Зачем мошенникам наши истории болезней?

Злоумышленники все чаще предпринимают попытки украсть данные врачей и пациентов, совершенствуя старые схемы и придумывая новые способы обмана. Накануне ФСБ предупредила о волне воровства данных госучреждений, включая медицинские организации. По итогам прошлого года медорганизации заняли первое место по количеству утечек данных посредством социальной инженерии и второе – как жертвы вирусов-шифровальщиков. IT Speaker узнал у экспертов в области кибербезопасности и здравоохранения о самых опасных хакерских схемах и методах защиты данных. 

Сообщения об утечках данных пациентов и медперсонала крупных учреждений появляются регулярно как в России, так и за рубежом. Часто хакерским атакам подвергаются клиники и диагностические лаборатории, а также поликлиники, больницы, аптеки и биотех-компании. 

В октябре на форуме киберпреступников появилось сообщение о продаже «самых ценных данных, которые вы когда-либо видели». Речь шла об клиентских данных компании 23andMe, занимающейся тестированием ДНК, и 13 млн профилей. Полученная информация могла включать имя, фотографию, пол, год рождения, адрес клиента, а также процент совпадения ДНК с другими людьми и информацию о происхождении. Компания еще не выяснила точный объем украденных данных, расследование утечки продолжается. 

Осенью мошенники устроили рассылку «писем счастья» в клиники якобы от лица Роскомнадзора. Они уведомляли о нарушении требований по защите данных пациентов и предлагали устранить их, внеся необходимые корректировки в базы учреждений. Если организация поддается давлению, то в руки аферистов попадают персональные данные пациентов и информация о состоянии здоровья. Как предупредили юристы учреждений, злоумышленники могут использовать их, например, для шантажа.

В феврале этого года более 3,3 млн пользователей калифорнийского Regal Medical Group пострадали от кражи данных, а хакеры-вымогатели из группировки Alphv взломали сеть больниц Lehigh Valley Health Network и начали публиковать в интернете фото людей с онкологическими заболеваниями. Весной этого года хакеры выложили в интернет засекреченные документы о российской вакцине Спутник V. Летом произошли крупные утечки из баз клинико-диагностических лабораторий KDL и медлабораторий «Хеликс», клиентов сети аптек «Вита». В сентябре корпорация IBM сообщила о том, что неизвестные получили несанкционированный доступ к базе данных платформы для поддержки пациентов Janssen CarePath. В октябре 2023-го хакерская группировка UHG выложила в открытый доступ данные предположительно клиники «РЖД-Медицина» (Владивосток). И это далеко не все случаи крупных атак с кражами конфиденциальной мединформации. 

Согласно отчету «Сёрчинформ», в прошлом году с утечками информации столкнулось 20% отечественных организаций из сферы здравоохранения. Чаще всего утекали персональные данные (45%) и коммерческая информация (64%).

В России за два года почти в 40 раз выросло количество краж персональных данных пользователей: если в 2021 году таких инцидентов было четыре, в 2022 году — более 140, а за первые семь месяцев 2023 года — уже свыше 150.

Один из последних отчетов IBM Security, посвященный вопросам кибербезопасности, акцентирует внимание на утечках данных именно в отрасли здравоохранения: в этом сегменте стоимость утечек оценивается в $10,93 млн. 

По данным Positive Technologies, медучреждения уже пятый год подряд остаются в тройке самых атакуемых отраслей: в 2022 году доля атак на них составила 9% среди всех организаций. В более чем 80% случаев атаки приводили к утечкам данных о клиентах: в основном персональных данных и медицинской информации, включая ФИО, дату рождения, адрес, телефонный номер, реквизиты банковских счетов, информацию о страховке, номер водительского удостоверения, адрес электронной почты, историю болезни и другую медицинскую информацию.

Однако самым резонансным случаем кражи медицинских данных в России ИБ-эксперты называют майский инцидент с утечкой данных клиентов лаборатории «Гемотест», а именно персональных данных и результатов анализов. За появление в даркнете 300 ГБ данных с персональной информацией 30 млн пользователей сети лабораторий суд оштрафовал на 60 тыс. рублей. 

