Orvosi rendelőkben portyáznak a kiberbűnözők: nyomtalanul fosztják ki a magyar betegeket

Durva fenyegetésekkel néznek szembe a kórházak és az egészségügyi rendszerek, különösen a pénzügyi haszonszerzés céljából támadó zsarolóvírus-hackerek részéről. Ma már nem csak a kórházas sorozatokban jelenik meg, hogy a kiberbűnözők olyan intézményeket támadnak meg célzottan, ahol az adatvesztés vagy az IT-rendszerek megbénulása akár közvetlenül is veszélyeztetheti az emberéleteket, így a szervezetek gyakrabban kénytelenek váltságdíjat fizetni a működés helyreállítása érdekében. A támadók jellemzően zsarolóprogramokat használnak, amelyek titkosítják a teljes kórházi informatikai rendszert, beleértve a betegadatokat, laboreredményeket, képalkotó diagnosztikai felvételeket, sőt a műtéti ütemezéseket is. Ezáltal az adminisztratív működés, de az akut betegellátás is lebénulhat.

Súlyos következményekkel járhat egy kibertámadás

Az egészségügy különösen kiszolgáltatott a kibertámadásokkal szemben. A kapcsolódó rendszerek ugyanis gyakran elavult szoftvereken futnak, hiányos a szektor IT-biztonsági kapacitása, és az orvosi személyzet nincs kiképezve a kiberfenyegetések felismerésére vagy elhárítására. Emellett az olyank, orvostechnikai eszközök, mint például infúziós pumpák, EKG-monitorok vagy internetkapcsolattal rendelkező röntgengépek újabb és újabb behatolási pontokat kínálnak a támadóknak.

Az ilyen támadások súlyos következményekkel járhatnak:

• késlekedhet a sürgősségi betegellátás,
• műtétek maradhatnak el, és
• hosszú távon sérülhet a betegek magánszférája, ha érzékeny egészségügyi adatokat szivárogtatnak ki.

A támadások másodlagos hatása a társadalmi bizalom megingása, ami gátolhatja a digitális egészségügy további fejlődését. Az Európai Bizottság adatai szerint az elmúlt négy évben az egészségügyi szektor vált a legtöbbet támadott ágazattá az Európai Unióban. Az Európai Unió Kiberbiztonsági Ügynökségének (ENISA) 2024-ben közzétett felmérése szerint az egészségügyi, oktatási és szociális szektorban működő vállalatoknak mégis csak mintegy a negyede tartott képzést vagy figyelemfelkeltő kampányt a kiberbiztonsággal kapcsolatban az elmúlt tizenkettő hónapban.

Rosszindulatú szereplők célpontjai

A Régiók Európai Bizottsága által júliusban elfogadott véleményben a helyi vezetők hangsúlyozzák az átfogó intézkedések sürgős szükségességét a növekvő kiberfenyegetések ellensúlyozása érdekében. Emellett kiemelten fontosnak tartják az informatikai rendszerek védelmét szolgáló fokozott gyakorlatok és eljárások, valamint az egészségügyi ágazatban a képzések fokozását.  

Az egészségügyben a kiberbiztonság nem kizárólag technikai kérdés, hanem ennél sokkal több. Egy kulcsfontosságú biztonsági kihívás, amellyel helyi, regionális, nemzeti és európai szinten is foglalkozni kell, mivel a kórházak és egészségügyi intézmények a fokozott geopolitikai feszültségek idején könnyen a rosszindulatú szereplők, például államilag támogatott hackercsoportok, bűnszervezetek vagy politikailag motivált támadók célpontjává válhatnak

– fogalmazta meg Daniela Cîmpean, Nagyszeben Megyei Tanács elnöke, a kapcsolódó vélemény kidolgozója a Régiók Európai Bizottsága (CoR) plenáris ülésén, amelyre a Pénzcentrum is meghívást kapott.

Hangsúlyozta, az egészségügyi rendszerek és más egészségügyi szolgáltatók elleni kibertámadások a kezelés késleltetését, a sürgősségi ellátás megzavarását és a betegek bizalmának aláásását kockáztatják.

A helyi és régiós vezetők az ülésen sürgették az Európai Unió kritikus ellenálló képességről szóló irányelvének azonnali átültetését a nemzeti jogba. A jogszabály még 2023-ban lépett hatályba, de még azóta sem hajtotta végre minden tagállam. A Régiók Európai Bizottsága felszólította az Európai Bizottságot, hogy indítson kötelezettségszegési eljárást minden olyan országgal szemben, amely nem tartotta be a határidőt. Ez 2024. október 17-e volt.

A kiberbiztonság az egészségügyben helyi, regionális, nemzeti és európai biztonsági kérdés. Aggaszt minket, hogy a bizottság által javasolt cselekvési tervből annak ellenére hiányzik a regionális és helyi szint, hogy a kórházakat a tagállamok kétharmadában regionálisan vagy helyi szinten irányítják. A helyi és regionális önkormányzatokat teljes körben be kell vonni a feladat végrehajtásába, a digitalizáció finanszírozásának egyértelművé tételére, valamint a regionális szakértők európai kiberbiztonsági hálózatokhoz való hozzáférésének biztosítására. A kórházak védelme egyértelmű befektetést jelent a polgárok bizalmába, illetve az Európai Unió demokratikus ellenálló képességébe

– hangsúlyozta az ülésen Daniela Cîmpean.

