Alig egy hete a TV2 egyik hírműsora foglalkozott azzal, hogy közel egymillió kórházi beteg adatai kerültek fel egy adatkezeléssel foglalkozó cég weboldalára úgy, hogy azokat onnan bárki letölthette.  A listában nevek ugyan nem szerepeltek, ennek ellenére a listából ki lehetett deríteni, hogy kit milyen betegséggel kezeltek.

Az egészségügyi adatok minden országban érzékeny adatnak számítanak. A Vormetric az idei, világszerte mintegy 800 biztonsági szakértő megkérdezésével készített Insider Threat Reportjában külön foglalkozott azzal, hogy az egészségügyi intézmények, szervezetek miként képesek tartani a lépést az információbiztonsági trendekkel és a különféle kockázati tényezőkkel. A tanulmányról a Biztonságportál készített összefoglalót.

Sokkal értékesebbek, mint a hitelkártya-információk

Manapság az egészségügyi adatok sokkal értékesebbek az internetes feketepiacon, mint a hitelkártyákkal kapcsolatos információk – állítja a Vormetric –, mivel sokkal több visszaélésre adnak lehetőséget. A The New York Times idén februárban egy szakértőre hivatkozva azt írta egy a témával foglalkozó cikkében, hogy egy-egy beteg adataiért akár több mint 200 dollárt is fizettek a feketepiacon, míg egy hitelkártya információi akár 50 centnél is kevesebbet érnek. A betegadatokat ugyanis többféleképpen is fel lehet használni: az egészségbiztosítási visszaélések mellett az érintettek bankszámláihoz is hozzá lehet férni.

Míg egy incidensben érintett hitelkártyát viszonylag gyorsan meg lehet szüntetni, a betegadatok sokkal tovább hasznosíthatók. A születési dátumok, társadalombiztosítási számok mind alkalmasak személyiséglopásra, ráadásul az ezek felhasználásával beszerezhető egyéb adatokat akár zsarolásra is használhatják a kiberbűnözők.

A fent említett magyar eset azonban némileg más: ott elsősorban a betegek személyiségi jogai kerültek veszélybe. Ha például egy munkáltató megszerezte a netre felkerült adatokat, simán kideríthette a dolgozóiról, hogy azokat milyen betegségekkel kezelték. Innen már csak egy lépés, hogy ezekkel az információkkal valamilyen módon vissza is éljen.

Világszerte nagy biznisz

A megkérdezett szervezetek közel felénél (48 százalék) volt adatbiztonsági incidens, vagy ha incidens nem is volt, de a szervezet megbukott legalább egy megfelelőségi felülvizsgálaton. Az amerikai válaszadók 92 százaléka egyenesen kijelentette: sebezhető a rendszerük a belső károkozásokkal szemben. 49 százalékuk pedig azt állította, hogy az általuk felügyelt teljes infrastruktúra sérülékeny.

A The New York Times cikke egyébként idézi a Ponemon Institute egy tavalyi felmérését, amely ennél is rosszabb képet mutat: aszerint ugyanis az egészségügyi intézmények 90 százaléka számolt be arról, hogy a felmérést megelőző két évben legalább egy adatvédelmi incidensük volt. Bár Larry Ponemon akkor ezt elsősorban emberi hanyagságra és rendszerhibákra vezette vissza, azt is hangsúlyozta, hogy a célzott támadások is egyre gyakoribbak az egészségügyi szervezetek ellen.

A Vormetric mostani kutatása szerint a szakemberek látják a problémákat, ám sokszor éppen a compliance hátráltatja, hogy kockázatcsökkentési intézkedéseket tegyenek.

Az ellentmondás feloldása az, hogy az egészségügyi intézmények "megfelelőségvezérelt" szemléletet követnek az információbiztonságban. Ez segít ugyan egységes mederbe terelni a biztonságot, és auditálhatóvá teszi a rendszereket, csakhogy azzal már nem foglalkoznak, hogy az előírások sokkal lassan változnak, mint a fenyegetettségi térkép. Így hiába működik minden compliance- szempontból tökéletesen, az adatvédelemben komoly rések maradnak.

Nem tartják biztonságosnak, mégis használják

A Vormetric kutatása szerint az egészségügyi intézmények mind gyakrabban helyezik ki a bizalmas információikat a felhőkbe: a válaszadók 62 százaléka használ PaaS (Platform as a Service), 58 százaléka SaaS (Software as a Service) és 55 százaléka IaaS (Infrastructure as a Service) megoldást. Ugyanakkor a válaszadók többsége szerint a cloudban történő adatkezelés nagyon kockázatos: a cloud rendszerek átláthatatlanok, a titkosításban komoly hiányosságok vannak, nem tökéletes a megfelelőség, és lassú az incidensreagálás.

A megkérdezett szervezetek képviselőinek 56 százaléka arról számolt be, hogy idén többet költenek a biztonságra. 37 százalékuknál nem változik a költségvetés, míg 7 százalékuknak vissza kell fognia a kiadásait. A tervezett fejlesztésekben a hálózatbiztonság növelése a legfontosabb irány, de sokan koncentrálnak idén a végpont- és mobilbiztonságot is jelentősebb mértékben kívánják javítani.

A teljes felmérést pdf formátumban egy kattintásnyira lehet letölteni.