Tervishoiu küberprobleemide hulgas paistavad silma andmelekked ja tehnilised tõrked

Artikli autoriks on Riigi Infosüsteemi Ameti (RIA) ennetusjuht Kaisa Vooremäe.

Eelmise aasta aprillis toodi avalikkuse ette andmevargus ettevõttest Allium UPI, mis puudutas ligi 700 000 Apotheka, Apotheka Beauty ja Pet City kliendikaardi omaniku isikuandmeid. Samuti lekkisid 43 miljoni ostu andmed, mille hulgas olid näha käsimüügiravimid ja muud apteegikaubad, kuid mitte retseptiravimid.

Selle juhtumi täpsemaid tagamaid uurivad veel politsei ja andmekaitse inspektsioon. Siiski saab teha varasemate sarnaste juhtumite põhjal mõningaid üldistusi. Tõsiste tagajärgedega küberrünnak ettevõtte või asutuse vastu algab sageli mõne töötaja kasutajakonto ülevõtmisest. Kasutajanime ja parooli teadasaamiseks võivad kurjategijad kasutada näiteks pahavara, mille töötaja tõmbab oma arvutisse nakatunud e-kirja manusega või kahtlasest kohast leitud piraattarkvaraga.

Selleks, et kurjategijad ei pääseks töötaja lekkinud parooliga kohe süsteemi sisse, tuleb kasutada kaheastmelist autentimist. Samuti peaksid olema internetist ligipääsetavad ainult need infosüsteemid ja teenused, mille puhul see on tingimata vajalik, ja kõik need tuleks paigutada ka VPNi või muu turvalahenduse taha.

Andmelekete arv kahekordistus

Allium UPI juhtum ja vaid mõni kuu varem toimunud rohkem kui 10 000 inimese andmete vargus geenitestimisega tegelevast ettevõttest Asper Biogene tõi Eestis tundlike isikuandmete kaitse teema taas laiemalt päevakorrale. Mullu registreeris RIA varasemast ligi kaks korda rohkem andmelekkeid. Leketega kaasneb muu hulgas oht, et varastatud andmeid võidakse ära kasutada uute küberrünnete, õngistuste, pettuste ja väljapressimiste korraldamiseks.

Andmeid teenusepakkujatele usaldades loodavad inimesed, et nad panustavad tõsimeeli nende kaitsmisesse. Paraku see alati nii ei ole, kuigi viimaste aastate intsidendid on siiski tõstnud nii ettevõtete kui inimeste teadlikkust ning tegutsemisvalmidust. Klientidena tasub meil kriitiliselt suhtuda oma isikuandmete jagamisse, muu hulgas kliendikontode tarbeks – väike soodustus või veidi mugavam asjaajamine ei pruugi seda riski väärt olla. Kas kõik kogutavad andmed on ettevõtetele tingimata vajalikud? Mõnda ankeeti täides tasub „vabatahtlikud“ väljad pigem tühjaks jätta.

Toon veel mõned näited andemelekete kohta tervishoius 2024. aastal. Maikuus avastati, et ühe tervishoiuasutuse patsiendiportaal näitas ennast sisse loginud kasutajale ka teiste kasutajatega seotud kirjeid. Näha olid teenuse osutaja, hind ja koht, aga teadaolevalt ei pääsetud siiski ligi tellija isikuandmetele. Põhjuseks oli portaali seadistusviga. Samuti selgus mais, et ühe haigla töötajate kasutajatunnused ja -salasõnad võivad olla lekkinud ning RIA soovitas paroolid kõigis keskkondades välja vahetada.

Novembris 2024 tabas üht hambaravikliinikut lunavararünnak, mille käigus krüpteeriti serveris olnud andmed – peamiselt patsientide röntgenpildid. Rünnak viidi läbi kaugtöölaua (RDP) ühenduse kaudu, mille kaitsmiseks kasutati lihtsat parooli. Selle juhtumi valguses soovitab RIA kõigil üle vaadata RDP-ligipääsud ja veenduda, et paroolid oleksid tugevad ning kasutada lisaks kaheastmelist autentimist (2FA) ja VPNi või muud turvalahendust.

