Kad dugogodišnja medicinska sestra završi u svijetu cybersigurnosti

Kad dugogodišnja medicinska sestra završi u svijetu cybersigurnosti

Kako se kaže - znatiželja je ubila mačku. Mene je moja dovela do svijeta online sigurnosti, infosecurityja ili kako je općepoznato u narodnom žargonu - cybersecurityja. No, kako sam kao medicinska sestra završila u svijetu sigurnosti i što sam putem naučila o propustima koji se svakodnevno rade?

Osim što sam medicinska sestra, bila sam agentica, a i prodavala sam cipele u veleprodaji. Samim time sam se i upoznala sa svijetom PR-a i marketinga, što mi je kasnije poprilično poslužilo u istraživanju vezanom uz očuvanje privatnosti i sigurnosti u zdravstvu. Samo pomislite na marketing vezan uz medicinske aparate, lijekove, inovacije, sve popularniji IoT, skupljanje podataka, čime se bolnice, a i pacijenti, nerijetko izlažu nepotrebnom riziku. Počevši od preprodaje njihovih medicinskih podataka u marketinške svrhe do pružanja mogućnosti da previše kriminalaca može ući u sigurnosni sustav bolnica, čime se može ugroziti i život pacijenata koji nemaju toliko veliko tehničko znanje na polju cybersigurnosti.

Jedan od još uvijek najpopularnijih načina hakiranja podataka je korištenje social engineeringa, jer su ljudske greške i nehajnost u njihovom ponašanju na internetu još uvijek jedan od najvećih uzroka curenja podataka. Sjetimo se samo eksperimenta o tome što se o jednoj osobi može doznati u samo nekoliko sati pretraživanja na internetu.

Sve je počelo ljudskim nehajem

Od toga je sve i počelo, ljudskog nehajnog ponašanja na internetu. Kao medicinska sestra radim već više od 20 godina na poziv po nizozemskim bolnicama. Digitaliziranjem bolnica i uvođenjem računala svima se omogućio pristup medicinskoj dokumentaciji – i internetu.

Naravno, svatko od osoblja dobio je svoj profil i lozinke, a time je mogao surfati po internetu koliko god želi. U početku (doista davno) bilo je moguće i preuzimanje filmova koristeći bolnička računala pa čak i medicinske aparate.

Kako sam radila na poziv, obišla sam puno bolnica i zdravstvenih ustanova i od gotovo svih kolega dobivala njihove lozinke kako bih se mogla ulogirati – ili su jednostavno po računalima lijepili na papiru ispisane podatke za prijavu. Vrlo sam brzo shvatila koliko je to u principu opasno, jer osim uvida u svu medicinsku dokumentaciju, imala sam uvid i u privatne informacije kolega kao što su platne liste, adresa, brojevi osiguranja… Kao i e-mail adrese svih zaposlenih u toj bolnici. Osim uvida, mogla sam i raditi pod profilom kolege te promijeniti razne informacije vezane uz pacijente te time ugroziti i pacijenta i kolegu.

U svemu sam ovome otkrila i koliko su lozinke smiješno lake za pogađanje/hakiranje koristeći social engineering.

Što je s medicinskim strojevima povezanima s internetom?

Pokušavajući pojasniti kolegama da ne trebaju olako davati svoje pristupne podatke, počela sam se sve više udubljivati u situaciju u zdravstvu vezanu uz privatnost i sigurnost, ne samo medicinskih podataka, već i sigurnosti strojeva. Naime, strojevi se redovno kontroliraju putem računala, odnosno iz raznih razloga povezani su s njima.
Poznavajući medicinsku stranu, teoriju i praksu, počela sam se zanimati oko toga što je sve moguće napraviti ako se računala i medicinski strojevi hakiraju. Uz pomoć dosta ljudi iz infosecurity zajednice, koji su mi pokazali što je sve moguće, kao i linkova koje su mi redovno slali, shvatila sam da je stanje zaista alarmantno.

Kao neko tko je uvijek bio tehnički nastrojen i uviđao mogućnosti tehnike u zdravstvu, zanimale su me i inovacije u ovoj grani, kao i IoT. Nažalost, tu sam primijetila ne samo nezainteresiranost za privatnost, već i opet nehajnost za sigurnosti i, uz sve to, loš marketing. Vrlo brzo mi je postalo jasno da je većina ovih proizvoda napravljena čisto za prodaju – ne samo da nam nisu bili potrebni, nego su i ugrožavali privatnost i sigurnost pacijenata (a i nas zaposlenih).

