Simon Meier, kirurg i stručnjak za krizno planiranje u bolnicama, hitno je reagirao kada su hakeri napali Sveučilišnu bolnicu u Frankfurtu. Zbog sigurnosne prijetnje, bolnica je morala potpuno prekinuti pristup internetu, a osoblje je prešlo na ručni rad, koristili su papir, olovke i telefone.
Zbog toga je rad bolnice usporio, a neke operacije morali su odgoditi, ali iz ustanove nisu procurili osjetljivi podaci. Nakon proboja hakera u sustav, bolnica duže od godine dana dorađuje svoj sustav kibernetičke sigurnosti.
Ovaj slučaj jedan je od više od 300 napada na zdravstvene ustanove u EU tijekom 2023. godine. Takvi napadi ne samo da nanose veliku financijsku štetu (često preko 300.000 €), nego ozbiljno ugrožavaju živote pacijenata, kao što je pokazao i slučaj u Velikoj Britaniji, gdje je smrt pacijenta povezana s odgodom nalaza zbog hakerskog napada, piše POLITICO.
‘Ne možete kriviti ljude’
Stručnjaci upozoravaju da zdravstveni sektor, iako mu je sigurnost od presudne važnosti, ulaže premalo u zaštitu, čineći osjetljive podatke lakom metom. Napadi ransomwareom su najčešći, hakeri zaključavaju sustave i traže otkupninu, a mogu i prodati ukradene podatke.
Sigurnosni stručnjak Christos Xenakis sa Sveučilišta u Pireju u Grčkoj objasnio je da do hakerskog proboja u bolnicama najčešće ne dolazi zbog nevjerojatne genijalnosti hakera, već zbog propusta zaposlenika.
„Ako imate bolnicu s 2000 zaposlenih, vjerojatnost da će netko kliknuti na lažni phishing link je jednostavno neizbježna“, rekao je Xenakis. Posebno jer kriminalci sve više koriste umjetnu inteligenciju za automatizaciju napada, poput phishinga i prijevara temeljenih na deepfake tehnologiji zbog čega lažne poruke izgledaju sve uvjerljivije. „Ne možete kriviti ljude“, rekao je Xenakis. Potrebni su inteligentni alati za detekciju koji mogu umanjiti štetu… ili spriječiti napad”, smatra Xenakis.
Isto se dogodilo prošle godine na Rebru
Europska komisija početkom godine predstavila je plan za jačanje kibernetičke sigurnosti u bolnicama, koji uključuje financijsku pomoć za manje ustanove putem vaučera, osnivanje centra za podršku unutar ENISA-e i formiranje timova za brzi odgovor. Ipak, stručnjaci poput Markusa Kalliola iz finske organizacije Sitra smatraju da plan nije dovoljno opširan.
Sitra smatra da su potrebni veći koraci, uključujući obvezujuće sigurnosne mjere za zdravstvene ustanove, uvođenje edukacije o kibernetičkoj sigurnosti u osnovnu obuku zdravstvenih radnika te jačanje nacionalnih strategija, naglašavajući da se radi i o pitanju nacionalne sigurnosti.
Podsjetimo, krajem lipnja 2024. KBC Zagreb je bio žrtva sofisticiranog kibernetičkog napada, zbog kojeg su svi informatički sustavi bolnice morali biti privremeno isključeni. Unatoč tome, hitne službe i liječenje pacijenata nisu bili prekinuti. Iza napada navodno je bila ransomware skupina LockBit 3.0, koja je tražila otkupninu za navodno vrlo osjetljive podatke koje su ukrali.
