Pse hakerat i duan spitalet e Evropës
Simon Meier, kirurg traumatologjik dhe ortoped, nuk ishte në detyrë kur një koleg e telefonoi një mbrëmje. Spitali Universitar i Frankfurtit ishte cak i një sulmi masiv kibernetik që kërkonte një reagim urgjent.
Të nesërmen në mëngjes, Meier, i cili ishte gjithashtu planifikuesi i emergjencës së spitalit, u ul në një takim krize me udhëheqjen e spitalit. Ekipet e IT-së kishin punuar gjatë gjithë natës pa sukses dhe tani, një vendim kritik pritej.
«Na u desh ta shkëpusnim të gjithë rrjetin e spitalit nga interneti», kujtoi Meier. «Nuk donim t’i jepnim më askujt mundësinë të ndërhynte në sistemet e IT-së».
Qasja në internet u ndërpre, bazat e të dhënave u ngrinë dhe stafi i spitalit duhej të përdorte stilolaps e letër, si dhe telefonata, për të ofruar kujdes.
“Kjo dëmtoi rëndë komunikimin midis sistemeve tona elektronike”, tha Meier. Qasja në rezultatet e laboratorit ose të dhënat nga makinat mobile me rreze X u bë një dhimbje koke, me sistemet që nuk ishin në gjendje të raportonin në bazën e të dhënave të spitalit.
«Na u desh të ricaktonim takimet vetëm për të parë dosjet e pacientit dhe për të shtyrë disa operacione të planifikuara», tha ai.
Tani, më shumë se një vit e gjysmë më vonë, sistemi nuk është kthyer ende në “normalitet”, tha Meier. Qasja në internet dhe në bazën e të dhënave mbetet e kufizuar dhe një rindërtim i kushtueshëm i infrastrukturës është duke u zhvilluar, për të mbuluar dobësitë e shfrytëzuara prej kohësh.
Ky sulm është vetëm një nga 309 incidentet e sigurisë kibernetike që synojnë sektorin e kujdesit shëndetësor në BE vetëm në vitin 2023 - më shumë se çdo sektor tjetër kritik. Kostoja e një incidenti të madh zakonisht arrin rreth 300,000 euro.
Përtej ndikimit financiar, sulmet kibernetike përbëjnë një kërcënim për jetën e pacientëve. Rreziku u bë i qartë në një rast të kohëve të fudnit në Mbretërinë e Bashkuar, ku vdekja e një pacienti u lidh - ndër faktorë të tjerë që kontribuan - me një rezultat të vonuar të analizës së gjakut të shkaktuar nga një sulm kibernetik që ndërpreu shërbimet e patologjisë verën e kaluar.
Shefi i Organizatës Botërore të Shëndetësisë (OBSH), Tedros Adhanom Ghebreyesus, i quajti sulmet kibernetike ndaj kujdesit shëndetësor, "çështje jete a vdekjeje".
Ndërkohë që kujdesi shëndetësor është bërë shënjestra kryesore për kriminelët kibernetikë vitet e fundit, duke vënë jetë në rrezik, sektori në mënyrë paradoksale investon më pak në sigurinë kibernetike sesa çdo industri tjetër, duke i lënë të dhënat me vlerë të lartë të cenueshme ndaj sulmeve.
Shënjestër perfekte
Për kriminelët kibernetikë, shënjestrimi i të dhënave shëndetësore “është një plan biznesi perfekt”, tha Christos Xenakis, profesor në departamentin e sistemeve dixhitale në Universitetin e Pireut, Greqi. “Është e lehtë të vjedhësh të dhëna, dhe atë që vjedh, mund ta shesësh me një çmim të lartë.”
Sulmet me programe ransomware — ku hakerat bllokojnë të dhënat dhe kërkojnë shpërblim — dominojnë sektorin, tregoi një raport i Agjencisë së BE-së për Sigurinë Kibernetike (ENISA). “Ato arrijnë dy objektiva: Njëri është të marrin të dhënat dhe t’i shesin ato, dhe tjetri është të enkriptojnë të gjithë sistemin, të prishin të gjithë sistemin dhe të kërkojnë para”, tha Xenakis.
