Τα νοσοκομεία της Ευρώπης βρίσκονται ολοένα και περισσότερο στο στόχαστρο κυβερνοεγκληματιών, με τις επιθέσεις να αυξάνονται ραγδαία και τις συνέπειες να θέτουν σε άμεσο κίνδυνο τη ζωή των ασθενών, την ασφάλεια των προσωπικών τους δεδομένων και τη λειτουργία των υποδομών υγείας.
Σύμφωνα με το Politico, το 2023, σημειώθηκαν 309 περιστατικά κυβερνοεπιθέσεων σε νοσοκομεία εντός της ΕΕ, αριθμός μεγαλύτερος από οποιονδήποτε άλλο κρίσιμο τομέα. Με το κόστος μιας μεγάλης επίθεσης να αγγίζει τα 300.000 ευρώ και τα δεδομένα υγείας να πωλούνται ακριβά στη σκοτεινή πλευρά του διαδικτύου, οι χάκερ βλέπουν στον τομέα της υγείας μια επικερδή ευκαιρία.
Ένα χαρακτηριστικό παράδειγμα αποτελεί η περίπτωση του Πανεπιστημιακού Νοσοκομείου της Φρανκφούρτης, το οποίο αναγκάστηκε να αποσυνδεθεί εντελώς από το διαδίκτυο όταν κατέρρευσε το σύστημα IT λόγω επίθεσης ransomware. Γιατροί και προσωπικό κατέφυγαν σε σημειώσεις με στυλό και χαρτί, ενώ οι χειρουργικές επεμβάσεις αναβλήθηκαν. Πάνω από ενάμιση χρόνο μετά, το σύστημα δεν έχει επανέλθει πλήρως.
Η ειρωνεία; Αν και η υγεία αποτελεί πλέον τον πρωταρχικό στόχο των επιθέσεων, τα νοσοκομεία επενδύουν τα λιγότερα σε θέματα κυβερνοασφάλειας. Μόλις το 27% των οργανισμών υγείας διαθέτουν στρατηγική προστασίας από ransomware, ενώ το 40% δεν εκπαιδεύουν το προσωπικό τους σε θέματα ασφαλείας, σύμφωνα με την ENISA.
«Για τους κυβερνοεγκληματίες, η υγεία είναι τέλειος στόχος», εξηγεί ο καθηγητής Χρήστος Ξενάκης από το Πανεπιστήμιο Πειραιώς. «Τα δεδομένα είναι εύκολα προσβάσιμα και εξαιρετικά πολύτιμα». Εκτός από οικονομικό κίνητρο, κάποιες επιθέσεις έχουν πολιτική διάσταση — όπως αυτές από φιλορωσικές ομάδες που στοχεύουν απλώς στη διατάραξη λειτουργιών.
Ο Παγκόσμιος Οργανισμός Υγείας έχει προειδοποιήσει πως οι επιθέσεις στον τομέα της υγείας είναι κυριολεκτικά «ζήτημα ζωής και θανάτου». Σε περιστατικό στο Ηνωμένο Βασίλειο, ο θάνατος ασθενούς συνδέθηκε με καθυστέρηση σε αιματολογική εξέταση λόγω επίθεσης που επηρέασε τις υπηρεσίες παθολογίας.
Η έλλειψη κουλτούρας κυβερνοασφάλειας επιβαρύνει την κατάσταση. Πολλοί επαγγελματίες υγείας δεν κατανοούν τους κινδύνους και θεωρούν την ασφάλεια «πολυτέλεια». «Δεν θα σε άφηναν ποτέ μόνο σε δωμάτιο με φάρμακα, αλλά με έναν υπολογιστή το κάνουν», σχολιάζει ο Ξενάκης.
Η καθηγήτρια Σαμπίνα Μαγκαλίνι, που συντόνισε ευρωπαϊκό έργο για την ασφάλεια στα νοσοκομεία, επισημαίνει πως οι πολιτικές δεν λαμβάνουν υπόψη τις ιδιαιτερότητες των νοσοκομείων: έντονη κινητικότητα προσωπικού, έλλειψη εκπαίδευσης, κόπωση. «Το νοσοκομείο δεν είναι πυρηνικό εργοστάσιο. Είναι σαν λιμάνι – ανοικτό και δυναμικό», λέει.
Ωστόσο, οι ειδικοί συμφωνούν πως δεν αρκεί η εκπαίδευση του προσωπικού. Οι επιθέσεις εξελίσσονται, με χρήση τεχνητής νοημοσύνης, deepfakes και προηγμένα phishing. Οι λύσεις πρέπει να περιλαμβάνουν συστήματα έγκαιρης ανίχνευσης και ευφυείς μηχανισμούς άμυνας.
Η ανάγκη για επενδύσεις είναι επιτακτική. Στη Γερμανία, προβλέπεται επένδυση τουλάχιστον 15% της σχετικής χρηματοδότησης σε τομέα κυβερνοασφάλειας, αλλά τα αποτελέσματα παραμένουν περιορισμένα. «Αν είχαμε σύστημα ανίχνευσης, θα το είχαμε εντοπίσει νωρίτερα», λέει ο Δρ. Σίμον Μάιερ από τη Φρανκφούρτη. «Θα μπορούσαμε να έχουμε χάσει ολόκληρη τη βάση δεδομένων».
Το 2021, επίθεση στο σύστημα υγείας της Ιρλανδίας κόστισε πάνω από 100 εκατ. ευρώ για την αποκατάσταση, ενώ άλλα 657 εκατ. επενδύθηκαν για την ενίσχυση της ανθεκτικότητας.
Η Ευρωπαϊκή Επιτροπή παρουσίασε το 2025 σχέδιο δράσης για την κυβερνοασφάλεια στον τομέα υγείας, με πρόβλεψη για κέντρο υποστήριξης στον ENISA, υπηρεσία ταχείας απόκρισης και «κουπόνια κυβερνοασφάλειας» για μικρούς παρόχους. Όμως, σύμφωνα με αξιολόγηση του Sitra, παραμένουν ασαφή τα χρονοδιαγράμματα, οι στόχοι και ο προϋπολογισμός.
Οι ειδικοί ζητούν περισσότερα: καθιέρωση της κυβερνοασφάλειας ως ζήτημα εθνικής ασφάλειας, υποχρεωτική εκπαίδευση προσωπικού, πανευρωπαϊκές ασκήσεις ετοιμότητας και ενιαία αγορά λύσεων.
