Viimase kahe aasta jooksul on Riigi Infosüsteemi Ametile (RIA) teatatud ühtekokku 61st küberturvalisuse juhtumist, mis olid seotud tervishoiuteenuste osutajatega. 26 korral saadeti tervishoiutöötjatele pahavara ja õngitsuslehti sisaldavaid kirju, 35 korral oli tegemist tõsisemate küberjuhtumitega. Nende täpne sisu pole teada, ent haiglate ja perearstikeskuste tööjaamu on nakatatud lunavaraga, mis omakorda krüpteeris arvutites olevad failid. See tähendab, et inimeste terviseandmed võivad olla sattunud küberpättide kätte.

Lääne-Tallinna keskhaigla peamine infosüsteem muutus plaanilise uuenduse käigus kasutuks. Rike puudutas ka Pelgulinna sünnitusmaja, patsiente tuli teenindada mitte arvutisüsteemiga, vaid paberi ja pliiatsi abil. Mis täpselt juhtus, RIA ei avalda.

Pärnu haigla IT-saavutustest on enim tuntud see, kuidas kaks töötajat krüptoraha kaevandasid. Tänavu aprillis avaldas Eesti Päevaleht killukesi haigla turvaauditist, mis ütles, et Pärnu haigla küberrünnakule vastu ei peaks. Veelgi enam, tõenäoliselt ei saaks haiglas keegi isegi aru, et neid on rünnatud.

Meditsiinitöötajad on sisestanud oma kasutajainfot õngitsuslehtedele, mille järel on nende meilikontodelt laiali saadetud kõikvõimalikku spämmi. Näiteks ühe tervishoiuasutuse juhatuse liikme nimel saadeti sama asutuse raamatupidajale korraldusi pangaülekannete teostamiseks.

Hiljuti teatas RIA, et tumeveebis on lahti krüpteeritud enam kui 190 000 .ee-lõpuga e-postkasti paroolid. Nende hulgas ka tervishoiutöötajate ametipostkastide omi, mis praegu on põhimõtteliselt kõigile soovijaile kättesaadavad.

Aegunud sisuhaldustarkvara kasutamise tõttu on raviasutuste kodulehtedele paigaldatud ebaseaduslikele ravimilehtedele suunavaid viiteid, samuti lisatud sinna omatahtsi pilte ja tekste. Ühe haigla koduleht aga jagas külastajatele lausa pahavara.

Ründed ei toimu nii, et kuskil arvuti taga istub häkker, kes üritab võõrastele veebilehtedele sisse murda. Protsess on täielikult automatiseeritud: spetsiaalne tarkvara otsib kaitsmata veebilehtede „avatud uksi“ ja nende leidmisel asub automaatselt kurja tegema, olgu selleks pahavaraga nakatamine, failide krüpteerimine või midagi muud.

Kui suuremad haiglad kuuluvad tänu hädaolukorra seadusele RIA järelevalve alla, siis perearstikeskused ja teised raviasutused peavad ise hakkama saama. Seega pole sisuliselt teada, milline on olukord perearstide küberturvalisusega. Aga põhjust muretsemiseks on.

Rinnad ja krediitkaardi andmed

KÜBERPÄTI VALDUSES: Küberhuligaanid laadisid Leedu ilukliinikus tehtud pildid ja inimeste andmed koos krediitkaardiandmetega tumeveebi, mida kurjategijad kasutavad enamasti illegaalsetel eesmärkidel.

Mullu märtsis varastas grupeering, mis kasutab enda kohta nime Tsar Team, Leedu ilukliiniku Grožio Chirurgija enam kui 25 000 patsiendi andmed, sealhulgas enne ja pärast iluoperatsiooni tehtud fotod. Esialgu nõudis Tsar Team raha vaid kliinikult. Nad nimetasid seda väikeseks karistuseks ebaturvalise IT-süsteemi omamise eest. See „väike“ lunarahanõue oli 300 bitcoin’i, mis tol hetkel tähendas 344 000 eurot.

Ilukliinik keeldus maksmast, sest oli süsteemist kenasti varukoopiaid hoidnud ja sai endise olukorra kiiresti taastada. Samuti ei uskunud nad, et häkkerid suudavad pilte isikuandmetega kokku viia. Nad eksisid. Häkkerid laadisid enne ja pärast operatsiooni tehtud fotod tumeveebi ning andsid seal kujutatud patsientidele võimaluse osta välja nii pildid, terviseandmed kui ka krediitkaardiandmed. Hind 50 kuni 2000 eurot. Kannatanute hulgas oli ka eestlasi.

ALASTI VEEBIS: Eesti meditsiiniasutuste küberturvalisus on RIA andmeil pigem alla keskmise, ent just nemad vastutavad selle eest, et küberpätid sinu delikaatseid terviseandmeid kätte ei saa.

Millistest Eesti raviasutustest patsientide terviseandmeid on lekkinud, pole teada. Juhtumitest avalikult ei räägita, saladust on hästi hoitud. Aga tõika, et Eesti raviasutuste küberturvalisus jääb keskmisele tasemele alla, on RIA pidevalt rõhutanud. Kuna kaalul on inimeste elu ja tervis, peaks tervishoiuasutustele kehtima küberturbe kohustus, samuti peaks keegi teostama järelevalvet. Praegu on seis aga selline, et RIA ei saa perearstikeskustele või haiglatele küberturvalisuse alast abi anda, kui need ise seda ei küsi.

