Podcast #24: Elküldjük-e a röntgenképünket Elon Musknak?

Hackfelmetszők–Veled is megtörténhet! 24. Elküldjük-e a röntgenképünket Elon Musknak?

00:00 Bevezetés

Gécsek-Tóth Enikő

Sosem jutna eszembe, hogy valakinek a pacemakerét próbálják megmanipulálni azért, hogy az illető szíve leálljon. Pedig ez nagyon is valós veszély. Dick Cheney, korábbi amerikai elnök szívritmus-szabályozójában kikapcsolták a wifit 2013-ban éppen egy lehetséges terrorveszély miatt. Ennek már 11 éve, és hát a technológia fejlődését is már el lehet képzelni, hogy azóta a kiberbűnözők módszerei mennyit finomodtak.

01:57 Több száz egészségügyi incidens

Gécsek-Tóth Enikő

Szerte a világon hetente több száz egészségügyi incidenst regisztrálnak, melyekben esetenként átlagosan minimum 200 ezer páciens adata érintett. Éves szinten a több százmilliót is meghaladja a kibertámadásban érintett áldozatok száma. A kiberbűnözők által okozott kár pedig eléri az 50 milliárd eurót. Elengedhetetlen, hogy az egészségügyi szektor folyamatosan fejlessze kiberbiztonsági rendszereit, hogy megvédje mind a pácienseket, mind az egészségügyi adatokat, hiszen a veszélynek való kitettségük óriási. De hol van a hiba a rendszerekben, és miért éri meg a bűnözőknek éppen a kórházak rendszereit támadni, egészségügyi adatokat lopni?

Itt a Hackfelmetszőkben fény derül ezekre a kérdésekre is. Én Gécsek-Tóth Enikő vagyok, beszélgetőpartnerem pedig Csizmazia-Darab István Rambo, az ESET termékeket forgalmazó Sicontact Kft. kiberbiztonsági szakértője és Béres Péter, a Sicontact Kft. IT vezetője.

03:00  Miért támadnak meg kórházakat a kiberbűnözők, miért olyan drágák az egészségügyi adatok?

Hát kezdjük is onnan, hogy miért támadnak meg kórházakat, miért olyan drágák az egészségügyi adatok?

Csizmazia-Darab István

03:10 Nézzünk egy pár statisztikai adatot

Az FBI 2023-as jelentésében azt lehetett olvasni, hogy rekordszámú, 880 ezer kibertámadási panasz érkezett be hozzájuk. Ott 12,5 milliárd dollárnyi kárt okoztak ezek a kibertámadások, és az egészségügyi szektor volt a legkitettebb.

03:52 Mi az elsődleges céljuk azzal, hogy titkosítják az egészségügyi adatainkat és váltságdíjat kérnek értük?

Az elsődleges cél az az volt, hogy titkosítják az adatokat és váltságdíjat kérnek. Ez kiegészült már egy pár év óta azzal, hogy el is lopják az adatokat, és akkor a zsarolás kiegészül azzal, hogy ha nem fizetnek azért, hogy helyreállító kulcsot kapjanak, akkor fizessenek azért, hogy ezeket ne publikálják, és ne tegyék ki a netre.  

04:54 A bűnözők felismerték, hogy a kritikus infrastruktúrák megtámadása jól fizet

A bűnözők megtapasztalták azt is, hogy ezek a célpontok kritikus infrastruktúrának is nevezhetők, jól fizetnek, mert hát roppant kockázat az, hogyha sokáig kimaradnak ezek a szolgáltatások, és emiatt gyakorlatilag ráálltak az állami intézmények elleni támadásra.

05:28 Itt két közelmúlt támadást tudok említeni:

2023-ban volt egy pennsylvaniai kórház, ahol 65 millió dolláros váltságdíjat kértek, és elkezdték kiszivárogtatni az adatokat, például rákos betegek fényképeit és egyéb bizalmas orvosi adatokat, leleteket, és hát a kórház kifizette a váltságdíjat.

2024 decemberében több brit kórházban orosz illetőségű ransomware csapatok megtámadtak kórházakat, köztük gyerekkórházakat is, és ilyenkor leáll a normál működés, elmaradnak műtétek, leáll az informatikai rendszer.

06:30 A kórházak esetében minden esetben célzott támadásról van szó?

