Kad dugogodišnja medicinska sestra završi u svijetu cybersigurnosti

Kad dugogodišnja medicinska sestra završi u svijetu cybersigurnosti

Kako se kaže - znatiželja je ubila mačku. Mene je moja dovela do svijeta online sigurnosti, infosecurityja ili kako je općepoznato u narodnom žargonu - cybersecurityja. No, kako sam kao medicinska sestra završila u svijetu sigurnosti i što sam putem naučila o propustima koji se svakodnevno rade?

Osim što sam medicinska sestra, bila sam agentica, a i prodavala sam cipele u veleprodaji. Samim time sam se i upoznala sa svijetom PR-a i marketinga, što mi je kasnije poprilično poslužilo u istraživanju vezanom uz očuvanje privatnosti i sigurnosti u zdravstvu. Samo pomislite na marketing vezan uz medicinske aparate, lijekove, inovacije, sve popularniji IoT, skupljanje podataka, čime se bolnice, a i pacijenti, nerijetko izlažu nepotrebnom riziku. Počevši od preprodaje njihovih medicinskih podataka u marketinške svrhe do pružanja mogućnosti da previše kriminalaca može ući u sigurnosni sustav bolnica, čime se može ugroziti i život pacijenata koji nemaju toliko veliko tehničko znanje na polju cybersigurnosti.

Jedan od još uvijek najpopularnijih načina hakiranja podataka je korištenje social engineeringa, jer su ljudske greške i nehajnost u njihovom ponašanju na internetu još uvijek jedan od najvećih uzroka curenja podataka. Sjetimo se samo eksperimenta o tome što se o jednoj osobi može doznati u samo nekoliko sati pretraživanja na internetu.

Sve je počelo ljudskim nehajem

Od toga je sve i počelo, ljudskog nehajnog ponašanja na internetu. Kao medicinska sestra radim već više od 20 godina na poziv po nizozemskim bolnicama. Digitaliziranjem bolnica i uvođenjem računala svima se omogućio pristup medicinskoj dokumentaciji – i internetu.

Naravno, svatko od osoblja dobio je svoj profil i lozinke, a time je mogao surfati po internetu koliko god želi. U početku (doista davno) bilo je moguće i preuzimanje filmova koristeći bolnička računala pa čak i medicinske aparate.

Kako sam radila na poziv, obišla sam puno bolnica i zdravstvenih ustanova i od gotovo svih kolega dobivala njihove lozinke kako bih se mogla ulogirati – ili su jednostavno po računalima lijepili na papiru ispisane podatke za prijavu. Vrlo sam brzo shvatila koliko je to u principu opasno, jer osim uvida u svu medicinsku dokumentaciju, imala sam uvid i u privatne informacije kolega kao što su platne liste, adresa, brojevi osiguranja… Kao i e-mail adrese svih zaposlenih u toj bolnici. Osim uvida, mogla sam i raditi pod profilom kolege te promijeniti razne informacije vezane uz pacijente te time ugroziti i pacijenta i kolegu.

U svemu sam ovome otkrila i koliko su lozinke smiješno lake za pogađanje/hakiranje koristeći social engineering.

Što je s medicinskim strojevima povezanima s internetom?

Pokušavajući pojasniti kolegama da ne trebaju olako davati svoje pristupne podatke, počela sam se sve više udubljivati u situaciju u zdravstvu vezanu uz privatnost i sigurnost, ne samo medicinskih podataka, već i sigurnosti strojeva. Naime, strojevi se redovno kontroliraju putem računala, odnosno iz raznih razloga povezani su s njima.
Poznavajući medicinsku stranu, teoriju i praksu, počela sam se zanimati oko toga što je sve moguće napraviti ako se računala i medicinski strojevi hakiraju. Uz pomoć dosta ljudi iz infosecurity zajednice, koji su mi pokazali što je sve moguće, kao i linkova koje su mi redovno slali, shvatila sam da je stanje zaista alarmantno.

Kao neko tko je uvijek bio tehnički nastrojen i uviđao mogućnosti tehnike u zdravstvu, zanimale su me i inovacije u ovoj grani, kao i IoT. Nažalost, tu sam primijetila ne samo nezainteresiranost za privatnost, već i opet nehajnost za sigurnosti i, uz sve to, loš marketing. Vrlo brzo mi je postalo jasno da je većina ovih proizvoda napravljena čisto za prodaju – ne samo da nam nisu bili potrebni, nego su i ugrožavali privatnost i sigurnost pacijenata (a i nas zaposlenih).

