Хакери і медицина США

Хакери і медицина США

Департамент охорони здоров 'я (DOH) і Федеральне бюро розслідувань (FBI) зіткнулися з новим видом хакерського шантажу.

За допомогою шкідливих програм злочинці проникають у внутрішні комп 'ютерні системи госпіталів, блокують всю електронну інформацію і починають вимагати викуп.


З початку року не менше десяти медичних установ піддалися атаці хакерів. У гіршому становищі опинився Presbyterian Medical Center (PMC) в Голлівуді, який користується великою популярністю у знаменитостей. У хакерів пішло всього 20 секунд, щоб повністю паралізувати комп 'ютерну систему установи і обвести навколо пальця кількох фахівців з кібербезпеки.


Керівництво госпіталю оперативно зв 'язалося з FBI, проте фебеерівці лише розвели руками, порадивши виконати вимоги хакерів. Як наслідок, вимагачі отримали $17 тисяч у вигляді біткойнів і тільки потім розблокували мережу PMC.

Спецслужби визнають, що не мають жодної зачіпки для затримання хакерів. Неможливо навіть встановити їх точне місцезнаходження. Причетність співробітників госпіталів до віртуального шантажу також не виключається.

"Під час атак використовувалися складні і самоліквідовані вірусні програми, - визнає незалежний фахівець з кібербезпеки Тім Крюгер. - Вони паралізують мережу, а потім або повністю її руйнують, або зникають. У госпіталів є не більше трьох годин, щоб виконати вимоги зловмисників ".

Бездіяльність спецслужб Крюгер пояснює наступним чином:

"Розкрити матеріальний злочин набагато простіше через наявність доказів - відбитків пальців, експертизи ДНК, показань свідків. Сучасні хакери не залишають доказів. Максимум, що отримують слідчі, - скріншоти заблокованого екрану з вимогою конкретної суми грошей. Це ідеальний злочин. До того ж хакери просять відносно маленький викуп і ніколи не атакують одну і ту ж систему двічі. У них теж є свій злочинний, але кодекс честі ".

Теоретично хакери можуть влаштувати хаос в будь-якому американському госпіталі, оскільки всі бази даних і складне медичне обладнання сьогодні підключено до інтернету. Вони можуть перервати хірургічну операцію, змінити діагнози і курси лікування, відключити вмираючих людей від складної електронної техніки тощо.


Найбільше госпіталі бояться відключення електрики. З кінця 90-х років донині 80% медичних установ перейшли на комп 'ютеризовані енергозберігаючі системи, які також можна контролювати через інтернет. Раніше вважалося, що дані системи підвищують безпеку цілодобово працюючих госпіталів. Однак тепер системи виявилися тією самою пролом, через яку можуть вломитися хакери.

"Якщо в середньостатистичному госпіталі відключиться електрика, то моментально включаться запасні генератори, здатні пропрацювати від 6 до 18 годин, - говорить Чад Ортего, фахівець з кібербезпеки з Каліфорнії, де фіксується більшість хакерських атак. - Деякі установи мають дизельні генератори, роботу яких можна підтримувати до нескінченності, Однак таких установ стає менше з кожним днем ".

На думку Ортего, комп 'ютерні системи госпіталів необхідно довести до рівня секретності банків і державних відомств.

"П" ять років тому ЗМІ трубили про революцію в охороні здоров "я та електронізацію процесу роботи лікарів, - нагадує фахівець. - Я неодноразово читав в інтернеті статті про те, як зручно лікарям керувати процесом лікування з будь - якої точки світу за допомогою смартфона. Однак ніхто не задумався, що цим можуть скористатися хакери. Тепер ми програємо їм бій за битвою ".

Ортего абсолютно правий. Департамент охорони здоров 'я (DOH) анітрохи не чинив опору комп' ютеризації роботи госпіталів. Він не видав на цей рахунок докладних і добре продуманих інструкцій, правил і стандартів. Медичні установи отримали право наймати кого завгодно для створення внутрішніх інтернет-систем.

Так один з госпіталів Каліфорнії, який зазнав хакерської атаки, комп 'ютезував свою роботу в 2011 році за $19 тисяч. Більш-менш надійна система кібербезпеки обійшлася б йому в $200 - $300 тисяч.

Помилка, допущена DOH, дуже нагадує помилку Податкової служби (IRS), яка різко перейшла на прийом електронних декларацій і відразу ж зазнала збитків від хакерів-шахраїв у розмірі декількох мільярдів доларів. Всі наступні роки збитки збільшувалися і поточний податковий сезон обійдеться IRS в $18 - $22 млрд. збитку Якби система відправки декларацій залишалася паперовою, втрати не перевищили б $500 - $700 млн.


Найбільші виробники антивірусних програм вже відреагували на хакерські госпітальні атаки. Вони готові розробити спеціальне високозахищене забезпечення і знизити ймовірність віртуального шантажу до мінімуму. Природно, допомога таких компаній не буде безкоштовною. Госпіталям доведеться платити за встановлення програм, а також їх підтримку в робочому стан і регулярні оновлення.

"Медичні установи повинні бути готові до дуже великих витрат, - констатує Х 'ю Бродерік, колишній хакер і експерт з розблокування комп' ютерних мереж в Алабамі. - Мова йде навіть не про мільйони, а про мільярди доларів.

Якщо госпіталю вирішать залишити все як є, то хакери почнуть діяти ще жорсткіше. Вони штучно спровокують бум медичних помилок і лікарні почнуть закриватися через величезні штрафи за судовими позовами. Важко в це повірити, але хакери можуть різко підняти показники смертності в будь-якому госпіталі Америки ".

Тут варто додати, що п 'ять років тому страхові компанії Медікер і Медікейд пропонували медичним установам фінансові пільги, якщо вони комп' ютеризують роботу і оцифрують архівні дані. Середньостатистичний госпіталь отримував вигоду від цих нововведень у розмірі $50 тисяч, проте в деяких випадках сума підвищувалася до $200 тисяч.

З січня минулого року Медікер/Медікейд провів вибірковий аудит комп 'ютеризованих госпіталів. Виявилося, що багато установ виконали роботу тільки на папері. Більш того, лікарні в Нью-Йорку, Маямі і Лос-Анджелесі отримували "відкати" (kickbacks) від компаній, з якими укладалися контракти. Реальна кібербезпека нікого не цікавила. Воно і зрозуміло. У 2011 році ніхто і подумати не міг про хитромудрий хакерський шантаж.


Важливо нагадати читачам, що між лікарями і пацієнтами в Сполучених Штатах існує негласна угода про конфіденційність даних (patient physician privilege). За їх розголошення передбачені різні покарання. Найчастіше суди присуджують постраждалим від витоку діагнозу і подробиць лікування значні матеріальні компенсації, що обертається для лікарів різким підняттям страхових внесків.

Рідше лікарі позбавляються ліцензій і відправляються за ґрати.

Масовий витік конфіденційних даних - питання часу. Хакери вже неодноразово викладали в інтернет номери карток соціального страхування і дані кредитних карт тисяч громадян Америки. У вільному доступі можуть з 'явитися і історії хвороб, які можуть бути використані для різних цілей - точкового маркетингу або компромату на людину.

Чи зможуть госпіталі та окремі лікарі незабаром захистити дані своєї професійної діяльності - питання, яке як і раніше залишається без відповіді.

Пабліш Чарт