Hackfelmetszők–Veled is megtörténhet! 24. Elküldjük-e a röntgenképünket Elon Musknak?
Gécsek-Tóth Enikő
Sosem jutna eszembe, hogy valakinek a pacemakerét próbálják megmanipulálni azért, hogy az illető szíve leálljon. Pedig ez nagyon is valós veszély. Dick Cheney, korábbi amerikai elnök szívritmus-szabályozójában kikapcsolták a wifit 2013-ban éppen egy lehetséges terrorveszély miatt. Ennek már 11 éve, és hát a technológia fejlődését is már el lehet képzelni, hogy azóta a kiberbűnözők módszerei mennyit finomodtak.
Gécsek-Tóth Enikő
Szerte a világon hetente több száz egészségügyi incidenst regisztrálnak, melyekben esetenként átlagosan minimum 200 ezer páciens adata érintett. Éves szinten a több százmilliót is meghaladja a kibertámadásban érintett áldozatok száma. A kiberbűnözők által okozott kár pedig eléri az 50 milliárd eurót. Elengedhetetlen, hogy az egészségügyi szektor folyamatosan fejlessze kiberbiztonsági rendszereit, hogy megvédje mind a pácienseket, mind az egészségügyi adatokat, hiszen a veszélynek való kitettségük óriási. De hol van a hiba a rendszerekben, és miért éri meg a bűnözőknek éppen a kórházak rendszereit támadni, egészségügyi adatokat lopni?
Itt a Hackfelmetszőkben fény derül ezekre a kérdésekre is. Én Gécsek-Tóth Enikő vagyok, beszélgetőpartnerem pedig Csizmazia-Darab István Rambo, az ESET termékeket forgalmazó Sicontact Kft. kiberbiztonsági szakértője és Béres Péter, a Sicontact Kft. IT vezetője.
Hát kezdjük is onnan, hogy miért támadnak meg kórházakat, miért olyan drágák az egészségügyi adatok?
Csizmazia-Darab István
Az FBI 2023-as jelentésében azt lehetett olvasni, hogy rekordszámú, 880 ezer kibertámadási panasz érkezett be hozzájuk. Ott 12,5 milliárd dollárnyi kárt okoztak ezek a kibertámadások, és az egészségügyi szektor volt a legkitettebb.
Az elsődleges cél az az volt, hogy titkosítják az adatokat és váltságdíjat kérnek. Ez kiegészült már egy pár év óta azzal, hogy el is lopják az adatokat, és akkor a zsarolás kiegészül azzal, hogy ha nem fizetnek azért, hogy helyreállító kulcsot kapjanak, akkor fizessenek azért, hogy ezeket ne publikálják, és ne tegyék ki a netre.
A bűnözők megtapasztalták azt is, hogy ezek a célpontok kritikus infrastruktúrának is nevezhetők, jól fizetnek, mert hát roppant kockázat az, hogyha sokáig kimaradnak ezek a szolgáltatások, és emiatt gyakorlatilag ráálltak az állami intézmények elleni támadásra.
2023-ban volt egy pennsylvaniai kórház, ahol 65 millió dolláros váltságdíjat kértek, és elkezdték kiszivárogtatni az adatokat, például rákos betegek fényképeit és egyéb bizalmas orvosi adatokat, leleteket, és hát a kórház kifizette a váltságdíjat.
2024 decemberében több brit kórházban orosz illetőségű ransomware csapatok megtámadtak kórházakat, köztük gyerekkórházakat is, és ilyenkor leáll a normál működés, elmaradnak műtétek, leáll az informatikai rendszer.
