Хакеры нападают на медучреждения: чего они хотят, и как защититься от атак?

В 2020 году количество хакерских атак на медицинские учреждения выросло на 51%. Данные об этом публикует газета «Известия», ссылаясь на международную компанию Positive Technologies. При этом, отмечают эксперты компании, интенсивность атак достигла годового пика в третьем квартале года, почти опередив показатели энергетических и производственных предприятий, которые регулярно подвергаются атакам. Для России такая активность киберпреступников стала новым явлением.   

Повышенное внимание хакеров к медучреждениям связывают с цифровизацией системы здравоохранения на фоне пандемии. Внедрение информационных технологий осуществлялось в ускоренном режиме, что создавало проблемы уязвимости, при этом стремительно рос объем данных, а сотрудники клиник не имели опыта взаимодействия с цифровыми технологиями, что сыграло на руку злоумышленникам.

Что нужно хакерам?

Целью атак может быть финансовая нажива или похищение информации, составляющей коммерческую или медицинскую тайну, кража интеллектуальной собственности, запугивание и шантаж. В Британии атакам подвергались цепи логистических поставок вакцины от COVID-19. Хакеры пытались повлиять на национальную систему закупок и поставок препаратов. Сотрудница ФБР Тоня Угоретц во время интервью каналу BBC пояснила, что хакерские атаки сочетаются с традиционными формами промышленного шпионажа. Это международная проблема, и мировое сообщество активно работает над тем, чтобы создавать и совершенствовать меры информационной безопасности.

Ответственность медработников за потерю и уничтожение данных

Хакерская атака на сервера медучреждений — это внештатная ситуация. Надзорные органы проверяют, какие меры принимались в учреждении для защиты данных. Если сотрудники и руководство отнеслись к информационной безопасности халатно, то их действия могут быть квалифицированы как нарушение закона «О персональных данных» (ФЗ-152) или «Об информации, информационных технологиях и о защите информации» (ФЗ – 149). Это влечет ответственность по статье 13.11 КоАП РФ: максимальный штраф, который грозит клинике по этой статье – 6 миллионов рублей; сотрудникам – от 30 до 50 тысяч рублей. Если из-за утечки данных кто-либо пострадает, то клинику и персонал ждут дополнительные издержки, уже в формате гражданских исков.

Если взлом произошел по вине работника, который действовал вопреки существующим порядкам и предписаниям, то к нему могут быть применены меры дисциплинарной ответственности (192, 193 ТК РФ).

Какие методы атак используют хакеры?

Программы-шифровальщики – вредоносные программы, которые изменяют (шифруют) данные. Этой атаке подвергаются электронные документы организации. За «расшифровку» хакеры вымогают деньги. Этот метод атак на медицинские учреждения был наиболее популярен в 2020 году, по данным Positive Technologies: до 80–90% случаев в каждом квартале. Логика вымогателей проста и понятна: сбои в работе систем, формирующих документооборот, способны нанести медицинским организациям серьезный ущерб. Бывает, что руководители платят, не вникая в суть проблемы.

Шифровальщик – это вирус-троян, который попадает в систему теми же способами, что и другие вредоносные программы, отличие заключается только в том, как он действует внутри системы. Он атакует определенные типы файлов (документы, таблицы). Скорость распространения вируса зависит от объема информации, стоит помнить о том, что шифровальщик не может изменить все документы сразу – для этого ему требуется время. Когда процесс будет завершен, то вредоносная программа может самоликвидироваться, и в этом случае обнаружить ее будет очень сложно.

Занести вирус можно через флешку или диск, или получить по сети. Поэтому сотрудники учреждения должны осторожно относиться с различным «письмам счастья» по электронной почте, не отрывать и не скачивать незнакомые файлы, и не переходить по ссылкам.

