Πώληση δεδομένων ασθενών από κυβερνο-εγκληματίες. Η επικινδυνότητα και οι προτεινόμενες λύσεις.

Γιατί οι γιατροί συνιστούν βασικούς στόχους των “χάκερς”.

Έχει πολλάκις γραφτεί και επισημανθεί πως οι γιατροί, οι δομές υγείας και η ιατρική κοινότητα γενικά αποτελεί από τους πρώτους στόχους των κυβερνο-εγκληματιών, γνωστούς ως “χάκερς”.

Και αυτό γιατί οι κυβερνο-εγκληματίες έχουν στόχο να υποκλέψουν δεδομένα και εμπιστευτικές πληροφορίες που διατηρούν γιατροί και  πάροχοι υπηρεσιών υγείας για τους ασθενείς τους και να τα πουλήσουν στην μαύρη αγορά (dark market),  μια και οι τιμές των ιατρικών δεδομένων σε αυτή είναι πολύ υψηλότερες από τα δεδομένα πιστωτικών καρτών.

Σε εξειδικευμένη ιστοσελίδα ασχολούμενη με την κυβερνοασφάλεια, αναφέρεται πως ένα αρχείο πιστωτικής κάρτας πωλείται στο dark market για 1,5 $, ενώ ένα αρχείο με δεδομένα υγείας προς 50$.

Σε πρόσφατο άρθρο της ιστοσελίδας tromaktiko.gr δημοσιεύτηκε μελέτη του πανεπιστημίου Duke για την πώληση ιατρικών δεδομένων ασθενών, τα οποία υπεκλάπησαν από χάκερς.

Όταν οι ερευνητές της μελέτης επικοινώνησαν με διαμεσολαβητές δεδομένων ζητώντας να αγοράσουν δεδομένα ψυχικής υγείας για εκατομμύρια ασθενείς, 11 από αυτούς προσφέρθηκαν να της πουλήσουν τα ζητούμενα δεδομένα, τα οποία περιελάμβαναν πληροφορίες σχετικά με το εάν ένα άτομο υποβάλλεται σε θεραπεία για κατάθλιψη, άγχος ή αϋπνία και εάν συνταγογραφήθηκαν φάρμακα όπως το Prozac ή το Zoloft.

Η ζητούμενη τιμή για τις πληροφορίες ήταν σχετικά φθηνή, με έναν μεσίτη να προσφέρει δεδομένα για 10.000 συγκεντρωτικά αρχεία ασθενών για 2.000 $ – ή 20 σεντς ανά αρχείο. Το κόστος ήταν ακόμη φθηνότερο εάν τα δεδομένα παραγγέλνονταν σε όγκο. 435.780 δίσκοι ήταν διαθέσιμοι για 6 σεντς ο καθένας.

Ένας μεσίτης μάλιστα προσφέρθηκε να της πουλήσει τις διευθύνσεις IP και το ιστορικό του προγράμματος περιήγησης των ασθενών.

Παράγοντες που αυξάνουν την επικινδυνότητα.

Πρώτον, οι μηχανισμοί προστασίας των δεδομένων που εφαρμόζουν οι περισσότεροι ιδιώτες-κυρίως- γιατροί μπορούν εύκολα να παρακαμφθούν ακόμη και από μια απροσεξία, αν πχ μπουν σε μια μολυσμένη ιστοσελίδα ή απαντήσουν σε ένα e-mail phishing ή χάσουν το κινητό ή το tablet.

Δεύτερον, συνήθως οι ιδιώτες γιατροί έχουν περιορισμένο προϋπολογισμό για συστήματα ασφαλείας και προστασίας από κυβερνο επιθέσεις (hardware,firewalls κλπ).

Αυτό σημαίνει πως  δεν έχουν καν εσωτερικό τμήμα ΙΤ, όπως οι μεγάλες δομές υγείας, αλλά αναθέτουν την προστασία και εύρυθμη λειτουργία των συστημάτων τους σε εξωτερικούς παρόχους, οι οποίοι επισκέπτονται το ιατρείο μόνο για την επίλυση προβλημάτων ή στην καλύτερη περίπτωση στα πλαίσια περιοδικού follow up.

Τρίτον, οι χρηματικές απώλειες από κυβερνο-επίθεσεις δεν περιλαμβάνονται στους καλυπτόμενους κινδύνους των προγραμμάτων ασφάλισης ιατρικής αστικής ευθύνης, τα οποία κυρίως καλύπτουν τα αμιγώς επιστημονικά ιατρικά σφάλματα.

