Η ετοιμότητα των νοσοκομείων σε κυβερνοεπιθέσεις και απειλές χάκερ

Το 2024, στο Ηνωμένο Βασίλειο, μια σοβαρή κυβερνοεπίθεση έπληξε πάροχο εργαστηριακών υπηρεσιών που συνεργάζεται με το Εθνικό Σύστημα Υγείας (NHS). Η επίθεση οδήγησε στη διακοπή λειτουργίας εργαστηρίων αίματος σε μεγάλα νοσοκομεία του Λονδίνου, συμπεριλαμβανομένου του «King's College Hospital». Το περιστατικό είχε τραγικές συνέπειες, καθώς καταγράφηκε ο θάνατος ασθενή λόγω καθυστέρησης στην παροχή κρίσιμων αποτελεσμάτων εξετάσεων – πρόκειται για μία από τις πρώτες επίσημες περιπτώσεις όπου κυβερνοεπίθεση είχε άμεση επίπτωση στην υγεία.

Η ίδια επίθεση οδήγησε στην ακύρωση ή αναβολή άνω των 10.000 ραντεβού και εξετάσεων, ενώ εκλάπησαν περίπου 400 GB ευαίσθητων δεδομένων ασθενών. Οι ομάδες ransomware στοχεύουν συχνά τα νοσοκομεία, θεωρώντας τα ως οργανισμούς με υψηλή προθυμία πληρωμής λύτρων. Τα ιατρικά δεδομένα έχουν μεγάλη αξία στη μαύρη αγορά, καθώς επιτρέπουν ασφαλιστική απάτη, κλοπή ταυτότητας ή ακόμη και στοχευμένο εκβιασμό ασθενών.

Όπως επισημαίνει ο δρ Κωνσταντίνος Βότης, κύριος ερευνητής στο Ινστιτούτο Τεχνολογιών Πληροφορικής και Επικοινωνιών (ΙΠΤΗΛ) του ΕΚΕΤΑ και επιστημονικός υπεύθυνος του έργου «CyberCare» στο νοσοκομείο «Παπαγεωργίου», επίσημα και πλήρη στατιστικά στοιχεία για κυβερνοεπιθέσεις σε ελληνικά νοσοκομεία το 2024-2025 δεν είναι διαθέσιμα. Ενδεικτικά, είχε γίνει γνωστό ότι το ΑΧΕΠΑ στη Θεσσαλονίκη δέχθηκε κυβερνοεπίθεση τον Νοέμβριο του 2024, με αποτέλεσμα την προσωρινή αδυναμία πρόσβασης στο ηλεκτρονικό αρχείο.

Σύμφωνα με τον δρ Βότη, οι ελληνικοί οργανισμοί δέχονται κατά μέσο όρο 1.600–1.700 κυβερνοεπιθέσεις εβδομαδιαίως, αριθμός από τους υψηλότερους στην Ευρώπη, με αυξητική τάση. Ωστόσο, η έλλειψη συστηματικής καταγραφής και αναφοράς, καθώς και η γενίκευση των συγκεντρωμένων στοιχείων, δεν επιτρέπουν την εξαγωγή σαφούς εικόνας σχετικά με τον αριθμό, το είδος και την έκβαση των επιθέσεων. Τα διαθέσιμα στοιχεία από άλλες χώρες δείχνουν ότι τα νοσοκομεία και οι οργανισμοί υγείας βρίσκονται στην πρώτη γραμμή ενός διαρκώς επιδεινούμενου τοπίου κυβερνοαπειλών.

Ραγδαία αύξηση των κυβερνοεπιθέσεων και βασικοί τύποι απειλών

Οι κύριοι τύποι επιθέσεων που στοχεύουν τα νοσοκομεία περιλαμβάνουν ransomware, διαρροές δεδομένων, phishing, καθώς και εκμετάλλευση ευπαθειών από τρίτους προμηθευτές. Το ransomware παραμένει η πιο διαδεδομένη και καταστροφική απειλή για τις υγειονομικές δομές. Μόνο το 2025, καταγράφηκαν 293 τέτοιες επιθέσεις παγκοσμίως σε νοσοκομεία και κλινικές, με εκατομμύρια ιατρικά αρχεία να εκτίθενται ή να κρυπτογραφούνται. Οι κυβερνοεγκληματίες εφαρμόζουν συχνά τη μέθοδο της "διπλής εκβίασης", κρυπτογραφώντας δεδομένα και απαιτώντας λύτρα, ενώ ταυτόχρονα κλέβουν ευαίσθητες πληροφορίες.

Οι μη εξουσιοδοτημένες προσβάσεις σε ιατρικά και προσωπικά δεδομένα είναι επίσης συχνές, με χαρακτηριστικό παράδειγμα το τεράστιο hack στην τεχνολογική μονάδα της UnitedHealth, που επηρέασε σχεδόν 193 εκατομμύρια άτομα. Εξίσου σημαντική απειλή αποτελούν οι επιθέσεις κοινωνικής μηχανικής, καθώς στοχεύουν στον ανθρώπινο παράγοντα, ο οποίος παραμένει συχνά ο «αδύναμος κρίκος» στην αλυσίδα ασφαλείας. Επιπλέον, η ελλιπής παρακολούθηση ή ο ανεπαρκής έλεγχος των ιατρικών συσκευών μπορεί να ανοίξει τον δρόμο για επιθέσεις που συχνά περνούν απαρατήρητες αρχικά.

Η ετοιμότητα των ελληνικών νοσοκομείων στην κυβερνοασφάλεια

Τα ελληνικά νοσοκομεία βρίσκονται σε μεταβατικό στάδιο όσον αφορά την κυβερνοασφάλεια. Παρά τις βελτιώσεις και την αυξημένη ευαισθητοποίηση, το επίπεδο ετοιμότητας παραμένει συχνά ανεπαρκές. Γίνονται προσπάθειες για τη συγκρότηση πολιτικών ασφαλείας, την προστασία δικτύων και τη λήψη αντιγράφων ασφαλείας. Ωστόσο, πολλά στελέχη πληροφορικής καλούνται να διαχειριστούν παρωχημένα πληροφοριακά συστήματα, ενώ η υποχρηματοδότηση αποτελεί σημαντικό εμπόδιο για επενδύσεις στην ασφάλεια.

Ένα ακόμη πρόβλημα είναι ότι τα περισσότερα νοσοκομεία εστιάζουν στην πρόληψη και όχι στην αντιμετώπιση περιστατικών. Δεν διαθέτουν ολοκληρωμένα πλάνα διαχείρισης συμβάντων, ούτε πραγματοποιούν ασκήσεις κυβερνοπεριστατικών ή δοκιμές σχεδίων επιχειρησιακής συνέχειας. Η εκπαίδευση του προσωπικού είναι περιορισμένη, ενώ συχνά επικρατεί η λανθασμένη αντίληψη ότι η κυβερνοασφάλεια αφορά μόνο το τμήμα IT και όχι όλο τον οργανισμό.

Οικονομικά και στρατηγικά τα κίνητρα των χάκερ

Τα βασικά κίνητρα για τις επιθέσεις σε νοσοκομεία είναι κυρίως οικονομικά, αν και συχνά συνδυάζονται με στρατηγικούς, πολιτικούς ή επιδεικτικούς λόγους. Τα ιατρικά δεδομένα θεωρούνται πολύτιμα, καθώς περιλαμβάνουν προσωπικά στοιχεία, ιστορικό ασθενειών, φαρμακευτικές αγωγές και ασφαλιστικές πληροφορίες. Στη μαύρη αγορά, η αξία τους ξεπερνά κατά πολύ τα στοιχεία πιστωτικών καρτών.