Të dhënat e vjedhura mund të shiten në rrjetin e errët te kriminelët që i përdorin ato për të kryer vjedhje identiteti, mashtrime sigurimesh ose shantazh. Për të rivendosur sistemet e prishura, kriminelët mund të kërkojnë miliona euro - hakerat, për shembull, kërkuan 4.5 milionë dollarë për kthimin e të dhënave të vjedhura pas një sulmi kibernetik në Klinikën Spitalore në Barcelonë. Spitali refuzoi të paguante.
Megjithatë, lloje të tjera të sulmeve kibernetike janë gjithashtu në rritje, duke përfshirë ato nga hakerët pro-rusë që synojnë të prishin operacionet e kujdesit shëndetësor, në vend që të synojnë fitim.
Pavarësisht rreziqeve, vetëm 27 përqind e organizatave të kujdesit shëndetësor kanë një program të dedikuar për mbrojtje nga ransomware-et dhe 40 përqind nuk ofrojnë ndonjë trajnim ndërgjegjësimi për sigurinë për stafin jo-IT, sipas një raporti të veçantë të ENISA-s .
Krijimi i kulturës së sigurisë kibernetike
Xenakis beson se sektori i kujdesit shëndetësor e sheh sigurinë kibernetike si diçka “jashtë fushëveprimit të biznesit të tyre” dhe si një “luks” dhe jo thelbësor. Ai beson se stafi i kujdesit shëndetësor nuk është i vetëdijshëm për rreziqet, duke rezultuar në një “higjienë kibernetike” të dobët.
Ai kujton kur mbeti vetëm në zyrën e një mjeku me kompjuterë të pasiguruar — një shënjestër e lehtë për hakerat. “Nëse doja të bëja diçka, [do të kishte qenë] e lehtë për mua”, tha ai.
Në të njëjtën kohë, ai dyshon se do të kishte mbetur në një dhomë me ilaçe kritike. Spitalet i kuptojnë rreziqet nëse ilaçet bien në duar të gabuara, tha ai, "por nuk mund ta kuptojnë sigurinë kibernetike".
Detyra është të krijohet një kulturë e praktikave të mira të sigurisë kibernetike për të mbrojtur të dhënat dhe sistemet, tha Xenakis. “Edukimi për ndërgjegjësimin mbi teknologjinë është... jashtëzakonisht i ulët.”
Gjetjet nga Fondi Finlandez i Inovacionit Sitra e mbështesin këtë. Ndërsa shumë organizata të kujdesit shëndetësor kanë politika të sigurisë kibernetike, ato shpesh nuk "komunikohen qartë ose nuk kuptohen vazhdimisht nga stafi i tyre". Lëvizjet e larta të personelit - jo vetëm midis mjekëve, por edhe midis oficerëve të sigurisë kibernetike - "përkeqësojnë më tej boshllëqet e trajnimit dhe aftësinë për të zbatuar politikat e sigurisë kibernetike".
Sabina Magalini, një ish-profesoreshë e kirurgjisë në Universitetin Katolik të Zemrës së Shenjtë në Romë, e cila koordinoi një projekt të financuar nga BE-ja, PANACEA, për të përmirësuar sigurinë kibernetike të spitaleve, beson se ligjet aktuale i anashkalojnë sfidat specifike të spitaleve. “Spitalet kanë probleme të ndryshme”, tha ajo, duke renditur fluksin e lartë të stafit, mungesën e trajnimit dhe punën e tepërt.
«Spitali nuk është një central bërthamor… Është si një port… me një port: njerëz që hyjnë, dalin dhe gjithçka është e hapur», tha Magalini.
Ajo argumentoi se spitalet kanë nevojë për stërvitje të vazhdueshme të sigurisë kibernetike dhe sisteme të përmirësuara që nuk e ngadalësojnë kujdesin. Stafi i kujdesit shëndetësor "nuk dëshiron të kalojë gjysmën e ditës duke u kyçur e çkyçur", tha ajo.