Az elfogadott ajánlások a helyi és regionális szint nagyobb figyelembevételét is szorgalmazzák, és sürgetik az Európai Bizottságot, hogy tegye egyértelműbbé a helyi és regionális önkormányzatok egészségügyi ágazatban a digitális rendszerek megerősítésére irányuló munkáját támogató finanszírozási lehetőségeket. Arra is felkérik Bizottságot és a tagállamokat, hogy biztosítsák a regionális önkormányzatok által kijelölt szakértők részvételét az európai információbiztonsági vezetők hálózatában.

Veszélyes online elektronikus egészségügyi adatok

Eközben az egészségügy digitalizációja elérte azt a pontot, hogy az eHealth Indicator Study közelmúltban publikált tanulmánya szerint az uniós polgárok közel 80 százaléka fér hozzá online elektronikus egészségügyi adataihoz az alapellátásban. Mindez azt mutatja, hogy ez a sérülékenység már nemcsak intézményi, hanem egyéni szinten is valós és közvetlen.

Miért veszélyes mindez? Mert bár az egészségügyi digitalizáció kétségtelenül javítja az ellátás hatékonyságát és a betegjogok érvényesülését, eközben egyre nagyobb adatmennyiséget tesz elérhetővé hálózaton keresztül, ami kibővíti a potenciális támadási felületet:

• A személyes egészségügyi adatok rendkívül érzékenyek, visszaélés esetén maradandó pszichológiai, szociális vagy gazdasági következményeket okozhatnak (pl. biztosítási diszkrimináció, célzott manipuláció, megzsarolás).
• A páciensek online elérése (például EESZT-portálon, egészségappokon keresztül) új belépési pontokat nyit meg a támadók előtt, többek között adathalász kampányokkal vagy hamisított egészségügyi portálokkal.
• Az intézmények közötti adatmegosztás, különösen ha több országot vagy rendszert is érint) gyakran biztonsági résekhez vezethet, ha nem egységesen védettek az adatcsatornák.
• A bizalomvesztés kockázata: ha az állampolgárok attól tartanak, hogy adataik illetéktelen kezekbe kerülhetnek, elzárkózhatnak az e-egészségügyi megoldásoktól, ami hátráltathatja a rendszer fejlődését.

Az eHealth Indicator Study jelentés az EU27-országok (valamint Izland és Norvégia) aktuális állapotáról szóló értékelés legfrissebb eredményeit mutatja be a digitális évtized e-egészségügyi célkitűzésének elérése felé.

2030-ra az uniós polgárok száz százaléka hozzáférhet majd az elektronikus egészségügyi nyilvántartásokhoz.

A szakemberek úgy vélik, az egészségügyi adatok és a digitális egészségügyi technológiák használata nagy potenciállal rendelkezik a polgárok egészségügyi szolgáltatásokhoz való hozzáférésének javítására, az egészségügyi ellátás minőségének és hatékonyságának növelésére, személyre szabott megközelítések kidolgozására, valamint a kutatás és az innováció támogatására.

Több hiányosságot is jelez a magyar e-egészségügyben

Magyarország 2022 óta kibővítette az online hozzáférési szolgáltatáson keresztül elérhető adatok körét, így már az állampolgárok hozzáférhetnek az allergiákkal, aktuális egészségügyi problémákkal, valamint orvosi eszközökkel/implantátumokkal kapcsolatos adatokhoz is. A korábbna említett jelentés országspecifikus vizsgálata szerint az e-keretrendszer által vizsgált adattípusok közül jelenleg egyedül az orvosi képalkotó felvételek nem elérhetők a felhasználók számára.

A jelentés megjegyzi, hogy további fejlesztésként bővült az EgészségAblak mobilalkalmazás funkcióköre: míg korábban csak a digitális COVID-igazolványok és teszteredmények elérését biztosította, most már lehetővé teszi az Elektronikus Egészségügyi Nyilvántartás (EHR) dokumentumainak és e-receptjeinek megtekintését is.

Magyarország e-egészségügyi érettségének főbb hiányosságai a jelentés szerint:

• jelenleg nem lehet (előzetesen) bejelentett elektronikus azonosítóval (eID) hitelesíteni a felhasználót a rendszerbe való bejelentkezéskor,
• továbbá az online hozzáférési szolgáltatás nem felel meg a webes akadálymentesítési irányelveknek.

EZ IS ÉRDEKELHET

Ezt már nehéz figyelmen kívül hagyni: egyre több magyar beteg, súlyos gondok vannak

Tavaly 3 százalékkal nőtt a táppénzes napok száma Magyarországon, meghaladva a 26 millió napot.

A szakemberek javaslatai:

• Tegyék elérhetővé az orvosi képalkotó felvételek adatait is az online hozzáférési szolgáltatáson keresztül.
• Fejlesszék a belépéshez szükséges hitelesítési eljárást azáltal, hogy lehetővé teszik a (pre)notifikált eID használatát.
• Biztosítsák, hogy az online hozzáférési szolgáltatás megfeleljen a webes akadálymentesítési irányelveknek.