Kiberbiztonsági problémák az egészségügyben

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Az Ügyvédek Nemzetközi Szervezetének hatvanadik éves konferenciáján, 2016. október 30-án délután, a Biotechnológia szekción belül az egészségügyet ért kibertámadásokról tartottak előadásokat. Magyar ügyvédek és más európai országokban élők is voltak az előadók között, de az óceánon túlról is érkeztek olyan szakemberek, akik a témával kapcsolatban számos érdekes információt osztottak meg az egybegyűltekkel.

A Biotechnológia szekció előadói

A Biotechnológia szekciót a brazil Sergio Ferraz moderálta. Az előadók között szerepelt több olyan előadó, akik az Egyesült Államokból érkeztek: Barbara J. Gislason, Ken Morris, Donna Suchy, Mark Stignani és Janice Mulligan. Hazánkat Bíró Helga, Lendvai Zsófia és Németh Sándor képviselték. Előadást tartott még az olasz Fabio Marazzi és a japán Shigeki Takahashi.

Az egészségügyi szférát érintő kibertámadások

Jól tudjuk, hogy a hackerek a támadásaikat különféle rendszerek ellen képesek végrehajtani, így az egészségügyi szférát sem kímélik.

A kibertámadások célja nemcsak a betegek személyes adatainak a megszerzése, hanem ennél nagyobb kárt is tudnak okozni, hiszen az egészségügyben használt és alkalmazott, sok esetben a páciensek testébe beépített műszerek – pl. pacemaker – hekkelésével fájdalmat is tudnak okozni a páciensnek. Az egészségügy pedig ezeknek a támadásoknak a visszaverésére nincs mindig felkészülve. Sok esetben kiderült, hogy súlyos biztonsági hiányosságok fordulnak elő, és mint említettem, itt nem csupán adatvédelemről van szó. A problémát leginkább az jelenti, hogy az egészségügyi műszerek többsége csatlakozik az internet rendszeréhez, és mivel a kórházakban azt hiszik, hogy a belső hálózatuk biztonságos, ezért előfordul, hogy jelszó sem védi a programot. Így válhat könnyű célponttá a hekkerek számára.

Az egészségügyet ért kibertámadások következményei

Az említett adatlopás nemcsak azzal a következménnyel jár, hogy a magánszféránkat támadás érte, hanem az adatok birtoklása egyben azt is jelenti, hogy azokat egyrészről értékesíteni lehet harmadik fél számára, másrészről pedig úgy is vissza lehet ezekkel élni, hogy a kórház a saját hírnevének a megőrzése érdekében hajlandó fizetni azért, hogy visszaszerezze ezeket a betegekről készült bizalmas információkat, így zsarolás eszköze is lehet a páciensek adatainak a megszerzése. Amerikai és kanadai kórházak, klinikák esetében ez utóbbi többször is megtörtént.

[htmlbox Jogászvilág_hírlevél]

A kibertámadások káros eredményei között szerepelhet továbbá, hogy a műszerek tönkremennek, és cserére szorulnak.

A súlyos következmények közé tartozik mindenképpen a már említett fizikai fájdalom, amelyet a pácienseknek okoznak.

Előfordult az is, hogy a diagnózist meghamisították, vagy a kezelési eredmények nem feleltek meg a valóságnak, s ezzel a páciens további gyógyulási esélyei csökkentek. És arról már ne is beszéljünk, hogy milyen beláthatatlan következménnyel járhat egy téves, meghamisított diagnózisra épülő orvosi kezelés.

Védekezés a kibertámadások ellen az EU-ban; A NIS irányelv

Az Európai Parlament és az EU Tanács jóvoltából 2016 júliusában új irányelv született (2016/1148), mely a hálózati és információs rendszerek biztonságát igyekszik megteremteni.

Az irányelv a belső piac működésének javítása érdekében intézkedéseket állapít meg a hálózati és információs rendszerek egységesen magas szintű biztonságának az Unión belüli megvalósítása céljából. Ennek érdekében az irányelv valamennyi tagállam számára kötelezettségeket állapít meg a hálózati és információs rendszerek biztonsága nemzeti stratégiájának elfogadására vonatkozóan.

EU szinten létrejön egy olyan együttműködési csoport, amelynek feladata a tagállamok közötti stratégiai együttműködés és információcsere támogatása, illetve elősegítése, valamint a közöttük lévő bizalom erősítése.

Megalakul a CSIRT-ek hálózata, vagyis a számítógép-biztonsági eseményekre reagáló csoportok hálózata, melynek célja a tagállamok közötti bizalom erősítéséhez való hozzájárulás és a gyors, valamint a hatékony operatív együttműködés előmozdítása.

A direktíva célja továbbá, hogy biztonsági és bejelentési követelményeket állapítson meg az alapvető szolgáltatásokat nyújtó szereplők és a digitális szolgáltatók számára. A tagállamoknak ezentúl kötelezettségük lesz, hogy a hálózati és információs rendszerek biztonságával kapcsolatos feladatok ellátására jelöljenek ki nemzeti illetékes hatóságokat, egyedüli kapcsolattartó pontokat, valamint a számítógép-biztonsági eseményekre reagáló csoportokat is. Ezek az említett CSIRT-ek.

A tagállamoknak 2018. május 9-ig kell elfogadniuk és kihirdetniük azokat a törvényi, rendeleti és közigazgatási rendelkezéseket, amelyek szükségesek ahhoz, hogy az irányelvnek megfeleljenek.

A NIS hatálya

A NIS direktíva két alanyi kört említ: az első az ún. alapvető szolgáltatásokat nyújtók köre, a második pedig a digitális szolgáltatásokat adók csoportja. Az első lényegében a digitális infrastruktúrákat jelenti. Ide tartozik az energetika, a közlekedés, a banki és a pénzügyi szolgáltatás, valamint az egészségügyi szektor. A másik csoport magában foglalja az online piactér, a keresőmotorok, a közösségi hálózatok és a felhőszolgáltatók körét.

Ezekben a szektorokban a tagállamoknak ki kell jelölniük a hatály alá eső vállalatokat és cégeket. A szolgáltatók kijelölésére az átültetési időszak után még 6 hónapja lesz a tagállamoknak.

A japán helyzet bemutatásakor az előadótól megtudtuk, hogy 2010-től növekedtek a hekkelés következtében az egyes vállalkozásoknak okozott károk, különösen a bankokat ért kibertámadásokat lehet itt megemlíteni. A japán előadó a jogszerűtlen átutalásokra gondolt elsősorban. Egy másik példa kapcsán elmondta, hogy a Japán Nyugdíj-szolgáltató (JPS) szerverét ért támadás esetén valaki több mint egymillió személyes adatot lopott el.

A kibertámadások elleni védekezés kapcsán szóba került a japán Kiberbiztonsági és Stratégiai Központ, valamint a japán Büntető Törvénykönyv, mely fellép a kibertámadásokkal szemben, és büntetni rendeli azokat. Bár a bűnmegelőzés lenne talán a legfontosabb, ahogy azt a japán kormány is felismerte.

---