Схемы атак

Кражи данных из медорганизаций происходили десятки лет назад в офлайн-среде. Как пояснила гендиректор компании-разработчика медсистем «Инфотех-разработка» Эльвира Низамова, в коридорах поликлиник из «кармашков» с карточками и справками воровали результаты анализов. По ним мошенники находили пациентов, вводили их в заблуждение, выманивая деньги. Однако с развитием компьютерных технологий масштаб воровства данных вырос в разы.

Кибермошенники демонстрируют высокую изобретательность, продолжая придумывать новые схемы в охоте на данные компаний. Как отметил глава «Нейротехнолоджи» Юрий Корюкалов, они используют фишинг-атаки в виде отправки электронных писем или сообщений, представляясь легитимными организациями – например, силовыми ведомствами. 

Но с недавних пор появилась новая схема кибернападений на сектор здравоохранения – масштабные DDoS-атаки. Как поясняет нейрофизиолог, они перегружают сетевую инфраструктуру медицинских организаций, персонал теряет к ней доступ, что усложняет оказание своевременной и качественной медпомощи.

Также не редки атаки на медицинское оборудование IoT-устройствами – от умных тонометров до сложных систем мониторинга пациентов. 

Как добавил руководитель группы исследований безопасности банковских систем Positive Technologies Сергей Белов, злоумышленники стремятся в том числе получить доступ к финансовой информации учреждений, а также к системам управления и контроля за медицинским оборудованием. 

В число самых распространенных видов атак он добавил атаки с использованием ransomware (программа-вымогатель), а также атаки на сетевую инфраструктуру медорганизаций. Злоумышленники могут использовать полученные данные для продажи на черном рынке, для вымогательства, причем как в отношении клиентов, так и в отношении самой организации. 

Эксперт сервиса аналитики и оценки цифровых угроз ETHIC компании Infosecurity (входит в ГК Softline) Максим Грязев среди распространненных схем атак на медучреждения и лаборатории также выделяет атаки на веб-сайты и дефейсинг: злоумышленники взламывают веб-сайт и заменяют его содержимое на свое, что может быть использовано как для распространения фальшивой информации, так и для демонстрации уязвимостей системы.

Директор по развитию бизнеса «ТехЛАБ» Артем Магницкий добавил, что в этом году наиболее часто используется SEO poisoning («отравление поисковой выдачи») и QR-фишинг. В первом случае злоумышленники применяют данные поисковой оптимизации или SEO для опережающей выдачи незаконного домена. Во втором – применяются QR-коды, которые позволяют обойти антиспам-фильтры и другие средства защиты. Также, по словам эксперта, в этом году также участились случаи атак на медицинскую технику – особенно через цепочку поставок. 

Он отметил, что не менее опасны те схемы и технологии, которые уже давно используют мошенники. Так, по данным 2021–2022 годов, наибольшей популярностью пользовались  программы-шифровальщики: в 68% атак злоумышленники распространяли их через электронную почту, а в 29% — прибегали к компрометации компьютеров, серверов и сетевого оборудования.

Управляющий RTM Group Евгений Царев в свою очередь отметил, что данные пациентов медицинских учреждений мошенники обычно продают в виде больших баз в интернете, как от конкретной организации, так и тематические (пациенты с ковидом, ВИЧ, онкологией и т.д.). Реже они используются для организации направленных атак (когда цель - конкретная персона - крупный бизнесмен, например), и тогда добываются сведения об истории болезни, анализах, произведенной оплате за операции или услуг. Обычно в таких случаях мошенники занимаются вымогательством, шантажом, угрожая опубликовать или передать кому-либо сведения о заболеваниях или пластических операциях.

По словам топ-менеджера, не исключением становятся случаи подкупа медперсонала, которые «сливают» мошенникам нужные сведения. Некоторые сведения о пациентах (о наличии вич-инфекции или о специфической операции) используют в сложных, многоступенчатых атаках с применением социальной инженерии. Например, звонят и представляются сотрудниками медучреждения и сообщают о том, что появилось дорогостоящее лекарство, которое нужно выкупить. После получения денег мошенники «исчезают». 

