Bár több napja történt az incidens, a Los Angeles-i központú UCLA Health csak mostanában ismerte el hivatalosan: mintegy 4,5 millió személy adat egészségügyi ellátással kapcsolatos adatai kerülhettek veszélybe: név, lakcím, születési dátum, társadalombiztosítási szám, egészségügyi azonosító, leletek stb. Az egészségügyi intézmény azt állítja, nincs arra utaló jel, hogy az adatok valóban kiszivárogtak, de az már biztos, hogy illetéktelenek fértek hozzá kulcsfontosságú adatbázisokhoz – írta a Biztonságportál.
Már az incidenskezelés is tanulságos
Az UCLA Health az incidenst 2014 októberében észlelte. Azonnal beindult a kötelező protokoll: bejelentették az FBI-nak, és egy szakértői csoport segítségével elkezdték a forensic vizsgálatot. Először arra jutottak, hogy a támadók nem fértek hozzá érzékeny adatokhoz. Idén májusra aztán kiderült: mégis bejutottak egy érzékeny hálózati szegmensbe. A vizsgálatok még mindig folynak, és az álláspont továbbra is az, hogy nem történt jelentősebb adatszivárgás. Mindenesetre az UCLA Health minden érintettnek előfizetett adat- és hitelkártya-monitorozó szolgáltatásra.
Tehát még egyszer: a betörési kísérlet észlelése és a betörés tényének megállapítása között eltelt több mint fél év! És eközben minden az előírásoknak megfelelően zajlott: észlelés – illetékes hatóságok értesítése – vizsgálat – megelőző intézkedések és így tovább. Ennyi idő alatt az adattolvajok már túl járnak egyrészt hetedhét határon, másrészt már rég ezerszer felhasználták az adatokat valamilyen visszaélésre.
De mit lehet kezdeni egy TAJ-számmal?
Azzal már többször is foglalkoztunk, az adatoknak komoly feketepiaca alakult ki. Sokan már nem is azért lopnak adatokat, hogy közvetlenül felhasználják, hanem hogy értékesítsék. Egy adat árát két dolog határozza meg: mennyire friss, és milyen módon lehet felhasználni. Egy bankkártya vagy hitelkártya adatai például azoin melegében sokat érnek, de értékük rohamosan csökken, hiszen az idő függvényében egyre kevésbé lehet közvetlen pénzszerzésre felhasználni (bár még akkor is jól jöhet egy újabb adathalászathoz).
Kevesebbet fizet, de lassabban veszít az értékéből az online fiókok belépési kódja, amit többnyire kémkedésre vagy újabb támadásokhoz lehet felhasználni, esetleg érzékeny adatok után lehet kutatni az adott fiókban.
Az egészségügyi adatok azonban sokkal rafináltabbak, és talán a legdrágábbak. Egyrészt – mint a fenti példa is mutatja – nagyon hosszú idő telt el a hackerek tevékenysége és annak kiderítése között, hogy mi történt. Másrészt olyan személyes adatokról van szó, melyeket nem lehet megváltoztatni. Egy bankkártya bármikor letiltható, már az első gyanús tranzakciónál, a személyes adatokkal azonban más a helyzet.
A Ponemon Institute nemrégiben mindezt adatokkal is bizonyította. Egy kutatásuk szerint 2010 óta 125 százalékkal nőtt az egészségügyi adatokra pályázó támadások száma. A felmérésbe bevont szervezetek 91 százaléka tapasztalt is legalább egy adatbiztonsági incidenst az elmúlt két év során. Egy másik kutatás szerint az ilyen incidensek járnak a legnagyobb kimutatható kárral: minden elveszett adatrekord 363 dollár költséget generál.
A Vormetric egy tavasszal kiadott kutatása szerint is nagyságrendekkel nagyobb a kereslet a feketepiacon az egészségügyi adatokra, mint például a hitelkártyákhoz kötődőkre.
Csak engedje el a fantáziáját!
Az adatok birtokában olyan visszaélésekre nyílik lehetőség, amiről az érintett csak jóval később értesül. Ráadásul a lehetőségeknek csak az elkövetők fantáziája szab határokat. Még a magyar egészségügyből is lehet olyan történeteket hallani, hogy valakin szívműtétet hajtottak végre, miközben még kórházban sem járt életében, legfeljebb önkéntes véradóként.
Az egészségügy olyan információkat tart nyilván, amellyel könnyedén létre lehet hozni hamis személyiséget, és azzal aztán mindaddig lehet garázdálkodni, amíg valakinek fel nem tűnik, hogy már az ötödik autót vásárolták a nevében, vagy épp arról értesíti a biztosító, hogy kifizette azokat a méregdrága gyógyászati segédeszközöket, melyeket az ország másik végében vásárolt meg. De akár adó-visszatérítést is igényelhet nevében egy ügyes kiberbűnöző.
De az ilyen adatoknak még a kémkedésben is lehet szerepük. A Office of Personal Management hivataltól ellopott mintegy 22 millió adattal is pont az a probléma – és azért keresik bőszen a felelősöket –, mert olyan személyek adatai is kikerülhettek, akik titkos információkhoz férnek hozzá. Az ilyen adatok birtokában pedig egyrészt vissza lehet élni a személyiségükkel, másrészt akár zsarolhatókká is válhatnak.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak