ZDRAVSTVU KIBERNETSKA VARNOST V

(1)

Univerza v Ljubljani

Fakulteta za elektrotehniko, Fakulteta za računalništvo in informatiko

JURE URŠIČ

KIBERNETSKA VARNOST V ZDRAVSTVU

Diplomsko delo

Univerzitetni študijski program prve stopnje Multimedija

Mentor: prof. dr. Andrej Kos

Ljubljana, 2022

(2)

(3)

v

(4)

(5)

v

Zahvala

Iskreno se zahvaljujem svojemu mentorju, tj. profesorju dr. Andreju Kosu, za pomoč in spodbudo pri izdelavi diplomskega dela. Zelo sem hvaležen za hitro odzivnost in prilagodljivost pri samem procesu izdelave dela.

Zahvalil bi se tudi vsem prijateljem in prijateljicam s področja multimedije za kakršno koli pomoč skozi leta študija.

Iskreno pa bi se zahvalil tudi svoji družini za podporo in spodbudo pri študiju in pisanju diplomske naloge.

(6)

(7)

vii

Povzetek

V diplomski nalogi so na začetku raziskani trije pomembnejši dokumenti agencije Evropske unije za varnost omrežij in informacij, ki predstavljajo kibernetsko varnost modernih bolnišnic, smernice za javno naročanje v zdravstvenih sistemih ter varnost v oblaku za zdravstvene storitve. V nadaljevanju naloge so opisana glavna varnostna orodja, ki jih današnje varnostne organizacije uporabljajo za zaščito svojih sistemov. Predstavljeni so protivirusna programska oprema, orodja za analizo groženj, orodja za preprečevanje izgube podatkov in uporaba umetne inteligence pri kibernetski varnosti, poleg pa so podani še primeri dejanskih orodij, ki se uporabljajo v praksi. V zadnjem delu naloge pa so predstavljeni in opisani še glavni napadi, ki jih napadalci uporabljajo za zlonamerne dejavnosti, ter primeri teh napadov, ki so se nedavno zgodili. Na koncu naloge pa se osredotočam še na dobre prakse na področjih sistemov za uporabljanje stavb, kliničnih informacijskih sistemov, storitev v oblaku in splošne dobre prakse za vse tipe zdravstvenih organizacij.

Ključne besede: zdravstvene organizacije, kibernetska varnost, varnostna orodja, kibernetski napadi, ENISA, standardi.

(8)

(9)

ix

Abstract

The thesis initially explores three important documents from the European Union's Agency for Network and Information Security, representing cybersecurity of modern hospitals, guidelines for public procurement in healthcare systems, and cloud security for healthcare services. The main security tools used by security organisations to protect their systems are described in the following. In addition, antivirus software, threat analysis tools, data loss prevention tools and the use of artificial intelligence in cybersecurity are presented and supported with examples of actual tools used in practice. In the last part of the thesis, the main attacks used by attackers for malicious activities are introduced and described, as well as examples of these attacks that have recently occurred. Finally, I focus on good practices in the areas of building utilisation systems, clinical information systems, cloud services and general good practices for all types of healthcare organisations.

Key words: healthcare organisations, cybersecurity, security tools, cyberattacks, ENISA, standards.

(10)

(11)

xi

Vsebina

1. UVOD ... 1

1.1.KIBERNETSKA VARNOST ... 1

1.1.1. Ravni zaščite kibernetske varnosti ... 2

1.1.2. Grožnje kibernetske varnosti ... 2

1.2.KIBERNETSKA VARNOST V ZDRAVSTVU ... 4

2. STANDARDI IN DOKUMENTI ... 7

2.1.VARNOST IN ODPORNOST MODERNIH BOLNIŠNIC ... 8

2.1.1. Pametne bolnišnice ... 8

2.1.2. Analiza groženj in tveganj ... 9

2.1.3. Dobre prakse pametnih bolnišnic ... 10

2.2.KIBERNETSKA VARNOST JAVNEGA NAROČANJA SISTEMOV IKT IN NAPRAV V BOLNIŠNICAH ... 11

2.2.1. Javna naročila v bolnišnicah ... 11

2.2.2. Varnost javnega naročanja sistemov IKT in naprav ... 12

2.2.3. Dobre prakse kibernetske varnosti ... 12

2.3.VARNOST V OBLAKU ZA ZDRAVSTVENE STORITVE ... 13

2.3.1. Zdravstvo v oblaku ... 14

2.3.2. Vidiki kibernetske varnosti v oblaku za zdravstvo ... 15

2.3.3. Varnostni ukrepi v oblaku ... 15

3. VARNOSTNA ORODJA ... 17

3.1.PROTIVIRUSNA PROGRAMSKA OPREMA ... 17

3.2.ORODJA ZA ANALIZO GROŽENJ ... 18

3.3.ORODJA ZA PREPREČEVANJE IZGUBE PODATKOV ... 21

3.4.UMETNA INTELIGENCA ... 23

4. NAPADI IN DOBRE PRAKSE OBRAMBE ... 27

(12)

xii Vsebina

4.1.PRIMERI NAPADOV ... 27

4.1.1. Napad z izsiljevalsko programsko opremo ... 27

4.1.2. Ribarjenje ... 28

4.1.3. Napad z zavrnitvijo storitve ... 30

4.1.4. Napadi na spletne aplikacije in oblak v zdravstvu ... 31

4.2.DOBRE PRAKSE ... 32

4.2.1. Sistemi za upravljanje stavb ... 33

4.2.2. Klinični informacijski sistemi ... 33

4.2.3. Storitve v oblaku ... 34

4.2.4. Splošne dobre prakse ... 35

5. SKLEP ... 37

LITERATURA... 39

(13)

xiii

Seznam slik

Slika 1: Razčlenitev temeljnih vzrokov zlonamernih kršitev podatkov glede na vektor

grožnje [1] ... 3

Slika 2: Statistični podatki o kibernetski varnosti v zdravstvu 2021 [16] ... 6

Slika 3: Pomembnejši standardi [24] ... 7

Slika 4: Cilji pametnih bolnišnic [21] ... 9

Slika 5: Sredstva in grožnje, ki jih je treba analizirati [37] ... 18

Slika 6: Analitika na podlagi umetne inteligence za varno pametno zdravstveno infrastrukturo [55] ... 25

Slika 7: Primer DDoS napada na aplikacijski sloj [73] ... 31

(14)

(15)

xv

Seznam uporabljenih kratic

Slovenski izraz Slovenska

kratica

Tuji izraz Tuja

kratica

pomožni objekt brskalnika / Browser helper object BHO

sistem za upravljanje stavb / Building management system BMS

prinesi svojo napravo / Bring your own device BYOD

kritična kontrolna točka / Critical control point CCP

koronavirusna bolezen 2019 / Coronavirus disease 2019 COVID-19 kmetijstvo, ki ga podpira

skupnost

/ Community-supported

agriculture

CSA

napad z zavrnitvijo storitve / Denial-of-service attack DDoS

preprečevanje izgube podatkov / Data loss prevention DLP

osnutek tehničnega poročila / Draft technical report DTR elektronski zdravstveni zapis EZZ Electronic health record EHR

Agencija Evropske unije za kibernetsko varnost

/ The European union agency for cybersecurity

ENISA upravljanje podjetniških virov / Enterprise resource planning ERP

Evropska unija EU European union EU

splošna uredba o varstvu podatkov

/ General data protection regulation

GDPR Zakon o prenosljivosti in

odgovornosti zdravstvenega zavarovanja

/ Health insurance portability and accountability act

HIPAA

bolnišnični informacijski sistem / Hospital information system HIS protokol za prenos hiperteksta / Hypertext transfer protocol HTTP

infrastruktura kot storitev / Infrastructure-as-a-service IaaS

(16)

xvi Seznam uporabljenih kratic

Informacijsko-komunikacijska tehnologija

IKT Information and

communications technology

ICT internet medicinskih stvari / Internet of medical things IoMT

internet stvari / Internet of things IoT

internetni protokol IP Internet protocol IP

mednarodna organizacija za standardizacijo

/ International organization for standardization

ISO informacijska tehnologija IT Information technology IT večplastni ponudnik storitev / Layered service provider LSP nacionalna zdravstvena služba / National health service NHS

mrežna informacijska storitev / Network information service NIS direktiva o varnosti omrežij in

informacij

/ National institute of standards and technology

NISD delovanje, upravljanje,

vzdrževanje in zagotavljanje

/ Operations, administration, maintenance, and provisioning

OAM&P

operativna tehnologija OT Operational technology OT

platforma kot storitev / Platform-as-a-service PaaS

osebni računalnik / Personal computer PC

standard za varnost podatkov v industriji plačilnih kartic

/ Payment card industry data security standard

PCI-DSS

osebni podatki, ki jih je mogoče prepoznati

/ Personal identifiable information

PII

programska oprema kot storitev / Software-as-a-service SaaS

storitev kratkih sporočil Short message service SMS

strukturirani poizvedovalni jezik / Structured query language SQL

Združene države Amerike / United States of America USA

univerzalno serijsko vodilo / Universal serial bus USB

delovni osnutek / Working draft WD

(17)

1

1. Uvod

Področje varnostnih orodij, napadov na zdravstveni sektor in dobre prakse, ki se pri tem uporabljajo, je zelo veliko. V uvodnem delu je predstavljena kibernetska varnost na splošno in področje kibernetske varnosti v zdravstvu.

