Kad dugogodišnja medicinska sestra završi u svijetu cybersigurnosti

Kad dugogodišnja medicinska sestra završi u svijetu cybersigurnosti

Kako se kaže - znatiželja je ubila mačku. Mene je moja dovela do svijeta online sigurnosti, infosecurityja ili kako je općepoznato u narodnom žargonu - cybersecurityja. No, kako sam kao medicinska sestra završila u svijetu sigurnosti i što sam putem naučila o propustima koji se svakodnevno rade?

Osim što sam medicinska sestra, bila sam agentica, a i prodavala sam cipele u veleprodaji. Samim time sam se i upoznala sa svijetom PR-a i marketinga, što mi je kasnije poprilično poslužilo u istraživanju vezanom uz očuvanje privatnosti i sigurnosti u zdravstvu. Samo pomislite na marketing vezan uz medicinske aparate, lijekove, inovacije, sve popularniji IoT, skupljanje podataka, čime se bolnice, a i pacijenti, nerijetko izlažu nepotrebnom riziku. Počevši od preprodaje njihovih medicinskih podataka u marketinške svrhe do pružanja mogućnosti da previše kriminalaca može ući u sigurnosni sustav bolnica, čime se može ugroziti i život pacijenata koji nemaju toliko veliko tehničko znanje na polju cybersigurnosti.

Jedan od još uvijek najpopularnijih načina hakiranja podataka je korištenje social engineeringa, jer su ljudske greške i nehajnost u njihovom ponašanju na internetu još uvijek jedan od najvećih uzroka curenja podataka. Sjetimo se samo eksperimenta o tome što se o jednoj osobi može doznati u samo nekoliko sati pretraživanja na internetu.

Sve je počelo ljudskim nehajem

Od toga je sve i počelo, ljudskog nehajnog ponašanja na internetu. Kao medicinska sestra radim već više od 20 godina na poziv po nizozemskim bolnicama. Digitaliziranjem bolnica i uvođenjem računala svima se omogućio pristup medicinskoj dokumentaciji – i internetu.

Naravno, svatko od osoblja dobio je svoj profil i lozinke, a time je mogao surfati po internetu koliko god želi. U početku (doista davno) bilo je moguće i preuzimanje filmova koristeći bolnička računala pa čak i medicinske aparate.

Kako sam radila na poziv, obišla sam puno bolnica i zdravstvenih ustanova i od gotovo svih kolega dobivala njihove lozinke kako bih se mogla ulogirati – ili su jednostavno po računalima lijepili na papiru ispisane podatke za prijavu. Vrlo sam brzo shvatila koliko je to u principu opasno, jer osim uvida u svu medicinsku dokumentaciju, imala sam uvid i u privatne informacije kolega kao što su platne liste, adresa, brojevi osiguranja… Kao i e-mail adrese svih zaposlenih u toj bolnici. Osim uvida, mogla sam i raditi pod profilom kolege te promijeniti razne informacije vezane uz pacijente te time ugroziti i pacijenta i kolegu.

U svemu sam ovome otkrila i koliko su lozinke smiješno lake za pogađanje/hakiranje koristeći social engineering.

Što je s medicinskim strojevima povezanima s internetom?

Pokušavajući pojasniti kolegama da ne trebaju olako davati svoje pristupne podatke, počela sam se sve više udubljivati u situaciju u zdravstvu vezanu uz privatnost i sigurnost, ne samo medicinskih podataka, već i sigurnosti strojeva. Naime, strojevi se redovno kontroliraju putem računala, odnosno iz raznih razloga povezani su s njima.
Poznavajući medicinsku stranu, teoriju i praksu, počela sam se zanimati oko toga što je sve moguće napraviti ako se računala i medicinski strojevi hakiraju. Uz pomoć dosta ljudi iz infosecurity zajednice, koji su mi pokazali što je sve moguće, kao i linkova koje su mi redovno slali, shvatila sam da je stanje zaista alarmantno.

Kao neko tko je uvijek bio tehnički nastrojen i uviđao mogućnosti tehnike u zdravstvu, zanimale su me i inovacije u ovoj grani, kao i IoT. Nažalost, tu sam primijetila ne samo nezainteresiranost za privatnost, već i opet nehajnost za sigurnosti i, uz sve to, loš marketing. Vrlo brzo mi je postalo jasno da je većina ovih proizvoda napravljena čisto za prodaju – ne samo da nam nisu bili potrebni, nego su i ugrožavali privatnost i sigurnost pacijenata (a i nas zaposlenih).

