Η ψηφιακή ασφάλεια ενός νοσοκομείου είναι ζήτημα ζωής και θανάτου
- 12/11/2021, 15:10
- SHARE
«Σοκαρίστηκαν». Αυτή ήταν η πρώτη αντίδραση των υπεύθυνων ενός από τα µεγαλύτερα νοσοκοµεία της Σαουδικής Αραβίας όταν η οµάδα των ethical hackers της Obrela τούς έδειξε στην πράξη ότι µια πραγµατική κυβερνοεπίθεση στο δίκτυό τους µπορεί ακόµη και να «σκοτώσει» ασθενείς. «Μια κυβερνοεπίθεση που µέχρι πριν από λίγα χρόνια µπορούσε απλώς να κλέψει τη µισθοδοσία ενός νοσοκοµείου σήµερα έχει τη δυνατότητα ακόµη και να επηρεάσει τις συσκευές για τη διατήρηση ενός ασθενούς στη ζωή» εξηγεί στο Fortune Greece ο συνιδρυτής, πρόεδρος και διευθύνων σύµβουλος της Obrela Security Industries, Γιώργος Πατσής.
Γνωρίζουµε καλά ότι οι δυνατότητες που προκύπτουν από την ψηφιακή µετάβαση µιας επιχείρησης είναι τεράστιες. Η ψηφιοποίηση των λειτουργιών επιτρέπει την ταχύτερη διοικητική οργάνωση και συνδράµει τα µέγιστα στην παραγωγή και την εξυπηρέτηση συνεργατών και πελατών. Εργασίες όπως η µισθοδοσία ή οι επικοινωνίες πραγµατοποιούνται γρηγορότερα και πιο αποτελεσµατικά όταν αποτελούν µέρος ενός δικτύου µε το οποίο η αποµακρυσµένη αλληλεπίδραση θεωρείται αυτονόητη. «Οι υποδοµές ενός οργανισµού υγείας συγχρονίζονται. Έχουν τη δυνατότητα πρόσβασης και αποµακρυσµένης διαχείρισης. Συνδέονται κανονικά µε τις υπόλοιπες βάσεις δεδοµένων. Αποτελούν αναπόσπαστο µέρος του ψηφιακού κόσµου ενός υγειονοµικού οργανισµού» σηµειώνει ο κ. Πατσής. Τι συµβαίνει, όµως, όταν δεν µιλάµε απλώς για µια επιχείρηση, αλλά για έναν οργανισµό υγείας; Μια κλινική, ένα νοσοκοµείο, έναν δηµόσιο φορέα που διαχειρίζεται τους ιατρικούς φακέλους εκατοµµυρίων εργαζόµενων;
Μηχανές διατήρησης ανθρώπινης ζωής, ιατρικά µηχανήµατα, τοµογράφοι, ιατρικοί φάκελοι. Όλα αυτά είναι, κατά κάποιον τρόπο, συνδεδεµένα µε το υπόλοιπο κοµµάτι της «επιχείρησης νοσοκοµείο», µε αποτέλεσµα ο ιατρικός και ο µηχανολογικός εξοπλισµός να συγκλίνουν, περισσότερο από ποτέ στο παρελθόν, µε την πληροφορική. Ενώ παλαιότερα τα µέρη αυτά ήταν τελείως διακριτά, τώρα είναι συνδεδεµένα. Άρα, οι ευπάθειες και οι αδυναµίες στο κοµµάτι της πληροφορικής που στήριζε το νοσοκοµείο ως επιχείρηση πλέον επιτρέπουν την πρόσβαση και στα υπόλοιπα συστήµατα που είναι συνδεδεµένα. Και εδώ εντοπίζεται το µεγάλο πρόβληµα.
Η Obrela διεξήγαγε τον Σεπτέµβριο µια µεγάλη έρευνα στο Ηνωµένο Βασίλειο, στην οποία συµµετείχαν 100 µάνατζερ κυβερνοασφάλειας από οργανισµούς υγείας της χώρας. Το 81% απάντησε ότι µόνο το περασµένο έτος έπεσαν θύµατα κυβερνοεπίθεσης τύπου ransomware.
Το 65% παραδέχτηκε ότι µια κυβερνοεπίθεση µπορεί να οδηγήσει στην απώλεια ανθρώπινων ζωών, ενώ το 38% αναγκάστηκε να πληρώσει λύτρα στους επιτιθέµενους για να αποκτήσει ξανά πρόσβαση στα δεδοµένα που είχαν παραβιαστεί. «Μετά την αρχική επίθεση, οι χάκερ κρυπτογραφούν ή καλύτερα “κλειδώνουν” ένα µεγάλο µέρος των υποδοµών, το οποίο είναι αδύνατο να ξεκλειδωθεί αν δεν έχεις πρόσβαση στους κωδικούς παραβίασης» εξηγεί ο Γιώργος Πατσής µιλώντας για τη µέθοδο ransomware. Για να δώσουν ξανά πρόσβαση σε ό,τι έχουν «κλειδώσει», οι κυβερνοεγκληµατίες ζητούν λύτρα, τα οποία, όπως λέει ο επικεφαλής της Obrela, «συνήθως είναι µερικά εκατοµµύρια δολάρια».