Fajësoni sistemin, jo stafin
Megjithatë, trajnimi i personelit të spitalit, ndonëse i dobishëm, nuk është i mjaftueshëm për të adresuar kërcënimet e sigurisë.
“Nëse keni një spital me 2,000 persona që punojnë, probabiliteti që dikush të klikojë butonin (për një lidhje phishing)” është i pashmangshëm, tha Xenakis. Sidomos pasi inteligjenca artificiale përdoret gjithnjë e më shumë nga kriminelët kibernetikë për automatizimin e sulmeve, të tilla si phishing dhe mashtrimet e nxitura nga deepfake, duke i bërë sulmet “shumë të sofistikuara, shumë të synuara”, tha Xenakis.
«Nuk mund t’i fajësosh njerëzit», tha Xenakis. Duhet të ketë mjete inteligjente zbulimi «për të eliminuar dëmin… ose për të kundërvepruar sulmin», tha ai.
Magalini theksoi gjithashtu një tjetër mangësi: konsulencat për sigurinë kibernetike që ndihmojnë spitalet shpesh vijnë nga jashtë Evropës. “Ato janë ose nga Shtetet e Bashkuara ose Kanadaja... gjithashtu nga Rusia”, tha ajo, duke shtuar se duhet të ketë një “mënyrë evropiane për të bërë sigurinë kibernetike”.
Boshllëqet e investimeve
Ndërsa rreziqet janë të qarta, qeveritë kombëtare po kursejnë në parandalim, beson Xenakis, duke thënë se nuk ka një shembull të mirë të një vendi "që ka investuar shumë në sigurinë kibernetike në sektorin e shëndetësisë".
Në Gjermani, për shembull, “ata janë mësuar vetëm të vendosin rregullore të reja, por nuk investojnë asgjë në sigurinë kibernetike të spitaleve”, tha Meier.
Ai beson se spitali i tij në Frankfurt do ta kishte zbuluar sulmin më herët nëse do të kishte një sistem zbulimi ndërhyrjesh. Ata ishin "shumë me fat" që zbuluan sulmin përpara se të shkatërronte të gjithë bazën e të dhënave, tha Meier. "Mund të kishte rezultuar në një mbyllje të plotë të spitalit."
“Kërcënimet ndaj sigurisë kibernetike paraqesin sfida të mëdha për sektorin e kujdesit shëndetësor duke rrezikuar disponueshmërinë e shërbimeve thelbësore të kujdesit shëndetësor”, tha një zëdhënës i ministrisë gjermane të shëndetësisë për POLITICO, në një përgjigje me shkrim. Gjermania po mbështet standardet specifike të sigurisë kibernetike për sektorin dhe gjithashtu kërkon që spitalet të investojnë të paktën 15 përqind të fondeve të sigurisë kibernetike të marra përmes një programi për spitalet që përgatiten për të ardhmen, sipas planit të saj të rimëkëmbjes dhe qëndrueshmërisë.
Komisioneri i Shëndetësisë i Evropës, Olivér Várhelyi, e ka bërë gjithashtu të qartë se investimet duhet të vijnë nga qeveritë kombëtare. “Nëse shkon në një spital, gjithmonë sheh një roje në derë. Ka para për këtë, kështu që duhet të ketë para edhe për mbrojtjen e të dhënave”, tha ai në janar.
Por, meqenëse sektori i shëndetësisë shpesh vuan nga mungesa e investimeve, se sa mund të shpenzojnë qeveritë për sigurinë kibernetike “është një pyetje”, tha Magalini. “Ka kaq shumë probleme të tjera (të kujdesit shëndetësor) që nuk janë siguria kibernetike… kështu që nuk e di se si mund t’i bëjnë investimet.”
Kostoja e mosveprimit mund të jetë qindra milionë euro, siç ndodhi me një sulm ndaj Shërbimit Shëndetësor Ekzekutiv të Irlandës në maj 2021 që mbylli sistemet IT të sistemit të kujdesit shëndetësor të financuar publikisht të vendit. Kostoja e sulmit u vlerësua të jetë të paktën 101 milionë euro, me 657 milionë euro të tjera që do të shpenzohen për t'u mbrojtur nga sulmet e ardhshme.