Kucanje na mnoga vrata… Dok netko nije otvorio

Kako baš i nisam šutljiva, pokušala sam obavijestiti o tome nadležne, uglavnom IT odjele, ali sam nailazila na zatvorena vrata. Vjerojatno su mislili da jedna sestra nema baš nekog znanja na polju sigurnosti i nisu shvaćali da je to netko s “terena” tko im može pomoći.  😊

Ni sve organizacije koje se bave sigurnošću nisu u početku uzimale za ozbiljno moje priče, dok slučajno nisam stupila u kontakt s Women in Cyber i dobila podršku da svoju priču ispričam na konferencijama.

Osim toga, zajedno smo napravile istraživanje web stranica bolnica u Nizozemskoj, pokušale ih obavijestiti (ponovno negiranje medicinske sestre) i na kraju objavile istraživanje da bi se ukazalo na problem. Naravno, bez imenovanja bolnica, već samu statistiku.

Zaintrigirana ovim istraživanjem, istražila sam i 100 najboljih bolnica u Americi i poslala im izvještaje. U ovom je trenutku US-CERT zauzet daljim akcijama svih bolnica koje nisu reagirale.😊

U jednom je trenutku počela ozbiljnija komunikacija s dosta ljudi iz svijeta sigurnosti koji su podržavali ovu temu ili su se i sami bavili sigurnošću po bolnicama.

Problem je velik

Iz svih promatranja i istraživanja došla sam do zaključka da je problem ogroman:

  • Organizacije/bolnice redovno nemaju nikoga tko se bavi sigurnošću.
  • Ako i imaju, to je jedna do dvije osobe, koje nemaju mnogo utjecaja na politiku i same ne mogu postići puno.
  • Strojevi su stari, imaju star i nezaštićen softver, ne rade se nadogradnje i “krpanja” i, naravno, spojeni su na neki internet, najčešće javni.
  • Lakoća se stavlja ispred sigurnosti.
  • Postoji needuciranost po pitanju privatnosti i sigurnosti ne samo medicinskog osoblja, već i drugih specijalnosti u zdravstvu.
  • Bolnice su ugrožene, njihovi su zaposlenici ugroženi, a i pacijenti, na više načina.

Iz svega ovoga lako se može zaključiti da su napadi putem ransomwarea i phishing vrlo lako ostvarivi. Posljedice su velike, počevši od bolnice preko zaposlenih pa sve do pacijenta.

Dok kirurg sluša Spotify prilikom operacije, brine li se o sigurnosti podataka?

Mislili smo da stari strojevi nisu dobro zaštićeni jer su stari i ne mogu se dobro zaštititi, ali što kažete na nove aparate koji se povezuju s javnim internetom tako da kirurzi mogu slušati Spotify i čitati privatni e-mail dok operiraju? Primjer je to jednog jako lošeg marketinga pri čemu je ovo realnost – stroj jest povezan s javnim internetom i time se dovodi rad na njemu u opasnost, jer kriminalac može preuzeti ili obustaviti rad aparata.

Osim toga, sve se više medicinskih aparata nepotrebno povezuje na internet tijekom cijelog dana, čime se dodatno ugrožava njegova sigurnost. Savjet ICS-CERT-a je da medicinski aparati budu povezani na internet samo za nadogradnju i popravke na daljinu, ali ne i 24/7. Također, ustanove moraju osigurati financijska sredstva za održavanje i nadogradnju medicinskih aparata, a hoće li to raditi osoblje zaposleno u bolnici ili neka vanjska tvrtka, manje je važno.

Tri anegdote za kraj

Priča prva. Svojevremeno su na bolničkim računalima onemogućili pristup stranicama putem kojih su se mogli preuzimati filmovi. Naravno, jedna je sestra iskoristila medicinski aparat i putem njega preuzimala filmove, tako da ga je osoblje i dalje moglo gledati.

Priča druga. Jednom sam upitala kolegicu zašto mi daje svoje podatke za prijavu. Ona mi reče da ne dramim, da mi vjeruje i da mi je to potrebno kako bih mogla raditi, dajući mi papirić na kojemu su napisani njeno korisničko ime i lozinka. Naravno, iziritirana, ali s osmjehom, okrenula sam se prema računalu i otvorila link pod imenom My work. Podsjetila sam je da putem te poveznice imam uvid u sve njene osobne podatke.

Papirić je odjednom nestao. Pitah je uz osmijeh: “Što sklanjaš papirić? Pa ti mi vjeruješ, zar ne?”