Kucanje na mnoga vrata… Dok netko nije otvorio

Kako baš i nisam šutljiva, pokušala sam obavijestiti o tome nadležne, uglavnom IT odjele, ali sam nailazila na zatvorena vrata. Vjerojatno su mislili da jedna sestra nema baš nekog znanja na polju sigurnosti i nisu shvaćali da je to netko s “terena” tko im može pomoći.  😊

Ni sve organizacije koje se bave sigurnošću nisu u početku uzimale za ozbiljno moje priče, dok slučajno nisam stupila u kontakt s Women in Cyber i dobila podršku da svoju priču ispričam na konferencijama.

Osim toga, zajedno smo napravile istraživanje web stranica bolnica u Nizozemskoj, pokušale ih obavijestiti (ponovno negiranje medicinske sestre) i na kraju objavile istraživanje da bi se ukazalo na problem. Naravno, bez imenovanja bolnica, već samu statistiku.

Zaintrigirana ovim istraživanjem, istražila sam i 100 najboljih bolnica u Americi i poslala im izvještaje. U ovom je trenutku US-CERT zauzet daljim akcijama svih bolnica koje nisu reagirale.😊

U jednom je trenutku počela ozbiljnija komunikacija s dosta ljudi iz svijeta sigurnosti koji su podržavali ovu temu ili su se i sami bavili sigurnošću po bolnicama.

Problem je velik

Iz svih promatranja i istraživanja došla sam do zaključka da je problem ogroman:

  • Organizacije/bolnice redovno nemaju nikoga tko se bavi sigurnošću.
  • Ako i imaju, to je jedna do dvije osobe, koje nemaju mnogo utjecaja na politiku i same ne mogu postići puno.
  • Strojevi su stari, imaju star i nezaštićen softver, ne rade se nadogradnje i “krpanja” i, naravno, spojeni su na neki internet, najčešće javni.
  • Lakoća se stavlja ispred sigurnosti.
  • Postoji needuciranost po pitanju privatnosti i sigurnosti ne samo medicinskog osoblja, već i drugih specijalnosti u zdravstvu.
  • Bolnice su ugrožene, njihovi su zaposlenici ugroženi, a i pacijenti, na više načina.

Iz svega ovoga lako se može zaključiti da su napadi putem ransomwarea i phishing vrlo lako ostvarivi. Posljedice su velike, počevši od bolnice preko zaposlenih pa sve do pacijenta.

Dok kirurg sluša Spotify prilikom operacije, brine li se o sigurnosti podataka?

Mislili smo da stari strojevi nisu dobro zaštićeni jer su stari i ne mogu se dobro zaštititi, ali što kažete na nove aparate koji se povezuju s javnim internetom tako da kirurzi mogu slušati Spotify i čitati privatni e-mail dok operiraju? Primjer je to jednog jako lošeg marketinga pri čemu je ovo realnost – stroj jest povezan s javnim internetom i time se dovodi rad na njemu u opasnost, jer kriminalac može preuzeti ili obustaviti rad aparata.

Osim toga, sve se više medicinskih aparata nepotrebno povezuje na internet tijekom cijelog dana, čime se dodatno ugrožava njegova sigurnost. Savjet ICS-CERT-a je da medicinski aparati budu povezani na internet samo za nadogradnju i popravke na daljinu, ali ne i 24/7. Također, ustanove moraju osigurati financijska sredstva za održavanje i nadogradnju medicinskih aparata, a hoće li to raditi osoblje zaposleno u bolnici ili neka vanjska tvrtka, manje je važno.

Tri anegdote za kraj

Priča prva. Svojevremeno su na bolničkim računalima onemogućili pristup stranicama putem kojih su se mogli preuzimati filmovi. Naravno, jedna je sestra iskoristila medicinski aparat i putem njega preuzimala filmove, tako da ga je osoblje i dalje moglo gledati.

Priča druga. Jednom sam upitala kolegicu zašto mi daje svoje podatke za prijavu. Ona mi reče da ne dramim, da mi vjeruje i da mi je to potrebno kako bih mogla raditi, dajući mi papirić na kojemu su napisani njeno korisničko ime i lozinka. Naravno, iziritirana, ali s osmjehom, okrenula sam se prema računalu i otvorila link pod imenom My work. Podsjetila sam je da putem te poveznice imam uvid u sve njene osobne podatke.

Papirić je odjednom nestao. Pitah je uz osmijeh: “Što sklanjaš papirić? Pa ti mi vjeruješ, zar ne?”

Ona se samo nasmijala i rekla: “OK, OK, shvatila sam poantu”. Nas smo dvije inače u dobrim odnosima.