Béres Péter
Sokszor azt látjuk, hogy ezek nem feltétlen célzott támadások, tehát merítenek a támadók, és hogyha beleesnek a kórházak, akkor nyilván annak örülnek, mert, ahogy István is mondta, azért nagyobb eséllyel fognak ők fizetni, pont ezen adatok miatt, amiket említettünk. Én annyit tennék még hozzá ehhez a gondolatmenethez, hogy azért ne legyünk álszentek, akár Magyarországon, akár Európában is azért a kórházak nincsenek a legjobb IT állapotban. Akár személyi oldalról nagyon kevés kolléga van, aki dolgozik, és fenntartja ezeket a rendszereket, másrészt eléggé elavult oprendszerekkel, eszközökkel dolgoznak, így sokkal könnyebb bejutni hozzájuk és valamilyen kárt okozni. Egyébként a Covid alatt volt olyan pozitív példa is, ha lehet így nevezni, hogy amikor rájöttek a támadók, hogy kórházról van szó, akkor visszafejtették nekik az adatokat, mert nem szerettek volna ilyen jellegű leállást okozni, amiket említettünk.
Gécsek-Tóth Enikő
- Kérdés, hogy mondjuk, ha pénzügyileg nézünk egy ilyen csalást, vagy egy ilyen támadást, akkor megérheti-e. Tehát ha a magyar kórházak büdzséjére gondolunk, akkor nem biztos, hogy mondjuk kiberbűnözőként szintén pont ez jutna eszembe, hogy egy kórháztól próbáljak meg pénzt szerezni. Az Egyesült Államokban nyilván kicsit más a helyzet, ott egészségbiztosítási rendszer is van, tehát ott az anyagi lehetőségek is talán máshogy alakulnak, de mondjuk, hogyha már a magyarországi helyzetet nézzük, akkor tudtok-e arról, hogy itt is beszivároghatnak a kiberbűnözők egészségügyi intézményekbe. Volt-e már ilyesmire példa?
Béres Péter
Publikusan nem hallottunk erről információt, tehát legközelebb Magyarországhoz, Romániában volt egy ilyen eset nemrég, ott 21 kórház ment vissza a kőkorszakban nagyjából, ott a betegirányítási rendszert zárolták, vagy támadták meg, ott kifizették az összeget.
Gécsek-Tóth Enikő
Értem azt a veszélyt, hogy ha leáll egy egészségügyi intézmény, egy kórház, az miért veszélyes. De mondjuk az én egészségügyi adatom az miért ér többet, mint az én banki adataim például.
Csizmazia-Darab István
Egyrészt azért érhet sokkal többet, merthogy nagyon részletes, ha az összes betegségeddel kapcsolatos adatot valaki megszerzi, akkor abból azért nagyon jól célzott támadásokat lehet többet is összetenni. Könnyű letiltani egy bankkártyát, de az egészségügyi adataidat így félretenni, vagy azt hatástalanítani, az sokkal nehezebb.
Csizmazia-Darab István
Inkább az angol nyelvterületről ismerünk ilyen példákat, átlagosan 3-4 millió forint környéki kára keletkezik annak, akinek ellopták a részletes adatait, gyógyszereket rendelnek, szívműtéteket számolnak el, orvosi berendezéseket vásárolnak a nevében. Az okozott óriási problémát, hogyha visszaélnek az ellopott adatokkal, akkor nagyon nehéz bebizonyítani, hogy nem az illető volt, akinek az adatait ellopták. Amerikában már külön ügyvédi irodák is szakosodtak arra, hogy az ellopott egészségügyi adatok áldozatainak segítsenek.
Béres Péter
Nyilván nem arra gondolok, hogy milyen Covid vakcinát kaptál, hanem ha valamilyen kicsit komolyabb betegségről van szó, vagy nemi identitáshoz kapcsolódó adatokról, akkor nyilván ezt bárhol, bármikor elő tudják húzni, hogyha te politikai pályára készülsz, akkor esetleg elő lehet venni. Itthon inkább egy következő támadás felépítésére használják, mint adatot, tehát hogy továbbmenjenek és célzottan megtámadjanak. Amerikában pedig sokkal inkább azokra a támadásokra használják, amit István is említett, hogy felírjanak gyógyszereket, vásároljanak rá különböző eszközöket, mert nyilván ott sokkal szélesebb körben lehet felhasználni ezeket az egészségbiztosítási adatokat, mint itthon nálunk, már még nem olyan kiterjedt ezeknek a használata.
Béres Péter
Az is változó, hogy mennyire releváns adatokról van szó, mekkora adatmennyiségről van szó, tehát egy átlagemberhez köthető, vagy valamilyen celebhez, és attól függően, amit látunk, hogy egy ilyen rekord, akár 5 dollártól több ezer dollárig keringhet így a feketepiacon.
Csizmazia-Darab István
Olvashattuk valamelyik évben azt a hírt, hogy a Michael Schumacher orvosi kartonját ellopták, és akkor a darkneten árulták, de attól függetlenül, hogy mi nem vagyunk Michael Schumacher vagy nem vagyunk nagy ember, a mi orvosi adataink is értékesek lehetnek, és lehet kárt okozni vele.
Gécsek-Tóth Enikő
Hogyha innen nézzük, hogy mi mit tudunk tenni a mi adatainkért, akkor erre van bármiféle megoldás is? Vagy teljesen ki vagyunk téve a kórházak, egészségügyi intézmények létező vagy nem létező kiberbiztonsági rendszerének?
Béres Péter
Ebből a szempontból mindenképp, tehát hogy azokkal az adatokkal nem nagyon tudsz mit csinálni, amik ott vannak azokon a rendszereken. Így kb. imádkozhatunk, hogy ne történjen semmi, meg bízhatunk abban, hogy mindent megtesz ez az intézmény, hogy a mi adatainkat biztonságosan tárolja. A mi oldalunkról mint magánember, nyilván hasonlóak a tanácsok, mint bármilyen más adat esetén, tehát hogy használjunk valamilyen védelmi megoldást, azokat az adatokat például ne küldözgessük el, Viberen vagy Whatsappon, már ilyen eset is volt, hogy az orvosokkal így osztották meg Angliában, meg különböző országokban az orvosi leleteket. Szóval, hogy én mindig azt mondom, hogy itt is az a józan ész irányítson, és emellé még mellé kell pakolni azokat a védelmi megoldásokat, amik egy átlagos felhasználásnál is előjöhetnek, hogy a banki adatainkat, hogy fényképeinket ne tulajdonítsák el tőlünk.
Béres Péter
Itt egyébként bejön kicsit megint a mesterséges intelligencia rész, merthogy sokszor azt tapasztaljuk, hogyha elmész egy konzultációra, akkor az első 15 perc azzal telik, hogy az orvos így nézi az eszközeit, végignézi, hogy milyen műtéted volt, milyen gyógyszereket szedtél, stb. És például ez is lehet egy fejlesztési irány, hogy például egy AI ezt összefoglalja az orvosnak, és akkor nem 15 perc lesz, hanem egy perc alatt elolvassa, és utána lehet kezdeni a valós kezelést. Tehát, hogy elég sok lehetőség van ebben, meglátjuk, hogy hova fog a következő években fejlődni.
Gécsek-Tóth Enikő
A másik irány, ami nagyon fontos és szintén az egészségünkkel kapcsolatos, hogy százszámra jelennek meg olyan applikációk, amelyek követik az egészségi állapotunkat, sportolásunkat, pulzusszámunkat, és minden egyéb testi funkciónkat próbálja mérni vagy követni. Ezekben láttok-e veszélyt, hiszen ugyanúgy gyűjti az adatainkat.
Csizmazia-Darab István
Ahogy említettük, hogy vannak mindenféle IOT eszközök, amiknek a számát, ugye a netre kapcsolódó okoseszközökről beszélünk, annak most olyan 18 milliárd a jelenlegi száma, és 2030-ra ilyen 40-50 milliárdot mondanak. Nyilván ezek egy része ilyen egészségügyi, okosóra, fitneszkarkötő és stb. Hajlamosak vagyunk itt egyrészt túl sok személyes adatot megosztani, olyat is, amire esetleg nem lenne szükség, másrészt meg a fejlesztők azért sokszor nincsenek a topon, mondjuk a biztonsági szempontok figyelembevételénél. Néha még az apró betűben sincs elrejtve az, hogy kikkel osztják meg ezeket az adatokat, akár ilyen általános statisztikai szinten, akár részletesen eladják-e hirdetőnek, melyik országba kerül ki az adatkezelő. Volt ez a Strava nevű futó app, ami ugye azt csinálta, hogy a futó anonim összegyűjtött ilyen adatokat, azokat föltöltötte a felhőbe, és bárki megnézhette ezeket a képernyőket, és itt például 2018-ban szíriai, meg iraki titkos katonai bázisok lebuktak, mert a katonák a bázis körül végezték a futógyakorlataikat, és körberajzolták ezeket a csíkokat.