Οι συνέπειες πιθανής κυβερνο-επίθεσης για τους γιατρούς

Σε περίπτωση κυβερνο-επίθεσης τα κόστη που μπορεί να προκύψουν για τον γιατρό είναι μεγάλα και πολλές φορές μη αντιμετωπίσιμα. Αυτά είναι:

  • Διοικητικά πρόστιμα.

 Αξίζει να σημειωθεί πως ο Ευρωπαϊκός Kανονισμός 2016/679 (General Data Protection Regulation, GDPR) προβλέπει πρόστιμα, που ανάλογα με το είδος και το μέγεθος της επιχείρησης φθάνουν έως τα 20 εκατομμύρια ευρώ ή το 4% του συνολικού ετήσιου κύκλου εργασιών!

  • Αποζημιώσεις φυσικών και νομικών προσώπων, των οποίων τα δεδομένα υπεκλάπησαν, δημοσιοποιήθηκαν, αλλοιώθηκαν ή χάθηκαν. Αξίζει να σημειωθεί η εκτίμηση συνεργαζόμενου με την IRMC νομικού είναι πως σε μια τέτοια περίπτωση η επιδικασθείσα αποζημίωση θα είναι το ελάχιστο 5.000€ ανά ζημιωθέντα!
  • Νομικά έξοδα που θα χρειαστούν για την αντιμετώπιση τυχόν αγωγών και μηνύσεων που υποβληθούν από ζημιωθέντες τρίτους.
  • Έξοδα ενημέρωσης ασθενών για το συμβάν. Τονίζεται πως αυτό απαιτείται να γίνει σε συνεργασία με εξειδικευμένους στο αντικείμενο και κατάλληλα εκπαιδευμένους παρόχους υπηρεσιών.
  • Λύτρα, τα οποία είναι πιθανό να ζητήσει ο κυβερνο-εγκληματίας με αντάλλαγμα τη μη δημοσιοποίηση των ευαίσθητων προσωπικών δεδομένων ασθενών.

 

Οι προτεινόμενες λύσεις

Στην IRMC έχουμε αναπτύξει μια συνολική λύση αποτελεσματικής διαχείρισης των κινδύνων παραβίασης συστημάτων και απώλειας δεδομένων, η οποία είναι συνολική και βασίζεται σε συνδυασμό ασφαλιστικών προϊόντων και μη ασφαλιστικών υπηρεσιών.

Συγκεκριμένα:

Μη ασφαλιστικές λύσεις. Παρέχουμε, μέσω συνεργασιών, τα GDPR Toolkits τα οποία είναι -εξειδικευμένα στις ανάγκες των γιατρών- τυποποιημένα σχέδια διαχείρισης δεδομένων, έτσι ο γιατρός να ανταποκρίνεται στην αρχή της λογοδοσίας που επιτάσσει η νομοθεσία.

Η αρχή της λογοδοσίας συνίσταται στο ότι ο γιατρός πρέπει να μπορεί να αποδείξει ότι τηρεί πολιτικές, διαδικασίες, τεχνικά και οργανωτικά μέτρα που απαιτούνται από τη νομοθεσία.

Αυτό ακριβώς επιτυγχάνουν τα GDPR Toolkits, με αποτέλεσμα την ελαχιστοποίηση των πιθανοτήτων να επιβληθούν πρόστιμα από την Αρχή Προστασίας Δεδομένων.

Ασφαλιστικές λύσεις. Με την ιδιότητα των ασφαλιστικών διαμεσολαβητών, με τη συνεργασία μας με όλες τις ασφαλιστικές εταιρείες, παρέχουμε προγράμματα Cyber Insurance. Τα προγράμματα αυτά καλύπτουν όλα τα πιθανά κόστη που προαναφέρθηκαν και επιπλέον αναδεικνύονται σε εργαλεία διαχείρισης της κρίσης, εργαλεία Risk Management, γιατί παρέχουν:

  • Έξοδα αποκατάστασης των συστημάτων του γιατρού
  • Έξοδα ειδικών συμβούλων, όπως ειδικοί διαπραγματευτές σε περίπτωση που ζητούνται λύτρα και σε περίπτωση εκβιασμού για  αποκάλυψη  δεδομένων
  • Έξοδα αποκατάστασης φήμης ιατρού. Σύμβουλοι δημοσίων σχέσεων και ειδικοί διαχείρισης κρίσεων εκπονούν το σχέδιο αντιμετώπισης και επιλέγουν την κατάλληλη επικοινωνιακή στρατηγική.
Share it!