Γιατί σημειώνεται κύμα κυβερνοεπιθέσεων στα νοσοκομεία της Ευρώπης – Κίνδυνος για ζωές και κόστος εκατομμυρίων ευρώ

Ο Σάιμον Μάιερ, τραυματιολόγος και ορθοπεδικός χειρουργός, ήταν εκτός υπηρεσίας όταν δέχτηκε τηλεφώνημα από συνάδελφο ένα βράδυ. Το Πανεπιστημιακό Νοσοκομείο της Φρανκφούρτης είχε γίνει στόχος μαζικής κυβερνοεπίθεσης που απαιτούσε άμεση αντίδραση.

Το επόμενο πρωί, ο Μάιερ, ο οποίος ήταν επίσης υπεύθυνος για την αντιμετώπιση εκτάκτων αναγκών του νοσοκομείου, συμμετείχε σε σύσκεψη κρίσης με τη διοίκηση. Οι ομάδες πληροφορικής είχαν εργαστεί όλη τη νύχτα χωρίς επιτυχία και πλέον έπρεπε να ληφθεί μια κρίσιμη απόφαση.

«Έπρεπε να αποσυνδέσουμε ολόκληρο το δίκτυο του νοσοκομείου από το διαδίκτυο», θυμάται ο Μάιερ. «Δεν θέλαμε να δώσουμε σε κανέναν άλλη ευκαιρία να παρέμβει στα συστήματα πληροφορικής», συμπληρώνει.

Όπως αναφέρει το Politico, η πρόσβαση στο διαδίκτυο διακόπηκε, οι βάσεις δεδομένων πάγωσαν και το προσωπικό αναγκάστηκε να χρησιμοποιεί χαρτί, στιλό και τηλεφωνικές κλήσεις για να παρέχει φροντίδα.

«Η επικοινωνία μεταξύ των ηλεκτρονικών μας συστημάτων διαταράχθηκε σοβαρά», είπε ο Μάιερ. Η πρόσβαση σε αποτελέσματα εργαστηρίων ή δεδομένα από ακτινογραφίες έγινε εξαιρετικά δύσκολη, καθώς τα συστήματα δεν μπορούσαν να συνδεθούν με τη βάση δεδομένων του νοσοκομείου.

«Αναγκαστήκαμε να επαναπρογραμματίσουμε ραντεβού απλώς για να μπορέσουμε να δούμε τους ιατρικούς φακέλους των ασθενών και να αναβάλουμε προγραμματισμένες επεμβάσεις», πρόσθεσε.

Περισσότερο από ενάμιση χρόνο μετά, το σύστημα δεν έχει ακόμη επιστρέψει σε «κανονική» λειτουργία, σύμφωνα με τον Μάιερ. Η πρόσβαση στο διαδίκτυο και στις βάσεις δεδομένων παραμένει περιορισμένη και βρίσκεται σε εξέλιξη μια δαπανηρή ανακατασκευή της υποδομής για την κάλυψη παλαιών ευπαθειών.

Η επίθεση αυτή ήταν μία από τις 309 κυβερνοεπιθέσεις στον τομέα υγείας της ΕΕ μόνο το 2023 – περισσότερες από κάθε άλλον κρίσιμο τομέα. Το κόστος μιας τέτοιας επίθεσης φτάνει συνήθως τις 300.000 ευρώ.

Πέρα από τον οικονομικό αντίκτυπο, οι κυβερνοεπιθέσεις απειλούν ανθρώπινες ζωές. Ο κίνδυνος έγινε σαφής σε πρόσφατη υπόθεση στο Ηνωμένο Βασίλειο, όπου ο θάνατος ενός ασθενούς συνδέθηκε, μεταξύ άλλων παραγόντων, με την καθυστέρηση αποτελέσματος αιματολογικής εξέτασης λόγω κυβερνοεπίθεσης που επηρέασε τις παθολογοανατομικές υπηρεσίες το περασμένο καλοκαίρι.

Ο επικεφαλής του Παγκόσμιου Οργανισμού Υγείας (ΠΟΥ), Τέντρος Αντάνομ Γκεμπρεγέσους, χαρακτήρισε τις κυβερνοεπιθέσεις σε δομές υγείας ως «ζητήματα ζωής και θανάτου».