Béres Péter
Ha kicsit közelebb jövünk, akkor most nemrég Vlagyimir Putyinnal, meg Bidennel is kapcsolatban voltak ilyen hírek, hogy az ő testőreik ugyanígy használták ezeket, és akkor ezek az adatok szintén kikerültek. Nekem egy ilyen megdöbbentő sztori volt most, és Elon Muskot behozom ide, mert ő is beállt a sorba, és lett egy AI alapú chatbotja, a Grok, és ott megkérte a felhasználókat az AI tanítása céljából, hogy töltsék fel az egészségügyi képeiket, az MR képeket, CT képeket, hogy ezzel tanítsa be a saját X-en futó Grok nevű AI chatbotját. Az emberek minden gondolkodás nélkül tolták föl. Szóval, hogy ezért mondtam a józan észre, hogy oké, hogy követjük, meg flow-ban vagyunk, de nem biztos, hogy ilyeneket föl kéne tolni a közösségi médiába.
Gécsek-Tóth Enikő
A Fehér Ház a közelmúltban további kibermandátumokat szorgalmazott az orvostechnikai eszközök gyártói számára annak a szélesebb körű erőfeszítésnek a részeként, hogy a gyártók vezessék be a biztonságos tervezés elveit termékeikbe, mielőtt azok piacra kerülnének. Tudtok hasonló szabályozásról Európai Unión belül? Tehát itt igen orvostechnikai eszközökről van szó kimondottan.
Csizmazia-Darab István
2017-ben már létezett egy ilyen MDR Medical Device Regulation nevezetű EU-s rendelet, ami az orvostechnikai eszközöknek a kiberbiztonságáról is rendelkezett. Hogyha Magyarországot nézzük, akkor azért a 90-es években is volt valamilyen szintű szabályozás, meg elvárás, de nyilván a 2011-es infótörvény már rendelkezett egy csomó mindenről, aztán 2018 májusában jött a híres GDPR, ahol szintén ez az adatvédelmi és adatkezelési alapelvek érvényesültek. Most 2024 októberétől lépett hatályba a NIS2 szabályozás, ami szintén egy magas szintű kiberbiztonságot irányoz elő.
Béres Péter
Igen, itt kicsit nekem mindig az a problémám, hogy a jog általában követi a technológiát, tehát hogy nehezen tudja utolérni, sőt soha nem fogja, akár az AI Act, akár ezek az IOT-kre vonatkozó szabályozások. Fogalmazzunk úgy, hogy vannak, de hogy a gyakorlatban mennyire fog tudni működni, vagy mennyire lesz jó, azt majd meglátjuk, meg az évek majd bizonyítják. Van szerintem EU-s szinten egy nagyon jó kezdeményezés, ez a European Health Data Space nevű jogszabály. Ennek az lenne a célja, hogy Európában a teljes európai lakosság összes egészségügyi adatát egymás között biztonságosan megoszthassuk kutatási céllal, meg az orvosok között is. Erre elég komoly összeget, azt hiszem, a helyreállítási alapból 810 millió eurót tettek félre, hogy ezt kialakítsák Európa-szerte, és 12 milliárd eurót pedig a digitális egészségügy fejlesztésére szán az EU a jövőben.
Az látszik szerintem így EU szinten főleg, hogy ez az IT security, meg az adatbiztonság előtérbe került, de például az ENSZ is kicsit magához tért így a ransomware kapcsán, és közös összefogásra szólította fel az államokat, tehát hogy egyre több hír, egyre több incidens sajnos kerül nyilvánosságra, és ez egy jó folyamat lesz talán így a közeljövőben, hogy előre tudunk lépni ezekben a dolgokban.
