Γράφει ο Νικόδημος Καλλιντέρης, Νομικός
Στις 26 Μαρτίου 2025 ξεκίνησε το πρώτο στάδιο εφαρμογής του ευρωπαϊκού Κανονισμού για τον Ευρωπαϊκό Χώρο Δεδομένων Υγείας (ΕΧΔΥ) αφού προηγήθηκε τον περασμένο Ιανουάριο η έγκρισή του από το Ευρωπαϊκό Συμβούλιο.
Το νέο αυτό νομοθέτημα της ΕΕ επιδιώκει τη δημιουργία ενός πανευρωπαϊκού κοινού ψηφιακού χώρου όπου θα συγκεντρώνονται οι ψηφιακοί ιατρικοί φάκελοι των πολιτών με βασικό σκοπό την παροχή πιο άμεσης και βελτιωμένης ιατροφαρμακευτικής περίθαλψης εντός της Ένωσης.
Με τις νέες ρυθμίσεις θα επιτευχθεί η πλήρης διασύνδεση των επιμέρους εθνικών συστημάτων υγείας σε μία πλατφόρμα ενώ θα δίνεται η δυνατότητα να χρησιμοποιούνται τα ιατρικά δεδομένα των πολιτών και για σκοπούς έρευνας και καινοτομίας.
Όμως, από τα πρώτα στάδια της νομοπαρασκευαστικής διαδικασίας του Κανονισμού έχουν αναδειχθεί από ειδικούς της νομικής και της πληροφορικής οι κίνδυνοι που ελλοχεύουν για τα προσωπικά δεδομένα ειδικής κατηγορίας (δεδομένα υγείας) των πολιτών δεδομένου του σοβαρού ενδεχόμενου κυβερνοεπιθέσεων.
Τα πράγματα γίνονται ακόμα πιο σοβαρά αν ληφθεί υπόψη ότι τυχόν δυσλειτουργίες του νέου αυτού ενιαίου πανευρωπαϊκού ψηφιακού συστήματος από κακόβουλες επιθέσεις θα έχει επιπτώσεις ακόμα και στην εθνική ασφάλεια των χωρών.
Κατά τη γνώμη πολλών ειδημόνων, οι μόνες εταιρείες διεθνούς εμβέλειας που έχουν τη δυνατότητα να σηκώσουν το βάρος ενός τόσο μεγάλου ψηφιακού εγχειρήματος είναι οι γνωστοί αμερικανικοί κολοσσοί (Microsoft, Google, Amazon κ.λπ.) οι οποίοι φαίνεται ότι θα είναι οι μεγάλοι κερδισμένοι της όλης υπόθεσης. Δεδομένης μάλιστα και της πρόσφατης ρήξης ΗΠΑ-ΕΕ με αιτία την διαφορετική στάση τους απέναντι στον ρωσοουκρανικό πόλεμο το όλο ζήτημα αποκτά και κρίσιμες γεωπολιτικές διαστάσεις. Ο ΕΧΔΥ προσφέρει στους παγκόσμιους ψηφιακούς κολοσσούς μια άνευ προηγουμένου ευκαιρία να επεκτείνουν την επιρροή τους στους παρόχους υγειονομικής περίθαλψης, τις κυβερνήσεις και τους ασθενείς και να αυξήσουν την ήδη ανησυχητικά μεγάλη ισχύ τους στην αγορά.
Για τις μεγάλες εταιρείες ψηφιακών τεχνολογιών η υγειονομική περίθαλψη είναι μια τεράστια πηγή εξαιρετικά πολύτιμων δεδομένων μετατρέψιμων σε υπέρογκα έσοδα.
Η Monique Goyens, Γενική Διευθύντρια της Ευρωπαϊκής Οργάνωσης Καταναλωτών (BEUC), είχε δηλώσει πέρσι:
«Ο ΕΧΔΥ είναι ένα εγχείρημα με ευγενείς προθέσεις που θα βελτιώσει την υγειονομική περίθαλψη και τα αποτελέσματα για τους ανθρώπους. Όταν πηγαίνετε στο εξωτερικό, είναι λογικό οι γιατροί και οι νοσηλευτές να έχουν πρόσβαση στον φάκελό σας για να γνωρίζουν τι φάρμακα παίρνετε ή ποιες είναι οι προηγούμενες διαγνώσεις σας. Αλλά είναι πραγματικά κρίμα που τα θεσμικά όργανα της ΕΕ δεν έδωσαν μεγαλύτερη προσοχή στις επιθυμίες των καταναλωτών να έχουν υπό τον έλεγχο τους τα δεδομένων τους, διότι αυτός είναι ο τρόπος για να οικοδομηθεί εμπιστοσύνη στο έργο. Η ιδέα ότι οι καταναλωτές μπορεί να μην μπορούν να πουν όχι στην κοινή χρήση των δεδομένων τους δεν είναι καθησυχαστική και θα επηρεάσει σοβαρά την εμπιστοσύνη τους στο σύστημα του ΕΧΔΥ».
Η υγεία είναι από τους πιο ευαίσθητους χώρους για κακόβουλες ψηφιακές επιθέσεις όπως άλλωστε υπογράμμισε και σε πρόσφατη σχετική έκθεσή του ο ENISA, o Οργανισμός της ΕΕ για την Κυβερνοασφάλεια (Network and Information Security Directive’s Annual Report on Directive incidents in 2023). Κατά την έκθεση οι επιθέσεις ransomware αποτελούν σημαντική απειλή, με τους εγκληματίες του κυβερνοχώρου να στοχεύουν ευαίσθητα δεδομένα υγείας και να απαιτούν λύτρα για την επιστροφή τους.
