Eίναι 2024, όταν στο Ηνωμένο Βασίλειο ένας πάροχος εργαστηριακών υπηρεσιών, που συνεργάζεται με το Εθνικό Σύστημα Υγείας της χώρας (NHS), δέχεται κυβερνοεπίθεση. Το χτύπημα των χάκερ έχει ως αποτέλεσμα να σταματήσει η λειτουργία εργαστηρίων αίματος και σχετικών υπηρεσιών σε μεγάλα νοσοκομεία του Λονδίνου, συμπεριλαμβανομένου του «King’s College Hospital» και να καταγραφεί ο θάνατος ενός ανθρώπου, εξαιτίας της καθυστέρησης στην παροχή κρίσιμων αποτελεσμάτων εξετάσεων -ήταν ένα από τα πρώτα επίσημα περιστατικά μιας κυβερνοεπίθεσης, η οποία είχε άμεση επίπτωση στην έκβαση της υγείας ενός ασθενή.
Το ίδιο χτύπημα προκάλεσε την ακύρωση ή αναβολή περισσότερων από 10.000 ραντεβού και εξετάσεων, ενώ η κλεμμένη πληροφορία εκτιμάται ότι ανήλθε σε 400 GB (γιγαμπάιτ) ευαίσθητων δεδομένων ασθενών. Οι ομάδες ransomware* βλέπουν δυστυχώς τα νοσοκομεία ως οργανισμούς με υψηλή προθυμία πληρωμής λύτρων, ενώ τα ιατρικά δεδομένα έχουν μεγάλη αξία: στη μαύρη αγορά πωλούνται σε τιμή πολλαπλάσια από στοιχεία πιστωτικών καρτών, γιατί -μεταξύ άλλων- επιτρέπουν ασφαλιστική απάτη, ακόμη και κλοπή ταυτότητας και μπορούν να χρησιμοποιηθούν για κοινωνική μηχανική** ή και στοχευμένο εκβιασμό ασθενών.
Τα παραπάνω επισημαίνει, μιλώντας στο ΑΠΕ-ΜΠΕ, ο δρ Κωνσταντίνος Βότης, κύριος ερευνητής στο Ινστιτούτο Τεχνολογιών Πληροφορικής και Επικοινωνιών (ΙΠΤΗΛ), του Εθνικού Κέντρου Έρευνας και Τεχνολογικής Ανάπτυξης (ΕΚΕΤΑ) και επιστημονικός υπεύθυνος του έργου «CyberCare» στο νοσοκομείο «Παπαγεωργίου» στη Θεσσαλονίκη, στο οποίο συντονιστής ήταν ο δρ Δημήτριος Τζοβάρας. Δυστυχώς, παρατηρεί, επίσημα και πλήρη στατιστικά στοιχεία για τις κυβερνοεπιθέσεις σε ελληνικά νοσοκομεία το 2024-2025, δεν είναι διαθέσιμα όπως στις ΗΠΑ ή στο Ηνωμένο Βασίλειο (σ.σ. είχε ωστόσο γίνει γνωστό ότι το ΑΧΕΠΑ στη Θεσσαλονίκη είχε δεχτεί κυβερνοεπίθεση τον Νοέμβριο του 2024, η οποία κατέστησε προσωρινά αδύνατη την πρόσβαση στο ηλεκτρονικό αρχείο του).
Έως και 1700 κυβερνοεπιθέσεις την εβδομάδα σε ελληνικούς οργανισμούς
«Αν και υπάρχει γενικευμένη αύξηση των κυβερνοεπιθέσεων σε ελληνικούς οργανισμούς –συμπεριλαμβανομένων και των νοσοκομείων– δεν μπορεί να αποδοθεί με ακρίβεια ποιες και πόσες από αυτές στόχευαν το σύστημα υγείας.
Οι ελληνικοί οργανισμοί δέχονται περίπου 1.600–1.700 κυβερνοεπιθέσεις ανά εβδομάδα, αριθμός που είναι από τους υψηλότερους στην Ευρώπη και αυξάνεται σε ετήσια βάση. Ωστόσο, η έλλειψη συστηματικής καταγραφής και αναφοράς, ιδιαίτερα όταν τα περιστατικά δεν δηλώνονται επίσημα λόγω ευαισθησίας ή αδυναμίας ανίχνευσης, καθώς και η γενίκευση των διαθέσιμων στοιχείων, δεν επιτρέπουν να σχηματιστεί ξεκάθαρη εικόνα ως προς τον αριθμό, το είδος και την έκβαση των επιθέσεων», παρατηρεί ο δρ Βότης.
Ωστόσο, τα στοιχεία από άλλες χώρες είναι αποκαλυπτικά και δείχνουν ότι τα νοσοκομεία και οι οργανισμοί υγείας βρίσκονται στην πρώτη γραμμή ενός ραγδαία επιδεινούμενου τοπίου κυβερνοαπειλών.
Όπως εξηγεί ο δρ Βότης, οι κύριοι τύποι επιθέσεων που στοχεύουν τα νοσοκομεία είναι κατά κανόνα ransomware, παραβιάσεις και διαρροές δεδομένων, phishing, καθώς και η εκμετάλλευση ευπαθειών τρίτων ή προμηθευτών.
«Το ransomware παραμένει η πιο διαδεδομένη και καταστροφική απειλή για τις υγειονομικές δομές: μόνο το 2025, 293 ransomware επιθέσεις καταγράφηκαν σε νοσοκομεία και κλινικές παγκοσμίως μέσα σε εννέα μήνες, με εκατομμύρια ιατρικά αρχεία να εκτίθενται ή να κρυπτογραφούνται. Οι κυβερνοεγκληματίες απαιτούν λύτρα, ενώ σε πολλές περιπτώσεις έχουν κλαπεί ευαίσθητες πληροφορίες – μια πρακτική γνωστή ως «διπλή εκβίαση». Αυτό οδηγεί σε διαρροές δεδομένων και σοβαρές παραβιάσεις», σημειώνει.
Οι μη εξουσιοδοτημένες προσβάσεις σε ιατρικά και προσωπικά δεδομένα αποτελούν επίσης σύνηθες φαινόμενο, ενώ ακόμη και πολύ μεγάλες υποδομές έχουν πληγεί: ένα εκτεταμένο hack σε τεχνολογική μονάδα της UnitedHealth εκτιμάται ότι επηρέασε περίπου 192,7 εκατομμύρια άτομα.
Εξίσου προσφιλής μέθοδος είναι οι επιθέσεις κοινωνικής μηχανικής, καθώς στοχεύουν στον ανθρώπινο παράγοντα, τον πιο «αδύναμο κρίκο» και μία από τις πιο κοινές πύλες εισόδου για υποκλοπές δεδομένων και ransomware. Συχνά, μάλιστα, αρκεί η αστοχία ή ο ελλιπής έλεγχος κατασκευαστών λογισμικού και ιατρικών συσκευών, ώστε οι ευπάθειες των συστημάτων να δώσουν το έδαφος για επιθέσεις που αρχικά περνούν απαρατήρητες.
Πόσο προετοιμασμένα είναι τα ελληνικά νοσοκομεία;
Κατά τον δρα Βότη, τα ελληνικά νοσοκομεία βρίσκονται σε μεταβατικό στάδιο όσον αφορά την κυβερνοασφάλεια, καθώς υπάρχουν μεν βελτιώσεις και αυξημένη επίγνωση του κινδύνου, αλλά το επίπεδο ετοιμότητας παραμένει σε πολλές περιπτώσεις ανεπαρκές. «Eνώ γίνονται προσπάθειες για τη συγκρότηση πολιτικών ασφαλείας, την ευρύτερη προστασία σε επίπεδο δικτύων και υπολογιστών και τη συστηματική λήψη αντιγράφων ασφαλείας, πολλά στελέχη πληροφορικής καλούνται να αντιμετωπίσουν παρωχημένα πληροφοριακά και λειτουργικά συστήματα, ελλιπή παρακολούθηση και υποχρηματοδότηση για επένδυση στην κυβερνοασφάλεια», λέει.
Ένας εξίσου κατασταλτικός παράγοντας, προσθέτει, είναι ότι στη συντριπτική πλειονότητά τους, τα νοσοκομεία εστιάζουν στην πρόληψη και όχι στην αντιμετώπιση του περιστατικού όταν συμβεί. Συνεπώς, εξηγεί, δεν διαθέτουν ολοκληρωμένο πλάνο αντιμετώπισης συμβάντων, δεν πραγματοποιούν ασκήσεις κυβερνοπεριστατικών και δεν έχουν δοκιμασμένα σχέδια επιχειρησιακής συνέχειας (Back Up/ Disaster Recovery). Η εκπαίδευση του προσωπικού είναι εξίσου περιορισμένη, καθώς η ευαισθητοποίηση για την αναγνώριση κακόβουλης αλληλογραφίας γίνεται αποσπασματικά ή καθόλου, το ιατρικό και διοικητικό προσωπικό δεν έχει πάντα σαφή εικόνα του κυβερνοκινδύνου, ενώ επικρατεί και η παρωχημένη άποψη ότι η κυβερνοασφάλεια είναι «τεχνικό θέμα του τμήματος Πληροφορικής και Επικοινωνιών (ΙΤ)» και όχι οργανωτική ευθύνη.