1.1. Kibernetska varnost

Kibernetska varnost je zaščita sistemov, omrežij in programov pred raznimi digitalnimi napadi. To področje postaja vse pomembnejše zaradi nenehnega povečevanja odvisnosti od informacijsko-komunikacijske tehnologije (IKT), interneta ter rasti števila t. i.

pametnih naprav, vključno s pametnimi telefoni, televizorji in drugimi napravami, ki sestavljajo t. i. internet stvari (angl. Internet of Things, IoT). Kibernetska varnost je zaradi svoje kompleksnosti – tako z vidikov uporabe kot tehnologije – eden od pomembnih izzivov v sodobnem svetu. Cilj kibernetskih napadov je običajno dostop do občutljivih informacij, njihovo spreminjanje ali uničenje, izsiljevanje denarja od uporabnikov ali prekinitev običajnih poslovnih procesov. Izvajanje učinkovitih ukrepov kibernetske varnosti je danes še posebej zahtevno, saj je naprav več kot ljudi, napadalci pa so vedno bolj inovativni. Kako zelo uničujoči so lahko ti napadi, nam pove podatek, da so leta 2020 povprečni stroški kršitve varnosti podatkov znašali 3,89 milijona ameriških dolarjev na svetovni ravni in 8,64 milijona ameriških dolarjev v Združenih državah Amerike [1]. Ti stroški vključujejo od stroškov odkritja kršitve do odziva nanjo ter stroške napada in izgubljenega prihodka. Organizacije s celovito strategijo kibernetske varnosti, ki temelji na najboljših praksah in je avtomatizirana z uporabo napredne analitike, umetne inteligence in strojnega učenja, se lahko učinkoviteje borijo proti kibernetskim grožnjam ter jim zmanjšajo življenjski cikel [2], [3].

(18)

2 1. Uvod

1.1.1. Ravni zaščite kibernetske varnosti

Uspešen način kibernetske varnosti ima več ravni zaščite, ki je razporejena po računalnikih, omrežjih, programih ali podatkih, ki jih želimo zavarovati. V posameznih organizacijah se morajo ljudje, procesi in predvsem tehnologija medsebojno dopolnjevati, da bi lahko ustvarili učinkovito obrambo pred kibernetskimi grožnjami [4]. Te ravni zaščite so varnost kritične infrastrukture, kamor sodijo prakse za zaščito računalniških sistemov in omrežij, na katere se nanaša družba zaradi nacionalne varnosti. Varnost omrežja je zaščita računalniškega omrežja pred vsiljivci, bodisi usmerjenimi napadalci, bodisi oportunistično zlonamerno programsko opremo. Naslednja raven je varnost aplikacij, ki se osredotoča na zaščito programske opreme naprav. Uspešno zagotavljanje varnosti se začne že v fazi načrtovanja, precej pred uvedbo programa ali naprave. Sledi varnost v oblaku, ki nam zagotovi zasebnost strank, poslovne zahteve in skladnost z regulativnimi standardi.

Poznamo tudi še varnost informacij, to so ukrepi za zaščito podatkov, ki varujejo najbolj občutljive podatke pred nepooblaščenim dostopom, krajo in izpostavljenostjo;

načrtovanje obnovitve po nesreči, ki predstavlja odziv organizacije na incident kibernetske varnosti ali kateri koli drug dogodek, ki povzroči izgubo podatkov. Politike za obnovitev po nesreči določajo, kako organizacija obnovi svoje delovanje in informacije, da bi ponovno vzpostavila enako zmogljivost delovanja kot pred dogodkom. Še ena stopnja varnosti je shranjevanje podatkov, to vključuje šifriranje ter nespremenljive in izolirane kopije podatkov. Prva raven zaščite pa je izobraževanje končnih uporabnikov, saj lahko vsak posameznik po nesreči ali naključju vnese virus v sicer varen sistem, če ne upošteva dobrih priporočil in praks. Za varnost vsake organizacije je bistvenega pomena, da zaposlene nauči, naj brišejo sumljive priponke e-pošte ali ne priključujejo neidentificiranih diskov univerzalnih serijskih vodil (angl. Universal Serial Bus, USB) [3], [5].

1.1.2. Grožnje kibernetske varnosti

Groženj kibernetski varnosti je več. Termin kibernetski kriminal vključuje posamezne akterje ali skupine, ki ciljajo na sisteme z namenom pridobitve kakršne koli koristi ali povzročitev škode. Kibernetski napadi so zlonamerna dejanja, ki škodljivo vplivajo na delovanje sistema IKT, digitalno odvisnih podjetij in omrežij. Poznamo pa tudi še kibernetski terorizem, katerega namen je ogroziti elektronske sisteme in povzročiti paniko ali strah [6]. Med najpogostejše načine, na katere zlonamerneži ogrozijo kibernetsko varnost, sodi zlonamerna programska oprema (angl. malware). Obstaja veliko različnih vrst zlonamerne programske opreme, med najbolj uporabljene sodijo virusi, to so programi s sposobnostjo samorazmnoževanja in širjenja na druge datoteke. Zelo znana

(19)

3 vrsta so tudi trojanski konji, to so zlonamerni programi, ki so prikriti kot zakoniti oziroma ne nevarni. Kibernetski kriminalci uporabnike z zvijačo prepričajo, da trojanskega konja naložijo v računalnik, kjer ta povzroči škodo ali zbira podatke. Poznamo tudi vohunsko programsko opremo, ki beleži, kaj uporabnik počne, pa tudi razne oglaševalske programske opreme, ki se uporabljajo za širjenje (angl. adware) in tudi strašilne programske opreme (angl. scareware), ki skušajo preko pojavnih oken v brskalniku žrtev prepričati v nakup ali prenos škodljive programske opreme. Poleg zlonamerne programske opreme, poznamo tudi vbrizgavanje strukturiranih jezikovnih poizvedb (angl. Structured Query Language injection), to je vrsta kibernetskega napada, ki se uporablja za prevzem nadzora nad zbirko podatkov in krajo podatkov iz nje. Zelo znana metoda je tudi ribarjenje (angl. phishing), kjer kibernetski kriminalci žrtvam pošiljajo e-poštna sporočila, za katera se zdi, da prihajajo iz zakonitega podjetja, in v njih prosijo za občutljive podatke, v večini primerov so to kreditne kartice. Znana metoda je tudi napad tipa moža v sredini (angl.

Man-in-the-Middle), kjer napadalec prestreže komunikacijo med dvema osebama in ukrade podatke. Zelo uporabljeni pa so tudi napadi z zavrnitvijo storitve. Ti napadi preprečijo, da bi sistem IKT lahko izvajal ključne funkcije in zaradi tega je organizaciji onemogočeno delovanje [2], [3], [5], [6].

Slika 1: Razčlenitev temeljnih vzrokov zlonamernih kršitev podatkov glede na vektor grožnje [1]

Število napadov v zadnjih letih je zelo naraslo. Med najbolj znane sodijo razkritja o globalnem nadzoru, ki jih je objavil Edward Snowden, kršitev varnosti podatkov Urada za upravljanje s človeškimi viri, Napad Stuxnet in mnogi drugi [7], [8]. Tudi v Sloveniji nismo

(20)

4 1. Uvod

varni pred napadi, zgodil se je vdor v strežnik ginekološke klinike, kraja gesel na SiOL-u in v zadnjem letu velika izpostavljenost zaradi dela na daljavo, predvsem z izsiljevanjem in napadi preko SMS-sporočil [9]. Nič nas ne čudi, da se je v boj proti kibernetskemu kriminalu vmešala tudi Evropska unija, ki sprejema ukrepe za obravnavo izzivov kibernetske varnosti. EU se bo, kot so pozvali oktobra 2020, zavzemala zagotoviti varno komunikacijsko okolje, predvsem s kvantnim šifriranjem, zagotoviti dostop do podatkov za sodne namene in namene kazenskega pregona in se zaščititi pred kibernetskimi grožnjami.

Njen namen je Evropo narediti odpornejšo proti kibernetskim grožnjam ter zagotoviti, da bodo lahko vsi državljani in podjetja uživali vse koristi, ki jih nudijo zaupanja vredne in zanesljive storitve ter digitalna orodja [10].