Για παράδειγμα, το 2017 η επίθεση WannaCry προκάλεσε αναστάτωση στην Εθνικό Σύστημα Υγείας (NHS) του Ηνωμένου Βασιλείου, πυροδοτώντας εκτεταμένο χάος και αναδεικνύοντας τους κινδύνους από τα ανεπαρκή μέτρα κυβερνοασφάλειας.
H εξεδικευμένη επιστήμονας στο πεδίο της προστασίας δεδομένων προσωπικού χαρακτήρα Elisabetta Biasi έχει υποστηρίξει ότι: «Μια επιτυχημένη κυβερνοεπίθεση σε μια ιατρική συσκευή θα μπορούσε να έχει σοβαρές συνέπειες, όπως η παραβίαση της ιδιωτικής ζωής των ασθενών και η υπονόμευση της εμπιστοσύνης στο σύστημα υγειονομικής περίθαλψης, για να μην αναφέρουμε την άμεση βλάβη της υγείας των ασθενών. Στην EE, όπου τα δικαιώματα στην υγεία και την προστασία των δεδομένων είναι θεμελιώδεις αρχές, η ασφάλεια των ιατροτεχνολογικών προϊόντων στον κυβερνοχώρο έχει καταστεί κρίσιμο ζήτημα για τους νομοθέτες, στους φορείς χάραξης πολιτικής, στους παρόχους υγειονομικής περίθαλψης και τους κατασκευαστές ιατρικών συσκευών».
Ο ΕΧΔΥ, ως κεντρικό σύστημα, θα μπορούσε να αποτελέσει πρωταρχικό στόχο για κυβερνοεπιθέσεις για την αποσταθεροποίηση των κρατικών δομών ή και της ΕΕ. Εάν οι κακόβουλοι δρώντες αποκτήσουν πρόσβαση στο σύστημα, θα μπορούσαν να εκμεταλλευτούν τα προσωπικά δεδομένα υγείας για διάφορους σκοπούς, όπως για κλοπή ταυτότητας, για εκβιασμούς ή ακόμα και για κατασκοπεία. Το ενδεχόμενο μιας μεγάλης κλίμακας παραβιάσεων εγείρει σοβαρές ανησυχίες σχετικά με την ασφάλεια του ΕΧΔΥ και την ικανότητα των κρατών μελών της ΕΕ να προστατεύουν τις ευαίσθητες πληροφορίες υγείας των λαών τους.
Ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) έχει επισημάνει σε εκθέσεις του ότι οι εγκληματίες του κυβερνοχώρου τείνουν να πωλούν ευαίσθητες πληροφορίες στη μαύρη αγορά όπως το ιατρικό ιστορικό, οικονομικές πληροφορίες, δημογραφικά στοιχεία και παρόμοια δεδομένα που ανακτώνται από την προσωπική κατάσταση υγείας ενός ατόμου.
Επιπλέον, ο Οργανισμός έχει επισημάνει ότι η ευπάθεια του τομέα της υγείας σε κυβερνοεπιθέσεις έχει σημαντικές στρατιωτικές και πολιτικές επιπτώσεις. Οι ομάδες από hackers, που συχνά συνδέονται και με κρατικούς δρώντες, έχουν βάλει όλο και περισσότερο στο στόχαστρο τους κρίσιμες υποδομές, συμπεριλαμβανομένων των συστημάτων υγειονομικής περίθαλψης. Για παράδειγμα, κατά τη διάρκεια του πολέμου στην Ουκρανία, ομάδες ακτιβιστών στο διαδίκτυο και από τις δύο πλευρές πραγματοποίησαν κυβερνοεπιθέσεις σε εγκαταστάσεις υγειονομικής περίθαλψης, διακόπτοντας τις υπηρεσίες και εκθέτοντας ευαίσθητα δεδομένα.
Σε ακραίες περιπτώσεις, μια επιτυχής επίθεση στον ΕΧΔΥ θα μπορούσε να έχει εκτεταμένες συνέπειες, επηρεάζοντας μεμονωμένους ασθενείς όπως και την εθνική ασφάλεια των χωρών. Το τελευταίο έχει επισημανθεί στην έκθεση του ENISA έκθεση (“Foresight Cybersecurity Threats For 2030”), η οποία αναφέρει: «Η άνοδος των εγκληματικών δραστηριοτήτων με γνώμονα την τεχνολογία έχει προκαλέσει συζητήσεις σχετικά με την ανάγκη για εναλλακτικούς μηχανισμούς επιβολής. Ορισμένοι έχουν προτείνει ισχυρότερη διεθνή συνεργασία, επικαιροποιημένα νομικά πλαίσια και αυξημένες επενδύσεις στην κυβερνοασφάλεια και την ψηφιακή εγκληματολογία για την αποτελεσματική καταπολέμηση αυτών των εξελισσόμενων απειλών».
Η ύπαρξη ενός ενιαίου και μοναδικού συστήματος δεδομένων υγείας μπορεί να αυξήσει την ευπάθειά του σε κυβερνοεπιθέσεις, καθώς ο επιτιθέμενος θα πρέπει, τεχνικά, να βρει τρόπο να εισέλθει σε ένα μόνο σύστημα για να μπορέσει να αποκτήσει πρόσβαση σε ένα ευρύ φάσμα δεδομένων πολλών εκατομμυρίων φυσικών προσώπων.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου