Legnagyobb veszteségek forrása: a szociális manipuláció
A 2025 első feléből származó adatok alapján az anyagi veszteségek 88 százalékáért a szociális manipuláció különféle formái felelnek – ide tartozik főként az adathalászat, az üzleti e-mail-feltörés és a beszállítók kompromittálása. Ezek a módszerek szinte minden jelentősebb esetnél szerepet játszottak. Tovább nő a szervezetek veszélyeztetettsége, ha a zsarolóvírusok ellen nem megfelelő a mentési stratégia, vagy ha hibák csúsznak az adatkövetésbe; például mérési pixelek miatt szivároghatnak ki betegek adatai.
A támadók köre is szélesedett. Noha a legismertebb csoportok, mint a BlackCat és a Cl0p, gyakran kerülnek a reflektorfénybe, valójában a sikeres támadásokat több, kevésbé ismert szereplő is végrehajtja, például az Interlock, a LockBit vagy a Medusa. Ez azért problémás, mert sok szervezet kizárólag a hangosabb ellenségekre készül, miközben más kockázatokkal szemben sebezhető marad.
Zsarolási díjak az egekben
Az idei év első felében az egészségügyben előforduló zsarolóvírus-támadások akár 1,5 milliárd forintos (4 millió dollár) követelésekkel is párosulhattak. Ilyen helyzetekben nem csupán az intézmény működése, hanem a betegek élete, egészsége is veszélybe kerülhet. Lényeges szempont, hogy amikor valódi páciensek adatairól és ellátásáról van szó, egészen más a pénz jelentősége, mint egy átlagos vállalatnál.
Melyik beavatkozás számít igazán?
Öt biztonsági intézkedés bizonyult a leghatékonyabbnak az egészségügyben: hatékony szűrőátjárók, törölhetetlen (immutable) biztonsági mentések, minden távoli hozzáférésnél kötelező többlépcsős hitelesítés, formális adatkezelési szabályozás, illetve rendszeres, a klinikai műveletekre is kiterjedő gyakorlatok. Ezek mind megelőző lépések – vagy a támadás során fejtik ki hatásukat –, és nem a baj megtörténte után.
Különösen fontos a törölhetetlen biztonsági mentés, mert az elérhetetlen helyre mentett klinikai adatok esetén a zsarolóvírusok elleni helyreállítás teljesen más szintű biztonságot jelent, mint az általános ipari környezetben. A formális adatkezelés bevezetése háromszor akkora kockázatcsökkenést eredményez, mint más iparágakban.
Miért nem sikerül ésszerűen költeni a kiberbiztonságra?
Az egészségügy informatikai vezetői tipikus dilemmával szembesülnek: épp azok az intézkedések hatékonyak, amelyek a vezetőség számára a legkevésbé látványosak. Eközben az igazgatók inkább azokat az elemeket értékelik, amelyek valójában alig csökkentik a veszteségeket. Ezen az ellentmondáson segíthet, ha a kiberkockázati modelleket forintosítják, és beruházási döntések szintjére emelik.
Az élen járó szervezetek három dolgot tesznek: átszámolják a kontrollok pénzügyi megtérülését, célzottan azokra a beavatkozásokra költenek, amelyek a kárstatisztikák szerint a legnagyobb veszteségcsökkentést hozzák, valamint a gyakorlatozásokba nemcsak az informatikát, hanem közvetlenül a klinikai vezetőket is bevonják.
Valós példák: két út, két eredmény
Egy közepes méretű regionális egészségügyi rendszer azt gondolta, felkészült, ám egy nagyszabású támadás során derült ki, hogy a képalkotó diagnosztikai adatokat kihagyták a mentési rendszerből. Az elhúzódó helyreállítás mellett súlyos szabályozási és betegellátási károk keletkeztek.
Ezzel szemben egy biotechnológiai középvállalat előre gondolkodott: priorizálta a kiberkockázati programját, a biztonsági kiadásokat a legnagyobb hasznot hozó kontrollokra irányította, így egy üzleti e-mail-feltörési kísérletnél a megelőző intézkedéseknek hála semmilyen kár nem keletkezett.
A két szervezet nem a költségvetés nagyságában, hanem abban különbözött, mire költötte a rendelkezésre álló forrásait.
A fentiek tükrében: Mit tegyen most az egészségügy?
Három egyszerű, gyors lépés következhet. Először, egy realisztikus zsarolóprogram-szcenárió mentén ki kell értékelni, hogy minden létfontosságú adat – például klinikai és képalkotó adatok – bekerült-e biztonságos mentésbe. Másodszor, szükséges a szociális manipuláció elleni védelem gyakorlati tesztelése (szimulációk, átjárók ellenőrzése, gyakorlatok). Harmadszor, a legnagyobb veszteséggel járó kockázati szcenáriókat forintosítani kell, mert a pénzügyi vezetéssel így lehet racionális vitát folytatni az IT-beruházásokról.
Végső soron kockázatmérést kell alkalmazni az egészségügyre szabott, valóban jelentős pénzügyi veszteségekkel járó helyzeteknél – csak így lehet a fejlesztési forrásokat a leghatékonyabban felhasználni.
