Atacurile cibernetice asupra spitalelor din România demonstrează vulnerabilitatea sistemului sanitar în faţa avansului tehnologiei, dar şi lipsa de interes şi implicare a conducerii spitalelor pentru a avea un plan de conformare adecvat, pentru că incidentele de securitate trebuie văzute ca o chestiune de regulă, apar ca urmare a nerespectării unui soi de disciplină într-un anumit domeniu. În sistemul sanitar românesc gradul de conformare GDPR se află sub pragul de 15%, atrage atenţia Marius Dumitrescu, preşedintele Asociaţiei Specialiştilor în Confidenţialitate şi Protecţia Datelor (ASCPD). 

A trecut mai mult de un an de la aplicarea Regulamentului UE 679/2016 şi în România vorbim deja  de breşe de securitate în sistemul sanitar. Din acest fapt se poate deduce că sistemul încă nu este pregătit întru totul pentru protejarea datelor cu caracter personal?

MD: Spitalele sunt o ţintă a atacurilor ransomware în toată lumea, nu doar în România. Foarte multe astfel de incidente au fost raportate de spitale şi înainte de 25 mai 2018, dar în ultimii ani am observat că specialiştii vorbesc despre o creştere exponenţială a numărului de cazuri. Sunt trei întrebări la care autorităţile române şi managerii spitalelor trebuie să găsească răspunsuri cât mai curând: ”de ce sunt vizate spitale din România?”, ”de ce sunt aşa de multe incidente în domeniul sanitar?” şi, poate cea mai importantă întrebare, ”putem evita să devenim ţinta unui atac cibernetic?”.

Ransomware-ul este un virus sau mai bine spus un software maliţios care blochează accesul la fişierele stocate într-un sistem informatic, solicitând plata unei sume de bani în schimbul redobândirii accesului la acestea. De cele mai multe ori, fişierele criptate de malware nu pot fi decriptate nici după efectuarea plăţii către atacatori. Acest tip de malware nu urmăreşte o vulnerabilitate a sistemului informatic ci o eroare umană, de cele mai multe ori fiind transmis ca ataşament al unui e-mail, sub forma unei facturi, a unei comenzi sau alt tip de document, păcălind astfel utilizatorii mai puţin conştienţi sau vigilenţi. Interesant este faptul că acest tip de malware nu ar fi putut depăşi filtrele antiviruşurilor existenţi pe piaţă, ceea ce subliniază o primă problemă din spatele acestui atac în spitalele din România: spitalele atacate nu aveau sisteme antivirus actualizate, iar angajaţii acestora nu au fost instruiţi cu privire la  identificarea unor asemenea atacuri.

La o analiza mai atentă a infrastructurii din domeniul sanitar românesc identificăm încă un număr mare de echipamente conectate care nu beneficiază de ultimele patchuri de securitate sau chiar folosesc sisteme de securitate care nici măcar nu mai sunt actualizate de producători. De exemplu Windows XP, care nu mai beneficiază de suport şi actualizare din partea Microsoft este folosit în continuare pe scară largă în sistemul sanitar românesc, făcând posibilă funcţionarea aparatelor de radiografii dentare, RMN-uri sau CT-uri. Prin infectarea unuia dintre aceste computere cu sistem de operare învechit se poate infecta apoi foarte simplu întreaga reţea.

Evident, ne întrebăm de ce nu sunt aşa de uşor de înlocuit aceste sisteme de operare învechite şi răspunsul ar trebui sa îl căutăm fie la producătorii de echipamente medicale care ar trebui să actualizeze gratuit softurile de interfaţă cu echipamentul astfel încât să funcţioneze în aceiaşi parametrii şi pe sistemele de operare mai noi, fie la managementul unităţilor medicale care au amânat investiţiile în sisteme noi de operare din lipsă de fonduri sau pur şi simplu pentru că echipamentele funcţionează normal, chiar dacă sunt vulnerabile în faţa atacurilor cibernetice.

Ce tip de malware a infectat sistemele din spitalele româneşti?

MD: În urma unei investigaţii derulate de specialişti în securitate cibernetică din cadrul CERT-RO, Cyberint şi Bitdefender, s-a constatat că formele de malware responsabile de atacurile cibernetice recente asupra unor spitale din România au fost Maoloa şi Phobos. Aceşti doi malware nu sunt o noutate absolută, Maoloa fiind prima dată descoperit în februarie 2019, iar Phobos era cunoscut încă din decembrie 2018.