1.2. Kibernetska varnost v zdravstvu

Kibernetska nevarnost se je v zadnjih letih za zdravstveni sektor zelo povečala, povečala se je tudi zahtevnost kibernetskih napadov. Papirno delo se je preselilo v elektronsko obliko in sisteme podatkovnih zbirk. Kljub temu da se je to izkazalo koristno za paciente in njihove zdravnike, je zaradi večje povezljivosti in posledično lažjega dostopa na daljavo ter izmenjave podatkov industrija postala zelo ranljiva. Prav tako se tako zdravstveni sektor kot tudi vlade zavedajo tega novega obdobja. Z vsakršnim napredkom, ki prinaša avtomatizacijo, interoperabilnost in podatkovno analitiko, se poveča ranljivost zdravstvenih sistemov za zlonamerne kibernetske napade. Z napadom na zdravstveni sektor se neposredno ogrozijo ne le varnost sistemov in informacij, temveč tudi zdravje in varnost pacientov. Številne zdravstvene organizacije imajo različne vrste specializiranih bolnišničnih informacijskih sistemov, kot so sistemi EHR (angl. Electronic Health Record), sistemi za e-naročanje, sistemi za podporo upravljanju prakse, sistemi za podporo kliničnemu odločanju, radiološki informacijski sistemi in sistemi za računalniški vnos zdravniških naročil. Poleg tega pa je tu še na tisoče naprav, ki sestavljajo internet stvari.

Internet medicinskih stvari (angl. Internet of Medical Things, IoMT) vključuje vse vrste mobilnih naprav in medsebojno povezanih sistemov, v katerih so shranjeni podatki o pacientih in medicinska dokumentacija. Priložnosti za krajo podatkov je veliko, zato je potreba po močni funkciji kibernetske varnosti v zdravstvenih organizacijah večja kot kdaj koli prej [11]–[13].

Zdravstvene organizacije postanejo tarča kibernetski napadov iz treh glavnih razlogov:

(21)

5

• kriminalci v temnem internetu (angl. dark web) hitro in drago prodajo zdravstvene podatke in podatke za namene raznih goljufij,

• odkupnine ob zaklenitvi zdravstvenega sistema so zelo donosne,

• medicinski pripomočki, ki so povezani z internetom, so zelo dovzetni za nedovoljene posege [13].

Kibernetska varnost v zdravstvu je v kritičnem stanju. Raziskava iz leta 2020 o kibernetski varnosti je pokazala, da je 70 % anketiranih bolnišnic v zadnjih dvanajstih mesecih doživelo »pomemben varnostni incident«, vključno z napadi z ribarjenjem in izsiljevalsko programsko opremo, ki so povzročili motnje v delovanju IKT (28 %) in poslovnih funkcijah (25 %), pa tudi finančne izgube (20 %) [14]. Podatke za leto 2021 prikazuje spodnja slika ( Slika 2). Zdravstvene organizacije so vabljiva tarča za finančno motivirane napadalce, saj je zaradi široke napadalne površine kibernetskim kriminalcem razmeroma enostavno najti ranljivosti v sistemu in zaslužiti [15]. Bolnišnice, neodvisni zdravniki in zobozdravniki nimajo vedno finančnih sredstev za vlaganje v ukrepe kibernetske varnosti. Kljub temu se soočajo z enakimi kibernetskimi grožnjami. Po podatkih Ameriškega zdravniškega združenja približno 57 % zdravstvenih pisarn v ZDA vključuje deset ali manj zdravnikov, približno 10 % pa je samostojnih zdravnikov. Številni majhni izvajalci zdravstvenih storitev ne morejo ali nočejo plačati odkupnine in so zaradi teh napadov prisiljeni zapreti svoja vrata. Plačilo odkupnine ne pomeni vedno, da bo zlonamerni napadalec vrnil dostop do podatkov ali opreme. Prav tako ne zagotavlja, da podatkov o bolniku ne bo prodal v temnem omrežju.

(22)

6 1. Uvod

Slika 2: Statistični podatki o kibernetski varnosti v zdravstvu 2021 [16]

Zdravstvena industrija ima morda celo več izzivov kibernetske varnosti kot druge industrije. Zadolženi so za varovanje zaupnih finančnih in zdravstvenih informacij svojih pacientov in osebja, hkrati pa morajo zaščititi tudi svoja omrežja, zbirke podatkov in končne točke. Povezane medicinske naprave in pripomočki se uvajajo vsak dan in predstavljajo velik odstotek vseh medicinskih naprav. Te povezane naprave so pogosto potrebne za ohranjaje pacienta pri življenju in zato je njihovo delovanje ključnega pomena. Da bi se izognili pravnim posledicam, goljufijam v zdravstvu in škodovanju ugledu zaradi uhajanja podatkov o pacientih, mora biti zdravstvena industrija pozorna na pomen kibernetske varnosti. Izvajanje ustreznih varnostnih strategij in zagotavljanje usposabljanja o kibernetski varnosti, s katerim se vse osebje izobražuje o vrednosti varnosti, je ključnega pomena za zaščito industrije kot celote. Rešitve kibernetske varnosti v zdravstvenem varstvu bi morale vključevati zaščitne ukrepe, ki so boljši od tistih, ki jih zagotavlja večina podjetij. Glede na stopnjo zaščite bi morali biti ti sistemi in naprave teoretično enaki ali boljši od tistih v finančnih institucijah [11], [13], [17].

(23)

7

2. Standardi in dokumenti

Na področju kibernetske varnosti zdravstvenih organizacij obstaja veliko število standardov, ki jih uporabljajo različne zdravstvene organizacije po vsem svetu [18]–[20].

Ena izmed največjih organizacij, ki deluje na področju Evropske unije, je ENISA (angl. The European Union Agency for Cybersecurity). ENISA si prizadeva za doseganje visoke skupne ravni kibernetske varnosti v Evropi, prispeva h kibernetski politiki EU, povečuje zanesljivost izdelkov, storitev in postopkov IKT s sistemi certificiranja kibernetske varnosti, sodeluje z državami članicami in organi EU ter pomaga Evropi, da se pripravi na kibernetske izzive prihodnosti. Na področju zdravstva je bilo s strani agencije izdanih veliko število dokumentov, v nalogi sem se osredotočil na tri, ki so še zelo aktualni in dobro predstavijo sliko kibernetske varnosti v zdravstvu. V tem poglavju se bom posvetil tem trem dokumentom, ki so bili objavljeni s strani agencije v zadnjih letih. Prvi dokument, objavljen leta 2016, ima poudarek na varnosti in odpornosti modernih bolnišnic [21]. Drugi dokument iz leta 2020 se osredotoča na varnost javnih naročil v bolnišnicah. Tretji dokument iz leta 2021 pa govori o kibernetski varnosti v oblaku za pametne bolnišnice [22], [23].

Slika 3: Pomembnejši standardi [24]

(24)

8 2. Standardi in dokumenti

2.1. Varnost in odpornost modernih bolnišnic

Zaradi velikega števila pomembnih dejavnikov, kot so življenje pacienta, občutljivi osebni podatki in finančni viri, je informacijska varnost ključno vprašanje za bolnišnice.

Grožnje bolnišnicam niso omejene na zlonamerna dejanja, kar zadeva njihov temeljni vzrok. Človeške napake, napake sistema in napake tretjih oseb tudi igrajo veliko vlogo kot grožnje sistemu. Tveganja, ki izhajajo iz teh groženj in ustrezne ranljivosti, se običajno zmanjšajo s kombinacijo organizacijskih in tehničnih varnostnih ukrepov in ukrepov bolnišnic, ki vključujejo dobre prakse. Zelo pomembno za bolnišnice je tudi, da proizvajalci naprav in opreme upoštevajo zahteve in zakonodajo, hkrati pa tudi testirajo in adaptirajo svoje produkte.

Po raziskavi ENISA bi bilo za bolnišnice dobro, če bi poskusile zagotoviti [21]:

• vzpostavitev učinkovitega upravljanja podjetja za kibernetsko varnost,

• izvajanje najsodobnejših varnostnih ukrepov,

• zagotavljanje posebnih varnostnih zahtev IT za komponente interneta stvari v bolnišnici,

• vlaganje v izdelke NIS (angl. Network Information Service),

• vzpostavitev mehanizma za izmenjavo informacij o varnosti,

• izvedbo ocene tveganja in ocene ranljivosti,

• izvajanje penetracijskega testiranja in revizije,

• podporo komunikacijskim platformam z več zainteresiranimi stranmi.

2.1.1. Pametne bolnišnice

Glavni cilj pametnih bolnišnic je pacientu nuditi optimalno zdravstveno oskrbo s pomočjo napredne informacijske in komunikacijske tehnologije. Definicija pametne bolnišnice je:

»Bolnišnica, ki temelji na optimiziranih in avtomatiziranih procesih, zgrajenih na okolju IKT, zlasti na podlagi interneta stvari, za izboljšanje obstoječih postopkov oskrbe bolnikov in uvajanje novih zmogljivosti.« [21]

Med najpomembnejše razloge za uporabo informacijsko-komunikacijske tehnologije v bolnišnicah sodijo oddaljena zdravstvena oskrba, boljša kirurška oskrba,

(25)

9 hitrejši zdravstveni tok, povečana varnost pacientov, večja varnost sistema in zaupanje [21]. Med sredstva, ki jih sodobne bolnišnice vsebujejo, štejemo sredstva sistema oskrbe na daljavo – to so zdravstvena oprema za opazovanje pacientov in distribucijo zdravil ter omrežne medicinske naprave, katerih uporaba je namenjena predvsem nadzorovanje pacientov. V to kategorijo uvrščamo naprave za merjenje glukoze, prenosne inzulinske pumpe, dozirne postaje za kemoterapijo in številne druge naprave. Naslednje sredstvo so identifikacijski sistemi, ki so uporabljeni za sledenje in avtentikacijo pacientov, opreme in zaposlenih, sledi omrežna oprema, ki skrbi za povezovanje. Pomembni sredstvi sta tudi mobilne odjemalske naprave in medsebojno povezan klinični informacijski sistem [21]. Ti dve sredstvi sodita med najbolj kritične.