Ona se samo nasmijala i rekla: “OK, OK, shvatila sam poantu”. Nas smo dvije inače u dobrim odnosima.

Poslije ovakvih situacija većina je prestala davati svoje podatke drugima.

Priča treća. Zaboravna kakva jesam, kad promijenim lozinku, dogodi mi se da je i zaboravim. Tako sam nekoliko puta zvala IT odjel (raznih bolnica u kojima sam radila) i objasnila im situaciju. Osim odgovora na pitanje o tome koje mi je korisničko ime, nisu radili nikakvu dodatnu provjeru. Djelatnik bi mi u pravilu dao lozinku na lijep glas, ne znajući zapravo tko sam. 😊

Jelena će u petak, 8. rujna, na konferenciji o informacijskoj sigurnosti u Varaždinu, FSec, održati predavanje na temu posljedica nedostatka sigurnosti u bolnicama.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Startupi i poslovanje

Čudo nije investicija, već Infobipov ‘bootstrapped’ rast i upornost već 14 godina

Infobip je osiguravanjem investicije od 200 milijuna dolara postao prvi hrvatski 'jednorog'. No pravo čudo je da su osnivači Silvio Kutić, Roberto Kutić i Izabel Jelenić do ovog trenutka dogurali bez ijedne vanjske investicije - i govori mnogo o hrvatskim tehnološkim poduzetnicima!

Startupi i poslovanje

Od Applea do Rimca: Tko je novi CTO Rimac Automobila, Chris Porritt

Automobilski svijet pomalo je iznenadila vijest o odlasku Chrisa Porritta iz Applea i dolaska - u hrvatske Rimac Automobile, ali tko je Chris uopće i zašto je njegov dolazak važan?

Mobilno

Moja Croatia: Da biste digitalizirali osiguranje ne trebate govoriti “jezikom osiguranja”

Ana Zovko, direktorica sektora za digitalni razvoj, otkriva što su morali osigurati unutar Croatia osiguranja kako bi razvili potpunu, a zaista jednostavnu za korištenje self-care aplikaciju.

Što ste propustili

Tehnologija

Ratko Mutavdžić: Od ‘cloud’ blogera do Microsoftovog Technology Officera za srednju i istočnu Europu

S novim tehnološkim šefom Microsofta za srednju i istočnu Europu, Ratkom Mutavdžićem, razgovarali smo o 700-postotnom rastu Microsoft Teamsa za vrijeme pandemije, kako se koriste 'cloud' tehnologije u 2020., ali i zašto Zagreb treba kafić-ured!

Startupi i poslovanje

Od investicije do akvizicija – Silvio Kutić i investitori Ante Kušurin i Mario Ančić o Infobipovim ambicijama

U eksluzivnom razgovoru za Netokraciju, Silvio Kutić, kao direktor Infobipa, Ante Kušurin i Mario Ančić iz fonda One Equity Partners, ujedno poznati hrvatski sportaši, otkrivaju detalje svoje suradnje – i planova da stvore vodeću svjetsku CPaaS platformu.

Društvene mreže

Zabrani li Trump TikTok, hoće li hrvatski ‘TikTokeri’ preći na Instagram Reels?

Dok čekamo hoće li Trump zabraniti, a Microsoft kupiti SAD za američko tržište, hoće li Zuckerberg iskoristiti pravi trenutak i preuzeti TikTokove kreativce, publiku i potencijal?

Startupi i poslovanje

Hrvatske B2B tehnološke tvrtke “iskovale” su se u konstantnim krizama, preživjet će i ovu!

Trenutna kriza nije ni prva ni zadnja, a kako su se postavili - i kako će preživjeti - u B2B tehnološkom poslovanju za Netokraciju otkrivaju osnivači Poslovne inteligencije, Microblinka, Agrivija i Airta.

Web aplikacije

E-Predmet na GitHubu: Mogli bismo imati djelotvornije sudstvo, ali ne bez kvalitetnih podataka

Računarac koji je pozornost javnosti privukao tehnologijom za brojanje sudionika javnih skupova uhvatio se u koštac s podacima iz pravosudnog sustava. Usput je razotkrio koliko je to čudan svijet.

Kultura 2.0

Zašto nisam podržala #womensupportingwomen, a jesam #ženeujavnomprostoru

Shvaćam. Lako je. Lako je objaviti selfie, nasmijati se, osjećati taj #girlpower, primiti lajkove, komplimente i otići dalje u dan. No, bojim se da prelako prepuštamo prostor onome što je lako, a preteško onome što je teško.