Béres Péter

Sokszor azt látjuk, hogy ezek nem feltétlen célzott támadások, tehát merítenek a támadók, és hogyha beleesnek a kórházak, akkor nyilván annak örülnek, mert, ahogy István is mondta, azért nagyobb eséllyel fognak ők fizetni, pont ezen adatok miatt, amiket említettünk. Én annyit tennék még hozzá ehhez a gondolatmenethez, hogy azért ne legyünk álszentek, akár Magyarországon, akár Európában is azért a kórházak nincsenek a legjobb IT állapotban. Akár személyi oldalról nagyon kevés kolléga van, aki dolgozik, és fenntartja ezeket a rendszereket, másrészt eléggé elavult oprendszerekkel, eszközökkel dolgoznak, így sokkal könnyebb bejutni hozzájuk és valamilyen kárt okozni. Egyébként a Covid alatt volt olyan pozitív példa is, ha lehet így nevezni, hogy amikor rájöttek a támadók, hogy kórházról van szó, akkor visszafejtették nekik az adatokat, mert nem szerettek volna ilyen jellegű leállást okozni, amiket említettünk.

07:58 Pénzügyileg megérheti-e egy ilyen csalás?

Gécsek-Tóth Enikő

- Kérdés, hogy mondjuk, ha pénzügyileg nézünk egy ilyen csalást, vagy egy ilyen támadást, akkor megérheti-e. Tehát ha a magyar kórházak büdzséjére gondolunk, akkor nem biztos, hogy mondjuk kiberbűnözőként szintén pont ez jutna eszembe, hogy egy kórháztól próbáljak meg pénzt szerezni. Az Egyesült Államokban nyilván kicsit más a helyzet, ott egészségbiztosítási rendszer is van, tehát ott az anyagi lehetőségek is talán máshogy alakulnak, de mondjuk, hogyha már a magyarországi helyzetet nézzük, akkor tudtok-e arról, hogy itt is beszivároghatnak a kiberbűnözők egészségügyi intézményekbe. Volt-e már ilyesmire példa?

08:36 Tudunk-e arról, hogy Magyarországon beszivároghatnak a kiberbűnözők egészségügyi intézményekbe?

Béres Péter

Publikusan nem hallottunk erről információt, tehát legközelebb Magyarországhoz, Romániában volt egy ilyen eset nemrég, ott 21 kórház ment vissza a kőkorszakban nagyjából, ott a betegirányítási rendszert zárolták, vagy támadták meg, ott kifizették az összeget.

10:28 Az egészségügyi adataink miért érnek többet, mint a banki adataink?

Gécsek-Tóth Enikő

Értem azt a veszélyt, hogy ha leáll egy egészségügyi intézmény, egy kórház, az miért veszélyes. De mondjuk az én egészségügyi adatom az miért ér többet, mint az én banki adataim például.

Csizmazia-Darab István

Egyrészt azért érhet sokkal többet, merthogy nagyon részletes, ha az összes betegségeddel kapcsolatos adatot valaki megszerzi, akkor abból azért nagyon jól célzott támadásokat lehet többet is összetenni. Könnyű letiltani egy bankkártyát, de az egészségügyi adataidat így félretenni, vagy azt hatástalanítani, az sokkal nehezebb.

11:54 Mihez kezdhetnek a bűnözők az egészségügyi adatainkkal?

Csizmazia-Darab István

Inkább az angol nyelvterületről ismerünk ilyen példákat, átlagosan 3-4 millió forint környéki kára keletkezik annak, akinek ellopták a részletes adatait, gyógyszereket rendelnek, szívműtéteket számolnak el, orvosi berendezéseket vásárolnak a nevében. Az okozott óriási problémát, hogyha visszaélnek az ellopott adatokkal, akkor nagyon nehéz bebizonyítani, hogy nem az illető volt, akinek az adatait ellopták. Amerikában már külön ügyvédi irodák is szakosodtak arra, hogy az ellopott egészségügyi adatok áldozatainak segítsenek.

12:52 Akár egy zsarolásra is lehetőséget adhat, ha megszerzik ezeket az egészségügyi adatokat.

Béres Péter

Nyilván nem arra gondolok, hogy milyen Covid vakcinát kaptál, hanem ha valamilyen kicsit komolyabb betegségről van szó, vagy nemi identitáshoz kapcsolódó adatokról, akkor nyilván ezt bárhol, bármikor elő tudják húzni, hogyha te politikai pályára készülsz, akkor esetleg elő lehet venni. Itthon inkább egy következő támadás felépítésére használják, mint adatot, tehát hogy továbbmenjenek és célzottan megtámadjanak. Amerikában pedig sokkal inkább azokra a támadásokra használják, amit István is említett, hogy felírjanak gyógyszereket, vásároljanak rá különböző eszközöket, mert nyilván ott sokkal szélesebb körben lehet felhasználni ezeket az egészségbiztosítási adatokat, mint itthon nálunk, már még nem olyan kiterjedt ezeknek a használata.

