Pärnu haigla IT-turvalisus osutus auklikuks

Pärnu haigla.

FOTO: Mailiis Ollino / Pärnu Postimees

Ekspert pani möödunud aasta augustis proovile Pärnu haigla IT-turvalisuse ja leidis häiriva tõsiasja: raviasutuse hindamatule informatsioonile võib osav häkker hõlpsalt ligi pääseda ja kaose tekitada.

Bitcoin’ide kaevandamise juhtum seadis kahtluse alla raviasutuse andmete turvalisuse, kuna töötajad võisid aastaid segamatult eksperimenteerida haigla võrgus võõraste ja kaitsmata seadmetega.

Meedias on vähe räägitud sellest, et juhtkond tellis pärast juhtunut eksperdilt põhjaliku turvaauditi. IT-spetsialist andis Pärnu haigla infoturbele pehmelt öeldes hävitava hinnangu.

Kuna tegemist oleks pahatahtlikule küberkurjategijale väärtusliku materjaliga, ei saa siinkohal detailidesse laskuda. Lühidalt öeldes on audit dokument, mis jaguneb mitmekümnesse peatükki, millest igaüks räägib haigla IT-süsteemi suurest turvariskist.

"Analüüsi käigus tuvastati 46 kõrge, 69 keskmise ning 27 madala riskitasemega turbeprobleemi," seisab analüüsis.

Kuni kõik need seadmed on ühendatud ülemaailmsesse võrku, ei saa lõplikult väita, et süsteemidele on võimatu ligi pääseda. Enn Raadik

Näiteks märkis audit seda, mida bitcoin’ide skandaal tõestas: haiglal puudub ülevaade võrku ühendatud seadmetest ja seeläbi on võimalik kogu süsteemi hõlpsasti seestpoolt rünnata. Auditi koostamise ajal puudus serveritel viirustõrjeprogramm ja eksperdi proovirünnakuid ei suutnud haigla tuvastada.

Auditi koostaja polnud nõus oma nime avaldama või haigla teemat kommenteerima, kuna on sõlminud konfidentsiaalsuslepingu.

Koostaja märkis, et IT-turvalisus on alahinnatud pea igas asutuses. Eksperdi sõnutsi on haigla teenus elutähtis, mis ütleb mõndagi rünnaku võimalike tagajärgede kohta. “IT ja inimtervis on tihedalt seotud ja raviasutused on küberkriminaalidele köitvad sihtmärgid, kuna sealt võib head tulusust oodata,” ütles ta.

Näiteks USAs kasvab igal aastal küberrünnakute arv haiglatele: raviasutuse andmed võetakse pantvangi ehk need krüpteeritakse ja nende vabastamiseks tuleb häkkerile tasuda lunaraha bitcoin’ides, mis muudab raha jälitamise pea võimatuks.

Möödunud kevadel rünnati USA suurhaiglaid jadamisi ja kurjategijate saagiks langes miljoneid eurosid lunaraha.

Märtsis andis nõukogu koostatud töörühm bitcoin’ide kaevandamisele hinnangu ja aruandesse märgiti, et haiglal puudub IT-riskianalüüs. Siinkirjutaja küsis nõukogu esimehelt Enn Raadikult, miks aruanne ei puuduta ülalmainitud auditit.

Raadik vastas, et nõukogu siiski teab auditi olemasolust. “Töörühma ettepanek oli vastavat IT-tööplaani täpsustada, see on nüüd tehtud,” väitis Raadik.

“Analüüside ülesanne ongi otsida üles süsteemi nõrkused, et neid parandada,” ütles ta. “Kuni kõik need seadmed on ühendatud ülemaailmsesse võrku, ei saa lõplikult väita, et süsteemidele on võimatu ligi pääseda.”

Raadiku väitel ongi haigla aastataguse olukorraga võrreldes süsteemi tugevdanud.

Haigla pressiesindaja Eda Amur kinnitas nõukogu esimehe öeldut. Peale selle kordas Amur sõna-sõnalt Eesti Päevalehele antud kommentaari, et haigla süsteemid koosnevad tuhandetest keeruliste tehniliste seadistustega seadmetest, millel on rünnakute suhtes kindlasti kõrge risk.

Haigla pressiesindaja teatas, et raviasutus tegi auditist oma järeldused ja on asunud süsteemi turvalisemaks muutma. Amuri sõnutsi kulutatakse igal aastal turvalisusele märkimisväärne osa raviasutuse infotehnoloogia eelarvest ja see kulutus aina kasvab.

Nõukogu esimees ja Pärnu haigla pressiesindaja rõhutasid, et seni pole rünnaku tagajärjel väärtuslik info kolmandate isikute kätte jõudnud.

Tagasi üles