Πόσο ευάλωτο είναι ένα νοσοκομείο σε μια κυβερνοεπίθεση και πώς μπορεί να προστατευθεί όταν ένας εξωτερικός εχθρός εισβάλλει στα πληροφοριακά του συστήματα και απειλεί τη λειτουργία του εις βάρος της υγείας των ασθενών; Τα νοσοκομεία δεν είναι ένας απλός χώρος, αλλά μια κρίσιμη υποδομή, για την οποία η παράλυση των συστημάτων ή η απώλεια δεδομένων είναι σενάρια που πρέπει να αποφευχθούν πάση θυσία.
Προς αυτή την κατεύθυνση η Vidavo, θεσσαλονικιώτικη εταιρεία τηλεματικών εφαρμογών υγείας, ολοκληρώνοντας πρόσφατα έργο για την πρότυπη διάγνωση ετοιμότητας έναντι απειλών κυβερνοασφάλειας δημόσιου νοσοκομείου για λογαριασμό της Εθνικής Αρχής Κυβερνοασφάλειας, δημιούργησε ένα εγχειρίδιο που μπορεί να ακολουθηθεί σε όλα τα δημόσια νοσοκομεία της χώρας. Αφού εκπόνησε εξειδικευμένη μεθοδολογία αξιολόγησης κινδύνου κυβερνοασφάλειας, ειδικά προσαρμοσμένη στις ανάγκες των ελληνικών δημόσιων νοσοκομείων, την εφάρμοσε πιλοτικά στο Γενικό Αντικαρκινικό Νοσοκομείο Αθηνών «Άγιος Σάββας», αξιοποιώντας στη συνέχεια τα αποτελέσματά της για την κατάρτιση ενός γενικού οδηγού εφαρμογής.
Τι τύπου επιθέσεις όμως μπορεί να δεχθεί ένα νοσοκομείο; Οι συνηθέστερες, όπως λέει στη Voria.gr ο πρόεδρος της Vidavo, Παντελής Αγγελίδης, είναι η επίθεση με κακόβουλο λογισμικό, που κλειδώνει τα δεδομένα του νοσοκομείου και ζητά λύτρα (ransomware), η κλοπή δεδομένων που χρησιμοποιούνται στη συνέχεια για κακόβουλους σκοπούς και η παράλυση του συστήματος από ανταγωνιστές. Δεν είναι τυχαίο ότι το Εθνικό Σύστημα Υγείας του Ηνωμένου Βασιλείου (NHS) έχει δεχθεί δύο φορές ransomware επίθεση τα τελευταία χρόνια, οι οποίες προκάλεσαν μεγάλη αναστάτωση στη λειτουργία του και ανέδειξαν τα ευάλωτα σημεία του.
Η επιλογή της στιγμής για την κατάρτιση του οδηγού αυτού από τη Vidavo δεν είναι τυχαία. Πριν από λίγο καιρό εκδόθηκε μια νέα κοινοτική οδηγία για την κυβερνοασφάλεια, η NIS2, που δημιουργεί υποχρεώσεις για μια σειρά οργανισμών σε διάφορους κλάδους, μεταξύ των οποίων και η Υγεία. Η οδηγία αυτή ουσιαστικά απαιτεί τη διενέργεια κινήσεων για να αποτυπωθεί το πόσο εκτεθειμένος είναι ένας οργανισμός σε μια κυβερνοεπίθεση και σε συνέχεια της αποτύπωσης αυτής απαιτεί την ανάληψη δράσεων για την επίλυση των προβλημάτων που εντοπίστηκαν. Με την ολοκλήρωση της διαδικασίας μάλιστα ο εκάστοτε οργανισμός λαμβάνει ένα πιστοποιητικό, το οποίο είναι απαραίτητο για μια σειρά άλλων ενεργειών που απαιτεί η NIS2, όπως για παράδειγμα η ασφάλιση.
Το εγχειρίδιο που δημιούργησε η Vidavo παίρνει την οδηγία και την αναλύει στην πραγματικότητα των πληροφοριακών συστημάτων που έχει ένα τυπικό ελληνικό δημόσιο νοσοκομείο, περνώντας επίσης στην αλληλεπίδρασή τους με τις υποδομές και τους ανθρώπους. Από τις ψηφιακές υποδομές για τη διαχείριση των ασθενών και των κλινών μέχρι τις πλατφόρμες συνταγογράφησης και τους ανθρώπους που χρησιμοποιούν τα συστήματα -πληροφορικάριους, γιατρούς, νοσηλευτές και νοσηλεύτριες- ο οδηγός της Vidavo περιγράφει συγκεκριμένα βήματα για την προστασία υλικού και έμψυχου δυναμικού από κυβερνοεπιθέσεις.
Όπως εξηγεί δε ο κ. Αγγελίδης, οι πιο ευάλωτες υποδομές σε ένα νοσοκομείο, αλλά και γενικότερα σε έναν οργανισμό, είναι αυτές που αλληλοεπιδρούν με τον έξω κόσμο, όπως για παράδειγμα η ιστοσελίδα. «Τι προσπαθεί να κάνει ένας εισβολέας; Να βρει μια πόρτα για να μπει. Και οι πόρτες υπάρχουν εκεί όπου ένας οργανισμός επικοινωνεί με τον έξω κόσμο» λέει ο πρόεδρος της Vidavo, ενώ παράλληλα τονίζει πως υποδομές όπως οι Μονάδες Εντατικής Θεραπείας είναι αυτές που πρέπει να διασφαλιστούν. «Η κυβερνοασφάλεια για τα νοσοκομεία είναι πλέον μονόδρομος και η νέα κοινοτική οδηγία δεν πρέπει να αντιμετωπίζεται ως μία ακόμα κανονιστική υποχρέωση, αλλά ως ένα κίνητρο για τη δημιουργία κουλτούρας ασφάλειας. Όσο δε η Υγεία ψηφιοποιείται και όσο οι ψηφιακές απειλές αυξάνονται διεθνώς, τόσο πιο αναγκαία είναι τα βήματα προς την κυβερνοπροστασία της», εξηγεί.