Euroliit nõuab, Eestil pole raha

Mullu suvel võtsid Euroopa Parlament ja Euroopa Nõukogu vastu direktiivi, mille eesmärk on tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu euroliidus.

Majandus- ja kommunikatsiooniministeerium (MKM) algatas ka vastava seaduseelnõu. Selle järgi saab RIA direktiivist tulenevad kohustused, ent ka õiguse teostada järelevalvet, koordineerida küberintsidentide ennetamist, tuvastamist ja lahendamist. Kuid sotsiaalministeerium keeldus eelnõud kooskõlastamast. Minister Jevgeni ­Ossinovski põhjendas seda peamiselt kolme punktiga. Esiteks: miks ainult perearstikeskused ja haiglad, kas apteegiteenuse osutajad ja teised raviasutused ei peaks nõuetele vastama? Teiseks rahanappus: küberturvalisuse tagamine mõjuks negatiivselt ravikindlustuse eelarvele. Kolmandaks: kes selle kõik kinni maksab, kui eelnõu ei näe ette teenuseosutajatele kulude katmist?

RAHA POLE: Minister Jevgeni Ossinovski ei ole küberturvalisuse nõudeid karmistava seadusega ühes paadis, peamiseks põhjuseks raha. Foto: Ilmar Saabas

Eesti Ekspress palus minister Ossinovskilt võimalust kokkusaamiseks, et eelnõu kooskõlastamata jätmise üle lähemalt pärida. Kahepäevase ootamise järel saabus vastus: ministri ajagraafik on nii tihe, et aega selleks ei leita.

Tahtsime vastuseid järgmistele küsimustele:

* Iga valdkonna minister vastutab oma valitsemisala eest, kas minister Ossinovski vastutab, kui küberründe tõttu sureb raviasutuses inimene?

* Millal on tervisevaldkonnas plaanis küberturvalisuse reeglid välja töötada?

KES TEEKS? Asekantsler Ain Aaviksoo ootab, et astuks üles mõni organisatsioon, kes suudaks luua raviasutustele ja perearstidele ühise tarkvara. Foto: Tiit Blaat

* Kas inimesi, kelle andmed on küberkuritegevuse tõttu lekkinud, on sellest teavitatud?

* Kas minister Ossinovski nõustuks andma loa mõne raviasutuse IT-süsteemide turvalisuse kontrollimiseks näiteks läbistustestiga?

Ministri asemel vastas lõpuks e-teenuste arengu ja innovatsiooni asekantsler Ain Aaviksoo. Saime teada, et sotsiaalministeerium ei vastuta selle eest, kui Eesti raviasutustest satuvad patsientide andmed küberpättide kätte. Haiglas, perearsti juures ja apteegis vastutab terviseandmete kaitsmise eest teenuseosutaja ise. Asi pole ainult haiguslugudes või ravimiretseptides. Paljud operatsioonidel kasutatavad seadmed on samuti võrku ühendatud ja teoreetiliselt seega samuti rünnatavad.

Olukord pole siiski lootusetu, ­Aaviksoo sõnul on perearstidega arutatud ühtse tarkvara loomist, et iga perearstikeskus ei sõltuks üksnes enda IT-võimekusest. Kuna tegemist on nii patsientidele kui ka arstidele igapäevatöö kriitilise komponendiga, on vaja, et sellisele tarkvarale tekiks kõigi perearstide vajadusi esindav selge omanikutundega tellijaorganisatsioon, kus tuntakse ka arstide igapäevatöö detaile. „Ootame väga sellise organisatsiooni pöördumist, et leppida kokku täpses lahenduses,“ lubas Aaviksoo.

Ta tunnistas, et tervishoius on vaja kiiremas korras küberturvalisuse meetmete väljatöötamist ja nende rakendamist. Koostöös RIA, MKMi, Haigekassa ja teistega on ministeerium arutanud, kuidas töötada välja kõiki direktiivist tulenevaid nõudeid arvestav, ent samas lihtne süsteem.

 Iga tervishoiuteenuse osutaja kasutab andmete töötlemiseks oma infosüsteeme ning X-tee kaudu liidestutakse omakorda tervise infosüsteemiga.
 Haiglatel, perearstikeskustel ja apteekidel tuleb järgida terviseandmete töötlemisel organisatsioonilisi, füüsilisi ja infotehnilisi turvameetmeid.
 Andmekaitse inspektsioonilt (AKI) tuleb delikaatsete isikuandmete töötlemiseks taotleda luba ja anda AKI-le kinnitus, et infoturbe meetmed on rakendatud. Kui infoturbemeetmeid pole järgitud ja delikaatsed isikuandmed on lekkinud, menetleb AKI neid kaebusepõhiselt.
 Tervishoiuasutuse juhtkond peab olema veendunud, et asutuse andmetest oleksid olemas varukoopiad ning neid tehtaks tervishoiu eripärasid arvestades vähemalt kord ööpäevas.