Béres Péter

14:31 Attól függ, milyen adatokról van szó

Az is változó, hogy mennyire releváns adatokról van szó, mekkora adatmennyiségről van szó, tehát egy átlagemberhez köthető, vagy valamilyen celebhez, és attól függően, amit látunk, hogy egy ilyen rekord, akár 5 dollártól több ezer dollárig keringhet így a feketepiacon.

14:58 Michael Schumacher orvosi kartonja a darkneten…

Csizmazia-Darab István

Olvashattuk valamelyik évben azt a hírt, hogy a Michael Schumacher orvosi kartonját ellopták, és akkor a darkneten árulták, de attól függetlenül, hogy mi nem vagyunk Michael Schumacher vagy nem vagyunk nagy ember, a mi orvosi adataink is értékesek lehetnek, és lehet kárt okozni vele.

15:16 Mit tudunk tenni az egészségügyi adataink biztonságáért, létezik-e erre bármiféle megoldás?

Gécsek-Tóth Enikő
Hogyha innen nézzük, hogy mi mit tudunk tenni a mi adatainkért, akkor erre van bármiféle megoldás is? Vagy teljesen ki vagyunk téve a kórházak, egészségügyi intézmények létező vagy nem létező kiberbiztonsági rendszerének?

15:30 A rendszerben lévő adatokkal mit tudunk tenni?

Béres Péter

Ebből a szempontból mindenképp, tehát hogy azokkal az adatokkal nem nagyon tudsz mit csinálni, amik ott vannak azokon a rendszereken. Így kb. imádkozhatunk, hogy ne történjen semmi, meg bízhatunk abban, hogy mindent megtesz ez az intézmény, hogy a mi adatainkat biztonságosan tárolja. A mi oldalunkról mint magánember, nyilván hasonlóak a tanácsok, mint bármilyen más adat esetén, tehát hogy használjunk valamilyen védelmi megoldást, azokat az adatokat például ne küldözgessük el, Viberen vagy Whatsappon, már ilyen eset is volt, hogy az orvosokkal így osztották meg Angliában, meg különböző országokban az orvosi leleteket. Szóval, hogy én mindig azt mondom, hogy itt is az a józan ész irányítson, és emellé még mellé kell pakolni azokat a védelmi megoldásokat, amik egy átlagos felhasználásnál is előjöhetnek, hogy a banki adatainkat, hogy fényképeinket ne tulajdonítsák el tőlünk.

21:26 Hogyan segíthet a mesterséges intelligencia az egészségügyi adataink feldolgozásában?

Béres Péter

Itt egyébként bejön kicsit megint a mesterséges intelligencia rész, merthogy sokszor azt tapasztaljuk, hogyha elmész egy konzultációra, akkor az első 15 perc azzal telik, hogy az orvos így nézi az eszközeit, végignézi, hogy milyen műtéted volt, milyen gyógyszereket szedtél, stb. És például ez is lehet egy fejlesztési irány, hogy például egy AI ezt összefoglalja az orvosnak, és akkor nem 15 perc lesz, hanem egy perc alatt elolvassa, és utána lehet kezdeni a valós kezelést. Tehát, hogy elég sok lehetőség van ebben, meglátjuk, hogy hova fog a következő években fejlődni.

22:03 Milyen lehetőségeket és veszélyeket tartogatnak az egészségügyi applikációk?

Gécsek-Tóth Enikő

A másik irány, ami nagyon fontos és szintén az egészségünkkel kapcsolatos, hogy százszámra jelennek meg olyan applikációk, amelyek követik az egészségi állapotunkat, sportolásunkat, pulzusszámunkat, és minden egyéb testi funkciónkat próbálja mérni vagy követni. Ezekben láttok-e veszélyt, hiszen ugyanúgy gyűjti az adatainkat.

