Ο Simon Meier, ορθοπεδικός και τραυματιολόγος, βρισκόταν εκτός υπηρεσίας όταν χτύπησε το τηλέφωνό του. Το Πανεπιστημιακό Νοσοκομείο Φρανκφούρτης είχε δεχθεί μαζική κυβερνοεπίθεση, και ως υπεύθυνος για τα πρωτόκολλα έκτακτης ανάγκης, ο Meier κλήθηκε να επέμβει άμεσα. Το επόμενο πρωί συμμετείχε σε σύσκεψη κρίσης, καθώς οι ομάδες IT είχαν αποτύχει να αποτρέψουν την παραβίαση.
Η απόφαση ήταν δραστική: αποσύνδεση του δικτύου από το Διαδίκτυο. «Δεν θέλαμε να δώσουμε σε κανέναν την ευκαιρία να εισβάλει στα συστήματα», είπε. Από εκείνη τη στιγμή, το νοσοκομείο λειτούργησε με χαρτί, μολύβι και τηλέφωνα. Η πρόσβαση σε δεδομένα και διαγνώσεις έγινε εξαιρετικά δύσκολη. «Αναβάλαμε χειρουργεία μόνο και μόνο για να έχουμε πρόσβαση σε ιατρικά αρχεία», παραδέχεται.
Η κρίση δεν πέρασε. Πάνω από 18 μήνες μετά, η πλήρης λειτουργικότητα δεν έχει αποκατασταθεί. Η υποδομή επανασχεδιάζεται από την αρχή για να κλείσει τα παλιά κενά ασφαλείας, όπως αναφέρει το Politico.
Η περίπτωση της Φρανκφούρτης δεν είναι μοναδική. Μόνο το 2023, 309 κυβερνοεπιθέσεις καταγράφηκαν στον τομέα της υγείας στην ΕΕ – περισσότερες από κάθε άλλον κρίσιμο τομέα. Κάθε τέτοιο περιστατικό κοστίζει κατά μέσο όρο 300.000 ευρώ. Αλλά πέρα από τα χρήματα, διακυβεύονται ζωές: στο Ηνωμένο Βασίλειο, ο θάνατος ενός ασθενούς συνδέθηκε με καθυστερήσεις σε αιματολογικές εξετάσεις λόγω κυβερνοεπίθεσης.
Ο ΠΟΥ το αποκάλεσε θέμα «ζωής και θανάτου».
Ωστόσο, παρά την αυξημένη απειλή, τα νοσοκομεία επενδύουν λιγότερο από οποιονδήποτε άλλο τομέα στην κυβερνοασφάλεια, ενώ τα δεδομένα που διαχειρίζονται είναι από τα πιο πολύτιμα.
«Ιδανικός στόχος» για κυβερνοεγκληματίες
Για τους χάκερ, τα ιατρικά δεδομένα είναι χρυσάφι. Ο καθηγητής Χρήστος Ξενάκης από το Πανεπιστήμιο Πειραιά εξηγεί ότι «είναι εύκολο να τα κλέψεις και δύσκολο να εντοπιστείς». Η κυρίαρχη απειλή είναι τα ransomware, όπου οι επιτιθέμενοι κλειδώνουν τα συστήματα και απαιτούν λύτρα. Διπλό κέρδος: κλοπή και εκβιασμός.
Ωστόσο, μόνο το 27% των νοσοκομείων έχει σχέδιο προστασίας από ransomware και το 40% δεν εκπαιδεύει καν το προσωπικό εκτός IT, αναφέρει η ENISA.
Ο Ξενάκης επισημαίνει ότι τα νοσοκομεία αντιμετωπίζουν την κυβερνοασφάλεια ως «πολυτέλεια» και όχι ως ανάγκη. Περιγράφει προσωπική εμπειρία σε κλινική με ανοιχτούς και εκτεθειμένους υπολογιστές, λέγοντας πως θα μπορούσε εύκολα να επέμβει. Αντίθετα, το ίδιο νοσοκομείο θα φύλαγε φάρμακα με αυστηρότερους κανόνες.
Η Sabina Magalini, χειρουργός και πρώην υπεύθυνη του ευρωπαϊκού προγράμματος PANACEA, υποστηρίζει ότι οι νομοθεσίες παραβλέπουν την πραγματικότητα: τα νοσοκομεία δεν είναι σταθερές δομές, αλλά ζωντανοί οργανισμοί με έντονη κινητικότητα προσωπικού και αυξημένο φόρτο. «Δεν είναι πυρηνικός σταθμός, είναι σαν ένα λιμάνι», τονίζει.
Ζητά συχνές ασκήσεις κυβερνοάμυνας και απλοποιημένα συστήματα, γιατί το προσωπικό «δεν θέλει να ξοδεύει τον χρόνο του σε login και logout».
Η Magalini επισημαίνει και έναν άλλο κίνδυνο: πολλές συμβουλευτικές εταιρείες κυβερνοασφάλειας δεν είναι ευρωπαϊκές, κάτι που εγείρει ερωτήματα κυριαρχίας.
Η περίπτωση της Ιρλανδίας είναι ενδεικτική: το 2021, επίθεση στο δημόσιο σύστημα υγείας κόστισε πάνω από 100 εκατ. ευρώ, με επιπλέον 657 εκατ. να απαιτούνται για την αναβάθμιση.
«Δεν κόστισε τόσο η ζημιά, αλλά η απόφαση να ξαναχτιστεί το σύστημα από την αρχή», δήλωσε η Magalini.
Ο Ray Walley, Ιρλανδός γενικός γιατρός, βίωσε το χάος της επίθεσης. Δεν μπορούσε να παραπέμψει ασθενείς, ούτε να λάβει αποτελέσματα εξετάσεων. Για εκείνον, η κυβερνοασφάλεια είναι βασική υποδομή υγειονομικής περίθαλψης.
«Πρέπει να επενδύσουμε. Πρέπει να προλάβουμε. Πρέπει να ξοδέψουμε», είπε.
Η Ευρωπαϊκή Επιτροπή παρουσίασε φέτος σχέδιο δράσης για την ενίσχυση της κυβερνοασφάλειας στα νοσοκομεία, με υποστήριξη από το ENISA και την παροχή “κουπονιών” προς μικρούς παρόχους υγείας.
Ο Markus Kalliola, αναλυτής της Sitra, επαινεί την πρωτοβουλία, αλλά σημειώνει ότι λείπει ξεκάθαρη διακυβέρνηση, στόχοι και προϋπολογισμοί. Προτείνει την αναγνώριση της κυβερνοασφάλειας ως θέμα εθνικής ασφάλειας και την ενσωμάτωσή της στην εκπαίδευση του προσωπικού.
Με το γεωπολιτικό σκηνικό να μεταβάλλεται, η υγειονομική ασφάλεια δεν μπορεί να περιμένει.