Slika 4: Cilji pametnih bolnišnic [21]

2.1.2. Analiza groženj in tveganj

Grožnje največkrat izkoriščajo pomanjkljivosti IKT in ljudi. Z drugimi besedami napadalci iščejo najšibkejši člen v verigi zaščite. V zdravstvenem sektorju je ranljivosti, ki jih je potrebno izpostaviti, veliko. Med najbolj ranljive sodijo naprave IoT, katerih lastnost je, da so zelo povezljive. Pri napravah IoT je zelo pomembno upoštevanje njihove življenjske dobe in aktivno posodabljanje. Ključnega pomena za bolnišnice je tudi, da spoštujejo standarde in priporočila organizacij ter proizvajalcev. Ranljivost sistema

(26)

predstavlja tudi dejstvo, da uporabnik nima velikega nadzora s samim delovanjem naprave in ni določenega postopka v primeru zaznave grožnje. Velikokrat se enostavno pridobi nadzor nad samimi povezljivimi napravami. Dodatno nevarnost v verigi lahko predstavljajo še naprave osebja in pacientov.

Največje grožnje za pametne bolnišnice so zlonamerna dejanja, ki jih izvede posameznik ali pa organizacija. Med ta sodijo zlonamerna programska oprema, ugrabitve na nivoju omrežja ali pa naprave, prirejanje medicinskih pripomočkov, kraja podatkov ali naprav, napadi socialnega inženiringa in napadi z zavrnitvijo storitve [21]. Naslednja velika grožnja so človeške napake, med katere štejemo nezbranost, nedovoljen dostop in malomarnost. Grožnja sistemu so tudi sistemske napake, kot so napake naprav ali programov, preobremenitev in mnoge druge. V redkih primerih pa kot grožnja nastopijo tudi naravni pojavi.

Napadalci, ki ogrožajo pametne bolnišnice, v večini primerov delujejo kot zlonamerni bolniki in gostje, oddaljeni napadalci ali pa kot zlonamerni zaposleni.

Uporabljajo različne pristope, med njih sodijo fizična interakcija s sredstvi IKT, brezžična in žična komunikacija ter interakcija z zaposlenimi.

2.1.3. Dobre prakse pametnih bolnišnic

Pametne bolnišnice imajo težko nalogo pri zaščiti pred napadi, pa tudi ko postanejo žrtve, so posledice zelo hude. Obramba postaja vse težja in težja zaradi hitrega povečevanja naprav, povezanih v omrežje, kar potegne za seboj veliko možnih vhodnih točk. Dobre prakse delimo na organizacijske in tehnične.

Pod organizacijske sodijo upravljanje varnosti (določitev varnostne vloge in odgovornosti, ustvarjenje varnostne procedure in razvitje programov ozaveščanja in usposabljanja), upravljanje tveganj (razvitje načrta za nepredvidene razmere, opredelitev tveganj, sredstev in groženj). Skladnost in zagotovitve (sprejetje standardov, izvajanje varnostne revizije in izvajanje ocen varnosti).

Pod tehnične prakse pa sodijo kibernetska varnost in zaščitni ukrepi (mehanizmi preprečevanja, izvajanje dinamične segmentacije omrežja in uporaba požarnih zidov, izvajanje redne varnostne kopije), nadzor varnosti sredstev (konfiguracija in upravljanje sredstev, uporaba postopkov popravljanja in posodabljanja ter izvajanje nadzora dostopa), varnost podatkov (uvedba šifriranja podatkov in razvrščanje podatkov) ter mobilne komponente varnosti (zaščita oddaljenih in mobilnih sistemov zdravstvenega varstva) [21].

(27)

11

2.2. Kibernetska varnost javnega naročanja sistemov IKT in naprav v bolnišnicah

Javna naročila so ključni proces, ki oblikuje okolje IKT v sodobnih bolnišnicah, zato morajo biti v ospredju pri doseganju ciljev kibernetske varnosti. Življenjski cikel javnega naročanja je sestavljen iz treh faz, in sicer načrtovanja, pridobivanja in upravljanja.

Kibernetska varnost je pomembna za vse tri faze. Zaradi naraščajočega števila naprav, ki se uporabljajo v bolnišnicah, je vse težje poskrbeti za varno okolje. Po podatkih raziskave je na vsako posteljo v sodobni bolnišnici priklopljenih od 10 do 15 različnih naprav in do leta 2022 se pričakuje rast trga interneta medicinskih stvari do 40 milijard [25], [26]. Cilj za pametne bolnišnice je zagotoviti varen ekosistem, ki bo upošteval vsa sredstva in zagotovil varno javno naročanje omrežne opreme, medicinskih pripomočkov, identifikacijskih sistemov, industrijskih nadzornih sistemov, medicinskih naprav IoT, storitev v oblaku, strokovnih storitev itd. Namen vseh faz in standardov je izboljšati postopek naročanja, da bi izpolnili cilje kibernetske varnosti. Smernice ENISA-e zajemajo od organizacijskih praks za same zdravstvene organizacije do tega, katere informacije je treba pri naročanju sistemov in storitev zahtevati od dobaviteljev kot "dokazila" o kibernetski varnosti.

2.2.1. Javna naročila v bolnišnicah

Javno naročanje v sodobnih bolnišnicah poteka v treh fazah. Prva faza je planiranje – v tej fazi analizirajo poslovne potrebe, identificirajo in zberejo zahteve. Druga faza je faza pridobivanja – tukaj se zahteve prevedejo v tehnične specifikacije in začne se postopek pridobivanja virov. Bolnišnica pridobi ponudbe in jih oceni ter izbere najustreznejše. Faza se zaključi s pogajanji z izvajalcem in oddajo naročila. Zadnja faza pa je faza upravljanja – v tej fazi se podpiše pogodba in določi se skrbnika, ki poskrbi, da vse poteka gladko. Med tipe naročanja sodijo medicinske naprave, omrežna oprema, klinični informacijski sistemi, identifikacijski sistemi, sistemi za oskrbo na daljavo, mobilne odjemalske naprave, sistemi za upravljanje stavb, industrijski nadzorni sistemi, oblačne storitve in profesionalne storitve [22].

Za javno naročanje v sodobnih bolnišnicah skrbi več standardov. Med bolj prepoznavne sodijo ISO/DTR 22696, ISO/DTR 21332 in ISO/WD 13131 [27]–[29].

Glavni izziv za javna naročila v bolnišnicah so klinični informacijski sistemi. Pri teh sistemih je potrebno biti pozoren na ranljivosti komponent, interoperabilnost in popolnoma neprekinjeno delovanje. Drugi izziv so medicinske naprave, kjer je potrebno odpraviti težave s proizvodnimi procesi, najeto opremo, starejšimi napravami, skritimi

(28)

funkcionalnostmi in posodobitvami/upravljanjem življenjskega cikla. Izziv predstavlja tudi mreženje zaradi nezaščitenih protokolov in strokovne storitve, kjer so problem človeški dejavniki in varnost pacientov. Dodaten izziv se pojavlja tudi pri sistemu za upravljanje stavb – sistem za industrijski nadzor, tukaj je težava v hibridnih rešitvah IT/OT. Hibridne rešitve omogočajo zbliževanje digitalnega in fizičnega sveta, od pametnih stavb do digitalnih dvojčkov, in vključujejo na primer sisteme za določanje lokacije pacientov in dragocenih sredstev v realnem času, lekarniške sisteme ali operacijske bloke [22].

2.2.2. Varnost javnega naročanja sistemov IKT in naprav

Vsaka vrsta javnih naročil je povezana s svojimi dejavniki tveganja. Pomembno je, da zaposleni v zdravstvenih organizacijah razumejo te dejavnike tveganja in njihov vpliv, ki bi lahko deloval na informacijsko infrastrukturo, zdravje pacientov, informacije o pacientih, diagnozo in kakovost storitve zdravljenja.

Vrste javnega naročanja se razlikujejo po svojih tveganjih. Na prvem mestu so klinični informacijski sistemi, kjer so faktorji tveganja slabo zasnovani ali sprogramirani sistemi, infrastruktura, ki ni sposobna obvladovati sistema in pomanjkanje varnostnih vidikov. Pri industrijskih nadzornih sistemih so faktorji tveganj znana gesla storitev, uporaba nezanesljivih omrežnih protokolov, BMS (angl. Building Management System) je lahko nameščen z odprtimi in izpostavljenimi točkami dostopa ter slaba fizična varnostna zaščita naprav BMS in delovnih postaj. Medicinski pripomočki imajo tveganja pri nešifriranih podatkih, napačni uporabi omrežnih protokolov in odsotnosti kontrol preverjanja pristnosti. Največje tveganje pri mobilno povezanih medicinskih pripomočkih je uporaba ranljivega pametnega telefona, pri identifikacijskih sistemih pa nešifrirani podatki. Poseben tip pa so storitve v oblaku, kjer je največja težava v neustreznem delovanju [22].

