CareCloud: Osam sati pristupa pacijentovim podacima
📷 © Tech&Space
- ★Hakeri 8 sati imali pristup medicinskim zapisima
- ★45.000 zdravstvenih ustanova pogođeno prekršajem
- ★SEC obaviješten tek 8 dana nakon incidenta
Kod pacijentovih podataka i osam sati su predug prozor. U medicini se vrijednost vidi tek kad se potvrdi da rezultat vrijedi i izvan laboratorija.
Incident je poseban zbog razmjera: CareCloud opslužuje preko 45.000 zdravstvenih ustanova širom SAD-a, što znači da su podaci milijuna pacijenata potencijalno izloženi. Tvrtka je istaknula da su podaci pohranjeni u šest odvojenih okruženja, ali nije precizirala koliko je zapisa konkretno pogođeno ni kakva je točno priroda pristupljenih informacija. To ostavlja ključna pitanja o opsegu štete i mogućim posljedicama za pacijente.
Važno je naglasiti da ovo nije prvi slučaj ciljanog napada na dobavljače EHR-usluga. Prema izvješćima FBI-ja o zdravstvenoj cybernetičkoj prijetnji iz 2023., sektor zdravstva s međusobno povezanih baza podataka čini posebno atraktivnom metom za financijski motivirane kriminalce. Razlog je jednostavan: medicinski podaci na crnom tržištu vrijede 10 do 20 puta više od kreditnih kartica, jer omogućuju dugotrajnu zloupotrebu – od identitetskih krađa do iznuđivanja.
Izloženost podataka milijuna pacijenata – koliko je ovo sustavni rizik za zdravstveni sustav?📷 © Tech&Space
Osam sati pristupa nisu sitnica
CareCloud je incident prijavio SEC-u tek 24. ožujka – osam dana nakon otkrića – što postavlja pitanje o brzini reakcije i transparentnosti tvrtke. Ona je navela da je angažirala neimenovanu cybernetičku sigurnosnu firmu za istragu, ali do sada nije objavljeno tko stoji iza napada ni koja je točna metoda kompromitacije. Prema dostupnim informacijama, čini se da nije riječ o ransomwareu, već o neovlaštenom pristupu bez trenutnih zahtjeva za plaćanjem.
Za pacijente ovo znači da, iako još uvijek nema dokaza o konkretnoj zloupotrebi podataka, rizik od identitetskih krađa ili ciljanih phishing napada raste. Ključno pitanje ostaje: koliko je zdravstvenih ustanova koje koriste CareCloudove usluge već obavijestilo svoje pacijente? Prema HIPAA propisima, tvrtke imaju 60 dana od otkrića incidenta da pošalju obavijesti – rok koji u ovom slučaju još nije istekao.
Ono što ovaj slučaj posebno ističe jest sustavni problem zaštite podataka u zdravstvu. Dobavljači kao što je CareCloud predstavljaju kritičnu točku propusta: njihovi sustavi povezuju tisuće ustanova, pa jedini propust može ugroziti cijeli lanac. Bez obzira na ishode ove istrage, pitanje ostaje – koje će mjere biti uvedene da se spriječi ponavljanje, kada su u igri podaci milijuna ljudi?