Gécsek-Tóth Enikő
Igen, meg hát nyilván addig is mindenki rájön, hogy saját érdeke lesz az, hogy a saját háza táján, kibervédelme háza táján rendet tartson, hiszen sokkal nagyobb kár éri, hogyha nem így tesz. Hogyha mondjuk a ti cégeteket nézzük, meg az ESET-termékeket, akár teljes kórházakat is le tudtok védeni? Tehát, hogy erre van megfelelő infrastruktúra?
Béres Péter
Természetesen igen. Vannak is ilyen jellegű ügyfeleink. Ahogy az elején említettem, inkább ezekkel a pénzügyi és egyéb erőforráshiányokkal megküzdve kell biztosítani egy olyan rendszert, vagy felépíteni egy olyan rendszert, ami a megfelelő biztonságot talán tudja szolgálni.
Más tanácsadói feladatokra is szükség van, nem csak arra, hogy oké, akkor ez a megfelelő megoldás, hanem kicsit meg kell ismernünk, hogy milyen a hálózat, hogy épül föl, és akkor erre tudunk javasolni egy konkrét megoldást. Az látszik, hogy itt is azért van előrelépés, tehát ha lassan is, de fejlődnek a kórházak is, és talán a következő években azért több erőforrás lesz arra, hogy magasabb szintre lépjenek így a securityben is.
Gécsek-Tóth Enikő
Egyéni szinten melyek azok a tippek, amelyeket tudtok adni, tehát nyilván ne küldözgessünk mindenféle információt az egészségi állapotunkról, Viberen, Whatsappen, tehát találjunk erre biztonságos módot, és még?
Csizmazia-Darab István
De amikor mondjuk mi appot választunk, akkor mindenképp nézzünk utána, hogy milyen referenciája van, érdemesebb a nevesebb, nagyobb gyártóknak a termékeit választani, ahol ugye nem csak jobban megismerhető, hogy milyen irányelvek mentén hogy kezelik az adatokat, de hogyha probléma van, akkor tudunk velük kapcsolatba lépni, és akkor tudunk problémákat orvosolni, meg kezelni.
Nyilván a magánemberek szempontjából ez az informatikai higiénia roppant fontos, tehát, hogy az eszközeinken használjunk vírusvédelmet, megfelelően erős jelszavaink legyenek, akkor ezeket a jelszavakat ne a böngésző jegyezze meg, hanem legyen jelszószéf, használjunk kétfaktoros autentikációt, és akkor a biztonság tudatosságát ezzel kezdtük, ennek folyamatosan ott kell kattogni mindenkinek a fejében.
Béres Péter
Van egyébként az egyik csomagunkban egy személyazonosság-védelem funkció is, ami nagyjából azt jelenti, hogy a dark weben ellenőrzi, hogyha az e-mail címed, neved, meg címed megjelenne a különböző piactereken, és akkor arról tud értesítést küldeni. Ez is egy ilyen jó tanács lehet, hogy használjuk ki ezeket az új funkciókat, amik elérhetőek, tehát hogy tájékozódjunk, és nem csak védelmi oldalon, hanem a veszélyekkel is legyünk tisztában. Tehát tudjuk, hogy mit akarunk megvédeni, és azt esetleg hogy lehet megvédeni.
Gécsek-Tóth Enikő
Összegezzünk. Ne küldjünk tehát röntgenfelvételt Elon Musknak.
Béres Péter
A jövő szerintem ebbe az irányba megy, amit feszegettünk, hogy egyre több olyan eszközünk lesz, vagy a testünkön, vagy a testünkben, ami adatokat fog generálni rólunk, és ezt valahova elküldi, vagy megosztja. Legyünk tisztában azzal, hogy ez most Kínába, Dél-Koreába, Amerikába, EU-ba megy például, és kivel osztják meg. Foglalkozzunk azzal, hogy mit vásárolunk, mit teszünk magunkra, és tényleg a védelmet meg tegyük mellé, meg a józan észt.
