AI poháněný phishing: rostoucí hrozba pro zdravotnictví

Útoky na zdravotnická zařízení

Zdravotnický sektor čelí prudkému nárůstu phishingových útoků, jejichž sofistikovanost zvyšuje využití generativní umělé inteligence. Podle dostupných dat došlo v roce 2024 k několikanásobnému nárůstu útoků zaměřených na přihlašovací údaje – až o více než 700 %.

Phishing (z anglického phishing, odvozeného od „fishing“ – rybaření) je forma kybernetického útoku, při níž se útočník vydává za důvěryhodný subjekt, například dodavatele, pojišťovnu nebo platební bránu. Cílem je vylákat přihlašovací údaje, nainstalovat malware nebo získat přístup do systémů.

Nemocnice a kliniky představují pro útočníky lákavý cíl, protože disponují rozsáhlými databázemi osobních i zdravotních údajů, které lze zneužít k finančním podvodům či krádežím identity. Rizikovým faktorem je i decentralizace provozu, spolupráce s externisty a vysoká míra komunikace mezi odděleními.

Do akce přichází AI

Generativní nástroje, jako ChatGPT či Gemini, umožňují útočníkům v řádu sekund vytvářet věrohodné e-maily a přihlašovací stránky, které napodobují interní komunikaci zaměstnanců či dodavatelů včetně jmen, log nebo stylu psaní. Co dříve vyžadovalo čas a technické know-how, je dnes dostupné téměř komukoliv.

Útočníci navíc díky AI snadno testují různé jazykové varianty zpráv a přizpůsobují je tak, aby prošly filtry a přesvědčily adresáta. Obětí se tak může stát i zkušený zdravotnický personál.

Kompromitované přihlašovací údaje se často stávají vstupní branou pro ransomware, výpadky systémů nebo narušení provozu. Finanční dopady jsou značné – v roce 2023 dosáhly průměrné náklady na kybernetický incident ve zdravotnictví téměř 11 milionů dolarů. Úniky dat, odstávky systémů či poškozená pověst mají následně přímý dopad na kvalitu péče i důvěru pacientů.

Jak se bránit

Obrana tak musí začít u správy identity. Každý pokus o přihlášení by měl být vnímán jako potenciální hrozba. Zásadní je vícefaktorové ověřování, přísně nastavená oprávnění podle rolí a kontinuální monitoring aktivit. To vše ztěžuje útočníkům neoprávněný pohyb v systému a zvyšuje šanci na jejich včasné odhalení.

Technologie však sama o sobě nestačí. Pokud není podpořena odpovědným přístupem zaměstnanců, její efektivita klesá. Do každodenní praxe ji pomáhají zakotvit právě pravidelná školení, jasná pravidla a aktivní podpora ze strany vedení.

Co ukazují skutečné události

Jak závažné mohou být dopady phishingu, ukazují skutečné události. V roce 2015 uniklo po jediném e-mailu společnosti Anthem téměř 79 milionů záznamů o pacientech. O tři roky později způsobil škodlivý odkaz ransomware útok na nemocnici Hancock, výkupné činilo 55 000 dolarů. V roce 2021 napadli hackeři irskou zdravotnickou službu. Tento výpadek trval týdny a vedl ke zrušení vyšetření i zpožděním v akutní péči.

Zavádění efektivních strategií kybernetické bezpečnosti ve zdravotnictví už není volitelným prvkem, ale je nezbytné pro ochranu pacientů, zajištění provozu a důvěryhodnosti celé instituce. Phishing s podporou AI je hrozba, na kterou jedno opatření nestačí. 

(mb)

Zdroje:

1. Priestman W., Anstis T., Sebire I. G. et al. Phishing in healthcare organisations: threats, mitigation and approaches. BMJ Health & Care Informatics 2019; 26(1): e100031, doi: 10.1136/bmjhci‑2019‑100031.

2. Abdi A., Bennouri H., Keane A. Emerging Cyber Risks & Threats in Healthcare Systems: A Case Study in Resilient Cybersecurity Solutions. Proceedings of MECO 2024, doi: 10.1109/MECO62516.2024.10577790.  

3. Nifakos S., Chandramouli K., Nikolaou C. K. et al. Influence of Human Factors on Cyber Security within Healthcare Organisations: A Systematic Review. Sensors (Basel) 2021; 21(15): 5119, doi: 10.3390/s21155119.

4. Biden administration proposes new cybersecurity rules to limit impact on healthcare. Reuters Technology, 27. 12. 2024. Dostupné na: www.reuters.com/technology/cybersecurity/biden-administration-proposes-new-cybersecurity-rules-limit-impact-healthcare-2024-12-27

5. Average Cost of a Data Breach Rises to .88M; Falls to .77M in Healthcare. HIPAA Journal 2024. HIPAA Journal. Dostupné na: www.hipaajournal.com/cost-healthcare-data-breach-2024

6. Yeo L. H., Banfield J. Human Factors in Electronic Health Records Cybersecurity Breach: An Exploratory Analysis. Perspectives in Health Information Management 2022; 19(Spring): 1i. Dostupné na: https://pmc.ncbi.nlm.nih.gov/articles/PMC9123525