Το βασικό κίνητρο των χάκερ
Τα κίνητρα πίσω από τις κυβερνοεπιθέσεις σε νοσοκομεία είναι -κατά τον δρα Βότη- κυρίως οικονομικά, αν και σε ορισμένες περιπτώσεις συνδυάζονται με στρατηγικούς, πολιτικούς ή ακόμη και «επιδεικτικούς» λόγους. Αφενός, τα ιατρικά δεδομένα έχουν πολύ μεγαλύτερη αξία από απλά οικονομικά στοιχεία, καθώς ένα πλήρες ιατρικό προφίλ μπορεί να περιλαμβάνει μεταξύ άλλων προσωπικά στοιχεία, ιστορικό ασθενειών, φαρμακευτικές αγωγές, ασφαλιστικές πληροφορίες. Στη μαύρη αγορά, τέτοια δεδομένα αξίζουν -όπως προαναφέρθηκε- πολλαπλάσια από στοιχεία πιστωτικών καρτών. Όσον αφορά τους επιδεικτικούς λόγους, ο «θόρυβος» και η φήμη είναι σημαντικοί παράγοντες για τον ψηφιακό υπόκοσμο. «Το χτύπημα σε ένα μεγάλο νοσοκομείο ή εθνικό σύστημα υγείας δημιουργεί υψηλό συμβολικό αντίκτυπο, τον οποίο ο χάκερ πιστώνεται, κι αυτό λειτουργεί ως μέσο για περισσότερα κέρδη, καθώς θέλουν να αποδείξουν την αποτελεσματικότητά τους σε διάφορα fora και διαδικτυακές μαύρες αγορές, με απώτερο στόχο την προσέλκυση συνεργατών» εξηγεί ο δρ Βότης, ενώ αναφερόμενος στο έργο «CyberCare», που πραγματοποιήθηκε μεταξύ Οκτωβρίου 2021 και Νοεμβρίου 2023 στο νοσοκομείο «Παπαγεωργίου», εξηγεί πως ήταν ένα καινοτόμο ερευνητικό πρότζεκτ, με στόχο τη θωράκιση των συσκευών και δικτύων υγειονομικής περίθαλψης και με έμφαση στις διασυνδεδεμένες ιατρικές συσκευές (connected medical devices) και τα νοσοκομειακά δίκτυα, ώστε να προστατευτούν από κυβερνοεπιθέσεις.
«Σε γενικές γραμμές, η εφαρμογή του προγράμματος κατόρθωσε να ενισχύσει την ανθεκτικότητα των συσκευών και των συστημάτων υγείας, να εισάγει νέες τεχνολογίες και πρωτόκολλα ασφαλείας, και να υποστηρίξει τους παραγωγούς ιατρικών συσκευών ώστε να ενσωματώνουν την ασφάλεια από το στάδιο του σχεδιασμού. Μια από τις εφαρμογές του project αφορούσε πιλοτικό πρόγραμμα τηλεϊατρικής φροντίδας εγκύων στις απομακρυσμένες περιοχές της Ελλάδας μέσω διασυνδεδεμένων ιατρικών συσκευών, όπου τα δεδομένα μεταφέρονταν στους επιβλέποντες γιατρούς και η κυβερνοασφάλεια ήταν κρίσιμη για τη σωστή λειτουργία και προστασία των ευαίσθητων πληροφοριών» περιγράφει και χαρακτηρίζει ως εξαιρετικά σημαντική τη συνεισφορά του νοσοκομείου Παπαγεωργίου.
ΝΙS2, EHDS και Ταμείο Ανάκαμψης ενισχύουν την κυβερνοασφάλεια και των νοσοκομείων
Οι διάφορες πλατφόρμες, είτε εθνικές είτε διακρατικές, είναι «η χαρά του χάκερ», δεδομένου ιδίως ότι η έκρηξη του ψηφιακού μετασχηματισμού δημιουργεί ολοένα μεγαλύτερο όγκο δεδομένων, που είναι πλέον και καλύτερης ποιότητας -πιο ακριβή, πιο καθαρά και ολοκληρωμένα- και μπορούν να χρησιμοποιηθούν σε συνδυασμό με εργαλεία Τεχνητής Νοημοσύνης «είτε για το καλό είτε για το κακό». Τα παραπάνω παρατηρεί, μιλώντας στο ΑΠΕ-ΜΠΕ, ο δρ Παντελής Αγγελίδης, καθηγητής στο Τμήμα Ηλεκτρολόγων Μηχανικών και Μηχανικών Η/Υ του Πανεπιστημίου Δυτικής Μακεδονίας και ιδρυτής της εταιρείας VIDAVO, η οποία τον περασμένο Δεκέμβριο ολοκλήρωσε έργο με τίτλο «Πρότυπη διάγνωση ετοιμότητας έναντι απειλών κυβερνοασφάλειας δημόσιου νοσοκομείου». Αντικείμενο του έργου ήταν η εκπόνηση εξειδικευμένης μεθοδολογίας αξιολόγησης κινδύνου κυβερνοασφάλειας, ειδικά προσαρμοσμένης στις ανάγκες των ελληνικών δημόσιων νοσοκομείων. Η μεθοδολογία εφαρμόστηκε πιλοτικά στο Γενικό Αντικαρκινικό Νοσοκομείο Αθηνών «Άγιος Σάββας», ενώ τα αποτελέσματα θα αξιοποιηθούν για τη δημιουργία Οδηγού Εφαρμογής για όλα τα δημόσια νοσοκομεία της χώρας.