2.2.3. Dobre prakse kibernetske varnosti

V tem poglavju so predstavljene dobre prakse kibernetske varnosti pri javnem naročanju. Prakse so razdeljene v faze, kot pri življenjskem ciklu javnega naročanja.

Obstajajo pa tudi splošne dobre prakse, ki so primerne za vse faze cikla. Med splošne dobre prakse spadajo:

• vključitev oddelka IKT v javno naročanje,

• izvajanje postopka prepoznavanja in upravljanja ranljivosti,

(29)

13

• razvoj pravilnika za posodobitve strojne in programske opreme,

• izboljšanje varnostnega nadzora za brezžično komunikacijo,

• vzpostavitev politik testiranja,

• vzpostavitev načrtov neprekinjenega poslovanja,

• upoštevanje vprašanj interoperabilnosti,

• omogočanje testiranja vseh sestavnih delov,

• omogočanje revidiranja in beleženja,

• šifriranje občutljivih osebnih podatkov v mirovanju in pri prenosu [22].

Življenjski cikel javnega naročanja se začne s fazo planiranja. V tej fazi so dobre prakse izvedba ocene tveganja kot del postopka javnega naročanja, vnaprej načrtovane zahteve glede omrežja, strojne opreme in licenc. Sledi prepoznavanje groženj, povezanih z izdelki ali storitvami javnih naročil, določanje zahtev omrežja, določitev meril za upravičenost dobaviteljev in oblikovanje posebnega razpisa za zbiranje ponudb za naročanje storitev v oblaku [22].

Fazi planiranja v ciklu javnega naročanja sledi faza pridobivanja. Dobre prakse, ki jih uporabljajo sodobne bolnišnice, so tukaj zahteve za certificiranje kibernetske varnosti, izvajanje ocen učinka v zvezi z varstvom podatkov za nove izdelke ali storitve, nastavitev prehodov za ohranitev povezave med starejšimi sistemi/stroji, zagotavljanje usposabljanja o kibernetski varnosti o varnostnih praksah organizacije za osebje in zunanje svetovalce, izdelava načrtov za odzivanje na incidente, vključitev prodajalca/proizvajalca v upravljanje incidentov, načrtovanje in spremljanje vzdrževalnih del za vso opremo in oddaljeni dostop, ki ga je treba omejiti na najmanjšo možno mero in ga upravljati [22].

Na koncu sledi še faza upravljanja. Dobre praske pri upravljanju so ozaveščanje zaposlenih o kibernetski varnosti, izvajanje popisa sredstev in upravljanje konfiguracije, vzpostavitev posebnih mehanizmov za nadzor dostopa za prostore za medicinske pripomočke in penetracijsko testiranje [22].

2.3. Varnost v oblaku za zdravstvene storitve

Zdravstveni sektor je v procesu digitalizacije in nenehno sprejema nove tehnologije za izboljšanje oskrbe bolnikov, ponudbo novih storitev, ki se osredotočajo na oskrbo

(30)

bolnikov na domu, in doseganje operativne odličnosti. Vključevanje nove tehnologije v že zapleteno infrastrukturo IKT odpira dodatne izzive na področju varstva podatkov in kibernetske varnosti. V zadnjem času pa je ta proces še dodatno pospešila pandemija COVID-19, ki je še bolj poudarila nujo zdravstva na oblaku. Pojavile so se številne rešitve v oblaku, ki so zagotovile prilagodljivost in hiter dostop za uvajanje novih storitev, vključno z zdravljenjem na daljavo in telemedicino. Rešitve v oblaku za zdravstvene storitve so odlična priložnost za povečanje operativne učinkovitosti, zmanjšanje stroškov za IKT ter izboljšanje kibernetske varnosti. Ponudniki storitev v oblaku imajo namreč na voljo vire, kot so osebje, znanje o tehnologiji in finančna sredstva, za nenehno izboljševanje kibernetske varnosti.

2.3.1. Zdravstvo v oblaku

Zakonodaja ima zelo pomembno vlogo pri opredeljevanju zahtev kibernetske varnosti in sprejemanju ukrepov. Za zdravstvo v oblaku je politika še v razvoju. Večina članic EU ima posebno zakonodajo za zdravstvene dejavnosti, ki ne nujno zajema kibernetske varnosti niti varnosti za računalništvo v oblaku. Splošni dokumenti in zakoni, ki veljajo za to področje na prostoru EU, so direktiva o varnosti omrežij in informacij (angl. Network and Information Security directive, NISD), splošna uredba o varstvu podatkov (angl. General Data Protection Regulation, GDPR) in različne neregulativne smernice [30], [31].

Osnovne vrste storitve v oblaku so infrastruktura kot storitev (angl. Infrastructure as a Service, IaaS) – gre za storitev, ki se plačuje po potrebi, pri kateri tretja oseba prek interneta v oblaku zagotavlja infrastrukturne storitve, kot sta shranjevanje in virtualizacija, ko jih potrebujete. Druga osnovna storitev je platforma kot storitev (angl. Platform as a Service, PaaS) – pri tej ponudnik strojno in programsko opremo gosti na lastni infrastrukturi ter to platformo kot integrirano rešitev, sklop rešitev ali storitev prek internetne povezave dostavi uporabniku. Tretja storitev pa je programska oprema kot storitev (angl. Software as a Service, SaaS), ki je znana tudi kot storitev aplikacij v oblaku – je najobsežnejša oblika storitve računalništva v oblaku, ki prek spletnega brskalnika zagotavlja celotno aplikacijo, ki jo upravlja ponudnik [32]. Oblak se lahko uvaja na več načinov: privatni, javni, hibridni in vladni oblak [33].

V zdravstvenem sektorju obstajajo številne oblačne rešitve za zdravstvene storitve in njihovo število hitro narašča. Glavne vrste storitev v oblaku v zdravstvenem sektorju so:

• sistemi za načrtovanje virov podjetja (angl. Enterprise Resource Planning, ERP),

(31)

15

• bolnišnični informacijski sistemi (angl. Hospital Information System, HIS),

• komunikacijske storitve,

• upravljanje pisarn,

• analiza zdravstvenih podatkov,

• medicinski pripomočki,

• telemedicinske storitve,

• upravljanje verige dobave [23].

2.3.2. Vidiki kibernetske varnosti v oblaku za zdravstvo

Kibernetska varnost v oblaku ima številne izzive in tveganja, ki jih mora rešiti za dobro in varno delovanje. Med glavne izzive sodijo pomanjkanje zaupanja v rešitve v oblaku. Ljudje se tehnologije ne zavedajo, je ne poznajo in zato ji ne zaupajo, brez izobraževanj in delavnic bo ta stopnja zaupanja zelo počasi napredovala. Problem je tudi pomanjkanje strokovnega znanja o varnosti in tehnologiji, saj premik infrastrukture IKT v oblak zahteva veliko znanja in razumevanja področja v povezavi z oblakom ter s kibernetsko varnostjo. Še en velik izziv za sodobne bolnišnice je to, da naložbe v kibernetsko varnost niso prednostna naloga, težave nastopijo pa tudi pri integraciji oblaka s starejšimi sistemi, kar hitro poveča stroške, čemur pa se bolnišnice izogibajo [23].

Številni izzivi nastopijo tudi pri sami zaščiti podatkov v oblaku. Če se osredotočimo na bolj tehnične zahteve za storitve v oblaku v zdravstvu, med glavne sodijo tehnike vgrajene zasebnosti, upravljanje podatkov, brisanje podatkov, prenosljivost podatkov in šifriranje le teh [23].

2.3.3. Varnostni ukrepi v oblaku

Na splošno so varnostni ukrepi v oblaku močno odvisni od izbrane storitve in modela namestitve. Vsak varnostni ukrep v oblaku vključuje:

• sklicevanje na dobre prakse iz Vodnika po javnem naročanju [22],

• sklicevanje na primer uporabe, za katerega se uporablja ukrep,

• navedbo odgovornosti za posamezen primer uporabe,

• dodatne vidike varstva podatkov [23].

(32)

Glavni varnosti ukrepi v oblaku, ki jih opredeljuje ENISA, so opredelitev varnostnih zahtev in zahtev za varstvo podatkov, izvedba ocene tveganja in ocene učinka v zvezi z varstvom podatkov, vzpostavitev postopkov za upravljanje incidentov na področju varnosti in varstva podatkov, zagotavljanje neprekinjenega poslovanja in obnovitve po nesreči, prenehanje in varno brisanje podatkov, revidiranje, beleženje in spremljanje, izvajanje upravljanja ranljivosti in popravkov, upravljanje sredstev in razvrščanje informacij, omogočanje šifriranja podatkov v mirovanju in pri prenosu, zagotavljanje varnosti šifriranja, zaščita odjemalcev in končnih točk, preverjanje pristnosti in nadzor dostopa, ozaveščanje, izobraževanje in usposabljanje na področju informacijske varnosti, pregled izolacije med najemniki ter fizična in okoljska varnost.