Η φήμη και ο «θόρυβος» που προκαλεί μια επίθεση σε μεγάλο νοσοκομείο λειτουργούν ως μέσο για την ενίσχυση του κύρους των χάκερ. Το έργο «CyberCare», που υλοποιήθηκε στο νοσοκομείο «Παπαγεωργίου» μεταξύ Οκτωβρίου 2021 και Νοεμβρίου 2023, είχε στόχο την ενίσχυση της ανθεκτικότητας των συσκευών και δικτύων υγειονομικής περίθαλψης, με έμφαση στις διασυνδεδεμένες ιατρικές συσκευές και τα νοσοκομειακά δίκτυα.

Η εφαρμογή του προγράμματος συνέβαλε στην ενίσχυση της ασφάλειας των συστημάτων υγείας, την εισαγωγή νέων τεχνολογιών και πρωτοκόλλων ασφαλείας και την υποστήριξη των παραγωγών ιατρικών συσκευών για την ενσωμάτωση της ασφάλειας από το στάδιο του σχεδιασμού. Μία από τις εφαρμογές αφορούσε πιλοτικό πρόγραμμα τηλεϊατρικής φροντίδας εγκύων σε απομακρυσμένες περιοχές, όπου η προστασία των ευαίσθητων πληροφοριών ήταν κρίσιμη.

Νομοθεσία, ψηφιακός μετασχηματισμός και νέες απαιτήσεις

Όπως τονίζει ο δρ Παντελής Αγγελίδης, καθηγητής στο Πανεπιστήμιο Δυτικής Μακεδονίας και ιδρυτής της VIDAVO, η έκρηξη του ψηφιακού μετασχηματισμού και η αύξηση του όγκου και της ποιότητας των δεδομένων δημιουργούν νέες προκλήσεις για την κυβερνοασφάλεια. Η εταιρεία ολοκλήρωσε πρόσφατα έργο με αντικείμενο τη διάγνωση της ετοιμότητας έναντι απειλών κυβερνοασφάλειας σε δημόσιο νοσοκομείο, με στόχο τη δημιουργία οδηγού εφαρμογής για το σύνολο των δημόσιων νοσοκομείων.

Η κοινοτική οδηγία NIS2 έχει ενισχύσει την εγρήγορση για θέματα ασφάλειας στην Ελλάδα, ειδικά στον χώρο της υγείας. Τα προγράμματα του Ταμείου Ανάκαμψης για τον ψηφιακό μετασχηματισμό στην υγεία, καθώς και ο ευρωπαϊκός κανονισμός EHDS (European Health Data Space), απαιτούν εναρμόνιση της εθνικής νομοθεσίας και ενισχύουν τις υποχρεώσεις των οργανισμών στον τομέα της κυβερνοασφάλειας. Μέχρι το 2027, ο κανονισμός EHDS θα πρέπει να εφαρμόζεται σε όλη την ΕΕ, με προβλεπόμενες κυρώσεις για οργανισμούς που δεν συμμορφώνονται.

*Ransomware: Είδος κακόβουλου λογισμικού που "κλειδώνει" ή κρυπτογραφεί δεδομένα και απαιτεί λύτρα για την αποδέσμευσή τους.

**Η κοινωνική μηχανική είναι η πρακτική κατά την οποία ένας χάκερ χειραγωγεί ανθρώπους, εκμεταλλευόμενος την εμπιστοσύνη, τον φόβο, την περιέργεια ή την ανάγκη για βοήθεια, με σκοπό να αποσπάσει ευαίσθητες πληροφορίες ή να αποκτήσει μη εξουσιοδοτημένη πρόσβαση.

***Στο phishing ο επιτιθέμενος μιμείται μια αξιόπιστη οντότητα, ζητώντας από το θύμα να αποκαλύψει ευαίσθητες πληροφορίες, όπως username, password ή pin.