Jedne večeri, dok nije bio na dužnosti, traumatologa i ortopedskog kirurga Simona Meiera nazvao je kolega. Vijesti nisu bile dobre: Sveučilišna bolnica u Frankfurtu našla se na udaru golemog kibernetičkog napada koji je zahtijevao hitnu akciju, piše Politico.
Već sljedećeg jutra, Meier, koji je ujedno i bolnički koordinator za krizne situacije, sjedio je na hitnom sastanku s upravom. IT timovi cijelu su noć bezuspješno pokušavali riješiti problem i sada je pred njima bila ključna odluka.
"Morali smo cijelu bolničku mrežu isključiti s interneta", prisjeća se Meier. "Nismo više željeli nikome dati priliku da manipulira našim IT sustavima."
Pristup internetu je prekinut, baze podataka zamrznute, a bolničko osoblje moralo se vratiti olovci, papiru i telefonima kako bi nastavilo pružati skrb pacijentima.
"To je ozbiljno narušilo komunikaciju između naših elektroničkih sustava", objašnjava Meier. Pristup laboratorijskim nalazima ili podacima s mobilnih rendgenskih uređaja postao je noćna mora jer sustavi više nisu mogli slati izvješća u središnju bolničku bazu.
"Morali smo pomicati termine kako bismo uopće mogli doći do kartona pacijenata, a neke planirane operacije smo morali odgoditi", rekao je.
Danas, više od godinu i pol kasnije, sustav se još uvijek nije vratio u normalu. Pristup internetu i bazama podataka i dalje je ograničen, a u tijeku je skupa obnova cjelokupne infrastrukture kako bi se zakrpale ranjivosti koje su hakeri iskoristili.
Frankfurtski slučaj samo je jedan od 309 kibernetičkih incidenata koji su pogodili zdravstveni sektor u Europskoj uniji samo tijekom 2023. godine, što je više nego u bilo kojem drugom kritičnom sektoru. Trošak jednog takvog velikog napada u prosjeku doseže oko 300.000 eura.
No, osim financijske štete, kibernetički napadi izravno ugrožavaju živote pacijenata. Koliko su ulozi visoki, postalo je bolno jasno u nedavnom slučaju iz Velike Britanije, gdje je smrt pacijenta povezana, između ostalog, s kašnjenjem rezultata krvne pretrage uzrokovanim kibernetičkim napadom.
Glavni direktor Svjetske zdravstvene organizacije (WHO), Tedros Adhanom Ghebreyesus, nazvao je kibernetičke napade na zdravstvo "pitanjem života i smrti".
Iako je zdravstvo posljednjih godina postalo glavna meta kibernetičkih kriminalaca, sektor paradoksalno ulaže manje u digitalnu sigurnost od bilo koje druge industrije, ostavljajući iznimno vrijedne podatke opasno nezaštićenima.
Za kibernetičke kriminalce, ciljanje zdravstvenih podataka je "savršen poslovni plan", kaže Christos Xenakis, profesor na odjelu za digitalne sustave Sveučilišta u Pireju. "Podatke je lako ukrasti, a ono što ukradete možete prodati po visokoj cijeni."
Prema izvješću Agencije EU-a za kibernetičku sigurnost (ENISA), sektorom dominiraju takozvani ransomware napadi, pri kojima hakeri zaključaju podatke i traže otkupninu. "Time postižu dva cilja: prvo, domognu se podataka koje mogu prodati, a drugo, šifriranjem paraliziraju cijeli sustav i zatim traže novac za njegovo otključavanje", pojašnjava Xenakis.
Ukradeni podaci najčešće se prodaju na dark webu kriminalcima koji ih koriste za krađu identiteta, prijevare s osiguranjem ili ucjene. Za oporavak sustava, hakeri mogu tražiti milijune eura. Primjerice, nakon napada na bolnicu Hospital Clínic u Barceloni, napadači su tražili 4,5 milijuna dolara za povrat podataka, no bolnica je odbila platiti.
Istovremeno, u porastu su i druge vrste napada, uključujući one koje provode pro-ruski haktivisti, čiji cilj nije zarada, već ometanje i paraliza zdravstvenih ustanova.