(33)

17

3. Varnostna orodja

Informacijska varnost se nanaša na »ohranjanje zaupnosti, celovitosti in razpoložljivosti informacij«. Doseganje teh ciljev ni trivialno, ker je vse več varnostnih groženj. Zaradi velikega tehnološkega napredka se nove grožnje pojavljajo nenehno. Za zaščito sistemov so bile predstavljene številne varnostne rešitve in orodja. Od varnostnih orodij (angl. security tools), varnostnih standardov pa do najboljših praks. Zaradi velike raznolikosti izdelkov, orodij in tehnik na trgu je tudi usposobljenemu kadru zelo težko zagotoviti, da bi uvedli skladne protiukrepe. V tem razdelku se bom osredotočil na varnostna orodja, ki jih zdravstvene organizacije uporabljajo za zaščito svojih sistemov.

3.1. Protivirusna programska oprema

Protivirusna programska oprema je program ali sklop programov, ki so namenjeni preprečevanju, iskanju, odkrivanju in odstranjevanju programskih virusov ter druge zlonamerne programske opreme. Sodobna protivirusna programska oprema lahko uporabnike ščiti zlasti pred zlonamernimi pomožnimi objekti brskalnika (angl. Browser Helper Object, BHO), neželeno pošto, izsiljevalsko programsko opremo, programom za beleženje ključev, okuženimi in zlonamernimi naslovi URL, trojanskimi konji, črvi, zlonamernimi večplastnimi ponudniki storitev (angl. Layered Service Provider, LSP), klicnimi programi, orodji za goljufije, oglaševalsko in vohunsko programsko opremo [34].

Ta orodja morajo biti nameščena in posodobljena, saj bo računalnik brez protivirusne programske zaščite okužen v nekaj minutah po vzpostavitvi povezave z internetom.

Bombardiranje je stalno, zato morajo protivirusna podjetja redno posodabljati svoja orodja za odkrivanje, da bi se lahko spopadla z več kot 60.000 novimi zlonamernimi programi, ki nastanejo vsak dan [35], [36].

Glavne funkcije vseh protivirusnih programskih oprem so:

• pregledovanje datotek ali imenikov za morebitno zlonamerno programsko opremo ali znane zlonamerne vzorce,

(34)

18 3. Varnostna orodja

• omogočanje načrtovanja samodejnega izvajanja pregledov,

• pregledovanje datoteke ali celotnega računalnika, zgoščenke ali bliskovnega pogona kadar koli to želimo,

• odstranjevanje odkrite zlonamerne kode,

• prikazovanje stanja računalnika.

Kibernetski kriminalci postajajo vse bolj spretni in vse pogosteje ciljajo na omrežja in naprave IoT zdravstvenih ustanov, zato je še bolj kot kdaj koli prej pomembno, da si ustanove zagotovijo posodobljeno in redno preizkušeno kibernetsko varnostno zaščito. Žal ukrepi, kot so požarni zidovi in protivirusni programi, ne zadostujejo več za ustrezno zaščito omrežij v objektih in zdravstvenih napravah IoT [37].

3.2. Orodja za analizo groženj

Orodja za analizo groženj (angl. Thread Analysis Tools, TAT) v zdravstvu so element kibernetske varnosti, ki zagotavlja varnost podatkov pacientov in kritičnih sistemov v zdravstveni dejavnosti. Orodja za ocenjevanje groženj pomagajo ublažiti napade z ugotavljanjem morebitnih ranljivosti v arhitekturi kibernetske varnosti organizacije in groženj, ki jih te predstavljajo. Analiza groženj je postopek, s katerim se določi, katere komponente sistema je treba zaščititi in pred katerimi vrstami varnostnih tveganj (groženj) jih je potrebno zaščititi. To prikazuje Slika 5. Te informacije se lahko uporabijo za določitev strateških lokacij v arhitekturi in zasnovi omrežja, kjer je mogoče razumno in učinkovito izvajati varnost [38].

Slika 5: Sredstva in grožnje, ki jih je treba analizirati [38]

Mnogim organizacijam se zdi ocenjevanje tveganj zapleteno, strogo in naporno.

Kljub temu pa obstajajo preprosti, praktični in sprejemljivi pristopi, s katerimi lahko organizacije ocenijo svoje tveganje. Če je v organizaciji več kot pet ljudi, mora le-ta oceniti

(35)

19 tveganja, povezana s poslovanjem, in jih ustrezno dokumentirati. Slediti mora varnostnemu pravilu Zakona o prenosljivosti in odgovornosti zdravstvenega zavarovanja (angl. Health Insurance Portability and Accountability Act, HIPAA), ki zahteva, da organizacije in njihovi poslovni partnerji izvedejo oceno tveganja svoje zdravstvene organizacije [39]. Ocena tveganja organizaciji pomaga zagotoviti skladnost z upravnimi, fizičnimi in tehničnimi zaščitnimi ukrepi HIPAA. Ocena tveganja pomaga razkriti tudi področja, na katerih bi lahko bili ogroženi zaščiteni zdravstveni podatki organizacije [40].

Subjekti, ki morajo upoštevati predpise Zakona o prenosljivosti in odgovornosti zdravstvenega zavarovanja, so zdravstveni načrti, večina ponudnikov zdravstvenih storitev, vključno z zdravniki, klinikami, bolnišnicami, domovi za ostarele in lekarnami ter klirinški centri za zdravstveno varstvo [41].

Analiza groženj je običajno sestavljena iz opredelitve sredstev, ki jih je treba zaščititi, ter opredelitve in ocene možnih groženj. Sredstva lahko med drugim vključujejo:

• uporabniško strojno opremo (delovne postaje/PC),

• strežnike,

• specializirane naprave,

• omrežne naprave (vozlišča, stikala, usmerjevalniki, OAM&P),

• programsko opremo (operacijski sistem, pripomočki, odjemalski programi),

• storitve (aplikacije, storitve IP),

• podatke (lokalni/remo, shranjeni, arhivirani, podatkovne zbirke, podatki v tranzitu) [38], [42].

Grožnje lahko med drugim vključujejo:

• nepooblaščen dostop do podatkov, storitev, programske opreme, opreme,

• nepooblaščeno razkritje informacij,

• zavrnitev storitve,

• krajo podatkov, storitev, programske opreme, opreme,

• poškodovanje podatkov, storitev, programske opreme, opreme,

• viruse, črve, trojanske konje,

(36)

• fizične poškodbe [38], [42].

Ocena tveganja v zdravstvu zajema politike in postopke, ki se uporabljajo pri odkrivanju, zmanjševanju in izogibanju tveganj v zdravstvenih ustanovah. S pomočjo ocene organizacije odkrijejo, katere dejavnosti je treba izboljšati v organizaciji, katere programske aplikacije je treba spremeniti in katere pomembne informacije potrebujejo zaposleni za učinkovito opravljanje svojih nalog. Dodatna prednost izvajanja ocene v zdravstvu je tudi, da nam pomaga pri obračunavanju, zamudah pri pacientih, podvajanju del in pomislekih glede varnosti in kakovosti dela.

Glavna orodja, ki se uporabljajo na tem področju, so programska oprema Vitaleyez (angl. Vitaleyez software), matrika tveganja (angl. risk matrix), drevo odločanja (angl.

decision tree), analiza načinov in učinkov napak (angl. Failure Modes and Effects Analysis), model Bowtie v orodjih za upravljanje skladnosti (angl. Bowtie Model in Compliance Management Tools) [6].

Vitaleyez software je program, ki zagotavlja osnovo statističnih zapisov sistemov pri oceni tveganja [43]. Programska oprema prejme informacije o sistemu, kot so opis sredstva, številka modela in prejšnja ocena, neposredno iz programa za ocenjevanje tveganj. Z orodjem se lahko dokumentira vse dejavnosti v določeni zdravstveni organizaciji in ugotovi, kje so največja tveganja, ter odloči, kako se bomo z njimi borili, da jih bomo izničili ali zmanjšali.

Metoda matrike tveganj je sistematičen pristop, ki se uporablja v postopku ocenjevanja tveganj, za določanje in razvrščanje ravni tveganja, primerjavo različnih tveganj in opredelitev, katere grožnje je treba obvladovati najprej, ter za pomoč pri zmanjševanju verjetnosti morebitnih tveganj. Pove nam, da je stopnja tveganj odvisna od resnosti škode in verjetnosti nastanka te škode. Predstavlja hiter način za grafično prepoznavanje resnosti tveganj in njihovih pogostosti. Pogosto je uporabljena tudi v zdravstvenem sektorju, ker vizualno predstavi verjetnosti nastanka dogodka in njegovih učinkov. Pomaga pa tudi vodstvu pri odločanju o ukrepih in kontrolah, pa tudi pri ocenjevanju in dokumentiranju sprememb tveganja pred izvajanjem nadzornih ukrepov in po njem [44].

Odločitvena drevesa so orodja, ki jih je mogoče uporabiti za navigacijo po več smereh ukrepanja, da bi prišli do ene izbire. Uporabne so za primerjavo strategij, projektov in morebitnih naložb, saj omogočajo pregled tveganj in koristi posameznih odločitev [45]. V zdravstvu se lahko na primer uporabi drevo odločanja, da se ugotovi, kdaj tveganje

(37)

21 zahteva kritično kontrolno točko (angl. Critical Control Point, CCP). Ugotovitve, pridobljene z oceno tveganja, se vnesejo v odločitveno drevo, da se ugotovi, kdaj je varno izdati nov izdelek.

