Zdravotnické databáze jsou pro hackery zlatý důl. Napadají je stále častěji

Data ze zdravotnických a pojišťovacích systémů jsou pro hackery a jejich zákazníky nesmírně atraktivní. Ilustrační foto: Dogtownmedia

Druhá největší americká zdravotní pojišťovna Anthem se stala cílem rozsáhlého hackerského útoku. Citlivá data ze zdravotnických systémů lákají hackery ve znepokojivě narůstající míře. Na pozoru by mělo být i Česko.

 

Přesná čísla o útoku hackerů na databázi pojišťovny Anthem zatím nejsou známá. Deník Washington Post nicméně na základě svých informací soudí, že se jedná o milióny souborů citlivých dat pojištěnců. Únik údajů z jejího IT systému je nejvážnějším incidentem svého druhu v USA. V přímém ohrožení se ocitla data zhruba devětašedesáti milionů pojištěnců.

“Hackeři získali neautorizovaný přístup do IT systému pojišťovny Anthem a získali jejich data včetně zdravotní dokumentace, adresy bydliště, zaměstnání, údajů o příjmech i o sociálním pojištění nebo řidičských záznamech,” uvedl ředitel pojišťovny Joseph R. Swedish. Jak rozsáhlý balík dat hackeři z databáze vytáhli, Swedish nesdělil. Vzhledem k tomu, že si Anthem najala renomovanou a drahou kyberbezpečnostní společnost Mandiant se ale nejspíš jedná o víc než jen nepříjemnost. Platí totiž nepsané pravidlo, podle kterého se Mandiant najímá ve chvíli, kdy je malér opravdu pořádný.

Proč právě zdravotnictví

Útoky na ekonomický sektor jsou ve Spojených státech stále častější. Jen v poslední době se jejich terčem stala třeba mamutí JPMorgan Chase – hackeři z jejího systému získali citlivá data šestasedmdesáti milionů klientů. Kreditní společnosti Target a Home Depot na konci minulého roku přišly o údaje o sto deseti respektive čtyřiapadesáti milionech klientů.

Údaje shromažďované ve zdravotnictví ale pro hackery mají přitažlivost vskutku neodolatelnou.

“Hackeři si uvědomují něco, co třeba pojišťovnám pravděpodobně ještě nedochází,” tvrdí Lee Weiner z kyberbezpečnostní společnosti Rapid 7. “Ekonomika dat ze zdravotnických systémů je vysoce atraktivní.”

Zdravotnické společnosti, především pojišťovny, o svých klientech skutečně shromažďují celý zlatý důl marketingově nedocenitelných informací. Zdravotní stav, události jako těhotenství nebo narození dítěte, místo pobytu, zaměstnání a struktura příjmů a výdajů – to všechno jsou informace, které jinak marketéři shromažďují jen obtížně, rozuměj draze. Hackeři je dokáží dodat nepoměrně levněji než jakákoliv agentura. Zatím neexistuje důkaz o tom, že by některý z velkých marketérů k datům, podle kterých pak sestavuje cílené nabídky, přišel právě tímto způsobem, je ale pouze otázka času, kdy nějaký takový případ praskne. Je totiž nepředstavitelné, že by hackeři tak sofistikované a rozsáhlé útoky jako byl ten na Anthem, podnikali jen tak tak pro potěchu a pro obveselení (jakkoliv to samozřejmě není vyloučeno).

Pro pořádek: Podle jedné analýzy se údaje o pojištěncích na černém trhu prodávaly v roce 2013 po dvaceti dolarech za osobu, aktuálně cena klesla k deseti dolarům. To lze interpretovat tak, že útok na zdravotnické databáze je v roce 2015 něčím méně exkluzivním než před dvěma roky. To je znepokojivá informace.

Česko by se mělo poučit

Nejčastěji útoky na pojišťovací a podobné databáze přicházejí z Číny. To odpovídá známé expanzivnosti čínské ekonomiky spojené se značnou bezohledností a nevybíravostí v metodách.

To je koneckonců podstatná informace také pro české prostředí. Národní bezpečnostní úřad ve své strategii pro roky 2015 až 2020 explicitně zmiňuje kyberzločinnost coby obrovské bezpečnostní riziko.

“Významnými riziky jsou podle Strategie kybernetická špionáž, ať průmyslová, vojenská, politická či jiná, za kterou stále častěji stojí přímo vlády, potažmo bezpečnostní struktury konkrétního státu,” shrnuje odborný web Česká justice.

Za významnou zmínku stojí fakt, že v Česku vzniká koncepce eHealth. Tento elektronický systém by měl zahrnovat “výměnu zdravotnické dokumentace, elektronickou ambulanci, mHealth – bezdrátové technologie v nemocnicích a další.”

Podle ředitele odboru informatiky ministerstva zdravotnictví Farese Shimy by systém eHealth měl pracovat na stejném základu jako eGovernment (více jsme o strategii eHealth ve Zdravotnickém deníku psali ZDE).

A právě tady by vzhledem ke zkušenosti z Anthem mohl být zakopaný bezpečnostní pes. Národní bezpečnostní úřad totiž výslovně konstatuje, že “celý koncept českého eGovernmentu představuje z hlediska kybernetiky bezpečnostní riziko.”

Pokud tedy chceme praktickým pokusem zjišťovat, jak lákavá budou pro hackery data českých občanů shromážděná v úhledném balení na systému jako je eHealth, cesta vede právě tudy.

Ondřej Fér