Παρά το γεγονός ότι ο τομέας υγείας έχει γίνει ο κύριος στόχος των κυβερνοεγκληματιών τα τελευταία χρόνια, επενδύει λιγότερα στην κυβερνοασφάλεια από οποιονδήποτε άλλον τομέα, αφήνοντας δεδομένα υψηλής αξίας ευάλωτα σε επιθέσεις.

Ο ιδανικός στόχος

Για τους κυβερνοεγκληματίες, η στόχευση δεδομένων υγείας «είναι ένα τέλειο επιχειρηματικό σχέδιο», δήλωσε ο Χρήστος Ξενάκης, καθηγητής στο Τμήμα Ψηφιακών Συστημάτων του Πανεπιστημίου Πειραιώς. «Είναι εύκολο να κλέψεις δεδομένα και αυτό που κλέβεις μπορείς να το πουλήσεις σε υψηλή τιμή», συμπλήρωσε.

Οι επιθέσεις με ransomware, κατά τις οποίες οι χάκερ κλειδώνουν δεδομένα και ζητούν λύτρα, κυριαρχούν στον τομέα, σύμφωνα με έκθεση της Ευρωπαϊκής Υπηρεσίας Κυβερνοασφάλειας (ENISA). «Πετυχαίνουν δύο στόχους: πρώτον να πάρουν τα δεδομένα και να τα πουλήσουν, και δεύτερον να κρυπτογραφήσουν ολόκληρο το σύστημα και να ζητήσουν χρήματα», είπε ο Ξενάκης.

Τα κλεμμένα δεδομένα πωλούνται στο σκοτεινό διαδίκτυο σε εγκληματίες που τα χρησιμοποιούν για κλοπή ταυτότητας, απάτη σε ασφαλιστικά ταμεία ή εκβιασμό. Οι εγκληματίες απαιτούν εκατομμύρια ευρώ για την αποκατάσταση των συστημάτων, για παράδειγμα, οι χάκερ ζήτησαν 4,5 εκατομμύρια δολάρια για την επιστροφή των δεδομένων που εκλάπησαν από το Hospital Clínic στη Βαρκελώνη. Το νοσοκομείο αρνήθηκε να πληρώσει.

Ωστόσο, αυξάνονται και άλλες μορφές επιθέσεων, όπως αυτές από φιλορώσους ακτιβιστές χάκερ που στόχο έχουν την αποσταθεροποίηση λειτουργιών και όχι το οικονομικό κέρδος.

Παρά τους κινδύνους, μόλις το 27% των οργανισμών υγείας διαθέτουν πρόγραμμα άμυνας κατά του ransomware και το 40% δεν παρέχουν καμία εκπαίδευση κυβερνοασφάλειας σε προσωπικό εκτός τμήματος IT, σύμφωνα με άλλη έκθεση της ENISA.

Δημιουργία κουλτούρας κυβερνοασφάλειας

Ο Ξενάκης πιστεύει ότι ο τομέας της υγείας θεωρεί την κυβερνοασφάλεια «εκτός των αρμοδιοτήτων του» και ως «πολυτέλεια» αντί για αναγκαιότητα. Το προσωπικό αγνοεί τους κινδύνους, με αποτέλεσμα κακή «κυβερνο-υγιεινή».

Θυμάται ότι τον άφησαν μόνο σε ιατρείο με αφύλακτους υπολογιστές, εύκολη λεία για χάκερ. «Αν ήθελα να κάνω κάτι, θα ήταν εύκολο για μένα», είπε.

Ταυτόχρονα, αμφιβάλλει αν θα τον άφηναν μόνο σε χώρο με φάρμακα. Τα νοσοκομεία κατανοούν τους κινδύνους αν τα φάρμακα πέσουν σε λάθος χέρια, είπε, «αλλά δεν καταλαβαίνουν την κυβερνοασφάλεια».

Το ζητούμενο, σύμφωνα με τον Ξενάκη, είναι η δημιουργία κουλτούρας καλών πρακτικών για την προστασία των δεδομένων και των συστημάτων. «Η τεχνολογική εκπαίδευση… είναι εξαιρετικά χαμηλή», ανέφερε.

Ευρήματα από το Φινλανδικό Ίδρυμα Καινοτομίας Sitra επιβεβαιώνουν τα παραπάνω. Αν και πολλοί οργανισμοί υγείας έχουν πολιτικές κυβερνοασφάλειας, αυτές δεν είναι «σαφώς επικοινωνημένες ή συνεκτικά κατανοητές από το προσωπικό».