3.3. Orodja za preprečevanje izgube podatkov

Orodja za preprečevanje izgube podatkov (angl. Data Loss Prevention tools, DLP tools) so sklop orodij in postopkov, s katerimi zagotovimo, da se občutljivi podatki ne izgubijo, zlorabijo ali da do njih ne dostopajo nepooblaščeni uporabniki. Programska oprema za preprečevanje izgube podatkov razvršča regulirane, zaupne in poslovno kritične podatke ter ugotavlja kršitve pravilnikov, ki jih opredelijo organizacije ali ki so v vnaprej določenem paketu pravilnikov, običajno na podlagi skladnosti s predpisi, kot so HIPAA, PCI-DSS ali GDPR. Ko so kršitve ugotovljene, orodja z opozorili, šifriranjem in drugimi zaščitnimi ukrepi izvajajo sanacije, s katerimi želijo končne uporabnike zaščititi pred nenamerno ali zlonamerno izmenjavo podatkov, s katero bi lahko ogrozili organizacijo [46]. Programska oprema in orodja za preprečevanje izgube podatkov spremljajo in nadzorujejo dejavnosti končnih točk, filtrirajo podatkovne tokove v poslovnih omrežjih in spremljajo podatke v oblaku, da zaščitijo podatke v mirovanju, gibanju in uporabi. DLP zagotavlja tudi poročanje za izpolnjevanje zahtev glede skladnosti in revizije ter prepoznavanje šibkih področij in anomalij za forenziko ter odzivanje na incidente.

Organizacije uporabljajo ta orodja za:

• zaščito osebnih podatkov (angl. Personally Identifiable Information, PII) in skladnost z ustreznimi predpisi,

• zaščito intelektualne lastnine, ki je ključnega pomena za organizacijo,

• doseganje vidnosti podatkov v velikih organizacijah,

• varno mobilno delovno silo in zagotavljanje varnosti v okoljih z lastnimi napravami (angl. Bring Your Own Device, BYOD),

• varne podatke v oddaljenih sistemih v oblaku [47].

Glavni vzroki za izgubo podatkov so notranje grožnje, izsiljevanje različnih napadalcev in nenamerna ali celo malomarna izpostavljenost podatkov. Pri grožnjah iz notranjih virov zlonamerni notranji uporabnik ali napadalec zlorabi organizacijo, tako da prenese ukradene podatke organizacije v zunanji svet. Izsiljevanje napadalcev poteka tako, da s številnimi kibernetskimi napadi prodrejo skozi varnostni perimeter organizacije in

(38)

pridobijo dostop do občutljivih podatkov. Do nenamerne ali pa celo malomarne izpostavljenosti pa pride zaradi zaposlenih, ki jim podatki uidejo v javnost ali ne omejijo dostopa do njih z organizacijskimi pravili.

Obstaja veliko vrst rešitev DLP. Te vključujejo elektronsko pošto, kjer se preverja dohodna in odhodna sporočila in tako se organizacija zaščiti pred ribarjenjem in socialnim inženiringom. Pomemben del zaščite je tudi upravljanje kontrolne točke, kjer rešitve DLP za vsako napravo shranjujejo podatke in jih spremljajo. Podatke je potrebno spremljati tudi v omrežju in na oblaku, da ne pride do nepravilnosti. Predvsem v zadnjih časih, ko veliko ljudi dela od doma in se veliko uporablja oblak za zagotavljanje storitev zaposlenim.

Zaščite v oblaku zagotavljajo spremljanje in zaščito podatkov, ki so shranjeni v oblaku [48].

Zdravstvene organizacije imajo nezavidljivo nalogo usklajevanja zaščite velikih količin osebnih in zdravstvenih podatkov s potrebo po hitrem dostopu in enostavnem pretoku do izvajalcev zdravstvenih storitev, zavarovalnic, partnerjev in drugih povezanih oseb. Zaradi nedavnih napadov z izsiljevalsko programsko opremo v bolnišnicah se še toliko bolj začenjajo zavedati pomembnosti varnosti. Poleg tega je zloraba notranjih informacij velik problem v zdravstvu. To je vodilna panoga, v kateri so zaposleni ali strokovni delavci prevladujoči povzročitelji groženj pri kršitvah varnosti podatkov.

Na področju zdravstva obstaja več orodij, ki jih organizacije uporabljajo za preprečevanje izgube podatkov. Med glavna sodijo Digital Guardian, Endpoint Protector, McAfee, Acronis DeviceLock in številne druge.

Rešitev McAfee DLP je sestavljena iz treh glavnih delov, ki zajemajo omrežje, odkritje grožnje in končno točko. Ena od komponent je med drugimi ponudbami DLP povsem edinstvena: McAfee DLP Monitor. Ta komponenta omogoča zajemanje podatkov iz incidentov, ki jih sprožijo kršitve politik, skupaj z vsem omrežnim prometom. Na ta način komponenta omogoča pregled večine podatkov in lahko odkrije incidente, ki bi sicer ostali neopaženi. McAfeejev orkestrator ePolicy Orchestrator skrbi za večino upravljanja rešitve DLP [49], [50].

Digital Guardian zdravstvenim organizacijam omogoča odkrivanje, spremljanje in nadzor informacij javnega značaja v omrežju, v uporabi na računalnikih, v mirovanju v zbirkah podatkov in omrežnih strežnikih ali shranjenih v oblaku. Kontrole preizkušajo preprečiti kršitve podatkov, ne da bi negativno vplivale na zdravnike ali rezultate zdravljenja bolnikov. S pozivi v realnem času poskušajo povečati varnostno ozaveščenost na točki tveganja in zmanjšati zlorabo občutljivih podatkov s strani notranjih oseb. Orodje

(39)

23 se tudi zaveda, kdaj so podatki v nevarnosti in tudi to, katere podatke je potrebno bolj zaščititi [51].

Acronis DeviceLock zagotavlja rešitve za končne točke. To doseže z varovanjem občutljivih podatkov in hkratnim preverjanjem informacijskih informacij. Preprečuje tudi uhajanje podatkov z blokiranjem nepooblaščenih poskusov prenosa podatkov in dostopa do drugih datotek. S tem orodjem zdravstvene organizacije pridobijo vpogled v zaščito podatkov, njihove tokove in vedenje uporabnikov oziroma zaposlenih v ustanovah.

Zagotavlja manjšo zapletenost in izboljšano preprečevanje izgube podatkov, tako da nadzira podatkovne tokove v lokalnih in omrežnih kanalih, analizira in filtrira vsebine ter izvaja granularni nadzor nad dovoljenimi zakonitimi dejanji in procesi [52].

3.4. Umetna inteligenca

Podjetja in organizacije imajo vse večjo površino za napade in ta se iz leta v leto hitro povečuje in razvija. Analizirati je treba tudi do več sto milijard različnih podatkov za izračun ocene tveganja. Rezultat tega je, da analiziranje in izboljševanje kibernetske varnosti ni več problem človeških zmogljivosti. Kot odgovor na ta izziv so se pojavila orodja za kibernetsko varnost, ki temeljijo na umetni inteligenci (angl. Artificial Inteligence, AI). V zadnjih letih sta tako umetna inteligenca kot strojno učenje postali ključni tehnologiji na področju informacijske varnosti. Glavni razlog za to je, da lahko v zelo hitrem času analizirata milijone dogodkov in prepoznata različne vrste groženj. Te nove tehnologije se tudi učijo in iz preteklosti prepoznavajo nove vrste napadov. Veliko število podatkov v organizaciji, kot so zgodovina vedenja, ustvarjena iz profilov uporabnikov, sredstev in omrežij, umetni inteligenci omogoča, da hitro najde odstopanje in se nanj odzove. Te tehnologije se nenehno učijo in izpopolnjujejo ter iz preteklih izkušenj in sedanjosti črpajo podatke za zaznavo novih napadov.

Zaradi hitrega razvoja kibernetskih napadov in hitrega povečevanja števila naprav lahko umetna inteligenca oziroma strojno učenje pomagata slediti kibernetskim kriminalcem, avtomatizirata odkrivanje groženj in se odzivata učinkoviteje kot običajne programske ali ročne tehnike. Glavne prednosti in načini uporabe umetne inteligence v kibernetski varnosti so odkrivanje novih groženj, kjer se sistemi umetne inteligence z uporabo izpopolnjenih algoritmov usposabljajo za odkrivanje zlonamerne programske opreme, prepoznavanje vzorcev in zaznavanje najmanjšega vedenja zlonamerne programske opreme ali napadov, še preden ti vstopijo v sistem. Dandanes boti predstavljajo velik del internetnega prometa in so lahko nevarni, zato umetna inteligenca

(40)

oziroma strojno učenje pomagata pri razumevanju prometa in razlikovanju med dobrimi oz. slabimi boti in ljudmi. Med glavne prednosti sodi tudi napovedovanje tveganja vdora – tukaj sistemi umetne inteligence pomagajo določiti popis sredstev IT, ki je natančen in podroben zapis vseh naprav, uporabnikov in aplikacij z različnimi ravnmi dostopa do različnih sistemov. Glede na ta opis se lahko predvidi, kako in kje obstaja nevarnost.