Специалист отдела комплексных систем защиты информации «Газинформсервиса» Дмитрий Овчинников связывает рост случаев атак на медкомпании и лаборатории с увеличением активности их работы в онлайн-среде и мировым трендом на ускорение получения доступа к услугам и цифровизации всей экономики. По его словам, любые данные, которые попадают в интернет, сразу же становятся потенциальной целью для взлома.

«За один день может произойти порядка тысячи попыток сетевого сканирования ресурса на наличие открытых портов со стороны злоумышленников. Сканирование производится в автоматическом режиме и поэтому хакерам не важно, что находиться на том конце: умный холодильник или веб-сайт», – рассуждает собеседник IT Speaker.

Сергей Белов из Positive Technologies связывает увеличение числа хакерских атак на системы медкомпаний и лабораторий с несколькими факторами. Первую причину эксперт видит в устаревшем ПО, используемом медицинскими учреждениями, и недостаточной защите систем, что делает их уязвимыми для кибератак. Второй фактор – возросшее количество устройств, подключенных к интернету в медорганизациях, таких как медоборудование, системы управления зданиями и другие устройства интернета вещей. Эти устройства часто имеют уязвимости, которые могут быть и спользованы хакерами для получения доступа к корпоративной сети учреждения.

Как пояснил Белов, важно, чтобы медицинские организации осознавали угрозы и принимали меры для обеспечения безопасности своих систем и данных. Для этого требуется регулярное обновление ПО, использование современных методов аутентификации, а также обучение персонала правилам кибергигиены, чтобы они не стали жертвами фишинговых атак или других видов социальной инженерии.

Максим Грязев из Infosecurity как третий фактор выделяет высокую ценность чувствительных данных для киберпреступников. Медицинская информация может быть использованы для различных схем, включая медицинское страховое мошенничество, кражу личности и даже для создания фальсифицированных медицинских исследований. А медучреждения чаще всего имеют ограниченный бюджет на ИТ-инфраструктуру и безопасность, основной акцент работы сектора – забота о пациентах, а не кибербезопасность. 

Артем Магницкий из «ТехЛАБ» в свою очередь добавил, что не все специалисты в отрасли медицины, которые имеют доступ к данным пациентов или медорганизации, идеально соблюдают все предписания о безопасной работе с информацией и обеспечении всех мер защиты (приказы ФСТЭК, ФСБ России, Роскомнадзора, Минздрава РФ и ФЗ №152 «О персональных данных»). Например, результаты исследований и опросов показывают, что 92,8% врачей используют запрещенные мессенджеры для профессиональной коммуникации (WhatsApp, Viber и другие).

По словам ИТ-специалиста, зная паспортные данные и номер СНИЛС пациента, мошенники могут получить доступ к другой его личной информации на портале «Госуслуги» или могут оформить на его имя микрозайм, зарегистрировать электронный кошелек, получить доступ к врачебной тайне – количество вариаций огромно.

Однако эксперт уверен, что важность темы кибербезопасности в медицине обусловлена не только ценностью персональной информации пациентов, но и функционированием систем и сервисов, способных влиять на принятие врачебного решения. При этом информационные системы, применяемые в медорганизациях, являются объектами критической информационной инфраструктуры (КИИ), а значит, привлекают особое внимание. 

Несмотря на очевидную потребность в развитии ИБ в здравоохранении, Магницкий выделяет и позитивные тенденции отрасли кибербезопасности в сегменте. Одни из наиболее ярких – усиление концепции импортозамещения и особое внимание к защите объектов критической информационной инфраструктуры. Кроме того, на его взгляд, все более проработанным становится нормативное регулирование – эта тенденция набирает обороты в последние пару лет. И, наконец, искусственный интеллект и те потенциальные возможности и угрозы, которые он несет: ИИ проходит лейтмотивом через всю государственную политику сейчас, и в здравоохранении, как и других сферах, это вызывает и потребность искать новые способы защиты информации.