Похищенные медицинские записи падают в цене на черном рынке

В 2016 году ценность похищенных медицинских записей на черном рынке значительно снизилась. Если в 2012 году стоимость одной записи составляла примерно $50, то сейчас злоумышленники предлагают похищенные записи по цене от $1,5 до $10, пишет ресурс CSO со ссылкой на отчет компании TrapX, специализирующейся на кибербезопасности.

Эксперты поясняют обесценивание низкой прибылью (в среднем злоумышленники зарабатывают около $20 на одной записи) и перенасыщенностью рынка - только в 2015 году киберпреступники похитили порядка 112 млн медицинских записей клиентов различных медицинских страховых компаний. К примеру, нынешним летом на подпольном форуме TheRealDeal были выставлены на продажу несколько баз данных, включающих в общей сложности почти полмиллиона медицинских записей. Стоимость записей варьировалась от $0,1 до $1.

Череда масштабных утечек в 2015 году, в том числе взлом компьютерной сети страховой компании Anthem в феврале минувшего года, привлекла внимание предприятий в области здравоохранения к проблеме кибербезопасности и необходимости ее усиления. Бдительность медицинских компаний и обесценивание медицинских записей на рынке вынуждают злоумышленников обращаться к другим методам заработка, в частности, распространению вымогательского ПО, пояснил эксперт TrapX Энтони Джеймс (Anthony James).

По словам Джеймса, одно из преимуществ такого типа атак заключается в быстром получении прибыли. К тому же, киберпреступникам не нужно изобретать способы монетизировать похищенные данные. Согласно прогнозам эксперта, в 2017 году существенно возрастет число кампаний по распространению вымогательского ПО, кроме того, значительно увеличится количество атак на устройства из сферы «Интернета вещей» по сравнению с предыдущими годами.

Чаба Краснаи, менеджер по продукту Shell Control Box компании Balabit

Атаки хакеров-вымогателей на медицинские учреждения — тренд, который сформировался за последние несколько лет, и все это происходит, потому что инструменты защиты информации в этой сфере развиты не настолько сильно, как, например, в госсекторе или банках.

Многие страны в этом году попали под удар так называемой «кампании с шантажом»: киберпреступники, используя вредоносное ПО, зашифровали медицинские карты пациентов, затем они вымогали деньги за дешифровку данных. Из-за этой кампании медучреждения работали с перебоями, и правительства США и Канады были вынуждены выпустить предупреждение об этой атаке.

Но это только внешняя сторона проблемы. Злоупотребление медицинскими данными пациентов — обычное дело во всем мире. В качестве ответа на такие атаки США в 1996 году был принят «Закон об ответственности и переносе данных о страховании здоровья граждан» (HIPAA). Поэтому все институты здравоохранения должны понимать, что данные пациентов — это самые ценные сведения, которые должны быть серьезно защищены теми же мерами безопасности, что и информация в других областях, уделяя большое внимание поведению внутренних пользователей. Здравоохранение — это та сфера, в которой наибольшее внимание стоит уделять именно контролю проведения внутренних операций, атака на физическое лицо — это скорее исключение, чем правило, хотя, безусловно, здесь есть свои риски.

Павел Коростелев, менеджер по маркетингу продуктов компании "Код безопасности"

Украденные медицинские записи можно перепродать так же, как и любые другие данные пользователей. Такая информация может использоваться, например, для мошенничества или для показа недобросовестными рекламодателями рекламы соответствующих лекарств этим пациентам.

При этом, что любопытно, вместе с упавшей ценой возросло количество украденных записей. Это говорит о том, что рынок украденных медицинских записей в США близок к насыщению. Поэтому можно ожидать, что злоумышленники при атаке на медицинские учреждения переключатся на иные виды заработка.

Пример – применение вредоносного ПО класса ransomware. При попадании на компьютер жертвы ransomware шифрует все данные, до которых сможет дотянуться, а после "просит выкуп" за возможность расшифровки. Для медицинских учреждений доступность данных о пациентах критически важна, поэтому они вынуждены платить мзду злоумышленникам чаще остальных пострадавших. Для тех, кто запускает вирус-шифровальщик, этот способ удобнее, так как живые деньги поступают непосредственно от жертвы, и нет необходимости думать о способе монетизации украденных данных.

В России такая проблема не очень актуальна в связи с относительно низким уровнем информатизации здравоохранения. Но по мере развития электронных сервисов в медицинских организациях ситуация поменяется. Если сейчас основная угроза утечки персональных данных пациента - человеческий фактор (попросили у медиков информацию, заплатили за нее и т. д.)

Конечным пользователям можно посоветовать только соблюдать "цифровую гигиену" и не оставлять данные, касающиеся своего здоровья, в подозрительных сервисах.

Ведущий аналитик «СёрчИнформ» Алексей Парфентьев

Цена снизилась, потому что информация перестала быть уникальной, ведь воруют ее не первый день. Как только такие данные (или их часть) появляется в открытом доступе, цена подает в разы. Кроме того, кризис не обошел и «черный рынок»: сегодня клиент не готов платить суммы, озвученные три года назад, ведь он на этих данных теперь меньше зарабатывает.

