Zdravotnická data jsou pro hackery cennější než údaje o kreditkách
- Jsou kybernetické útoky na nemocnice a jiné zdravotnické instituce spíše cílené, nebo náhodné?
Obecně se setkáváme se stále vyšším počtem kybernetických útoků, a to napříč odvětvími. Jejich množství se ještě zvýšilo v období pandemie, kdy lidé více pracují z domova. Řešili jsme významné útoky na finanční instituce, na města, na síť benzinových čerpacích stanic… Hackeři se snaží útočit všude. Nemocnice a zdravotnictví obecně jsou z našeho pohledu zranitelné coby kritická infrastruktura, která musí za každou cenu fungovat, zvlášť v této době. Také platí, že nemocnice jsou pro hackery snazším cílem než například banky, které přeci jen podléhají přísnějším regulacím kybernetické ochrany a mají propracovanější IT infrastrukturu i bezpečnostní strategii. I z výroční zprávy Národního úřadu pro kybernetickou a informační bezpečnost vyplývá, že v nemocnicích je tato oblast podfinancovaná. Hackeři si to uvědomují.
- Samotný škodlivý software specializovaný není, ten míří na všechny cíle?
Ano. Kde se objevují specializované individuální útoky, jsou pokusy hackerů dostat se k nějakému duševnímu vlastnictví, například ve farmacii a výzkumu. Dovedu si představit takové snahy o průmyslovou špionáž v souvislosti s vývojem vakcíny proti COVID‑19. U nemocnic se setkáváme s útoky běžného typu, nejčastěji s ransomware útoky, kdy se útočníci snaží zašifrovat prostředí svého cíle a požadovat výkupné za dešifrování. Protože nemocnice jsou více pod tlakem, snáz takovému útoku podlehnou. Dovedu si představit, že si zdravotník ve stresu nepřečte detailně e‑mail a otevře přílohu, která spustí škodlivý kód do sítě v nemocnici. Je to kritická záležitost. Je znám případ nemocnice v Düsseldorfu, kde došlo k zašifrování třiceti stanic a nemocnice kvůli tomu bohužel nebyla schopná přijmout pacientku od záchranky. Ta pacientka během následného převozu do jiné nemocnice zemřela. Považujeme to za první prokázané úmrtí následkem kybernetického útoku na nemocnice v Evropě.
- Ví se o tom, že by v Evropě nějaká nemocnice výkupné zaplatila, aby svá data získala?
Nejsem si toho vědom. Obecně platí zásada výkupné neplatit. Stejně není jisté, že by po zaplacení výkupného došlo k dešifrování, je to jednání s kriminálníky. Všechny případy, které znám z České republiky, byly vyřešeny jinak.
- Říkám si, že takové kybernetické útoky asi musejí být v nějakém procentu úspěšné, získat svým původcům nějaké finance, jinak by se to útočníkům nevyplatilo, ne?
Je to jejich způsob obživy, to ano. Zatím bohužel k placení výkupného dochází. Náš majitel a zakladatel říká, že se chceme dostat do takového stavu, aby byla pro útočníky cena přípravy útoku na IT systém dražší než to, co tím mohou získat. Pak se to útočníkům přestane vyplácet.
- Může silná ochrana útočníky odradit, nebo jen sníží pravděpodobnost, že se jim útok podaří?
Rozhodně je to pro útočníky složitější. Vícevrstvou ochranu v nemocnicích je mnohem složitější překonat a kolikrát si to útočník rozmyslí. Nejjednodušším útokům ransomware dokáže vícevrstvá ochrana úplně zabránit. Dobrá ochrana sítě, bezpečnostní strategie a plán reakce na kybernetický útok snižují následky.
Zjistili jsme ale dokonce při monitoringu útoků jeden typ malwaru, který nejdříve ověřoval, jaký antivirový program má subjekt nainstalovaný. Pokud měl antivir Kaspersky, přesunul se dál a na tento subjekt neútočil. To je samozřejmě ojedinělý příklad.
- Jaké jsou kromě vydírání další motivace útočníků? Mluví se o tom, že někdy chtějí jen poškodit, co se dá. Je to tak?
Také, ale častěji chtějí něco získat. Kromě výkupného to mohou být citlivé údaje. Zdravotní údaje jednotlivých pacientů se přitom považují za ještě cennější než údaje o kreditních kartách. Dochází ke krádežím dat pacientů a tyto údaje je možné využít k dalšímu vydírání nebo k podvodům. Víme i o útocích, které se snažily pozměnit diagnózu pacienta. V minulosti se mluvilo i o možnosti útoku na kardiostimulátory, určité kardiostimulátory proto ve Spojených státech procházely aktualizací firmware.
- Existuje shoda, že kybernetických útoků na nemocnice bude přibývat?
Určitě, s pokračující digitalizací je to nevyhnutelné. Zní to skoro historicky, ale hygienické stanice dostaly před nedávnem nové hardwarové vybavení, některé měly stanice z roku 1990. To je vývoj. Cest, které si útočníci mohou najít, přibývá.
- Náměstek ICT Nemocnice Na Bulovce Martin Koníř v rozhovoru pro server Lupa prohlásil, že výše investic do IT jsou v nemocnici z pohledu normální firmy legrační. Je to až tak špatné?