Poslije ovakvih situacija većina je prestala davati svoje podatke drugima.

Priča treća. Zaboravna kakva jesam, kad promijenim lozinku, dogodi mi se da je i zaboravim. Tako sam nekoliko puta zvala IT odjel (raznih bolnica u kojima sam radila) i objasnila im situaciju. Osim odgovora na pitanje o tome koje mi je korisničko ime, nisu radili nikakvu dodatnu provjeru. Djelatnik bi mi u pravilu dao lozinku na lijep glas, ne znajući zapravo tko sam. 😊

Jelena će u petak, 8. rujna, na konferenciji o informacijskoj sigurnosti u Varaždinu, FSec, održati predavanje na temu posljedica nedostatka sigurnosti u bolnicama.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Tehnologija

Kako sam od osobe koja regrutira programere sama postala programerka?

Prije otprilike godinu dana intenzivno sam guglala “kako postati (samouki) developer”. Danas sam u situaciji da sama pišem o tome. Iako je svačije iskustvo drugačije, nadam se da će ono što sam putem naučila biti korisno i inspirativno svima koji koketiraju s programiranjem i razmišljaju o karijeri u IT-u.

Intervju

Good Game Nikole Stolnika osigurao 2,2 milijuna kuna, među investitorima Sacha Dragić, Ivan Klarić i Bruno Kovačić

Esport organizacija Good Game nedavno je osigurala svoju prvu veliku investiciju od 300 tisuća eura, na krilima grupe investitora koja uključuje Ivana Klarića, Brunu Kovačića i Sachu Dragića.

Društvene mreže

Filip Zavadlav: Kako je ubojica podrškom na online mrežama postao simbol borbe za pravdu?

Uspoređuju ga s Jokerom i Punisherom, prozivaju ga herojem, a ne ubojicom. Priča o Filipu Zavadlavi, 25-godišnjaku koji je počinio trostruko ubojstvo u Splitu, puni sve medije već nekoliko dana. Ali i društvene mreže.

Što ste propustili

Tehnologija

Gradionica – gdje zagrebački klinci grade LEGO robote i zajednicu spremnu za svijet budućnosti

Marljivi polaznici udruge Gradionica svoje zimske praznike nisu provodili pred računalima, mobitelima i konzolama. Nadvijeni nad LEGO kockicama, motorima, kabelima i senzorima planirali su što s novim zadatkom FIRST LEGO lige, na čijoj je svjetskoj završnici u Houstonu prošle godine bio upravo robot iz hrvatske (G)radionice.

Intervju

Hrvatski studio Tanais Games usred razvoja igre Saint Kotar rebrandirao se u Red Martyr Entertainment

Razviti igru u Hrvatskoj samo po sebi je teško, ali napraviti potpun rebrend studija usred razvoja posve je nov izazov.

Kultura 2.0

Sextortion mailovi kruže Hrvatskom: Ucjenjivač je već ugrabio 49 tisuća kuna

Nacionalni CERT (eng. Computer Emergency Response Team) danas je zabilježio povećani broj lažnih ucjenjivačkih poruka kojima napadač pokušava iznuditi novčanu dobit od žrtve, a prema posljednjim informacijama na račun je stiglo najmanje sedam uplata od po 7 tisuća kuna.

Startupi i poslovanje

Porezna prognoza za freelancere: Strože kontrole, nove minimalne plaće, zdravstveno…

Godina iza nas započela je pretežno vedrom prognozom, no s izmjenama Općeg poreznog zakona vrijeme se krajem 2020. značajno pogoršalo za nezavisne izvođače te mikro i male poduzetnike. Što nas još čeka u novoj (fiskalnoj) godini?

Društvene mreže

Nana Nadarević, Mija Dropuljić, Natko Beck: Influenceri koji zdravlje – a možda i život – znače

Razgovarala sam s tri influencera, Nanom Nadarević, Mijom Dropuljić i Natkom Beckom, koji su svoj utjecaj iskoristili za poticanje važnih tema - od podizanja svijesti o uznemiravanju do boljeg komuniciranja u zdravstvu.

Kultura 2.0

Ne smijemo dozvoliti da nam se djeca pogube u virtualnoj stvarnosti igara

Prije nekoliko godina dala sam intervju za Netokraciju na temu virtualne (VR) i proširene stvarnosti (AR). Koju sam tada vrlo naivno zagovarala. Sad ju više ne zagovaram. Dapače, povlačim se iz profesionalnog djelovanja u polju digitalnih medija i filma. Ali prije nego se povučem, želim opozvati svoje previše olako dane osvrte.