Αλλάπώς μπορούν να «σκοτώσουν» έναν άνθρωπο;
«Κατά την άσκηση προσοµοίωσης µιας πραγµατικής επίθεσης στο µεγαλύτερο νοσοκοµείο της Σαουδικής Αραβίας είχαµε την εξουσιοδότηση να κάνουµε αυτό που εµείς ονοµάζουµε redteaming exercise. Η οµάδα εκπαιδευµένων ethical hackers Obrela Labs (επαγγελµατίες χωρίς ποινικό µητρώο που γνωρίζουν τις µεθόδους και τα εργαλεία µιας ψηφιακής επίθεσης και το κάνουν µε καλούς σκοπούς) κατάφερε να διεισδύσει στο νοσοκοµείο. Στην παρουσίασή µας αποδείξαµε ότι είδαµε, για παράδειγµα, ποιοι ασθενείς είναι διαβητικοί. Έτσι µπορούσαµε να αλλάξουµε την αγωγή τους µε τέτοιο τρόπο ώστε να καθίσταται µοιραία για τη ζωή τους. Αν µπορείς να επηρεάσεις τον ψηφιακό φάκελο και να δώσεις ένα διαφορετικό φάρµακο γνωρίζοντας από τι πάσχει ο ασθενής, τότε µπορείς να τον σκοτώσεις. Άρα, είχαµε τη δυνατότητα και αποδείξαµε στο νοσοκοµείο ότι η ανθρώπινη ζωή θα µπορούσε να είναι σε κίνδυνο».
Πέρα από την άµεση απειλή της ανθρώπινης ζωής, υπάρχει και το τεράστιο ζήτηµα της προστασίας ευαίσθητων προσωπικών δεδοµένων. Στη συζήτησή µας µε τον Γιώργο Πατσή στα γραφεία της Obrela στην Αθήνα έπεσαν στο τραπέζι πολλά παραδείγµατα. Τι θα γινόταν εάν κάποιο δηµόσιο πρόσωπο έπασχε από µια ασθένεια την οποία δεν ήθελε να αποκαλύψει; Είτε µιλάµε για έναν γνωστό ηθοποιό, έναν πολιτικό ή ακόµη και τον πρωθυπουργό µιας χώρας. Πώς θα αντιδρούσε στη δηµοσιοποίηση των δεδοµένων του; Θα υπέκυπτε σε έναν εκβιασµό των επιτιθέµενων µε στόχο να πληρωθούν λύτρα;
Γιατί τα νοσκομεία απειλούνται περισσότερο
Η εξέλιξη της τεχνολογίας στην ιατρική τρέχει µε πολύ µεγάλους ρυθµούς. Νέα, πιο σύγχρονα µηχανήµατα «χτίζονται» για να προσφέρουν ακόµη καλύτερες υπηρεσίες και θεραπείες στους ασθενείς. Όµως για τον Γιώργο Πατσή πολλά από αυτά δεν κατασκευάζονται µε τη λογική της ασφάλειας. «Δεν είναι security by design, όπως το λέµε. Δεν ενσωµατώνουν τις δικλίδες ασφαλείας που ενσωµατώνουν άλλες συσκευές σε άλλες βιοµηχανίες. Επειδή αυτοί που τα χτίζουν έχουν άλλο σκοπό, δυστυχώς δεν ενσωµατώνουν ασφάλεια και ασφαλιστικές δικλίδες, ώστε να µπορούν τα ίδια να µηχανήµατα να προστατευτούν. Να µην αποτελούν τα αδύναµα κοµµάτια µιας ψηφιακής αλυσίδας».
Από την άλλη, συµπληρώνει, τα νοσοκοµεία πρέπει να δείξουν περισσότερη ωριµότητα. Άλλωστε, µιλάµε για ανοιχτούς οργανισµούς οι οποίοι έχουν αντικείµενο την ανθρώπινη ζωή και τη δηµόσια υγεία. Εδώ ακριβώς τονίζεται η σηµασία της στάσης των διοικήσεών τους. «Η κυβερνοασφάλεια είναι κατά 70% θέµα οργάνωσης και τεχνογνωσίας. Αυτό που βλέπουµε στην αγορά είναι η απλουστευµένη άποψη ότι η τεχνολογία µπορεί να λύσει κάθε πρόβληµα. Έτσι έχουµε καταλήξει να αγοράζουµε ό,τι συστήµατα προστασίας υπάρχουν εκεί έξω. Όµως από µόνα τους δεν λειτουργούν. Χρειάζεται µια οµάδα. Κάποιος να τα λειτουργήσει όλα αυτά, να τα συντηρήσει. Διότι η ασφάλεια δεν είναι ένα κουτί που το βάζεις απλά στην πρίζα και είσαι ασφαλής από κει και πέρα».
