„Тоа го наруши целиот проток на информации – не можевме да пристапиме до лабораториски резултати или рендгенски снимки, а моравме да одложиме и операции“, раскажува Мајер. И по повеќе од година и пол, системот сè уште не е целосно обновен заради хакери.
Овој напад е само еден од 309 сајбер инциденти во здравствениот сектор во ЕУ во 2023 – повеќе од било кој друг критичен сектор. Освен што предизвикуваат финансиски загуби (во просек околу 300.000 евра по напад), ваквите инциденти можат директно да загрозат човечки животи – како што беше случајот во Велика Британија, каде доцнење со лабораториски резултати поради напад доведе до смрт на пациент.
Здравството – совршена мета за хакери
Здравството е привлечна мета бидејќи располага со огромни количини вредни податоци, а воедно инвестира многу помалку во дигитална безбедност од другите сектори. Хакерите најчесто користат ransomware – малициозни програми што ги шифрираат податоците и бараат откуп за нивно отклучување. Податоците често завршуваат на dark web каде се препродаваат за кражби на идентитет, измами со осигурување или уцени.
По нападот на болницата „Клиник“ во Барселона, хакерите барале 4,5 милиони долари откуп, но болницата одбила да плати. Истовремено, се појавуваат и политички мотивирани напади, пред сè од проруските хактивисти, со цел да предизвикаат хаос и парализа.
И покрај ризиците, само 27% од здравствените институции имаат посебен план за одбрана од ransomware, а 40% не нудат никаква едукација за кибер-безбедност за персоналот надвор од ИТ одделите.
Недостиг од култура на кибер-безбедност
Професорот Христос Ксенакис од Универзитетот во Пиреја вели дека здравствениот сектор ја гледа кибер-безбедноста како „луксуз“, а не како приоритет. Тој сведочи дека оставал без надзор неосигурени компјутери во ординации – „лесна мета за секој хакер“. „Никогаш не би ме оставиле сам во соба со лекови – но со податоци, очигледно да“, вели тој.
Сабина Магалини, поранешна професорка по хирургија и координаторка на ЕУ-проект за болничка безбедност, ја споредува болницата со отворено пристаниште – луѓето постојано влегуваат и излегуваат, и сè е изложено. Таа се залага за редовни вежби за кибер-безбедност и за едноставни системи што нема да го забават персоналот во секојдневната работа.
Не е доволна само едукација
Ксенакис предупредува дека во болница со 2.000 вработени, секогаш постои ризик некој да кликне на малициозен линк. Сè почесто, хакерите користат вештачка интелигенција за автоматизирани и прецизно насочени напади. „Не може вината да ја носат луѓето. Потребни се паметни системи за навремено откривање и неутрализирање на нападите“, вели тој.
Проблемот е и во тоа што многу компании што нудат кибер-безбедност доаѓаат надвор од ЕУ – од САД, Канада, па дури и Русија. Магалини смета дека ЕУ треба да има свој начин за справување со овие ризици.
Недоволни инвестиции, но висока цена на неакција
Иако се свесни за ризиците, многу влади сè уште не вложуваат доволно. Нападот врз ирскиот здравствен систем во 2021 година ја парализираше целата служба, предизвика директна штета од најмалку 101 милион евра, а уште 657 милиони беа потребни за заштита од идни закани.
„Кибер-безбедноста е дел од здравствената грижа – мора да инвестираме, мораме да бидеме проактивни“, предупредува д-р Реј Воли од Ирска.
Што прави ЕУ?
Европската комисија во јануари објави акциски план за зајакнување на кибер-безбедноста во здравството: ќе се основа Европски центар за поддршка при инциденти, ќе се понудат ваучери за поддршка на помали институции и ќе се подобрат процедурите за брза реакција.
Но експертите велат дека планот е сè уште нејасен, без конкретни цели и буџети. Финскиот фонд Sitra бара обврзувачко ниво на подготвеност, вклучување на кибер-безбедноста во основната медицинска едукација и повеќе европски симулации на напади.
„Ова не е само техничко прашање – ова е прашање на национална безбедност“, предупредуваат.