Kucanje na mnoga vrata… Dok netko nije otvorio

Kako baš i nisam šutljiva, pokušala sam obavijestiti o tome nadležne, uglavnom IT odjele, ali sam nailazila na zatvorena vrata. Vjerojatno su mislili da jedna sestra nema baš nekog znanja na polju sigurnosti i nisu shvaćali da je to netko s “terena” tko im može pomoći.  😊

Ni sve organizacije koje se bave sigurnošću nisu u početku uzimale za ozbiljno moje priče, dok slučajno nisam stupila u kontakt s Women in Cyber i dobila podršku da svoju priču ispričam na konferencijama.

Osim toga, zajedno smo napravile istraživanje web stranica bolnica u Nizozemskoj, pokušale ih obavijestiti (ponovno negiranje medicinske sestre) i na kraju objavile istraživanje da bi se ukazalo na problem. Naravno, bez imenovanja bolnica, već samu statistiku.

Zaintrigirana ovim istraživanjem, istražila sam i 100 najboljih bolnica u Americi i poslala im izvještaje. U ovom je trenutku US-CERT zauzet daljim akcijama svih bolnica koje nisu reagirale.😊

U jednom je trenutku počela ozbiljnija komunikacija s dosta ljudi iz svijeta sigurnosti koji su podržavali ovu temu ili su se i sami bavili sigurnošću po bolnicama.

Problem je velik

Iz svih promatranja i istraživanja došla sam do zaključka da je problem ogroman:

  • Organizacije/bolnice redovno nemaju nikoga tko se bavi sigurnošću.
  • Ako i imaju, to je jedna do dvije osobe, koje nemaju mnogo utjecaja na politiku i same ne mogu postići puno.
  • Strojevi su stari, imaju star i nezaštićen softver, ne rade se nadogradnje i “krpanja” i, naravno, spojeni su na neki internet, najčešće javni.
  • Lakoća se stavlja ispred sigurnosti.
  • Postoji needuciranost po pitanju privatnosti i sigurnosti ne samo medicinskog osoblja, već i drugih specijalnosti u zdravstvu.
  • Bolnice su ugrožene, njihovi su zaposlenici ugroženi, a i pacijenti, na više načina.

Iz svega ovoga lako se može zaključiti da su napadi putem ransomwarea i phishing vrlo lako ostvarivi. Posljedice su velike, počevši od bolnice preko zaposlenih pa sve do pacijenta.

Dok kirurg sluša Spotify prilikom operacije, brine li se o sigurnosti podataka?

Mislili smo da stari strojevi nisu dobro zaštićeni jer su stari i ne mogu se dobro zaštititi, ali što kažete na nove aparate koji se povezuju s javnim internetom tako da kirurzi mogu slušati Spotify i čitati privatni e-mail dok operiraju? Primjer je to jednog jako lošeg marketinga pri čemu je ovo realnost – stroj jest povezan s javnim internetom i time se dovodi rad na njemu u opasnost, jer kriminalac može preuzeti ili obustaviti rad aparata.

Osim toga, sve se više medicinskih aparata nepotrebno povezuje na internet tijekom cijelog dana, čime se dodatno ugrožava njegova sigurnost. Savjet ICS-CERT-a je da medicinski aparati budu povezani na internet samo za nadogradnju i popravke na daljinu, ali ne i 24/7. Također, ustanove moraju osigurati financijska sredstva za održavanje i nadogradnju medicinskih aparata, a hoće li to raditi osoblje zaposleno u bolnici ili neka vanjska tvrtka, manje je važno.

Tri anegdote za kraj

Priča prva. Svojevremeno su na bolničkim računalima onemogućili pristup stranicama putem kojih su se mogli preuzimati filmovi. Naravno, jedna je sestra iskoristila medicinski aparat i putem njega preuzimala filmove, tako da ga je osoblje i dalje moglo gledati.

Priča druga. Jednom sam upitala kolegicu zašto mi daje svoje podatke za prijavu. Ona mi reče da ne dramim, da mi vjeruje i da mi je to potrebno kako bih mogla raditi, dajući mi papirić na kojemu su napisani njeno korisničko ime i lozinka. Naravno, iziritirana, ali s osmjehom, okrenula sam se prema računalu i otvorila link pod imenom My work. Podsjetila sam je da putem te poveznice imam uvid u sve njene osobne podatke.