22:32 Az IoT eszközök számát most olyan 18 milliárdra becsülik

Csizmazia-Darab István

Ahogy említettük, hogy vannak mindenféle IOT eszközök, amiknek a számát, ugye a netre kapcsolódó okoseszközökről beszélünk, annak most olyan 18 milliárd a jelenlegi száma, és 2030-ra ilyen 40-50 milliárdot mondanak. Nyilván ezek egy része ilyen egészségügyi, okosóra, fitneszkarkötő és stb. Hajlamosak vagyunk itt egyrészt túl sok személyes adatot megosztani, olyat is, amire esetleg nem lenne szükség, másrészt meg a fejlesztők azért sokszor nincsenek a topon, mondjuk a biztonsági szempontok figyelembevételénél. Néha még az apró betűben sincs elrejtve az, hogy kikkel osztják meg ezeket az adatokat, akár ilyen általános statisztikai szinten, akár részletesen eladják-e hirdetőnek, melyik országba kerül ki az adatkezelő. Volt ez a Strava nevű futó app, ami ugye azt csinálta, hogy a futó anonim összegyűjtött ilyen adatokat, azokat föltöltötte a felhőbe, és bárki megnézhette ezeket a képernyőket, és itt például 2018-ban szíriai, meg iraki titkos katonai bázisok lebuktak, mert a katonák a bázis körül végezték a futógyakorlataikat, és körberajzolták ezeket a csíkokat.

24:34 Egyéb esetek

Béres Péter

Ha kicsit közelebb jövünk, akkor most nemrég Vlagyimir Putyinnal, meg Bidennel is kapcsolatban voltak ilyen hírek, hogy az ő testőreik ugyanígy használták ezeket, és akkor ezek az adatok szintén kikerültek. Nekem egy ilyen megdöbbentő sztori volt most, és Elon Muskot behozom ide, mert ő is beállt a sorba, és lett egy AI alapú chatbotja, a Grok, és ott megkérte a felhasználókat az AI tanítása céljából, hogy töltsék fel az egészségügyi képeiket, az MR képeket, CT képeket, hogy ezzel tanítsa be a saját X-en futó Grok nevű AI chatbotját. Az emberek minden gondolkodás nélkül tolták föl. Szóval, hogy ezért mondtam a józan észre, hogy oké, hogy követjük, meg flow-ban vagyunk, de nem biztos, hogy ilyeneket föl kéne tolni a közösségi médiába.

25:45 Létezik jelenleg olyan EU-s rendelet vagy kezdeményezés, amely az orvostechnikai eszközök kiberbiztonságára vonatkozik?

Gécsek-Tóth Enikő

A Fehér Ház a közelmúltban további kibermandátumokat szorgalmazott az orvostechnikai eszközök gyártói számára annak a szélesebb körű erőfeszítésnek a részeként, hogy a gyártók vezessék be a biztonságos tervezés elveit termékeikbe, mielőtt azok piacra kerülnének. Tudtok hasonló szabályozásról Európai Unión belül? Tehát itt igen orvostechnikai eszközökről van szó kimondottan.

26:18 2024 októberétől lépett hatályba a NIS2 szabályozás

Csizmazia-Darab István

2017-ben már létezett egy ilyen MDR Medical Device Regulation nevezetű EU-s rendelet, ami az orvostechnikai eszközöknek a kiberbiztonságáról is rendelkezett. Hogyha Magyarországot nézzük, akkor azért a 90-es években is volt valamilyen szintű szabályozás, meg elvárás, de nyilván a 2011-es infótörvény már rendelkezett egy csomó mindenről, aztán 2018 májusában jött a híres GDPR, ahol szintén ez az adatvédelmi és adatkezelési alapelvek érvényesültek. Most 2024 októberétől lépett hatályba a NIS2 szabályozás, ami szintén egy magas szintű kiberbiztonságot irányoz elő. 

27:44 A jog általában követi a technológiát

Béres Péter

Igen, itt kicsit nekem mindig az a problémám, hogy a jog általában követi a technológiát, tehát hogy nehezen tudja utolérni, sőt soha nem fogja, akár az AI Act, akár ezek az IOT-kre vonatkozó szabályozások. Fogalmazzunk úgy, hogy vannak, de hogy a gyakorlatban mennyire fog tudni működni, vagy mennyire lesz jó, azt majd meglátjuk, meg az évek majd bizonyítják. Van szerintem EU-s szinten egy nagyon jó kezdeményezés, ez a European Health Data Space nevű jogszabály. Ennek az lenne a célja, hogy Európában a teljes európai lakosság összes egészségügyi adatát egymás között biztonságosan megoszthassuk kutatási céllal, meg az orvosok között is. Erre elég komoly összeget, azt hiszem, a helyreállítási alapból 810 millió eurót tettek félre, hogy ezt kialakítsák Európa-szerte, és 12 milliárd eurót pedig a digitális egészségügy fejlesztésére szán az EU a jövőben.

Az látszik szerintem így EU szinten főleg, hogy ez az IT security, meg az adatbiztonság előtérbe került, de például az ENSZ is kicsit magához tért így a ransomware kapcsán, és közös összefogásra szólította fel az államokat, tehát hogy egyre több hír, egyre több incidens sajnos kerül nyilvánosságra, és ez egy jó folyamat lesz talán így a közeljövőben, hogy előre tudunk lépni ezekben a dolgokban.

