'Moje zanimanje za računalnu sigurnost proizašlo je iz moje potrebe da zaštitim pacijenta', rekla je tportalu Jelena Milošević, koja je tijekom ovogodišnje konferencije FSec2017 na Fakultetu organizacije i informatike u Varaždinu, održala predavanje nazvano Posljedice nedostatne sigurnosti u bolnicama.

Rođena i odrasla u Beogradu u Srbiji, od malih nogu pokazivala je zanimanje za tehniku i matematiku. Iako je razmišljala o studiju fizike, medicina joj je uvijek bila izazov. Kako voli raditi s djecom i pomagati im, pedijatrija je bila lak izbor.

'Svaki novi uređaj koji je dolazio na intenzivnu njegu, uvijek je prolazio kroz moje ruke. Objašnjavala sam kolegicama kako će njime rukovati', prisjetila se Jelena Milošević. 

Desetak godina radila je u Institutu za majku i dete u Novom Beogradu. Potom su je životne okolnosti odvele u Nizozemsku, gdje i danas radi kao medicinska sestra konzultantica. Prošla je, kaže, kroz puno bolnica i zdravstvenih ustanova. 

'Vrlo brzo shvatila sam do koliko osjetljivih podataka mogu doći ne samo ja, već bilo tko tko ima tako slabo zaštićen pristup sustavu. Netko zlonamjeran mogao bi ugroziti i pacijente i osoblje', rekla je Milošević.

Ne mora sve biti povezano s internetom

Kolegice i kolege, dodaje, nisu baš bili svjesne opasnosti, kao ni rizika koje nosi surfanje po internetu, otvaranje svih mogućih videa i poveznica s društvenih medija. Problem ju je zaintrigirao pa je počela istraživati koliko su podaci zaštićeni. S podataka je prešla na softver, pa na medicinske uređaje... 

Što je otkrila? Kakvim su napadima hakera i cyberkriminalaca zdravstvene ustanove najčešće izložene? Najčešće se koristi phishing, ali se događa i slučajno preuzimanje virusa klikanjem na linkove na društvenim medijima. 

Milošević je zabrinuta i zato što je sve više medicinskih uređaja bez potrebe stalno povezano s internetom, umjesto da se spajaju po potrebi (za preuzimanje softverskih nadogradnji i popravke na daljinu) kao što preporučuju stručnjaci iz ICS-CERT-a.

U budućnosti nam, uvjerena je, najviše prijeti hakiranje radi skupljanja medicinskih i osobnih podataka pacijenata i zaposlenih u zdravstvenim ustanovama. 'Rodni list košta oko 500 američkih dolara na crnom tržištu', upozorila je. 

Phishing je već ove godine zabilježio visoku stopu rasta, ransomware je sve rašireniji i posebno opasan jer može usporiti ili u potpunosti prekinuti rad bolnice.

Uz napade DDoS možemo očekivati pokušaje hakerskih upada u medicinske uređaje i sustave zdravstvene zaštite, što će se naročito intenzivirati sa širenjem tehnologija koje koriste 'internet stvari'.

Opasnost hakiranja medicinskih uređaja na daljinu

Milošević vjeruje da će ti oblici napada ostati među najčešćima jer bolnice obično ne izrađuju sigurnosne kopije (backup) ključnih dokumenata, a i nemaju osoblje zaduženo za računalnu sigurnost. Ako ga i imaju, u pravilu ga nema dovoljno. 

Osim već spomenutog zaustavljanja rada bolnica, najviše je brine mogućnost zlonamjernog utjecaja na medicinske uređaje, odnosno rezultate na temelju kojih se vrši dijagnostika i određuje način liječenja. 

Kao primjer navodi hakiranje uređaja za mikrokirurgiju koji su povezani s internetom i nad kojima je teoretski moguće preuzeti kontrolu izvana dok operacija na pacijentu traje.

Problem je i to što je svijest medicinskog osoblja o rizicima vezanima uz računalnu sigurnost u pravilu na jako niskoj razini. Često to otpisuju ili zanemaruju jer smatraju da briga o sigurnosti nije njihov posao, već kolega iz odjela zaduženih za IT. 

Kako bi im pomogla, objavila je članak s nizom preporuka namijenjenim liječnicima, medicinskim sestrama i drugom osoblju. 

Primjerice, kako bi se smanjio rizik od upada krađe podataka, dovoljno je ne ostati ulogiran u računalni sustav na računalu ako ga ne koristimo i nećemo neko vrijeme biti u njegovoj blizini. 

'Nikad ne znate tko može vidjeti podatke na zaslonu ili hoće li pokušati doći do osjetljivih podataka dok vas nema, a to je moguće spriječiti ako se jednostavno izlogirate', navela je Milošević.

Društvene mreže nisu za poslovnu komunikaciju

Korisničko ime i lozinku za logiranje u sustav ne smijete držati napisane na papirima koji su svima vidljivi i dostupni, kao ni davati ih drugim ljudima. Općenito, neovlaštenim osobama nemojte omogućavati pristup računalu.

Milošević također smatra da treba izbjegavati komunikaciju putem društvenih mreža kao što su Facebook ili WhatsApp, odnosno internetskih servisa poput Gmaila, za službenu komunikaciju s kolegama i pacijentima. 

'U te svrhe treba uvijek koristiti službenu e-poštu. Društvene mreže i servisi možda imaju dobro postavljenu zaštitu, ali treba uvijek imati na umu kako ih se koristi u marketinške svrhe', upozorila je.

Osjetljive podatke o pacijentima nikako ne treba čuvati na USB stickovima i privatnim prijenosnim računalima, a ne treba ni koristiti poslovni laptop za privatnu komunikaciju. 'Općenito treba izbjegavati korištenje društvenih medija i obavljati privatnu komunikaciju na svim uređajima na kojima je pohranjena medicinska dokumentacija', smatra Milošević.

Do problema dolazi i zbog loše organizacije posla i računalne zaštite u medicinskim ustanovama, nedovoljno sigurnih web odredišta i korisničkih sučelja koje koriste u svakodnevnom radu, kao i zbog toga što ne postoje osobe zadužene za brigu o računalnoj sigurnosti.

Za sigurnost mora biti dovoljno novca

Milošević preporučuje da računala s osjetljivim medicinskim podacima ne budu povezana s javnim internetom, da su Wi-Fi i druge bežične veze u pravilu internog karaktera, odvajanje Wi-Fi mreža za bolesnike i bolničko osoblje...

Medicinske ustanove svakako bi morale imati na raspolaganju osobe koje vode brigu o zaštiti podataka i drugim aspektima računalne sigurnosti, koje bi provjerile zatečeno stanje i dale preporuke kako podići razinu sigurnosti. To mogu biti u tu svrhu zaposleni djelatnici, ali i vanjski stručnjaci poput etičkih hakera.

Njihovo mišljenje treba svakako uzeti u obzir pri nabavci i postavljanju medicinskih uređaja i druge opreme, naročito ako su povezani s internetom. S time u vezi Milošević naglašava kako financijska sredstva za održavanje uređaja te softverske nadogradnje i zakrpe moraju biti osigurana.

Ističe važnost dobre i jasne komunikacije između osoba zaduženih za računalnu sigurnost i svih ostalih zaposlenih. No također je važno i da svi zaposleni budu svjesni rizika vezanih uz informacijsku sigurnost te se pridržavaju uputa i preporuka stručnog osoblja.

'Dobra organizacija i prevencija neće omogućiti stopostotnu zaštitu, ali će ipak podići njenu razinu i otežati pristup podacima i uređajima', zaključila je Milošević.