Америка
Департамент здравоохранения (DOH) и Федеральное бюро расследований (FBI) столкнулись с новым видом хакерского шантажа. С помощью вредоносных программ преступники проникают во внутренние компьютерные системы госпиталей, блокируют всю электронную информацию и начинают требовать выкуп.
С начала года не менее десяти медицинских учреждений подверглись атаке хакеров. В худшем положении оказался Presbyterian Medical Center (PMC) в Голливуде, который пользуется большой популярностью у знаменитостей. У хакеров ушло всего 20 секунд, чтобы полностью парализовать компьютерную систему учреждения и обвести вокруг пальца нескольких специалистов по кибербезопасности.
Руководство госпиталя оперативно связалось с FBI, однако фэбээровцы лишь развели руками, посоветовав выполнить требования хакеров. Как следствие, вымогатели получили $17 тысяч в виде биткоинов и только потом разблокировали сеть PMC.
Спецслужбы признают, что не имеют ни единой зацепки для поимки хакеров. Не представляется возможным даже установить их точное местонахождение. Причастность сотрудников госпиталей к виртуальному шантажу также не исключается.
«В ходе атак использовались сложные и самоликвидирующиеся вирусные программы, - признаёт независимый специалист по кибербезопасности Тим Крюгер. – Они парализуют сеть, а потом либо полностью её разрушают, либо исчезают. У госпиталей есть не более трёх часов, чтобы выполнить требования злоумышленников».
Бездействие спецслужб Крюгер объясняет следующим образом:
«Раскрыть материальное преступление гораздо проще из-за наличия улик – отпечатков пальцев, экспертизы ДНК, показаний свидетелей. Современные хакеры не оставляют улик. Максимум, что получают следователи, – скриншоты заблокированного экрана с требованием конкретной суммы денег. Это идеальное преступление. К тому же хакеры просят относительно маленький выкуп и никогда не атакуют одну и ту же систему дважды. У них тоже есть свой преступный, но кодекс чести».
Теоретически хакеры могут устроить хаос в любом американском госпитале, поскольку все базы данных и сложное медицинское оборудование сегодня подключено к интернету. Они могут прервать хирургическую операцию, изменить диагнозы и курсы лечения, отключить умирающих людей от сложной электронной техники и т. п.
Больше всего госпитали боятся отключения электричества. С конца 90-х годов по сей день 80% медицинских учреждений перешли на компьютеризованные энергосберегающие системы, которые также можно контролировать через интернет. Раньше считалось, что данные системы повышают безопасность круглосуточно работающих госпиталей. Однако теперь системы оказались той самой брешью, через которую могут вломиться хакеры.
«Если в среднестатистическом госпитале отключится электричество, то моментально включатся запасные генераторы, способные проработать от 6 до 18 часов, - говорит Чад Ортего, специалист по кибербезопасности из Калифорнии, где фиксируется большинство хакерских атак. – Некоторые учреждения имеют дизельные генераторы, работу которых можно поддерживать до бесконечности, подливая топливо. Однако таких учреждений становится меньше с каждым днём».
По мнению Ортего, компьютерные системы госпиталей необходимо довести до уровня секретности банков и государственных ведомств.
«Пять лет назад СМИ трубили о революции в здравоохранении и электронизации процесса работы врачей, - напоминает специалист. – Я неоднократно читал в интернете статьи о том, как удобно докторам руководить процессом лечения из любой точки мира посредством смартфона. Однако никто не задумался, что этим могут воспользоваться хакеры. Теперь мы проигрываем им сражение за сражением».
Ортего абсолютно прав. Департамент здравоохранения (DOH) нисколько не сопротивлялся компьютеризации работы госпиталей. Он не издал на этот счёт подробных и хорошо продуманных инструкций, правил и стандартов. Медицинские учреждения получили право нанимать кого угодно для создания внутренних интернет-систем.
Так один из госпиталей Калифорнии, подвергшийся хакерской атаке, компьютезировал свою работу в 2011 году за $19 тысяч. Более-менее надёжная система кибербезопасности обошлась бы ему в $200 - $300 тысяч.
Ошибка, допущенная DOH, очень напоминает ошибку Налоговой службы (IRS), которая резко перешла на приём электронных деклараций и сразу же понесла убытки от хакеров-мошенников в размере нескольких миллиардов долларов. Все последующие годы убытки увеличивались и текущий налоговый сезон обойдётся IRS в $18 - $22 млрд. убытка Если бы система отправки деклараций оставалась бумажной, потери не превысили бы $500 - $700 млн.
Крупнейшие производители антивирусных программ уже отреагировали на хакерские госпитальные атаки. Они готовы разработать специальное высокозащищённое обеспечение и снизить вероятность виртуального шантажа до минимума. Естественно, помощь таких компаний не будет бесплатной. Госпиталям придётся платить за установку программ, а также их поддержание в рабочем состояние и регулярные обновления.
«Медицинские учреждения должны быть готовы к очень большим расходам, - констатирует Хью Бродерик, бывший хакер и эксперт по разблокировке компьютерных сетей в Алабаме. – Речь идёт даже не о миллионах, а о миллиардах долларов.
Если госпиталя решат оставить всё как есть, то хакеры начнут действовать ещё жёстче. Они искусственно спровоцируют бум медицинских ошибок и больницы начнут закрываться из-за огромных штрафов по судебным искам. Трудно в это поверить, но хакеры могут резко поднять показатели смертности в любом госпитале Америки».
Здесь стоит добавить, что пять лет назад страховые компании Медикер и Медикейд предлагали медицинским учреждениям финансовые льготы, если они компьютеризируют работу и оцифруют архивные данные. Среднестатистический госпиталь получал выгоду от этих нововведений в размере $50 тысяч, однако в некоторых случаях сумма повышалась до $200 тысяч.
С января прошлого года Медикер/Медикейд провёл выборочный аудит компьютеризованных госпиталей. Обнаружилось, что многие учреждения выполнили работу только на бумаге. Более того, больницы в Нью-Йорке, Майами и Лос-Анджелесе получали «откаты» (kickbacks) от компаний, с которыми заключались контракты. Реальная кибербезопасность никого не интересовала. Оно и понятно. В 2011 году никто и подумать не мог о хитроумном хакерском шантаже.
Немаловажно напомнить читателям, что между врачами и пациентами в Соединённых Штатах существует негласное соглашение о конфиденциальности данных (patient physician privilege). За их разглашение предусмотрены разные наказания. Чаще всего суды присуждают пострадавшим от утечки диагноза и подробностей лечения внушительные материальные компенсации, что оборачивается для докторов резким поднятием страховых взносов.
Реже врачи лишаются лицензий и отправляются за решётку.
Массовая утечка конфиденциальных данных – вопрос времени. Хакеры уже неоднократно выкладывали в интернет номера карт социального страхования и данные кредитных карт тысяч граждан Америки. В свободном доступе могут появиться и истории болезней, которые могут быть использованы для самых разных целей – точечного маркетинга или компромата на человека.
Смогут ли госпитали и отдельные доктора в скором времени защитить данные своей профессиональной деятельности – вопрос, который по-прежнему остаётся без ответа.