Хакеры принялись за медицину

В начале сентября ФБР предупредило страховые компании и крупные госпитали о возросшей угрозе хакерских атак на их компьютерные сети. Предупреждение было сделано после того, как китайские киберпреступники взломали сервера крупнейшей транснациональной корпорации Community Health Systems и похитили персональные данные 4,5 миллионов пациентов. Эти данные, по сведениям бюро, уже появились на черном рынке.
Атака на Community Health Systems  - самая крупная кража медицинских данных в США, но, увы, - это не единственная успешная попытка хакеров завладеть подобной информацией. Сотрудники ФБР утверждают, что в последние пару лет атаки хакеров на учреждения американской системы здравоохранения заметно участились, ведь компьютерные сети медицинских учреждений практически беззащитны, их системы безопасности давно устарели, и получение персональной информации из серверов не представляет для  любого компьютерщика среднего уровня особого труда.
«Мне приходилось проверять компьютерные системы больниц Кливленда, - говорит специалист по системам кибербезопасности медицинских учреждений Дейв, - и я был потрясен: мне пришлось столкнуться с операционной системой примерно десятилетней давности. И это в госпитале, годовой бюджет которого составляет сотни миллионов долларов.  При этом антивирусные и защитные программы, обязанные защищать сеть от проникновений, не обновлялись последние лет 5-6. Когда я указал президенту госпиталя на такие просчеты,  он ответил, что лучше купит новый аппарат MRI чем потратит деньги на компьютерную безопасность».
Такое отношение характерно для большинства медицинских учреждений в нашей стране, поэтому можно смело утверждать, что медицинские учреждения США относятся к кибербезопасности наплевательски. Даже правительственный сайт healthcare.gov, на котором хранится информация о восьми миллионах американцев, достаточно легко вскрыть опытному хакеру. Об этом специалисты предупреждали с самого начала его существования,  но ни администрация Обамы, ни чиновники минздрава, ни нанятые ими эксперты в области интернет-безопасности не обращали на такие предупреждения внимания. В начале июля прогнозы специалистов подтвердились: сайт стал жертвой хакеров. До сих пор неизвестно, какую информацию о клиентах Обамакера и в каком количестве они сумели получить.
По данным Министерства внутренней безопасности, количество медицинских учреждений,  подвергшихся кибератакам за последние несколько лет, выросло чуть ли не вдвое. Если в 2010 году на медицинские учреждения приходилась каждая пятая хакерская атака, то в прошлом году количество таких атак было не меньше 40% .  
Но, по мнению независимых экспертов по кибербезопасности, подобные данные не соответствуют действительности.
«Страховые компании стараются приуменьшить  число осуществеленных  хакерских атак, - считает Кеннеди, - чтобы не пугать потребителя, а больницы, просто не обращают на эти взломы внимания. За счет такого отношения общая статистика оказывается изрядно заниженной».
На днях стало известно, что крупнейшая сеть больниц в Юте выдерживает примерно тысячу кибератак в неделю. По словам руководителя кибербезопасности этой сети, атаки происходили и раньше, но после перехода на хранение медицинских данных в цифровой форме они заметно участились.
«Сети большинства госпиталей, - считает глава компании Safe, занимающийся кибербезопасностью Марк Пробст, - давно уже взломаны, при таком отношении иначе и быть не может, а их данные просто пока не выброшены на рынок. Но точной информации о взломах нет, как нет и данных о потерях страховых компаний из-за этих взломов. Мне называли цифру потерь в несколько сотен миллионов долларов ежегодно, однако никаких подтверждений этому ни вы, ни я не найдете».
Дело в том, что,  согласно нынешним правилам, страховые компании не обязаны публично заявлять о взломе своей системы, если не пострадала как минимум тысяча ее клиентов. Но и при более серьезном взломе страховщики стараются хранить молчание. А так как даже хищение медицинских данных нескольких тысяч человек не ведет к началу  уголовного расследования, то точной информации о взломах и потерях нет и быть не может.
 Поэтому нам остается полагаться на прикидки, которые делают такие специалисты как Пробст, хотя лично мне цифра кажется заниженной.  
«Страховым компаниям невыгодно говорить о беззащитности своих компьютерных сетей, - продолжает он, - потому что в таком случае им придется потратиться на модернизацию и защиту своих систем, а это дорогое удовольствие. Они поступают проще - скрывают расходы от мошенничества с чужими медицинскими данными, перекладывая их на плечи клиентов, повышая страховые взносы.
Никто не задумывается, но в это повышение входит не только рост стоимости медицинских услуг, но и потери от мошенничества».  
Последние годы сфера здравоохранения притягивает хакеров не только своей доступностью, но и очевидными выгодами, которые дает кража данных. Оказывается, что торговать медицинскими данными для хакеров гораздо выгоднее, чем номерами и пин-кодами кредитных карточек. За обычный набор данных о пациенте клиенты черного рынка готовы выложить до 10 долларов, а номер кредитки уходит по 0,5-1 доллару. И для этого есть обоснованные причины.
В набор данных о пациенте входят его имя и фамилия, домашний адрес, дата рождения, номер страховки, а также коды его диагностики и копии счетов за оказанные ему медицинские услуги.
Обычно такие данные покупают мошенники, которые потом по фальшивым документам приобретают медицинское оборудование и лекарства, которые можно перепродать.
Есть и другой, более сложный способ получения денег: данные пациента комбинируются с данными фиктивного медицинского офиса, который «оказывает ему услуги» и получает за это компенсацию от страховки или от Medicare. За последние два года Medicare переплатил за лечение своих пациентов 6 миллиардов долларов, не меньше 5% по этим выплатам ушли к таким мошенникам. При этом  Medicare почти на занимается расследованием подобных преступлений.
«В отличие от кредиток, - говорит Дейв Кеннеди, - кража персональной информации и мошенничество с медстраховками не сразу определяются потребителем или страховой компанией. Иногда на это может уйти несколько месяцев и обычно такое открытие происходит тогда, когда пациент получает счет за медуслуги, которых он не получал.
Но и тогда потребитель может не отреагировать на этот счет. Лишь когда на него выйдет агентство по выбиванию долгов история с похищением личных данных всплывет наружу. Это означает, что мошенники могут пользоваться чужими медицинскими данными около полугода, в то время как с кредитной карточкой происходит иначе – банки закрывают ее сразу же после того, как устанавливают мошенничество. Более того, в кредитной сфере такое мошенничество постоянно отслеживается, чего не скажешь о нашем здравоохранении».  
В прошлом году житель Калифорнии Леонард К, проходивший лечение в одном из госпиталей Лос-Анджелеса, узнал, что его данные были похищены. Узнал он это, когда начал получать счета из невадской больницы за проведенное шунтирование.  Он оспорил этот счет, так как никогда не жаловался на сердце. В ходе расследования было установлено, что его данные были похищены, и он никакого отношения к этой операции не имеет. Мошенники записали на счет его страховки не только шунтирование, но и моторизованную инвалидную коляску, а также несколько единиц медоборудования общей стоимостью в 70 тысяч.
Все эти потери, как вы понимаете, в следующем году почувствуют на себе клиенты этой  компании.  
«Это типичный случай мошенничества, связанного с кражей данных, - говорит специальный агент ФБР в Калифорнии Анджела Дорс, - каждый год мы расследуем несколько десятков случаев, связанных со страховкой Medicare,  ну а страховые компании расследуют такие случаи собственными силами  и о своих успехах сообщают редко».
Если есть о чем сообщать.

Марк Ветров