29:37 Az ESET termékekkel meg lehet védeni teljes kórházakat is? 

Gécsek-Tóth Enikő

Igen, meg hát nyilván addig is mindenki rájön, hogy saját érdeke lesz az, hogy a saját háza táján, kibervédelme háza táján rendet tartson, hiszen sokkal nagyobb kár éri, hogyha nem így tesz. Hogyha mondjuk a ti cégeteket nézzük, meg az ESET-termékeket, akár teljes kórházakat is le tudtok védeni? Tehát, hogy erre van megfelelő infrastruktúra?

29:59 Van erre megfelelő infrastruktúra?

Béres Péter

Természetesen igen. Vannak is ilyen jellegű ügyfeleink. Ahogy az elején említettem, inkább ezekkel a pénzügyi és egyéb erőforráshiányokkal megküzdve kell biztosítani egy olyan rendszert, vagy felépíteni egy olyan rendszert, ami a megfelelő biztonságot talán tudja szolgálni.

Más tanácsadói feladatokra is szükség van, nem csak arra, hogy oké, akkor ez a megfelelő megoldás, hanem kicsit meg kell ismernünk, hogy milyen a hálózat, hogy épül föl, és akkor erre tudunk javasolni egy konkrét megoldást.  Az látszik, hogy itt is azért van előrelépés, tehát ha lassan is, de fejlődnek a kórházak is, és talán a következő években azért több erőforrás lesz arra, hogy magasabb szintre lépjenek így a securityben is.

31:11 Egyéni szinten melyek azok a tippek és tanácsok, amelyekkel megvédhetjük az egészségügyi adatainkat?

Gécsek-Tóth Enikő

Egyéni szinten melyek azok a tippek, amelyeket tudtok adni, tehát nyilván ne küldözgessünk mindenféle információt az egészségi állapotunkról, Viberen, Whatsappen, tehát találjunk erre biztonságos módot, és még?

31:34 Ne küldjük el Elon Musknak a röntgenképeinket és az összes eddigi leletünket.

Csizmazia-Darab István

De amikor mondjuk mi appot választunk, akkor mindenképp nézzünk utána, hogy milyen referenciája van, érdemesebb a nevesebb, nagyobb gyártóknak a termékeit választani, ahol ugye nem csak jobban megismerhető, hogy milyen irányelvek mentén hogy kezelik az adatokat, de hogyha probléma van, akkor tudunk velük kapcsolatba lépni, és akkor tudunk problémákat orvosolni, meg kezelni.

Nyilván a magánemberek szempontjából ez az informatikai higiénia roppant fontos, tehát, hogy az eszközeinken használjunk vírusvédelmet, megfelelően erős jelszavaink legyenek, akkor ezeket a jelszavakat ne a böngésző jegyezze meg, hanem legyen jelszószéf, használjunk kétfaktoros autentikációt, és akkor a biztonság tudatosságát ezzel kezdtük, ennek folyamatosan ott kell kattogni mindenkinek a fejében.

32:41 Mire való a Személyazonosság-védelem funkció?

Béres Péter

Van egyébként az egyik csomagunkban egy személyazonosság-védelem funkció is, ami nagyjából azt jelenti, hogy a dark weben ellenőrzi, hogyha az e-mail címed, neved, meg címed megjelenne a különböző piactereken, és akkor arról tud értesítést küldeni. Ez is egy ilyen jó tanács lehet, hogy használjuk ki ezeket az új funkciókat, amik elérhetőek, tehát hogy tájékozódjunk, és nem csak védelmi oldalon, hanem a veszélyekkel is legyünk tisztában. Tehát tudjuk, hogy mit akarunk megvédeni, és azt esetleg hogy lehet megvédeni.

35:18 Összegzés

Gécsek-Tóth Enikő

Összegezzünk. Ne küldjünk tehát röntgenfelvételt Elon Musknak.
 

35:41 Egyre több olyan eszközünk lesz, ami adatokat fog generálni rólunk

Béres Péter

A jövő szerintem ebbe az irányba megy, amit feszegettünk, hogy egyre több olyan eszközünk lesz, vagy a testünkön, vagy a testünkben, ami adatokat fog generálni rólunk, és ezt valahova elküldi, vagy megosztja. Legyünk tisztában azzal, hogy ez most Kínába, Dél-Koreába, Amerikába, EU-ba megy például, és kivel osztják meg. Foglalkozzunk azzal, hogy mit vásárolunk, mit teszünk magunkra, és tényleg a védelmet meg tegyük mellé, meg a józan észt.