Με βάση στατιστικές που έχει τρέξει η Obrela στο παρελθόν, από τη στιγµή που ένας οργανισµός δεχτεί µια κυβερνοεπίθεση και παραβιαστεί µέχρι τη στιγµή που θα αντιληφθεί τι έχει συµβεί, περνούν περίπου 270 µέρες. Εποµένως, µέχρι να φτάσουµε στο σηµείο οι χάκερ να κρυπτογραφήσουν τα δεδοµένα, χρειάζεται αρκετός χρόνος. «Για αυτό και µια από τις βασικές υπηρεσίες της Obrela είναι να παρέχει την επιχειρησιακή ασφάλεια στους πελάτες της. Εµείς αναλαµβάνουµε να παρακολουθήσουµε τις υποδοµές, να τις διατηρήσουµε στο πρέπον επίπεδο σε πραγµατικό χρόνο και να παρέµβουµε άµεσα εάν εντοπίσουµε µια απόπειρα παραβίασης».
Η ελληνική γραφειοκρατία «σώζει» την κατάσταση
Με βάση τη µέχρι τώρα εµπειρία του Γιώργου Πατσή από την ελληνική αγορά, µπορούµε να πούµε µε µια µικρή δόση ειρωνείας ότι το «εµπρός… πίσω» της χώρας µας στο κοµµάτι της ψηφιακής της µετάβασης λειτούργησε σε ένα µόνο σηµείο θετικά. Κι αυτό διότι πολλές λειτουργίες των νοσοκοµείων είναι ακόµη στο χαρτί, καθώς είτε δεν έχουν ολοκληρωθεί παντού οι διαδικασίες ψηφιοποίησης των ιατρικών φακέλων, είτε τρέχουν ένα υβριδικό µοντέλο σε ψηφιακό και φυσικό επίπεδο. Αλλά κι αυτό βλέπουµε ότι αλλάζει µε ραγδαίους ρυθµούς, ιδιαίτερα µετά τις ανάγκες για αποµακρυσµένη εξυπηρέτηση που προκάλεσε η πανδηµία. Όµως εδώ τα πράγµατα περιπλέκονται περισσότερο από όσο νοµίζαµε.
«Με την ψηφιοποίηση του ΕΦΚΑ ανοίγουν πολλά µέτωπα, τα οποία δεν είναι µόνο ευθύνη του νοσοκοµείου να γίνουν σωστά» εξηγεί. «Όταν το νοσοκοµείο επιβάλλεται να δώσει δεδοµένα στο κράτος για πολλούς λόγους, είτε φορολογικούς είτε ασφαλιστικούς, ή όταν οι ασφαλιστικές εταιρείες µεταφέρουν δεδοµένα για να γνωρίζουν τι θα αποπληρώσουν, τι θα αποζηµιώσουν, τότε µιλάµε για ένα σύστηµα το οποίο δεν ελέγχεται και δεν ολοκληρώνεται σε ένα νοσοκοµείο. Είναι ανοιχτό. Οπότε πρέπει να δράσουν πολλοί παράγοντες για να σωθεί όλο αυτό και να διασφαλιστεί µε τον τρόπο που πρέπει».
Μάλιστα, ο ίδιος εκφράζει ανησυχίες για το κατά πόσο η ταχύτατη ψηφιακή µετάβαση της δηµόσιας διοίκησης εν µέσω κορωνοϊού έλαβε σοβαρά υπόψη το ζήτηµα της ασφάλειας των δεδοµένων υγείας των πολιτών. Όχι γιατί δεν έχουν πλήρη γνώση οι αρµόδιοι για αυτά τα θέµατα, αλλά διότι η εµπειρία του Ηνωµένου Βασιλείου µάς δείχνει πως ένα σύστηµα, µε πολύ πιο προηγµένα µέσα ψηφιακής ασφάλειας και ανεπτυγµένη κουλτούρα ψηφιακής διακυβέρνησης, πέφτει θύµα κυβερνοεπιθέσεων µε άκρως επικίνδυνους ρυθµούς ιδιαίτερα σε περίοδο µεγάλων υγειονοµικών κρίσεων.
*Το άρθρο αναδημοσιεύεται από το νέο τεύχος του Fortune Greece που κυκλοφορεί στα περίπτερα.