Жертвы мошенничества зачастую даже не подозревают, что пострадали в результате атаки, пока не станет слишком поздно. |
«Киберпреступники знают, что отрасль здравоохранения активно переходит на системы электронных медкарт, и объемы данных, которые можно украсть, постоянно увеличиваются», – отметила Энн Паттерсон, программный директор организации Medical Identity Fraud Alliance, ведущей борьбу с мошенничеством в медицинской сфере.
Системы электронных медкарт (electronic health records, EHR) активно используются врачами и медицинскими учреждениями для хранения информации о результатах анализов и планах лечения, а также персональных сведений о пациентах, дат их рождения и номеров карточек социального страхования.
Компании, работающие в сфере здравоохранения, заносят в системы EHR и другие персональные данные (например, информацию о кредитных картах), что превращает электронные медкарты в привлекательную цель для хакеров. Компания Anthem, один из крупнейших игроков на рынке медицинского страхования в США, объявила недавно о похищении в результате кибератаки конфиденциальных сведений о 80 млн ее клиентов и сотрудников. Украденная информация содержала имена пациентов, номера их карточек социального страхования, даты рождения и медицинские идентификационные номера.
Объединение похищенных сведений может быть использовано хакерами для разного рода мошенничества и извлечения дополнительного дохода. По словам главного аналитика Forrester Research Джона Киндервага, имея номера карточек социального страхования, например, можно получить доступ к банковским счетам соответствующих клиентов.
«Атаковав Anthem, хакеры сумели получить доступ к информации, которая используется обычно для изменения имен и паролей пользователей, – указал генеральный директор компании Nucleus Research Иан Кемпбелл. – При оформлении подписки на какие-то сервисы людей часто просят в качестве контрольного вопроса указать девичью фамилию своей матери. А поскольку информация эта не меняется, то в сочетании с адресами электронной почты ее можно использовать для получения доступа к учетным записям электронной почты.
Поэтому вопрос пациентам нужно ставить следующим образом: возможно ли в течение ближайших десяти лет возникновение каких-либо проблем, связанных с получением несанкционированного доступа к моей информации?"
«Отрасль здравоохранения отличается повышенной уязвимостью по сравнению с розничной торговлей и банковской сферой, где к кибератакам давно привыкли», – отметила вице-президент IDC Health Insights по исследованиям Линн Данбрак. – Киберпреступники считают организации, работающие в области здравоохранения, легкими целями. Исторически сложилось так, что здесь никогда не вкладывали большие средства в ИТ и конкретно в обеспечение компьютерной безопасности".
Взлом информационной системы Anthem может отразиться на ее финансовом положении. Закон США об отчетности и безопасности медицинского страхования (HIPAA) требует, чтобы компания отправила уведомление каждой жертве, что обойдется Anthem примерно в 350 долл. на каждую карту. Компаниям, нарушающим HIPAA, грозят серьезные штрафы. В прошлом году нью-йоркская больница, опубликовавшая в Интернете сведения о 6,8 тыс пациентах, была оштрафована на 4,8 млн долл.
Бреши в компьютерных системах компаний, занятых в сфере здравоохранения, могут привести к росту медицинского мошенничества. В системах электронных медкарт хранится страховая информация, зная которую при обращении за медицинской помощью можно выдавать себя за другое лицо. Некоторые страховые программы предусматривают дорогостоящие процедуры, в то время как другие доступа к таким процедурам в себя не включают. А значит, всегда существует спрос на страховку с более выгодными условиями.
"Набор медицинских данных, необходимых для получения помощи, оценивается на черном рынке в сумму от 20 до 200 долл.", – подчеркнула Данбрак.
Жертвы мошенничества зачастую даже не подозревают, что пострадали в результате атаки, пока не станет слишком поздно. В конечном итоге они могут получить от своей страховой компании уведомление о прохождении лечения, к которому не имели никакого отношения. Более опасные ситуации связаны с возникновением аллергических реакций на лекарства, приобретенные по подмененному в системе электронных медкарт рецепту.
"При определенном стечении обстоятельств возможны и летальные исходы, – отметила Данбрак. – Все зависит от уровня компрометации систем электронных медкарт и смешивания хранившихся там данных с данными, внесенными хакерами«.
Людям необходимо со всей серьезностью относиться к вопросам безопасности своих медицинских данных, которые непосредственно связаны с информацией о кредитных картах. Законодательство защищает пациентов лишь до определенной степени.
"Нам нужно предпринимать соответствующие меры со своей стороны и хорошо знать характер хранящейся в системе электронных медкарт информации", – подчеркнула Данбрак.