Unatoč ogromnim rizicima, tek 27 posto zdravstvenih organizacija ima poseban program za obranu od ransomwarea, a čak 40 posto ne provodi nikakvu edukaciju o kibernetičkoj sigurnosti za osoblje koje nije u IT odjelu, pokazalo je drugo izvješće ENISA-e.
Xenakis smatra da zdravstveni sektor na kibernetičku sigurnost gleda kao na "nešto izvan svoje domene" i kao na "luksuz", a ne nužnost. Zdravstveni djelatnici, prema njegovom mišljenju, nisu svjesni rizika, što dovodi do loše "kibernetičke higijene".
Prisjetio se situacije kada je u liječničkoj ordinaciji ostao sam s računalima koja nisu bila zaštićena – laka meta za svakog hakera. "Da sam htio nešto učiniti, bilo bi mi vrlo jednostavno", rekao je.
Istovremeno, sumnja da bi ga ikada ostavili samog u sobi s ključnim lijekovima. Bolnice, kaže, razumiju rizik ako lijekovi dospiju u pogrešne ruke, "ali ne mogu na isti način shvatiti kibernetičku sigurnost".
"Zadatak je stvoriti kulturu dobrih praksi kako bi se zaštitili podaci i sustavi. Edukacija i tehnološka svijest su na iznimno niskoj razini", upozorava Xenakis.
Nalazi Finskog inovacijskog fonda Sitra to potvrđuju. Iako mnoge zdravstvene ustanove imaju formalne politike kibernetičke sigurnosti, one često "nisu jasno iskomunicirane niti ih osoblje dosljedno razumije". Velika fluktuacija zaposlenika, ne samo medicinskog osoblja već i stručnjaka za sigurnost, dodatno produbljuje problem.
Sabina Magalini, bivša profesorica kirurgije na Katoličkom sveučilištu Presvetog Srca u Rimu, koja je koordinirala EU projekt PANACEA za poboljšanje bolničke sigurnosti, smatra da zakoni zanemaruju specifične izazove s kojima se bolnice suočavaju. "Bolnice imaju drugačije probleme", rekla je, navodeći fluktuaciju osoblja, nedostatak obuke i preopterećenost.
"Bolnica nije nuklearna elektrana. Ona je poput luke... s otvorenim pristaništem: ljudi dolaze, odlaze, i sve je otvoreno", slikovito je opisala Magalini.
Ona se zalaže za kontinuirane vježbe kibernetičke sigurnosti i jednostavnije sustave koji ne usporavaju pružanje skrbi. Zdravstveni djelatnici, kaže, "ne žele provesti pola dana prijavljujući se i odjavljujući sa sustava".
Ipak, sama edukacija osoblja, iako korisna, nije dovoljna za rješavanje sigurnosnih prijetnji.
"Ako imate bolnicu s 2000 zaposlenih, vjerojatnost da će netko kliknuti na zlonamjernu poveznicu je neizbježna", ističe Xenakis. To je osobito točno danas, kada kriminalci sve više koriste umjetnu inteligenciju za automatizaciju napada, poput sofisticiranih i ciljanih phishing prijevara.
"Ne možete kriviti ljude", kaže Xenakis. "Moraju postojati inteligentni alati za detekciju koji će eliminirati štetu ili suzbiti napad u začetku."
Magalini je ukazala na još jedan problem: konzultantske tvrtke za kibernetičku sigurnost koje pomažu bolnicama često dolaze izvan Europe. "One su ili iz Sjedinjenih Država, Kanade... pa čak i Rusije", rekla je, dodajući da bi trebao postojati "europski način rješavanja kibernetičke sigurnosti".
Iako su rizici očiti, nacionalne vlade štede na prevenciji. Xenakis vjeruje da nema dobrog primjera zemlje "koja je značajno uložila u kibernetičku sigurnost zdravstvenog sektora".
U Njemačkoj su, primjerice, "navikli samo uvoditi nove propise, ali ne i ulagati u sigurnost bolnica", kaže Meier iz Frankfurta.
On vjeruje da bi njegova bolnica napad otkrila ranije da je imala sustav za detekciju upada. Imali su, kaže, "veliku sreću" što su napad uopće otkrili prije nego što je uništio cijelu bazu podataka. "To je moglo dovesti do potpunog zatvaranja bolnice."
