyire egy nagyobb rendszerhez, például kórházak hálózatához csatlakoznak, a sérülékenységet kihasználva ezekbe is be tudnak jutni a támadók.
Itt egyrészt potenciálisan még nagyobb károkat tudnak okozni, valamint kifejezetten rámennek arra, hogy ellopják a betegek egészségügyi adatait.
A Quadron Kibervédelmi vállalat arra hívja fel a figyelmet, hogy az egészségügyi információk ma már értékesebbek a feketepiacon, mint például a pénzügyi adatok, hiszen ha a bankkártyaadatainkat lopják el, akkor azt pillanatok alatt le tudjuk tiltani, és onnantól haszontalanná válnak, nekünk pedig legfeljebb egy kis kényelmetlenséget okoz az egész.
Ha azonban valaki a kórtörténetünket szerzi meg, akkor azt felhasználhatja zsarolásra, célzott támadásra, vagy akár csak arra, hogy célzottan tudjon reklámokat küldeni.
A helyzet pedig nem éppen rózsás: ma már tíz kibertámadásból négynek valamilyen egészségügyi intézmény a célpontja, és összességében a KPMG adatai szerint az egészségügyi intézmények felét érte már valamilyen kibertámadás. Nem is kell nagyon visszamenni az időben, hogy erre komolyabb példát találjunk, hiszen a WannaCry és az azt követő zsarolóvírusok egy része vagy közvetlenül, vagy csak amolyan "mellékes" módon megkeserítette a kórházak életét is.
Nyilvánvaló, hogy az IT-biztonság minden szektorban kiemelten fontos, az egészségügyben azonban szó szerint életek múlhatnak rajta. Éppen ezért lesz nagyon fontos, hogy 2018. május 25-től életbe lép az Európai Unió új, Egységes Európai Adatvédelmi Rendelete (GDPR), ami a különösen védendő kategóriába sorolja az egészségügyi személyes adatokat,
így kiemelten magas büntetések kiszabásának lehetőségével motiválja az egészségügyi digitális eszközöket gyártó cégeket arra, hogy minden korábbinál jobban figyeljenek oda a biztonságra.