Όπως επισημαίνει ο δρ Αγγελίδης, λόγω της κοινοτικής οδηγίας NIS2, υπάρχει και στην Ελλάδα ευρύτερη εγρήγορση για θέματα κυβερνοασφάλειας, πολύ πιο έντονη και στοχευμένη σε σχέση με το παρελθόν, οπότε εκδηλωνόταν μια γενική, μόνο, ανησυχία. «Ειδικά στον χώρο της υγείας, επειδή τα δεδομένα είναι εξ ορισμού ευαίσθητα και έχουν πολλές χρήσεις -καθώς δεν χρησιμοποιούνται μόνο για τη διάγνωση και θεραπεία του ασθενή, αλλά και για χρήσεις δευτερογενείς, όπως για σκοπούς ερευνητικούς, διοικητικούς, χρηματοδότησης- το περιβάλλον είναι πιο πολύπλοκο και απαιτητικό ως προς την κυβερνοασφάλεια. Υπάρχουν όμως διάφορες εξελίξεις: πρώτον, τα προγράμματα του RRF (Ταμείου Ανάκαμψης και Ανασυγκρότησης) για τον ψηφιακό μετασχηματισμό στην υγεία, πέρα από τα διάφορα συστήματα -όπως η Άυλη Συνταγογράφηση, ο Εθνικός Ηλεκτρονικός Φάκελος Υγείας, η τηλεϊατρική- «ακουμπούν» και τα νοσοκομεία. Δεύτερον, βγήκε ο κανονισμός της ΕΕ για τον Ευρωπαϊκό Χώρο Δεδομένων της Υγείας (EHDS, European Health Data Space), που απαιτεί εναρμόνιση της εθνικής νομοθεσίας τα επόμενα χρόνια και, όταν μιλάμε για δεδομένα, η κυβερνοασφάλεια είναι σημαντική. H αρμοδιότητα και δικαιοδοσία για την εφαρμογή των προβλεπόμενων από τον κανονισμό σε εθνικό επίπεδο παραμένει στα κράτη-μέλη κι αυτό δημιουργεί ένα περιβάλλον, στο οποίο υπάρχει, πλέον και η θεσμική υποχρέωση να ανησυχούμε» επισημαίνει, υπενθυμίζοντας πως μέχρι το 2027, ο κανονισμός EHDS θα πρέπει να εφαρμόζεται σε όλη την ΕΕ, με ποινές για οργανισμούς που δεν έχουν συμμορφωθεί.
*Ransomware: Το συγκεκριμένο είδος κακόβουλου λογισμικού, γνωστό και ως «λυτρισμικό», χρησιμοποιείται για εκβιασμούς. “Κλειδώνει” την οθόνη ή κρυπτογραφεί τα δεδομένα που είναι αποθηκευμένα στον υπολογιστή και στη συνέχεια απαιτεί λύτρα από το θύμα της επίθεσης, προκειμένου να τα αποδεσμεύσει.
**Η κοινωνική μηχανική είναι η πρακτική κατά την οποία ένας χάκερ χειραγωγεί ανθρώπους, εκμεταλλευόμενος την εμπιστοσύνη, τον φόβο, την περιέργεια ή την ανάγκη για βοήθεια, με σκοπό να αποσπάσει ευαίσθητες πληροφορίες ή να αποκτήσει μη εξουσιοδοτημένη πρόσβαση
***Στο phishing ο επιτιθέμενος μιμείται μια αξιόπιστη οντότητα (πχ, μια τράπεζα ή οργανισμό), ζητώντας από το θύμα να αποκαλύψει ευαίσθητες πληροφορίες, όπως username, password ή pin.©
ΑΠΕ-ΜΠΕ