Η Σαμπίνα Μαγκαλίνι, πρώην καθηγήτρια χειρουργικής στο Καθολικό Πανεπιστήμιο της Ιερής Καρδιάς στη Ρώμη και συντονίστρια του ευρωπαϊκού προγράμματος PANACEA για την κυβερνοασφάλεια στα νοσοκομεία, θεωρεί ότι η ισχύουσα νομοθεσία αγνοεί τις ιδιαιτερότητες των νοσοκομείων. «Τα νοσοκομεία έχουν διαφορετικά προβλήματα», είπε, όπως υψηλή κινητικότητα προσωπικού, έλλειψη εκπαίδευσης και υπερφόρτωση.

«Το νοσοκομείο δεν είναι πυρηνικό εργοστάσιο… Είναι σαν λιμάνι: κόσμος μπαίνει, βγαίνει, όλα είναι ανοιχτά», σημείωσε.

Τόνισε ότι τα νοσοκομεία χρειάζονται συνεχείς ασκήσεις κυβερνοασφάλειας και απλοποιημένα συστήματα που δεν καθυστερούν τη φροντίδα. Το προσωπικό υγείας «δεν θέλει να περνά τη μισή μέρα κάνοντας login και logout», είπε.

Φταίει το σύστημα, όχι το προσωπικό

Ωστόσο, η εκπαίδευση του προσωπικού δεν αρκεί για την αντιμετώπιση των απειλών.

«Σε ένα νοσοκομείο με 2.000 άτομα, η πιθανότητα κάποιος να κάνει κλικ σε phishing link είναι αναπόφευκτη», είπε ο Ξενάκης. Ειδικά, καθώς η τεχνητή νοημοσύνη χρησιμοποιείται όλο και περισσότερο από κυβερνοεγκληματίες για την αυτοματοποίηση επιθέσεων.

«Δεν μπορείς να κατηγορείς τους ανθρώπους», τόνισε. Χρειάζονται έξυπνα εργαλεία ανίχνευσης για να περιοριστεί η ζημιά ή να αντιμετωπιστεί η επίθεση.

Η Μαγκαλίνι επεσήμανε και ένα ακόμα πρόβλημα: πολλές εταιρείες συμβούλων κυβερνοασφάλειας προέρχονται από χώρες εκτός Ευρώπης, κυρίως ΗΠΑ, Καναδά και Ρωσία. «Χρειαζόμαστε μια ευρωπαϊκή προσέγγιση στην κυβερνοασφάλεια», είπε.

Επενδυτικά κενά

Παρότι οι κίνδυνοι είναι προφανείς, οι εθνικές κυβερνήσεις επενδύουν ελάχιστα στην πρόληψη, σύμφωνα με τον Ξενάκη.

Στη Γερμανία, για παράδειγμα, «βάζουν νέους κανονισμούς, αλλά δεν επενδύουν τίποτα στην κυβερνοασφάλεια των νοσοκομείων», είπε ο Μάιερ.

Πιστεύει ότι το νοσοκομείο του στη Φρανκφούρτη θα είχε εντοπίσει την επίθεση νωρίτερα, αν διέθετε σύστημα ανίχνευσης εισβολής. Ήταν «πολύ τυχεροί» που την ανακάλυψαν πριν καταστραφεί ολόκληρη η βάση δεδομένων. «Θα μπορούσε να έχει οδηγήσει σε πλήρες κλείσιμο του νοσοκομείου», σημείωσε.

Εκπρόσωπος του γερμανικού υπουργείου Υγείας δήλωσε στο Politico ότι «οι απειλές κυβερνοασφάλειας θέτουν τεράστιες προκλήσεις στον τομέα της υγείας, απειλώντας τη διαθεσιμότητα βασικών υπηρεσιών». Η Γερμανία υποστηρίζει πρότυπα κυβερνοασφάλειας ειδικά για τον τομέα υγείας και απαιτεί από τα νοσοκομεία να επενδύουν τουλάχιστον το 15% της χρηματοδότησης κυβερνοασφάλειας που λαμβάνουν από το πρόγραμμα ανάκαμψης και ανθεκτικότητας.

Ο Ευρωπαίος Επίτροπος Υγείας, Ολίβερ Βάρχελι, τόνισε ότι οι εθνικές κυβερνήσεις πρέπει να επενδύσουν: «Αν πάτε σε νοσοκομείο, πάντα υπάρχει φύλακας στην είσοδο. Υπάρχουν χρήματα γι’ αυτό, άρα πρέπει να υπάρχουν και για την προστασία των δεδομένων», δήλωσε τον Ιανουάριο.

«Ωστόσο, λόγω χρόνιας υποχρηματοδότησης, το κατά πόσο μπορούν να επενδύσουν οι κυβερνήσεις παραμένει ερώτημα», είπε η Μαγκαλίνι.

Το κόστος της αδράνειας μπορεί να φτάσει εκατοντάδες εκατομμύρια ευρώ. Η επίθεση στην Υγειονομική Υπηρεσία της Ιρλανδίας τον Μάιο του 2021 παρέλυσε το δημόσιο σύστημα υγείας, με άμεσο κόστος 101 εκατομμύρια ευρώ και επιπλέον 657 εκατομμύρια ευρώ για μελλοντική προστασία.

«Γιατί κόστισε τόσο; Όχι λόγω της ζημιάς, αλλά επειδή κάποιος έξυπνος σκέφτηκε ότι έπρεπε να ξαναχτιστεί το σύστημα με ασφάλεια», τόνισε η Μαγκαλίνι.

Ο Ρέι Γουόλεϊ, γενικός ιατρός από την Ιρλανδία, έζησε από πρώτο χέρι τις συνέπειες. «Δεν μπορούσαμε να στείλουμε παραπεμπτικά. Δεν είχαμε τα αποτελέσματα των εξετάσεων αίματος, των ακτινογραφιών και των αξονικών», είπε.

Ο Γουόλεϊ πιστεύει ότι «η κυβερνοασφάλεια είναι απλώς άλλη μία μορφή φροντίδας υγείας». «Πρέπει να επενδύσουμε. Πρέπει να είμαστε προληπτικοί. Πρέπει να δαπανήσουμε χρήματα», δήλωσε.

Οι ενέργειες της ΕΕ: Θετικές αλλά ανεπαρκείς

Η αύξηση των κυβερνοεπιθέσεων στον τομέα υγείας οδήγησε την ΕΕ να παρουσιάσει τον Ιανουάριο σχέδιο δράσης για την κυβερνοασφάλεια στα νοσοκομεία.

Το σχέδιο προβλέπει τη δημιουργία Ευρωπαϊκού Κέντρου Υποστήριξης Κυβερνοασφάλειας στον τομέα υγείας υπό την ENISA και υπηρεσία ταχείας αντίδρασης. Επίσης, εισάγει «κουπόνια κυβερνοασφάλειας» για την οικονομική ενίσχυση μικρών παρόχων υγείας.

«Είναι καλό», είπε ο Μάρκους Κάλιολα, διευθυντής προγράμματος του Sitra. Αλλά «θα μπορούσε να είναι ισχυρότερο».

Το Sitra ζητά να θεωρηθεί η κυβερνοασφάλεια ζήτημα εθνικής ασφάλειας, να καταστεί υποχρεωτική η ετοιμότητα σε κυβερνοασφάλεια, να ενταχθούν σχετικές δεξιότητες στην εκπαίδευση των επαγγελματιών υγείας και να οργανώνονται πανευρωπαϊκές ασκήσεις.

Με τις γεωπολιτικές εξελίξεις, «είναι και θέμα εθνικής ασφάλειας», δήλωσε ο Κάλιολα. «Τα κράτη-μέλη πρέπει να καθορίσουν τη δική τους στρατηγική προστασίας κρίσιμων υπηρεσιών υγείας», τόνισε.

Το αν η τελική μορφή του ευρωπαϊκού σχεδίου θα περιλαμβάνει τέτοια μέτρα απομένει να φανεί. Η Ευρωπαϊκή Επιτροπή ολοκλήρωσε διαβούλευση και υποσχέθηκε βελτιωμένο σχέδιο έως το τέλος του έτους.

Άλλα ευρωπαϊκά νομοθετήματα, όπως η οδηγία NIS2, ο Κανονισμός Κυβερνοανθεκτικότητας, ο Νόμος για την Τεχνητή Νοημοσύνη και οι κανόνες για ιατρικές συσκευές, αυξάνουν τις απαιτήσεις για κυβερνοασφάλεια.

Ωστόσο, «παρά την πρόοδο στις ρυθμίσεις και τις τεχνικές λύσεις, η εφαρμογή παραμένει ασυνεπής. Δεν υπάρχει χρόνος για χάσιμο», τόνισε ο Κάλιολα.