Terveystietomme ovat kyberhyökkäysten kohteena

Mikko Hypponen
Chief Research Officer, F-Secure

Asiakkaamme ovat kyselleet minulta terveystiedoista jo vuosien ajan. "Onko totta, että terveystiedot kuuluvat pahojen hakkereiden pääkohteisiin? Eikö ole totta, että he jahtaavat potilastietojani? ”, he ovat kysyneet. Vuosien ajan vastaukseni on ollut: "Ei, se ei ole totta."

Noin 99 % F-Securen labrassa tutkimistamme tapauksista liittyvät rikollisiin, jotka yrittävät ansaita rahaa. Aiemmin ajattelin, että rahaa tavoittelevien hyökkääjien pääkohteena ovat taloudelliset tiedot, kuten luottokorttitiedot, ei röntgenkuvat.

Nyt olen muuttanut mieltäni.

Syynä tähän on pandemian aikana sairaaloihin, lääketieteellisiin tutkimusyksiköihin ja jopa potilaisiin kohdistuneiden hyökkäysten lisääntyminen – erityisesti psykoterapiakeskus Vastaamoon lokakuussa kohdistunut hyökkäys, jossa kymmenien tuhansien potilaiden arkaluontoiset tiedot vaarantuivat.

Vastaamon tapaus on malliesimerkki rahan motivoimasta hyökkääjästä, joka yrittää tienata varastetuilla henkilötiedoilla kiristämällä suoraan potilaita laitosten sijaan. Terveystiedoilla kiristäminen ylipäätään on erityisen häikäilemättömän hyökkääjän merkki, mutta olemme tavanneet vain muutamia hyökkääjiä maailmassa, jotka ovat riittävän pahoja kiristääkseen suoraan potilaita.

Hyökkäysten kohdistaminen yksilöihin instituutioiden ja yritysten sijaan ei ole vielä trendi, mutta olemme nähneet merkkejä siitä, että lähitulevaisuudessa voi olla toisin. Olen huolissani tästä. Jos F-Securen tutkimusjohtaja on huolissaan tästä trendistä, todennäköisesti sinun kannattaisi olla myös. 

Suurin osa terveydenhuoltoalan hyökkäyksistä kohdistetaan edelleen laitoksiin, ja suurimmassa osassa niistä käytetään lunnaita vaativia troijalaisia. Yleensä hyökkäyksiin liittyy laitoksen toiminnan häiritseminen esimerkiksi lukitsemalla järjestelmiä ja vaatimalla: "Maksa meille rahaa, jos haluat jatkaa ihmishenkien pelastamista." Olemme nähneet pandemian aikana useita kiristyshyökkäyksiä, erityisesti Ryuk-troijalaista hyödyntäviä. Kymmenet sairaalat ja terveydenhuollon organisaatiot ovat kärsineet Ryuk-hyökkäyksistä pandemian aikana etenkin Yhdysvalloissa, jossa COVID-19 on ajanut sairaalat ja terveydenhuollon henkilöstön romahduksen partaalle.

Jos tavoittelet pelkästään voittoa, hyökkäysten kohdistaminen sairaaloihin keskellä pandemiaa on loistava idea, koska niiden on jatkettava toimintaansa kaikesta huolimatta. Ja selvästikin on olemassa ihmisiä, jotka ovat valmiita rahastamaan tällä mahdollisuudella.

Kun pandemia iski maaliskuussa 2020, lähetin julkisen viestin ransomware-jengeille: "Pysykää erossa sairaaloista pandemian aikana." En odottanut vastausta, mutta sain sellaisen. Viisi järjestäytynyttä rikollisjoukkoa lupasivat: "Okei, selvä juttu. Emme hyökkää sairaaloihin pandemian aikana." Tämä oli mukava yllätys, mutta ammattirikollisten lupauksiin ei kannata luottaa. Ja toden totta, olemme nähneet useita hyökkäyksiä sairaaloita, hoitolaitoksia sekä potilaita vastaan.

Massiivinen haaste

Terveystiedot ovat aina olleet helppo kohde rikollisryhmille, koska yleensä niitä ei ole suojattu hyvin. Monet sairaanhoidon järjestelmät ovat julkisesti rahoitettuja ja tämä tarkoittaa sitä, että maailman terveystiedot tallennetaan vanhentuneilla käyttöjärjestelmillä toimiviin vanhentuneisiin ohjelmiin. Hyökkääjät pääsevät näihin järjestelmiin helposti käsiksi. Nyt kun he ovat alkaneet hyväksikäyttää terveystietoja, tarve suojata näitä yksityisimpiä ja arkaluonteisimpia tietojamme on ajankohtaisempi kuin koskaan.

Mitä sitten tarvitaan pitääksemme maailman terveystiedot turvassa tulevaisuudessa? Ensinnäkin rahaa. Mutta asia on monimutkainen.

Vuonna 2017 WannaCry-kiristysohjelma iski Yhdistyneen kuningaskunnan kansalliseen terveyspalveluun (NHS) erittäin voimakkaasti. Perimmäinen syy oli ilmeinen - vuosikymmenien budjettileikkaukset. Vuonna 2017 suurin osa NHS:n järjestelmistä käytti Windows XP:tä, mikä on anteeksiantamatonta. WannaCry:n seurauksena NHS joutui peruuttamaan noin 19 500 vastaanottoaikaa ja 600 leikkausta. Sairaalat, henkilökunta ja, mikä pahinta, potilaat kärsivät.

WannaCry-hyökkäys aiheutti niin valtavia ongelmia, että NHS:lle myönnettiin huomattava lisäbudjetti hyökkäyksen mahdollistaneiden ongelmien korjaamiseksi. Se, että NHS:n tarvitseman budjetin saaminen vaati ensin valtavan epäonnistumisen, tuo esiin yhden suurimmista kyberturvallisuusalan ongelmista: tarvittava budjetti löytyy yleensä vasta katastrofiin reagoimiseen, ei katastrofien estämiseen. Kun teemme työmme kyberturvallisuuden asiantuntijoina hyvin, menestystämme ei huomata. Mutta kun epäonnistumme, epäonnistumiset ovat erittäin näkyviä. On kovaa peliä, kun tunnustusta saadakseen joutuu ensin epäonnistumaan.

Toinen ongelma on, että terveystiedot eivät ole kuin yritystietoja, joita säilytetään suhteellisen lyhyt aika ja jotka voidaan sitten tuhota tai julkistaa. Terveystietojen on oltava aina saatavilla, ja niiden on pysyttävä turvassa ja yksityisinä. Ja koska budjetit ovat rajallisia ja käytössä on vanhentuneita järjestelmiä, tämä on valtava haaste, jota olemme vasta alkaneet ymmärtää.

Ratkaisevaa on, että terveystietomme ovat nyt kiristyksen ja muun tyyppisten hyökkäysten kohteena. Tämän massiivisen haasteen ratkaiseminen edellyttää asenteen muutosta monilla tasoilla. Tätä haastetta ei voi kukaan ratkaista yksin. Se vaatii lisääntyvän uhan syvempää ymmärtämistä ja halukkuutta puuttua siihen kaikilla mahdollisilla tasoilla.

Kyberturvallisuusasiantuntijoiden tieto, oivallukset ja toiminta ovat iso osa ratkaisua, mutta ainoastaan yhdessä voimme ratkaista kohtaamamme ongelman.

"Työsähköposteista tulee vanhentuneita tiedostoja noin 20 vuodessa. Terveystietojen on oltava saatavilla ja turvassa ikuisesti."