"Prijetnje kibernetičkoj sigurnosti predstavljaju goleme izazove za zdravstveni sektor", priznao je glasnogovornik njemačkog ministarstva zdravstva u pisanom odgovoru za POLITICO. Njemačka, kako navode, podržava sektorske standarde i zahtijeva od bolnica da najmanje 15 posto sredstava za oporavak ulože upravo u kibernetičku sigurnost.
Europski povjerenik Olivér Várhelyi također je bio jasan da ulaganja moraju doći od nacionalnih vlada. "Kad odete u bolnicu, na vratima uvijek vidite zaštitara. Za to ima novca, pa bi ga trebalo biti i za zaštitu podataka", rekao je u siječnju.
No, s obzirom na to da je zdravstvo kronično podfinancirano, pitanje je koliko vlade realno mogu potrošiti na kibernetičku sigurnost, smatra Magalini. "Postoji toliko drugih zdravstvenih problema... tako da ne znam kako mogu realizirati ta ulaganja."
Cijena nečinjenja može se mjeriti u stotinama milijuna eura, kao što pokazuje napad na irsku zdravstvenu službu u svibnju 2021., koji je paralizirao cijeli javni zdravstveni sustav. Trošak napada procijenjen je na najmanje 101 milijun eura, uz dodatnih 657 milijuna eura potrebnih za zaštitu od budućih prijetnji.
"Zašto je toliko koštalo? Ne zbog same štete, već zato što je netko pametan zaključio: 'ne, moramo obnoviti sustav na siguran način'", objasnila je Magalini.
Ray Walley, liječnik opće prakse iz Irske, iz prve je ruke svjedočio kaosu. "Nismo mogli izdavati uputnice. Pacijenti nisu mogli biti otpušteni iz bolnica. Nismo dobivali nalaze krvi, rendgenske snimke ni rezultate skeniranja", rekao je.
Walley smatra da je "kibernetička sigurnost samo još jedan oblik zdravstvene skrbi". "Moramo ulagati u nju. Moramo biti proaktivni. Moramo potrošiti novac", zaključio je.
Sve veći broj napada na zdravstvene sustave potaknuo je i reakciju Europske unije. Europska komisija je u siječnju predstavila "akcijski plan" za kibernetičku sigurnost u zdravstvu.
Plan predlaže osnivanje Europskog centra za podršku kibernetičkoj sigurnosti unutar ENISA-e, kao i posebnu uslugu za brzi odgovor na incidente. Uvode se i "vaučeri za kibernetičku sigurnost" koji bi trebali pomoći manjim pružateljima zdravstvenih usluga da poboljšaju svoju otpornost.
"To je dobro", kaže Markus Kalliola, programski direktor finskog fonda Sitra. "Ali moglo bi biti i snažnije."
On je jedan od autora izvješća koje ukazuje na nejasno upravljanje unutar EU-a, nedostatak konkretnih ciljeva i proračuna te propuštenu priliku za izgradnju jedinstvenog tržišta za rješenja u području kibernetičke sigurnosti.
Sitra poziva na korak dalje: kibernetičku sigurnost treba tretirati kao pitanje nacionalne sigurnosti, uvesti obveznu razinu spremnosti za zdravstvene organizacije, uključiti digitalnu sigurnost u osnovnu obuku zdravstvenih djelatnika i organizirati više paneuropskih vježbi.
S obzirom na promjenjivu geopolitičku situaciju, "ovo je i pitanje nacionalne sigurnosti", ističe Kalliola. "Države članice trebale bi se usredotočiti na nacionalnu strategiju za osiguranje ovih ključnih zdravstvenih usluga."
Hoće li se ovi apeli naći u konačnom planu Komisije, ostaje za vidjeti. Izvršno tijelo EU-a upravo je završilo savjetovanje i obećalo predstaviti dorađeni plan do kraja godine. U međuvremenu, drugi zakoni EU-a – poput Direktive NIS2, Zakona o kibernetičkoj otpornosti i Zakona o umjetnoj inteligenciji – također podižu ljestvicu sigurnosnih standarda. Ipak, kako zaključuje Kalliola, "unatoč napretku, provedba ostaje nedosljedna. Nema vremena za gubljenje u pretvaranju propisa u stvarnost."