Több mint tízmillió ember adatait lopták el hackerek a New York államban működő Excellus egészségbiztosítási pénztár informatikai rendszerének feltörésével - jelentették be néhány napja. Az első támadás 2013 decemberében történt, de azt csak hónapokkal később észlelték, akkor vonták be a vizsgálatba a szövetségi nyomozókat és egy adatbiztonsági céget. Az ismeretlen sérülékenységeket kihasználó, alighanem kínai hackerek a biztosítottak nevét, telefonszámát, lakcímét, banki és egészségügyi adatait is lenyúlták. Sikerült rendszergazdai jogosultságokat szerezniük, így fértek hozzá a kódolt adatbázishoz. Az egészségbiztosító két évig ingyenes bankbiztonsági és személyazonosság-ellenőrzési szolgáltatásokat nyújt az érintetteknek. Erről nem telefonon vagy e-mailben, hanem postai levélben tájékoztatják az ügyfeleket, és arra figyelmeztetnek, hogy aki telefonos vagy e-mailes megkeresést kap, legyen elővigyázatos.
Az Excellus esete korántsem egyedülálló. Az Egyesült Államok egyik legnagyobb egészségbiztosítója, az Anthem idén februárban volt kénytelen beismerni, hogy legalább nyolcvanmillió biztosított adatait törték fel nála, bár azok eddig nem kerültek nyilvánosságra. Alig egy hónappal később a Premera számolt be tizenegymillió biztosítottat érintő adatvesztésről - tőlük egyebek közt bankszámla-információkat és kórházi adatokat loptak, 2002-ig visszamenőleg.
Vesszenek a bitek, vissza a papírhoz?
Természetesen nem a visszalépés a megoldás, de minthogy csak a három említett támadás mintegy százmillió sértettet számlál, nem csoda, hogy több oldalról indultak vizsgálatok. A KPMG ijesztő számokkal állt elő: szerintük az egyesült államokbeli egészségügyi intézmények főinformatikusainak, IT-biztonsági felelőseinek 81 százaléka elismeri, hogy az utóbbi két évben az általuk kezelt adatbázisokat legalább egy botnet-, malware- vagy egyéb kibertámadás érte. A megkérdezettek 13 százaléka naponta tapasztal egy vagy több támadást, 12 százalékuk két vagy több adatlopási próbálkozással szembesül hetente. Az egészségügyi informatikusok 66 százaléka felkészültnek tartja magát ugyan a behatolók távoltartására, de a KPMG jelentése szerint az intézmények 16 százalékánál nem tudják valós időben detektálni a behatolást.
Milyen eszköztárból dolgoznak a támadók? Rosszindulatú kódokkal követték el az utóbbi egy-két év támadásainak 65 százalékát, a belső munkatársak pszichológiai manipulációjával a 35 százalékát. Az adatvesztések okai között 65 százalékkal a külső támadások vezetnek, de jelentős szerepe van az adatok külső partnerrel való megosztásának (48), a munkatársak számlájára írható szivárogtatásnak (35), a vezeték nélküli hálózatok megcsapolásának (35) és a rosszul működő tűzfalaknak is (27 százalék). A KPMG úgy találta, hogy bár az amerikai egészségügyi intézmények többet költenek a kibertámadások megelőzésére, mint korábban, ez nem mindig párosul átgondolt stratégiával. Egészen más rendszert kell kialakítania annak a szervezetnek, amely mobilmunkaerőt alkalmaz, mint annak, amelynél egészségügyi adatok feldolgozása folyik - hozott példát a KPMG-s kutatás vezetője.
A tanácsadócég öt pontban foglalta össze, milyen tényezők vezettek az egészségügyi intézmények nagyobb kitettségéhez. Ezek:
- Digitális betegadatbázisok és a klinikai rendszerek automatizálása.
- Elavult egészségügyi nyilvántartás és olyan klinikai alkalmazások használata, amelyeket nem arra terveztek, hogy a mai hálózati környezetben biztonságosan működjenek; továbbá a problémát a szállítóra hárító szoftverfejlesztők.
