Az Egyesült Államok egyik legnagyobb, egészségügyi szektort célzó elektronikus támadására derült fény nemrégiben. A több mint 200 kórházat üzemeltető Community Health Systems cég rendszerét egy kínai hackercsoport törte fel és jutott 4,5 millió páciens személyes adatához.

Kínai kapcsolat

A nagyságrend mellett annyit lehet tudni, hogy valamilyen fejlett rosszindulatú programot sikerült telepíteni a vállalat rendszerébe még május-június folyamán. A támadás tényére viszont csak júliusban jöttek rá a biztonsági szakemberek. Az adatbázisokból a páciensek neve, címe, születési dátuma, telefonszáma és társadalombiztosítása száma került az APT 18 elnevezésű kínai hackercsoporthoz.

Az ügyet vizsgáló csoport vezetője úgy nyilatkozott, hogy bár bizonyíték nincs rá, de valószínűsíthető a közvetlen kapcsolat a több éve tevékenykedő, átlagnál magasabban képzett hackercsoport és a kínai állam között. Elképzelhető a teljes együttműködés, de az is lehet, hogy csak időnként teljesít a csoport "fentről jövő" megbízásokat.

A java ott maradt

Akár saját szakállra ment a meló, akár megrendelésre, egyik esetben sem sikerült valóban értékes adatokhoz jutnia a csoportnak. A kínai államot valószínűleg gyógyszerfejlesztéshez használható anyagok, kutatási eredmények, tesztek, statisztikák érdekelnék, míg a feketepiacon legkönnyebben hasznosítható árucikk a bankkártyaszám, azonban egyik típusú információhoz sem jutottak hozzá a jelek szerint.

Egy másik "üzleti" felhasználáshoz pedig a pontos kórtörténetre, az adott beteg által kapott gyógyszerek, beavatkozások listájára lenne szükség. Az amerikai egészségügyi rendszert ugyanis elég könnyű átverni ezekkel és az ellopott személyi adatokkal, valamint egy hamis igazolvánnal. Az ilyen információkat darabonként 50-250 dollárt is kaphatnak a hackerek, hiszen 50 millió potenciális ügyfélről van szó. Körülbelül ennyien vannak az USA-ban, akik nem rendelkeznek érvényes egészségügyi biztosítással. A csalók dolgát könnyíti, hogy amerikában meglehetősen decentralizált a rendszer és a privát üzemeltetésben működő létesítmények - személyiségi jogok miatt - csak korlátozottan férhetnek hozzá a központi adatokhoz.

Célkeresztben az egészség

A fenteik után nem véletlen, hogy az egészségügyet ért elektronikus támadások száma és kifinomultsága is emelkedett az utóbbi időben. Csak idén az USA-ban körülbelül 150 esetben került házon kívülre betegek adata. Igaz, ebben már benne van a szándékos lopások mellett a gondatlanságból eredő adatvesztés is. Az amerikai hatóságok mindenesetre igyekeznek fokozott biztonságra ösztönözni az egészségügyben érintett cégeket, hiszen egyetlen, információvesztéssel járó incidenst is súlyos, akár 1,5 millió dolláros bírsággal "honorálhat" a felügyeleti szerv.