Teenuste sisseostmisel tasub olla hoolikas

Möödunud aastal oli tervishoiuasutustel arvukalt probleeme ka erinevate infosüsteemide tõrgetega, mille põhjused olid enamasti tehnilised: näiteks ebaõnnestunud seadistus, viga tarkvara uuendamisel või tulemüüri rike. Muu hulgas esines korduvalt katkestusi haiglate infosüsteemides ja Tervisekassa teenustes. Ühe haigla serverid lülitusid aga välja probleemide tõttu puhvertoiteallika ehk UPSiga.

Tervishoiuasutuste tööd iseloomustab see, et nad kasutavad sageli väliste pakkujate veebiplatvorme ning ostavad sisse ka muid teenuseid: raamatupidamine, IT-seadmete hooldus, andmemajutus jne. Seetõttu on ülimalt oluline, et teenuse hankimisel arvestataks ka võimalikke küberriske ja järgitaks turvanõudeid. Tuleb algusest peale kokku leppida, milles teenus täpselt seisneb ja kuidas tullakse toime katkestuse või muu hädaolukorraga.

Lepingutes hakatakse tavaliselt näpuga järge ajama alles siis, kui midagi läheb valesti: tundlikud isikuandmed lekivad, andmebaas hävib tehnilise rikke tõttu või süsteemid krüpteeritakse lunavaraga ning selgub, et varukoopiaid polegi olemas. Intsidendi tagajärjel võib ettevõtte majandustegevus seiskuda, arved ja töötajate palgad maksmata jääda ning terviseandmete puhul isegi inimeste tervis ja elu ohtu sattuda. Teenusepakkujatega seotud probleemide ennetamiseks soovitame läbida RIA loodud tasuta e-kursuse, mis annab ülevaate väljasttellimise parimatest praktikatest.

Millised on tervishoiuasutuste levinumad küberriskid?

Levinumad turvariskid on Eesti tervishoiuasutustes sarnased teiste ettevõtete ja asutustega.

• Pea iga ettevõtte turvatestimisel leitakse mõni server, võrku ühendutud seade, veebiteenus või tarkvara, millel on avalikult teadaolevad turvanõrkused. Tihtipeale on tegemist juba aastaid tagasi avalikustatud haavatavustega, millele on juba ammu parandused olemas. Probleemid jäävad avastamata enamasti seetõttu, et puudub korralik ülevaade kasutusel olevast riist- ja tarkvarast ning uuenduste tegemine pole süsteemne. Kuna haavatavusi kasutatakse rünnakuteks ära järjest kiiremini, tuleks uuendused võimalusel automatiseerida.
• Teine probleemide ring puudutab nõrku paroole ja kontode haldust. Tihti leidub võrgus näiteks vaikeparooliga seadmeid, mille ründajad leiavad kerge vaevaga üles. Sageli on kõigi töötajate kontodel samasugused õigused, kuigi neid tasuks vastavalt tööülesannetele eristada. Harvad pole kahjuks ka juhused, kus juba aastaid tagasi lahkunud töötajate kontod on IT-süsteemides endiselt avatud, mis suurendab jällegi küberrünnete ohtu.
• Viimasel ajal on õnneks muutunud populaarsemaks töötajate koolitamine levinumate küberohtude teemal, kuid sageli on koolitused ainult ühekordsed. Samas on suur osa ettevõtte ja asutuse tööd puudutavatest küberohtudest lihtsalt välditavad just töötajate koolituste abil ning need ei ole võrreldes saadava kasuga üldse kulukad. Koolitusi võiks läbi viia vähemalt kord aastas ja juhtida parajasti levivatele ohtudele ka jooksvalt inimeste tähelepanu. Küberhügieeni parimatest praktikatest leiate ülevaate veebilehelt itvaatlik.ee ja RIA kodulehelt ria.ee küberturbe nõuannete rubriigist.