“Pse kushtoi kaq shumë? Jo për shkak të dëmit, por [sepse] një person inteligjent mendoi: ‘Jo, duhet ta rindërtojmë sistemin në një mënyrë të sigurt’”, tha Magalini.
Ray Walley, mjek i përgjithshëm nga Irlanda, e pa nga afër se si sulmi i ndërpreu lidhjet me sistemin spitalor. “Nuk mund t’i referonim pacientët. Kjo ndikoi në daljen e pacientëve nga sistemi spitalor. Nuk po merrnim rezultatet e analizave të gjakut. Nuk po merrnim rezultatet e rrezeve X dhe skanimeve”, tha ai.
Walley beson se “siguria kibernetike është thjesht një formë tjetër e kujdesit shëndetësor”. “Ne duhet të investojmë në këtë”, tha ai. “Ne duhet të jemi proaktivë. Ne duhet të shpenzojmë paratë.”
Veprimi i BE-së: i mirë, por mund të ishte më i mirë
Numri në rritje i sulmeve kibernetike ndaj sistemeve të kujdesit shëndetësor shkaktoi një reagim nga BE-ja këtë vit. Komisioni Evropian zbuloi në janar një "plan veprimi" mbi sigurinë kibernetike për spitalet dhe sektorin e kujdesit shëndetësor.
Plani propozon ngritjen e një Qendre Evropiane të Mbështetjes për Sigurinë Kibernetike për sektorin e kujdesit shëndetësor brenda ENISA-s dhe një shërbimi specifik të reagimit të shpejtë. Plani gjithashtu prezanton "kupona për sigurinë kibernetike", të cilat do t'u mundësojnë vendeve të BE-së të ofrojnë mbështetje financiare ofruesve më të vegjël të kujdesit shëndetësor për të rritur rezistencën e tyre ndaj rreziqeve kibernetike.
«Është mirë», tha Markus Kalliola, drejtor i programit të Sitra-s. Por «mund të jetë më i fortë».
Ai është një nga autorët e raportit vlerësimit të Komisionit nga Sitra, i cili tregon qeverisjen e paqartë të BE-së, mungesën e objektivave ose buxheteve të qarta dhe një mundësi të humbur për të ndërtuar një treg të vetëm funksional për zgjidhjet e sigurisë kibernetike.
Sitra bën thirrje për të shkuar përtej planit të BE-së duke e konsideruar sigurinë kibernetike si çështje të sigurisë kombëtare; duke vendosur gatishmëri të detyrueshme për sigurinë kibernetike për organizatat e kujdesit shëndetësor; përfshirë aftësitë e sigurisë kibernetike në trajnimin bazë të profesionistëve të shëndetësisë; dhe duke organizuar më shumë ushtrime të sigurisë kibernetike në nivel mbarëevropian.
Me ndryshimin e situatës gjeopolitike, “është gjithashtu një çështje sigurie kombëtare”, tha Kalliola. “Shtetet anëtare të BE-së duhet të përqendrohen në ... cila është strategjia kombëtare në sigurimin e këtyre shërbimeve kritike të kujdesit shëndetësor”, shtoi ai.
Mbetet për t’u parë nëse siguria e Evropës do të përfshihet apo jo në planin përfundimtar të Komisionit për sigurinë kibernetike të spitaleve; ekzekutivi i BE-së sapo ka përfunduar një konsultim dhe premtoi të paraqesë një plan të rafinuar deri në fund të vitit.
Pjesë të tjera të legjislacionit të BE-së — duke përfshirë Direktivën NIS2, Aktin e Rezistencës Kibernetike, Aktin e IA-së dhe rregullat e pajisjeve mjekësore — gjithashtu ngrenë nivelin e sigurisë kibernetike në sektorë të ndryshëm, përfshirë kujdesin shëndetësor.
Megjithatë, “pavarësisht përparimeve në përpjekjet rregullatore dhe zgjidhjet teknike, zbatimi mbetet i paqëndrueshëm. Nuk ka kohë për të humbur në shndërrimin e rregulloreve në realitet”, tha Kalliola./ Politico - Syri Net.