Leedu hoiatav näide: küberpätid pressisid ilulõikustel käinud patsientidelt raha välja
Viimase kahe aasta jooksul on Riigi Infosüsteemi Ametile (RIA) teatatud ühtekokku 61st küberturvalisuse juhtumist, mis olid seotud tervishoiuteenuste osutajatega. 26 korral saadeti tervishoiutöötjatele pahavara ja õngitsuslehti sisaldavaid kirju, 35 korral oli tegemist tõsisemate küberjuhtumitega. Nende täpne sisu pole teada, ent haiglate ja perearstikeskuste tööjaamu on nakatatud lunavaraga, mis omakorda krüpteeris arvutites olevad failid. See tähendab, et inimeste terviseandmed võivad olla sattunud küberpättide kätte.
Lääne-Tallinna keskhaigla peamine infosüsteem muutus plaanilise uuenduse käigus kasutuks. Rike puudutas ka Pelgulinna sünnitusmaja, patsiente tuli teenindada mitte arvutisüsteemiga, vaid paberi ja pliiatsi abil. Mis täpselt juhtus, RIA ei avalda.
Pärnu haigla IT-saavutustest on enim tuntud see, kuidas kaks töötajat krüptoraha kaevandasid. Tänavu aprillis avaldas Eesti Päevaleht killukesi haigla turvaauditist, mis ütles, et Pärnu haigla küberrünnakule vastu ei peaks. Veelgi enam, tõenäoliselt ei saaks haiglas keegi isegi aru, et neid on rünnatud.
Meditsiinitöötajad on sisestanud oma kasutajainfot õngitsuslehtedele, mille järel on nende meilikontodelt laiali saadetud kõikvõimalikku spämmi. Näiteks ühe tervishoiuasutuse juhatuse liikme nimel saadeti sama asutuse raamatupidajale korraldusi pangaülekannete teostamiseks.
Hiljuti teatas RIA, et tumeveebis on lahti krüpteeritud enam kui 190 000 .ee-lõpuga e-postkasti paroolid. Nende hulgas ka tervishoiutöötajate ametipostkastide omi, mis praegu on põhimõtteliselt kõigile soovijaile kättesaadavad.
Aegunud sisuhaldustarkvara kasutamise tõttu on raviasutuste kodulehtedele paigaldatud ebaseaduslikele ravimilehtedele suunavaid viiteid, samuti lisatud sinna omatahtsi pilte ja tekste. Ühe haigla koduleht aga jagas külastajatele lausa pahavara.
Ründed ei toimu nii, et kuskil arvuti taga istub häkker, kes üritab võõrastele veebilehtedele sisse murda. Protsess on täielikult automatiseeritud: spetsiaalne tarkvara otsib kaitsmata veebilehtede „avatud uksi“ ja nende leidmisel asub automaatselt kurja tegema, olgu selleks pahavaraga nakatamine, failide krüpteerimine või midagi muud.
Kui suuremad haiglad kuuluvad tänu hädaolukorra seadusele RIA järelevalve alla, siis perearstikeskused ja teised raviasutused peavad ise hakkama saama. Seega pole sisuliselt teada, milline on olukord perearstide küberturvalisusega. Aga põhjust muretsemiseks on.
Rinnad ja krediitkaardi andmed
Millistest Eesti raviasutustest patsientide terviseandmeid on lekkinud, pole teada. Juhtumitest avalikult ei räägita, saladust on hästi hoitud. Aga tõika, et Eesti raviasutuste küberturvalisus jääb keskmisele tasemele alla, on RIA pidevalt rõhutanud. Kuna kaalul on inimeste elu ja tervis, peaks tervishoiuasutustele kehtima küberturbe kohustus, samuti peaks keegi teostama järelevalvet. Praegu on seis aga selline, et RIA ei saa perearstikeskustele või haiglatele küberturvalisuse alast abi anda, kui need ise seda ei küsi.
Euroliit nõuab, Eestil pole raha
Mullu suvel võtsid Euroopa Parlament ja Euroopa Nõukogu vastu direktiivi, mille eesmärk on tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu euroliidus.
Eesti Ekspress palus minister Ossinovskilt võimalust kokkusaamiseks, et eelnõu kooskõlastamata jätmise üle lähemalt pärida. Kahepäevase ootamise järel saabus vastus: ministri ajagraafik on nii tihe, et aega selleks ei leita.
Tahtsime vastuseid järgmistele küsimustele:
* Iga valdkonna minister vastutab oma valitsemisala eest, kas minister Ossinovski vastutab, kui küberründe tõttu sureb raviasutuses inimene?
* Millal on tervisevaldkonnas plaanis küberturvalisuse reeglid välja töötada?
* Kas minister Ossinovski nõustuks andma loa mõne raviasutuse IT-süsteemide turvalisuse kontrollimiseks näiteks läbistustestiga?
Ministri asemel vastas lõpuks e-teenuste arengu ja innovatsiooni asekantsler Ain Aaviksoo. Saime teada, et sotsiaalministeerium ei vastuta selle eest, kui Eesti raviasutustest satuvad patsientide andmed küberpättide kätte. Haiglas, perearsti juures ja apteegis vastutab terviseandmete kaitsmise eest teenuseosutaja ise. Asi pole ainult haiguslugudes või ravimiretseptides. Paljud operatsioonidel kasutatavad seadmed on samuti võrku ühendatud ja teoreetiliselt seega samuti rünnatavad.
Olukord pole siiski lootusetu, Aaviksoo sõnul on perearstidega arutatud ühtse tarkvara loomist, et iga perearstikeskus ei sõltuks üksnes enda IT-võimekusest. Kuna tegemist on nii patsientidele kui ka arstidele igapäevatöö kriitilise komponendiga, on vaja, et sellisele tarkvarale tekiks kõigi perearstide vajadusi esindav selge omanikutundega tellijaorganisatsioon, kus tuntakse ka arstide igapäevatöö detaile. „Ootame väga sellise organisatsiooni pöördumist, et leppida kokku täpses lahenduses,“ lubas Aaviksoo.
Ta tunnistas, et tervishoius on vaja kiiremas korras küberturvalisuse meetmete väljatöötamist ja nende rakendamist. Koostöös RIA, MKMi, Haigekassa ja teistega on ministeerium arutanud, kuidas töötada välja kõiki direktiivist tulenevaid nõudeid arvestav, ent samas lihtne süsteem.