Papirić je odjednom nestao. Pitah je uz osmijeh: “Što sklanjaš papirić? Pa ti mi vjeruješ, zar ne?”

Ona se samo nasmijala i rekla: “OK, OK, shvatila sam poantu”. Nas smo dvije inače u dobrim odnosima.

Poslije ovakvih situacija većina je prestala davati svoje podatke drugima.

Priča treća. Zaboravna kakva jesam, kad promijenim lozinku, dogodi mi se da je i zaboravim. Tako sam nekoliko puta zvala IT odjel (raznih bolnica u kojima sam radila) i objasnila im situaciju. Osim odgovora na pitanje o tome koje mi je korisničko ime, nisu radili nikakvu dodatnu provjeru. Djelatnik bi mi u pravilu dao lozinku na lijep glas, ne znajući zapravo tko sam. 😊

Jelena će u petak, 8. rujna, na konferenciji o informacijskoj sigurnosti u Varaždinu, FSec, održati predavanje na temu posljedica nedostatka sigurnosti u bolnicama.

ponuda

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Startupi i poslovanje

Bez VC investicije, TalentLyft je školski primjer samofinanciranog SaaS startupa

Bez ikakve veće investicije, TalentLyft, domaći regrutacijski alat koji koriste Five, HT, Span i mnoge druge tvrtke, izašao je s novom konkurentnom verzijom kojom planira globalno širenje uz pomoć inbound marketinga.

Startupi i poslovanje

Domaći startup Valut nastoji eliminirati visoke provizije na bankomatima i mjenjačnicama

Ako vam bankomati i mjenjačnice na putovanjima uzimaju prevelike naknade kod promjene valuta, možda je upravo za vas Valut, domaći startup koji radi na tome da konverzija bude što dostupnija i povoljnija, posebice na mjestima na kojima to do sada nije bilo tako.

Tehnologija

iPhone 11 – je li dovoljno dobar da me otjera s Androida?

Želite li dobiti autentično Apple iskustvo ne morate dati 15 tisuća kuna za iPhone 11 Pro Max, velike su šanse da će za veliku većinu ljudi i iPhone 11 biti vrlo dobar odabir.

Što ste propustili

Istraživanje

Veliko CX istraživanje: Za korisničko iskustvo banke, retail i bezalkoholna pića u Hrvatskoj zaslužile tek ocjenu – 3!

Peekator je hrvatski startup koji se bavi istraživanjem korisničkog iskustva, a nedavno obrađeni podaci više od 3000 anketiranih osoba, 13 tisuća komentara i 60 dubinskih intervjua bacili su potpuno novo svjetlo na uobičajene prakse na području tri značajna tržišta, a ovo je okvirna slika trenutnog stanja.

Izvještaj

Inchoo, Infinum i Hooloovoo do developera dopiru blogom, modnim brendom i “napuhanim” influencerima

Kako se brendirati kao dobro mjesto za posao prema developerima koji nisu impresionirani stolovima za stolni tenis ili igraćim konzolama? Otkrile su nam tri developerske tvrtke na konferenciji Employer Branding Zagreb.

Gaming

Razumjeti gamere, game dev i esport – otkud početi?

Pa možda najbolje od osnova: što je to tako dobro u igrama, ne potiču li one nasilje; zar razvoj video igara nije super zabavan posao i zašto esport još muku muči da postane punopravni sport? Kao dežurni gameri Netokracije, Ivan i ja preuzeli smo ovotjednu epizodu ne bi li vam odgovorima na ta pitanja približili svijet gaminga.

Izvještaj

Znate li otkud vam dolaze najbolji kandidati i kako se prijavljuju na vaše oglase?

O kandidatima, načinu kako se prijavljuju na poslove i kako uspješno doći do onih najkvalificiranijih otkrili smo više na Employer Branding konferenciji uz domaći regrutacijski alat TalentLyft.

Startupi i poslovanje

Toni Trivković, Split Tech City: Nismo htjeli slušati da se ne može, već pokazati da se može

“U Splitu je uvijek izazovno okupiti mlade na neko događanje. Njih dvjestotinjak na kišno subotnje jutro može značiti samo jedno - zaista su željeli motivaciju”.

Kolumna

Što vrh ima s time?

Kad te pozovu na panel s naslovom “Promjene dolaze s vrha (i kako do njega doći)?”, počneš opsesivno razmišljati o toj riječi - vrh.