Umetna inteligenca nam omogoča tudi boljšo zaščito končnih točk, ker število naprav, ki se uporabljajo za delo na daljavo, hitro narašča, umetna inteligenca pa ima pomembno vlogo pri varovanju teh končnih točk [53], [54].

Umetna inteligenca je kot tehnologija za uporabo v kibernetski varnosti dvorezen meč. Po eni strani se lahko uporablja kot podpora zlonamernim programom, po drugi strani pa za preprečevanje tveganj v kibernetski varnosti. Še dodatno zgodbo zapletajo vlade in Evropska unija, ki skušajo urediti aplikacije z visokim tveganjem in spodbujati odgovorno uporabo umetne inteligence. Zaradi takšnih ukrepanj se napadi množijo, stroški razvoja aplikacij pa padajo in zato je vsakršna obramba težka [55].

Umetna inteligenca se že kar nekaj časa uporablja v zdravstvenem sektorju za diagnosticiranje in zdravljenje bolnikov. Ker so računalniki, ki jih poganja umetna inteligenca, programirani tako, da sprejemajo odločitve brez človeškega posredovanja, se nekateri sprašujejo, ali bodo stroji kmalu sprejemali težke odločitve, ki jih zdaj zaupamo svojim zdravnikom. Pričakujemo lahko velike naložbe v takšne tehnologije v prihodnjih letih. Poleg izboljšane diagnostike, oskrbe bolnikov in podpore kliničnim odločitvam pa se je umetna inteligenca izkazala tudi za ključno pri sami zaščiti sistemov. Ker je vse več objektov odvisnih od digitaliziranih tehnologij in naprav interneta stvari, je rešitev za kibernetsko varnost, ki zazna, nevtralizira in se brani pred kibernetskimi napadi v zdravstvenih okoljih, ključnega pomena [56].

(41)

25

Slika 6: Analitika na podlagi umetne inteligence za varno pametno zdravstveno infrastrukturo [56]

Čeprav je ustvarjanje modelov umetne inteligence in strojnega učenja drago in dolgotrajno, jih je, ko so enkrat ustvarjeni, zelo enostavno ponoviti. Da bi napadalci napadli zdravstveni sistem, potrebujejo dostop do podatkov sistema. Tudi v primeru, ko gre za zapleteno programsko opremo ali proces medicinske naprave, lahko umetno inteligenco zlahka uporabijo za repliciranje sistema ali programa. Da bi to preprečili, je treba vzpostaviti ravni nadzora dostopa, kot so prijave in gesla le za pooblaščene, in dodati zaznavanje anomalij za odkrivanje nenavadnih vzorcev znotraj običajnega vzorca komunikacije. Ta vrsta zaščite prepoznava nenavadne dejavnosti, tako da lahko organizacija ustrezno ukrepa. Nenavaden vzorec je lahko na primer veliko število zahtevkov bota.

Ker bo vse več povezanih medicinskih pripomočkov zasnovanih na umetni inteligenci, se bodo povečala tudi tveganja za kibernetsko varnost, zato je za proizvajalce pomembno, da že v fazi načrtovanja uvedejo napredne varnostne zaščite in zagotovijo varnost zdravstvenih organizacij, izvajalcev in bolnikov [57].

(42)

(43)

27

4. Napadi in dobre prakse obrambe

V tem poglavju bodo predstavljeni kibernetski napadi, ki jim je bila zdravstvena industrija izpostavljena v zadnjih letih, pa tudi dobre prakse obrambe, ki jih nekatere zdravstvene organizacije že uporabljajo za zaščito.

4.1. Primeri napadov

V tem podpoglavju bodo predstavljeni glavni napadi uporabljeni s strani zlonamernih skupin ali pa posameznikov, ki so bili usmerjeni v zdravstveni sektor v zadnjih letih, ob tem pa bodo predstavljeni dejanski napadi, ki so prizadeli ta sektor.

4.1.1. Napad z izsiljevalsko programsko opremo

Napad z izsiljevalsko programsko opremo (angl. ransomware) je vrsta zlonamerne programske opreme, ki jo uporabljajo kibernetski kriminalci. Če se računalnik ali omrežje okuži z izsiljevalsko opremo, ta blokira dostop do sistema ali šifrira podatke. Kibernetski napadalci nato od svojih žrtev zahtevajo odkupnino v zameno za sprostitev podatkov. Med vsemi možnimi vrstami programske opreme se je v zadnjih letih najbolj razširila prav ta.

Zdravstveno varstvo je bilo že vrsto let resno prizadeto zaradi takšnih napadov [58].

Razlogov za to rast je več: enostavno se je naučiti, ni potrebe po dragi tehnologiji ali zapleteni nastavitvi in lahko je zelo donosno, ker večina organizacij raje plača odkupnino, kot da bi se uprle. Po podatkih svetovne raziskave, opravljene januarja in februarja 2021, je 34 % zdravstvenih organizacij plačalo odkupnino, da bi dobile nazaj svoje podatke. Le 65

% podatkov je bilo dejansko obnovljenih. Ista raziskava je pokazala, da akterji v zdravstvenem sektorju raje plačajo odkupnino, ker morajo zagotoviti neprekinjeno delovanje. Dolgoročni učinki takšne odločitve pa so lahko škodljivi [59].

Poznamo več vrst izsiljevalske programske opreme. Zelo priljubljena je izsiljevalska oprema Locker. Ta blokira osnovne funkcije računalnika. Onemogočen postane dostop do namizja računalnika, miška in tipkovnica pa sta delno onemogočeni, tako da lahko žrtev še

(44)

28 4. Napadi in dobre prakse obrambe

vedno izvede plačilo. Dobra stran tega napada je, da zlonamerna programska oprema ne cilja na ključne datoteke, temveč želi zakleniti le uporabnika. Delno ali pa celo popolno uničenje podatkov je zelo malo verjetno. Druga zelo priljubljena vrsta je Kripto-izsiljevalska programska oprema. Cilj te opreme je šifriranje pomembnih podatkov, kot so dokumenti, slike in videoposnetki, ne pa oviranje delovanja osnovnih funkcij računalnika. Ta izsiljevalska programska oprema ima lahko uničujoč vpliv, ker se večina ustanov ne zaveda pomembnosti varnostnih kopij v oblaku ali na zunanjih fizičnih napravah [60]. Med glavne primere izsiljevalske programske opreme sodijo tudi Reveton, CryptoLocker, WannaCry, Bad Rabbit, Ryuk in mnogi drugi [61].

Napadov, ki so se zgodili s to izsiljevalsko programsko opremo, je veliko. Oktobra 2020 je izsiljevalski program Ryuk v enem dnevu prizadel šest bolnišničnih sistemov v ZDA.

Ryuk je šifrirni trojanski konj, ki se je razširil avgusta 2018 in onemogočil funkcijo obnovitve operacijskih sistemov Windows. Tako je bilo brez zunanje varnostne kopije nemogoče obnoviti šifrirane podatke. Ryuk je šifriral tudi omrežne trde diske [62]. Julija 2021 je bila bolnišnica CF Witting v Bukarešti žrtev napada izsiljevalske programske opreme, ki je bila močno usmerjena v strežnike ustanove. Avgusta 2021 so napadalci napadli in blokirali platformo za načrtovanje cepljenja v Italiji ter zahtevali splošno odkupnino. Uporabniki niso mogli dostopati do sistema in rezervirati mesta za cepljenje.

Maja leta 2017 je bila ena od žrtev napada izsiljevalske programske opreme tudi Angleška državna zdravstvena služba (angl. National Health Service, NHS). Takrat je napad WannaCry prizadel skoraj 200.000 računalnikov v 16 zdravstvenih ustanovah. Posledice napada so prizadele na tisoče bolnikov, saj so se ustavile številne pomembne medicinske naprave. WannaCry je bil napad izsiljevalske programske opreme, ki se je leta 2017 razširil v več kot 150 državah. Zasnovan je bil za izkoriščanje varnostne ranljivosti v sistemu Windows [63].

4.1.2. Ribarjenje

Lažno predstavljanje oz. ribarjenje (angl. phishing) je vrsta napada socialnega inženiringa, ki se velikokrat uporablja za krajo podatkov. V večini primerov zlonamerni napadalci želijo prijavne podatke ali številke kreditnih kartic. Napadalec do podatkov pride, ker se izdaja za zaupanja vredno osebo in s tem zavede žrtev, da odpre e-pošto ali besedilno sporočilo. Prejemnik je nato prevaran, da klikne zlonamerno povezavo, kar lahko privede do namestitve zlonamerne programske opreme, zamrznitve sistema v okviru napada izsiljevalske programske opreme ali razkritja občutljivih podatkov. Napadi ribarjenja so vse bolj izpopolnjeni in pogosto pregledno zrcalijo ciljno spletno mesto, kar