Переходы по ссылкам несут угрозу кражи личных данных: логина, пароля, номера телефона, банковских реквизитов. Это называется фишинг (в дословном переводе с английского – рыбалка). Суть метода в том, чтобы замаскировать страницу вредоносного сайта под страницу рабочего или личного профиля. Человек переходит по ссылке, вводит определенные данные, и они попадают в руки злоумышленникам. Этот метод атак нацелен на получение персональных данных сотрудников и пациентов больниц. В дальнейшем эти данные могут быть проданы или использованы во вред.

Фишинг сопровождается воздействиями социальной инженерии – так на языке специалистов называют побуждение пользователей выполнить определенные действия. Например, пациенту клиники могут прислать письмо с указанием реквизитов и требованием внести оплату. Этим мошенники наносят прямой ущерб репутации клиники.

Будущее – за цифровыми технологиями

Между тем, развитие медицины в России связывают с цифровыми технологиями. Помимо телемедицины и дистанционного обучения медработников, это интеграция чат-платформ и мессенджеров для общения с пациентами онлайн. Электронные коммуникации позволяют снизить нагрузку на колл-центры и администраторов, ускорить запись пациентов к врачам, напоминать о назначениях и времени приема, общаться в удаленном режиме, причем не только с пациентами, но и внутри клиники – передавать информацию быстро и контролировать ее получение, сделать прозрачным взаимодействие между руководителями и персоналом, между разными медицинскими службами.

Сеть клиник EMS публиковала данные, согласно которым онлайн-чаты позволили снизить количество потерянных звонков до 0,5% и сократить время ожидания ответа до 30 секунд.

Вместе с преимуществами использование онлайн-технологий создает и уязвимости для клиник и пациентов, и повышает риск кражи информации. Защищенность данных зависит от каждого участника процесса коммуникации, но в большей мере – от руководства клиники.

Как защитить медучреждения от хакерских атак?

Лучший способ защиты от угроз безопасности – это профилактика, причем не только посредством покупки программ-антивирусов. Сотрудники должны знать, что существуют реальные угрозы взлома и кражи данных, и понимать, к каким последствиям это может привести. Для этого руководители и штатные IT-специалисты должны объяснять персоналу как работает фишинг и компьютерные вирусы.

Если документы вдруг стали выглядеть иначе, то не нужно списывать это на «какие-то неполадки» в работе компьютера. Нужно сообщить ответственным специалистам — так они восстановят данные быстрее и дешевле. При этом абсолютно никто не может гарантировать, что после обработки данных вирусом-шифровальщиком, документы будут восстановлены в полном объеме.

Защитить сайты медицинских клиник от хакерских атак поможет двухфазная авторизация администраторов, причем второй пароль для доступа формируется в автоматическом режиме и отображается в специальном приложении, которое может установить только администратор. Такая опция есть у Битрикс и других платных CMS.

Говоря простым языком, администратор ресурса устанавливает на свой смартфон специальное приложение и подтверждает статус администратора через сканирование QR-кода в системе (это достаточно сделать один раз). Когда он вводит пароль для входа на сайт, приложение генерирует второй код, который есть только у этого администратора.

Один из самых доступных способов защиты данных на серверах – это фаерволы (также их называют брандмаузеры или межсетевые экраны). Они позволяют управлять сообщением между компьютерами и сетями, контролируя входящий и исходящий трафик. Говоря проще, вы решаете откуда и какие данные могут попасть на компьютер или в локальную сеть, и передаваться на внешние носители или в интернет. С помощью фаервола можно блокировать нежелательные ip-адреса, домены, приложения.

Еще один легкий и относительно дешевый способ защитить данные – это создавать резервные копии документов, и хранить их отдельно, возможно на неподключенных жестких дисках и серверах. С помощью копий можно восстановить нужную информацию в любой момент.

Разумеется, медицинские работники не могут и не должны вникать в информационную безопасность на том уровне, на каком это делают профессионалы – программисты и системные администраторы. Врачам и медперсоналу достаточно соблюдать простые правила, а обеспечить должный уровень защиты данных – обязанность руководства.