Киберпреступники зарабатывают на медицинских данных так же, как и на другой ценной информации – продают заинтересованным лицам. Среди постоянных «клиентов»: ритуальные агентства, страховые организации, частные клиники, продавцы БАД – все те, кто могут в дальнейшем взять пациентов «в оборот».

Если за границей черный рынок медицинской информации организован киберпреступниками, то в России – злоумышленниками внутри медучреждений. Есть как самостоятельные медики-инсайдеры, которым не нужны посредники, чтобы договориться с заинтересованными лицами и получить прибыль от сделки, так и преступные группы внутри больниц, нередко действующие с негласного одобрения руководства, также вовлеченного в схему.

К примеру случай и практики нашего клиента:
Стоматолог государственной больницы пересылал карточки с персональными данными пациентов на личный e-mail. Служба безопасности это обнаружила. Оказалось, что специалист подрабатывал в частной клинике, куда и «уводил» клиентов, где обещал более высокое качество диагностики и лечения. Специалист получил выговор с предупреждением об увольнении, его действия были поставлены на особый контроль.

Владислав Семин, зам. руководителя медцентра "Сервис-Мед"

Думаю, в России об этом стоит в принципе не беспокоиться. И вот почему. Издавна в нашей стране к бедным и больным относятся гораздо лучше, чем к здоровым и богатым. В общественном сознании то или иное заболевание является скорее поводом для сочуствия и оказания помощи (на "словах"), а не преследования. То есть наличие тяжких заболеваний дает скорее преимущества, нежели ограничения в правах.

Заразные болезни практически ликвидированы или успешно лечатся антибактериальными и противовирусными препаратами. Поэтому риск заражения окружающих сведен к минимуму.

Трудовой кодекс РФ дает практически безграничные права работникам и никаких - работодателям. Поэтому уволить сотрудника в связи с заболеванием практически невозможно. Да, при очередном профосмотре могут быть выявлены ограничения к профессиональной деятельности. И что должен делать в этом случае работодатель? Направить сотрудника на лечение, зачастую длительное. И после этого вновь допустить его к работе. Это касательно трудовых прав.

В семье то или иное заболевание распознается гораздо раньше, нежели при медицинском обследовании. Поэтому чем либо удивить близких больного злоумышленники также не смогут.

Что касается психических расстройств, то Закон РФ от 2 июля 1992 г. N 3185-I "О психиатрической помощи и гарантиях прав граждан при ее оказании" ориентирован на защиту прав пациентов, поэтому ограничивать права гражданина ввиду наличия данных заболеваний будет себе дороже.

Таким образом, информация, содержащаяся в медицинской документации, не представляет какой-либо коммерческой ценности и не может в подавляющем большинстве случаев быть инструментом шантажа и вымогательства.

Что касается технических аспектов, то следует заметить, что на сегодня лишь небольшое количество медицинских организаций ведет электронные истории болезни. Да и в них доступ в Интернет отсутствует (дабы сотрудники в рабочее время не отвлекались на различные соцсети), что делает невозможным хищение медицинских записей.

На практике, медицинскими записями интересуются лишь сотрудники Фонда социального страхования с целью подтверждения факта установления временной нетрудоспособности (для начисления пособия), а также сотрудники правоохранительных органов и судов, также с целью подтверждения факта тяжкого заболевания, препятствующего явке на допрос или в судебное заседание.

За 30 лет работы в государственных и частных медицинских организациях, ни разу не сталкивался с тем, чтобы кому-либо нужно было получить незаконным путем информацию, составляющую врачебную тайну. Чаще всего информацию о больном хотят получить родственники из лучших побуждений, что на сегодня запрещено законом.

Роман Шабалкин, IT директор сети клиник «Рэмси Диагностика»

В сети наших клиник проходят обследование профессиональные спортсмены и данные об их здоровье представляют коммерчески важную информацию. Например, серьезная травма футболиста или хоккеиста может снизить его трансфертную стоимость. Также нас посещают VIP персоны: звезды шоу-бизнеса, политики, информация об их здоровье интересует желтую прессу.

При этом, на мой взгляд, киберпреступления более характерны для банковского или политического сегмента, чем для медицинского сектора.  Самую большую опасность для утечки информации в медицинском сегменте представляет человеческий фактор.

В центрах «Рэмси Диагностика» пациенту выдается логин и пароль от личного кабинета, где хранится вся информация о проведенных исследованиях и пациент может скачать свое исследование с нашего сервера. В МДЦ «Рэмси Диагностика» вся информация надежна защищена современными техническими и программными средствами, но логин и пароль, в случае ненадлежащего хранения самим пациентом, может попасть в руки к посторонним. Поэтому могу посоветовать хранить логин и пароль в надежном месте и не обследоваться в сомнительных организациях.

Определенную опасность представляет деятельность недобросовестных СМИ, представители которых узнают о госпитализации звезды, приезжают в больницу и пытаются подкупить медиков. Амбулаторные учреждения обычно не интересуют таких «горе-журналистов».