- A digitális betegadatok egyszerű megosztása házon belül (laptopon, mobileszközön, pendrive-okon) és kívül (külső partnerekkel, felhőszolgáltatásokban).
- A hálózatos rendszerek és alkalmazások heterogenitása (például a lélegeztetőkészülékek ugyanahhoz a hálózathoz kapcsolódnak, mint az internetről elérhető nyilvántartások).
- Új keletű fenyegetések, kifinomultabb és jobban kistafírozott támadók, mert a feketepiacon emelkedett a megszerzett adatok árfolyama.
Az ötödik pont kapcsán a tanácsadócégnél megjegyzik, hogy a betegadatok azért sokkal értékesebbek a hitelkártyaadatoknál, mert meg nem változtatható személyes információt hordoznak. Ám azok az egészségügyi intézmények sem maradhatnak tétlenek, amelyeknél nem észlelték a behatolási kísérletek számának emelkedését, mert a tapasztalt hackerek szeretnek csöndben ülni, és addig szívni az információáramot, amíg csak lehet, mielőtt pénzzé tennék a lopott árut.
Titkosítva is szivárog
Titkosított adatbázisokról lévén szó, szoftveroldalról is utánajártak az egészségbiztosítókat ért támadásoknak. Testvérlapunk szerint a Microsoft kutatói a részleteket októberben fogják ismertetni, egyelőre annyit tettek közzé, hogy olyan, CryptDB-alapú relációs adatbázisokat vizsgáltak, amelyeken SQL-lekérdezések futtathatók kódolt adatokon. Az ilyen adatbázisok a kereshetőség érdekében gyakran használnak tulajdonságmegőrző titkosítási (property-preserving encryption, PPE) sémákat. Az ugyan ismeretes volt, hogy a PPE-sémákból kinyerhetők információk, azt azonban eddig nem tudtuk, hogy ennyire sérülékenyek ezek a rendszerek - mondták el elöljáróban a Microsoft szakemberei.
A CryptDB-alapú rendszerek nagy előnye a gyorsaság mellett, hogy csekély változtatással régi adatbázis-rendszereken is futtathatók, a kódolt adatokat pedig ugyanolyan könnyen kezelik, mint az egyszerű szöveges adatokat.
A titkosítást szokták tartani az internetes támadások elleni legjobb védekezésnek. A titkosítás azonban azzal jár, hogy a felhasználónak folyamatosan dekódolnia kell a titkosított információt. Amikor a számítógép memóriaegysége éppen a dekódolást végzi, a támadók a hátsó ajtón hozzáférhetnek a kódolatlan adatokhoz. A Microsoft elemzőinek ugyanezzel a módszerrel sikerült kihámozniuk a kétszáz legnagyobb amerikai kórház betegadatbázisából a páciensek legalább 80 százalékának adatait, beleértve a halálozási kockázatra, korra, a kórházi tartózkodás hosszára vonatkozó információkat. Noha vizsgálatuk az elektronikus egészségügyi nyilvántartásra korlátozódott, elmondásuk szerint hasonló eredménnyel járhatnak a demográfiai adatokat szintén tartalmazó HR- vagy számviteli adatbázisok elleni támadások.
Hazai turpisságok
Egészségbiztosítót vagy kórházat ért hackertámadásról ugyan nem tudtak beszámolni lapunknak hazai IT-biztonsági szakemberek, nemzeti egészségügyi intézményt ért incidensről viszont igen. Az Országos Egészségbiztosítási Pénztártól sokan kaptak kéretlen elektronikus levelet 2003 júniusában; mint kiderült, az egyik alkalmazott próbálgatta saját fejlesztésű hírlevélküldő szoftverét. Évekkel később a nagyszabású számítógépcsere járt meglepetéssel: a leselejtezett gépek egyszerűen nem fértek el az őrzött helyiségekben, így történhetett meg, hogy néhányból eltűnt a merevlemez, talán valamelyik gyógyszergyártó cég örömére.
