Medisinske fasiliteter kan bli mer lønnsomme mål for nettkriminelle som stjeler private data eller krever løsepenger for å rydde opp i kompromitterte datasystemer.
Det er to enkle grunner, ifølge eksperter.
Den ene er journaler på sykehus og andre helseinstitusjoner som inneholder verdifull informasjon som navn, fødselsdato og personnummer.
Den andre er at medisinske institusjoner ikke alltid har de samme beskyttende sikkerhetssystemene som andre selskaper kan bruke.
Disse bekymringene eskalerte da et sykehus i Los Angeles torsdag kunngjorde at det hadde betalt 17 000 dollar i løsepenger til cyberangripere som i hovedsak hadde låst ned datasystemet deres.
I en publisert uttalelse På anleggets nettside sa tjenestemenn fra Hollywood Presbyterian Medical Center at angrepet skjedde 5. februar. De sa at datasystemet var oppe igjen mandag etter at løsepengene ble betalt.
Tjenestemenn fra Federal Bureau of Investigation (FBI), som fører tilsyn med etterforskningen, sa til Healthline at de ikke vil kommentere saken på nåværende tidspunkt.
Fordi medisinske fasiliteter er objektive
Kriminelle har en tendens til å sikte mot ofre basert på verdien av eiendommen deres og enkle angrep.
Medisinske fasiliteter stemmer på begge nivåer.
Kevin Haley, direktør for produktledelse for sikkerhetsrespons på Symantec Corporation, sa han til Healthline at data ved helseinstitusjoner er en elektronisk gullgruve.
Pasientdata inneholder ikke bare den samme informasjonen som kredittkort, men inneholder også fødselsdatoer, personnummer, forsikringsdokumenter og andre verdisaker.
For datatyver er kredittkort en begrenset ressurs. De kan bare brukes inntil en finansinstitusjon blokkerer tilgang.
På den annen side kan informasjon på journaler brukes til å opprette falske identiteter, falske kontoer og andre langsiktige kriminelle aktiviteter.
Trusselen var alvorlig nok til å bli utstedt av FBI en rådgivende i 2014 til helsearbeidere.
Det var visstnok også motivasjonen bak hackingangrep på Anthem Inc. data siste februar og på Excellus Blue Cross BlueShield i september.
«Du kan ikke enkelt endre navn eller personnummer slik at informasjonen er verdifull,» sa Haley.
Les mer: Tørste mobiltelefoner utgjør hacking, personvernrisiko i medisinske fasiliteter «
Løsepenger øker
Dette gjelder også nettkriminelle som søker løsepenger.
Haley sa at denne typen cyberangrep blir mer vanlig fordi det er «enkelt og lønnsomt».
Datainnbrudd er sofistikerte angrep som krever oppfølgingsprosedyrer for å generere inntekter.
Løsepengeangrep, la Haley til, krever bare at nettkriminelle sender ut spam-e-poster eller infiserer en annonse på et populært nettsted.
Alt du trenger er at en liten prosentandel av ofrene betaler for at operasjonen skal være lønnsom.
«Du kommer til å tjene ganske gode penger, så nettkriminelle trekker mot det,» sa Haley.
Når en bruker klikker på en innebygd lenke, infiserer skadelig programvare filer som krypterer datadata før de blokkerer tilgang.
En melding vises på den låste skjermen som ber om betaling. Noen ganger blir offeret lovet en «nøkkel» som vil låse opp skaden.
I noen tilfeller får ofre en betalingsfrist før skadelig programvare ødelegger alle datadataene deres. En nedtelling er en del av noen av «innløsningsskjermene».
Haley sa at løsepengene på individuelle datamaskiner var rundt $300, men den har nå steget til et gjennomsnitt på $500 til $700.
Når det gjelder medisinske fasiliteter, tror hackere at de kan kreve mer på grunn av verdien av dataene.
«Hvis angriperne tror de kan få mer penger, så gjør de det,» sa han.
I Hollywood Presbyterian følte tjenestemenn at det var billigere og mer praktisk å betale de 40 bitcoinene (tilsvarer $17 000) som angriperne krevde.
«Den raskeste og mest effektive måten å gjenopprette våre systemer og administrative funksjoner var å betale løsepenger og få dekrypteringsnøkkelen. I den beste interessen for å gjenopprette normal drift, gjorde vi det», forklarte uttalelsen tilskrevet Allen Stefanek, president og administrerende direktør ved sykehuset.
Haley sa at Symantec, et ledende cybersikkerhetsselskap, råder ofre til ikke å betale løsepenger, selv om det er dyrere og mer tidkrevende å fikse problemet.
«Du gir rett og slett penger til kriminelle som vil tjene penger og deretter angripe andre mennesker,» sa han.
Mer informasjon: Forbrukere liker bærbar teknologi, men bekymrer seg for datasikkerhet «
Fordi medisinske fasiliteter er sårbare
Å bryte seg inn i datasystemene til selskaper som Visa, MasterCard eller Apple er ingen enkel oppgave, selv for en sofistikert nettkriminell.
Til sammenligning er det mye enklere å invadere et medisinsk senters datasystem.
For det første er datasikkerhet viktig for medisinske fasiliteter, men cybersikkerhet er ikke nødvendigvis deres sterkeste.
«De kan ha mye utstyr som kjører gamle versjoner av programvare,» sa Haley. «Sikkerhetsprosedyrene deres vil definitivt avgjøre deres sårbarhet.»
I tillegg har sykehus og andre medisinske institusjoner en tendens til å ansette store arbeidsstyrker. Alt som skal til er at en ansatt gjør en feil.
I tilfellet med Hollywood Presbyterian, sa Haley, skjedde cyberangrepet sannsynligvis etter at en eller flere ansatte klikket på en lenke i en spam-e-post eller en annonse på et lovlig nettsted.
Angriperens skadevare tok seg deretter inn i sykehusets datanettverk.
I sin uttalelse sa Hollywood Presbyterian-tjenestemenn at angrepet «ikke påvirket leveringen og kvaliteten» på omsorgen gitt til pasienter i deres 434-sengers anlegg.
De la til at «det er ingen bevis på dette tidspunktet for at pasient- eller ansattinformasjon» har blitt tilgang til feil.
Sekund Media, sykehusansatte brukte faksmaskiner og fasttelefoner til å utføre operasjoner mens datamaskinene deres var låst. Medisinsk journal ble notert med penn og papir.
Selv om situasjonen til Hollywood Presbyterians er avklart, er spørsmålet om cybersikkerhet viktig i bransjen.
I en uttalelse sendt til Healthline sa American Hospital Association (AHA) at cybersikkerhet er en toppprioritet.
«Sykehus og helsevesen tar sin forpliktelse til å beskytte pasientdata på alvor. Vi oppfordrer dem til å være på vakt mot nye cyberrisikoer, sier Chantal Worzala, AHAs visepresident for helseinformasjon og policyoperasjoner.
Haley sa at det er to enkle måter for medisinske fasiliteter, så vel som andre selskaper og enkeltpersoner, å beskytte dataene sine.
Den ene er å oppdatere sikkerheten til programvaren på systemene deres. Den andre er å sikkerhetskopiere datafilene til en ekstern harddisk som ikke er direkte koblet til hovedstasjonen.
«Det er synd at dette skjedde, men det er en stor vekker,» sa Haley. «Det viser at konsekvensene av å ikke ha tilstrekkelig sikkerhet kan være ødeleggende».