ASCPD a tras un semnal de alarmă încă de la începutul anului 2019, în urma sondajului „GDPR in HEALTH România” realizat în decembrie 2018.  Astfel, ASCPD a semnalat atunci faptul că 37,44% dintre instituţiile sanitare cuprinse în analiză s-au confruntat cu incidente de securitate şi cu toate acestea 73,85% din total nu au implementat un plan de reacţie la incidentele de securitate. 70,26% încă foloseau adrese de email @yahoo.com sau @gmail.com în interes profesional în interiorul reţelei, expunând astfel organizaţia unor riscuri care pot fi evitate. Mai mult, 11,28% nu aveau implementate sisteme tehnice de protecţie antivirus, cel mai des invocând lipsa fondurilor. Fiecare organizaţie, nu doar cele din domeniul sanitar, trebuie să implementeze un plan de răspuns la incidente de securitate prin care să identifice şi să descrie rolurile şi responsabilităţile echipei de răspuns în cazul unei breşe de securitate şi apoi să realizeze simulări practice pentru a testa modul de reacţie a angajaţilor în cazul unui atac cibernetic.

Securizarea datelor pacienţilor este importantă într-un sistem de sănătate. De ce în spitalele publice din România nu s-au luat obligatoriu măsuri pentru a proteja aceste date?

MD: Accesarea datelor pacienţilor este crucială pentru îndeplinirea actului medical. Astfel, în urma atacului cibernetic din iunie 2019, sute de pacienţi români nu au putut beneficia de serviciile medicale în spitalele afectate, fiind invitaţi să revină ulterior sau încurajaţi să apeleze la serviciile altui spital. Recunoaşterea valorii acestor date de către ministrul Sănătăţii este un cuţit cu două tăişuri.

Deşi semnalul era orientat spre mobilizarea instituţiilor medicale în vederea prevenirii altor atacuri, atunci când afirmi că “10.000 de euro sunt nimic faţă de datele stocate acolo”, recunoscând că în trecut s-a optat pentru plata recompenselor solicitate de atacatori pentru decriptarea datelor, acest mesaj poate fi perceput de atacatori drept o încurajare de a continua atacurile şi de a solicita recompense mult mai mari.

Recuperarea datelor, fie că este realizată de specialişti în IT sau prin achitarea recompensei solicitate de atacatori, este mult mai costisitoare decât adoptarea măsurilor de securitate necesare prevenirii unor asemenea atacuri. În totală contradicţie cu mesajul ministrului Sănătăţii, instituţiile şi companiile cu competenţe în domeniul securităţii cibernetice, printre care CERT-RO, Cyberint şi Bitdefender, sfătuiesc utilizatorii infectaţi “să nu plătească atacatorilor taxele de decriptare solicitate”.

Plata recompensei nu reprezintă o garanţie că infractorii îşi vor onora promisiunea şi le vor reda accesul la date şi, în plus, ar putea fi ţintite din nou de aceeaşi grupare, întrucât au deja un istoric de buni platnici. Echipa CERT-RO îndeamnă fiecare operator să raporteze astfel de incidente de securitate la numărul de telefon 1911 sau pe mail (alerts@cert.ro), cu includerea a două fişiere infectate (criptate) pentru analiză. Se recomandă să fie ataşate acele fişiere într-o arhivă, protejate cu o parolă, care să fie specificată în textul mesajului.

După atacul cibernetic asupra spitalelor Ministerul Sănătăţii a emis o adresă prin care a informat unităţile spitaliceşti ce măsuri trebuie luate pentru a preveni atacurile cibernetice, recomandări emise iniţial de CERT-RO. ASCPD a atras atenţia că pe lângă cele recomandate de CERTRO ar mai fi nevoie de o serie de măsuri, necesar a fi implementate. Despre ce este vorba?

MD: Apreciem ca foarte importante aceste recomandări, însă atragem atenţia că  prevenirea atacurilor cibernetice nu ar trebui să se limiteze la această listă, motiv pentru care am mai sublinia câteva măsuri importante: auditarea sistemelor IT în vederea identificării vulnerabilităţilor; implementarea unor politici clare privind prelucrarea datelor personale; criptarea datelor stocate pe dispozitivele mobile (laptop, tabletă, memorii USB) pentru a împiedica accesarea datelor în caz de pierdere sau furt; criptarea datelor personale transmise prin e-mail; interzicerea accesării datelor de pe CD, DVD, stick-uri USB sau altele asemenea, dacă provin din surse nesigure; echipamentele de lucru care stochează date personale vor fi parolate, vor fi blocate atunci când nu vor fi utilizate (ctrl+alt+del → lock this computer); asigurarea unui sistem de management al accesului, astfel încât fiecare utilizator să se logheze la echipamentul de lucru cu user şi parolă proprii.

Una dintre cele mai importante aspecte pe care nu am regăsit-o în adresa Ministerului este necesitatea instruirii personalului. Un personal instruit va fi mult mai vigilent, va identifica eventuale pericole şi va cunoaşte procedurile pe care trebuie sa le urmeze pentru a identifica, semnala sau limita efectele unui atac cibernetic.

Conştientizarea pericolelor în domeniul securităţii este o parte esenţială a formării angajaţilor şi este cel mai eficient mod de a menţine companiile în siguranţă, de la intruşi şi hackeri. Procesul de digitalizare atrage după el şi metode tehnice avansate de securitate, care cresc gradul de protecţie al vieţii private, dar trebuie să conştientizăm în primul rând că cea mai mare vulnerabilitate în cadrul unei organizaţii este chiar resursa umană. Este nevoie de educaţie a personalului mai mult decât de investiţii mari în soluţii tehnice de securitate.

Dincolo de educaţia personalului cât este de important ca operatorul de date, în cazul spitalelor, managerii, să renunţe doar la a căuta soluţii formale şi să aleagă complianţa la GDPR personalizând implementarea acestui Regulament pe unitatea pe care o conduce?

MD: În tot acest GDPR este vorba despre oameni, sau mai bine spus despre NOI! Nu este vorba despre creşterea birocraţiei şi despre proceduri sufocante. Este vorba despre respectul pe care trebuie să îl acordăm şi să îl obţinem unii de la ceilalţi, respect de care am uitat datorită banilor obţinuţi prin tranzacţionarea datelor personale şi a informaţiilor confidenţiale, efect direct al evoluţiei exponenţiale a tehnologiei.

Noi, ca operatori de date, trebuie să renunţăm la a mai căuta soluţii formale. Complianţa GDPR nu se obţine apăsând butonul „Print“, orice operator care alege această cale rămâne la fel de expus riscurilor. Spitalele din România sunt atacate pentru că sunt vulnerabile şi este profitabil având în vedere valoarea informaţiilor şi caracterul sensibil şi mai ales precedentele create prin plata rascumpărării accesului la date. Putem evita aceste incidente dacă în primul rând renunţăm la mentalitatea că “mie nu mi se poate întâmpla” şi investim în instruirea resurselor umane, implementând planuri şi proceduri de lucru în caz de atac cibernetic şi alocând fonduri pentru a impune măsuri adecvate de protecţie tehnică şi organizatorică.

După data de 25 mai 2018, au fost aplicate amenzi pentru neconformare în spitalele din Europa?

MD: Spitalul Haga din Olanda a fost amendat în acest an pentru neasigurarea unui grad adecvat de securitate a datelor pacienţilor săi., cu suma de 460.000 euro. Spitalul Barreiro din Portugalia a primit o amendă de 400.000 euro pentru incapacitatea de a asigura confidenţialitatea şi integritatea datelor din sistemul lor. În urma investigaţiei s-a constatat că angajaţii spitalului au avut acces la datele pacientului prin profiluri false.

Participaţi frecvent la conferinţe GDPR organizate la nivel European. Din informaţiile prezentate care este gradul de implementare al GDPR în alte ţări din Europa şi cum stă România la acest capitol?

MD: Procentul de operatori care au adoptat şi implementat principiile GDPR este greu de calculat cu exactitate, dar având în vedere că numai în domeniul public avem peste 42.000 de autorităţi, toate cu obligaţia de a fi implementat deja măsuri tehnice şi organizatorice, şi cunoscând sistemul sanitar din ultimii 18 ani, estimez că gradul de implementare nu a depăşit procentul de 15%. Putem, în schimb, să analizăm poziţia ţării noastre din punct de vedere al notificării breşelor de securitate şi a investigaţiilor derulate de autorităţile de supraveghere europene. România este extrem de departe de media europeană în ceea ce priveşte plângerile privind prelucrările ilegale de date personale. De exemplu, în perioada cuprinsă între 25 mai 2018 şi până în februarie 2019 la nivelul UE au fost raportate nu mai puţin de 59.000 de breşe de securitate. Campioni la acest capitol au fost olandezii, cu 15.400 breşe notificate, în timp ce România număra la acea vreme doar 270. Analizâd această situaţie am găsit două răspunsuri posibile: ori noi, românii, suntem un popor norocos şi atacurile cibernetice ne evită, ori nu recunoaştem o breşă de securitate nici dacă ne împiedicăm de ea.

Mai mult, din Raportul European Data Protection Board, care cuprinde datele înregistrate de autorităţile de supraveghere în primele 9 luni de la aplicarea GDPR-ului, aflăm că autorităţile europene de supraveghere au deschis în total 94.622 de investigaţii, din care aproape 65.000 au survenit în urma notificărilor privind încălcarea datelor (a breşelor de securitate). În România s-au efectuat 460 de investigaţii din oficiu (69 din sesizări şi 391 în urma încălcărilor notificate autorităţii) şi 456 de investigaţii dispuse în urma plângerilor persoanelor vizate, care erau aproximativ 5000.

Unul dintre motivele pentru care avem aceşti indicatori este bugetul Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal care este cu aproape 50% mai mic decât necesarul estimat de EDPB şi în al doilea rând schema de personal a autorităţii care este mult subdimensionată, necesitând o suplimentare de 142%. Conform datelor oferite de reprezentantul autorităţii, chiar dacă în orgnigramă sunt prevăzute 85 de posturi, structura organizatorică actuală numără 34 de angajaţi, cu tot cu şoferi şi personal TESA. Apreciez că a fost o muncă titanică să efectuezi acest număr de investigaţii cu un aşa număr redus de persoane angajate în cadrul Autorităţii.