Bohužel s tím musím souhlasit. Obecně je zdravotnictví v Česku podfinancované a IT bývá až jedna z posledních položek, na kterou se v rozpočtu myslí. Loňská výroční zpráva NÚKIB mluví dokonce o tom, že až 50 procent pracovních míst v IT v nemocnicích je neobsazených. Pro lidi z IT je poměrně nezajímavé pracovat v regionální nemocnici, možnosti uplatnění za vyšší mzdu mají široké. Kdyby se na pozicích v IT ve zdravotnictví zvedly platy, bude snazší tam přilákat správné lidi, a ti by pak byli schopni společně prosadit větší prioritu pro IT a kybernetickou bezpečnost v nemocnicích.
Do kybernetické bezpečnosti a obecně do IT v nemocnicích sice jdou dotace z fondů Evropské unie. Tato oblast ale byla přehlížena dlouho. Je otázka, jak bude kyberbezpečnost podporovat nové vedení ministerstva zdravotnictví.
Je to přitom krátkozraké, podceňovat kybernetickou bezpečnost. Jak jsme viděli na začátku roku, stát dokáže zainvestovat do zdravotnického materiálu, což dokázaly nákupy z Číny, ale zdravotnický materiál není k ničemu, když je nemocnice vyřazená z provozu kvůli kybernetickému útoku. I to by měla být v této době priorita.
- Jak jsou na tom české nemocnice s vybavením proti nemocnicím v jiných zemích regionu východní Evropy, který máte na starost?
Ve srovnání se zeměmi východní Evropy, jako například Rumunskem, Slovenskem, Srbskem a podobně, jsme na tom lépe, máme modernější vybavení a infrastrukturu, ač stále nedostačující. Nemocnice jsou vždy odrazem celkové ekonomické síly dané země. Samozřejmě v západních zemích, v Německu, Francii a podobně, je vybavení na nesrovnatelně lepší úrovni.
- Cítíte z českého zdravotnictví nějakou změnu přístupu ke kybernetické bezpečnosti? Byly útoky v Benešově a ve FN Brno určitým zlomem?
Tak to bohužel ve světě kybernetické bezpečnosti často funguje, že dokud nepřijde kybernetický incident, je ta oblast přehlížena. A tak po incidentech v Benešově a Brně skutečně dochází ke zvýšení povědomí o významu kybernetické bezpečnosti.
Jsou tu centrální iniciativy jako návrh změny zákona o kybernetické bezpečnosti. Pokud se zavede povinnost pro všechny nemocnice dodržovat obecná nařízení k ochraně před kybernetickým útokem, může to pomoci.
Je tu také memorandum o spolupráci jedenácti nemocnic s podporou NÚKIB i ministerstva zdravotnictví, tyto nemocnice chtějí vytvořit společné místo pro monitoring svých sítí a vyměňovat si zkušenosti.
Cesta k ideálnímu stavu je ale znepokojivě dlouhá. Pokud mají mít všechny nemocnice povinnost dodržovat určité minimální zásady kybernetické bezpečnosti a některé se už v tuto chvíli brání a navrhují přechodnou dobu dva roky, je to hrozně dlouho. Za dva roky se může stát tolik věcí!
- V čem ještě jsou nemocnice, co se týká kybernetické bezpečnosti, specifické?
Zdála se mi výjimečná vzájemná pomoc v reakci na útok na Fakultní nemocnici Brno. Natáčeli jsme o tomto útoku video do jednoho dílu našeho seriálu o chytání hackerů hacker:Hunter. Mluvili jsme nejen s ředitelem FN Brno, ale i s tehdejším náměstkem Všeobecné fakultní nemocnice v Praze pro informatiku Vlastimilem Černým, který pomáhal situaci ve FN Brno řešit. To na mě udělalo dojem. I když je v nemocnicích určitá nedostatečnost kapacit, snaží se ti lidé si mezi sebou pomoci. Přeci jen to není jako v bankách. Lidé mají větší snahu poskytnout si navzájem pomoc.
- Některé nemocnice se snaží vyvíjet taková řešení, aby měly všechna citlivá data pacientů na vlastních serverech pod svou střechou. Dává to smysl?
Svým způsobem. Interní vývoj na jednu stranu zabezpečí, že data zůstávají v dané nemocnici, získají systém, který budou dobře znát, ovšem IT oddělení tím bude do velké míry nenahraditelné.
- Jiné nemocnice naopak mají svá data v cloudech. Pokud jde o riziko odcizení citlivých dat, je snazší ochránit data pod svou střechou, nebo se spolehnout na skladování dat u někoho, kdo s tím má zkušenost?
Je zajímavé si vyzkoušet, jak by externí dodavatel IT a bezpečnostních služeb dokázal obstát v případě incidentu. Mezi jednotlivými firmami můžou být rozdíly jednak v tom, jak jsou silní, a jednak jak jsou pružní. V tuto chvíli pro české zdravotnictví bude nejčastější kombinace využívání externích dodavatelů a vlastních lidí.
- Nakolik mají vysoké investice do silné ochrany před kybernetickým útokem smysl, když stejně není stoprocentní? Nevyplatí se spíš zaměřit na to, co v případě úspěšného útoku dělat?
Myslet na poměr cena/výkon je vždycky potřeba, ale zdravotnictví je segment, který se stará o lidské životy a smysl by tu dávaly i vyšší investice do ochrany než v běžném komerčním prostředí. Určitě je potřeba začít alespoň od základů. Mít vícevrstvou ochranu. Používat zařízení jen na to, k čemu jsou určena. Mezi svými zákazníky máme v České republice několik nemocnic, odhadem do dvaceti, jednou z nich je IKEM. Tam je striktně odděleno, že počítač, který například ovládá rentgen, není využíván na nic jiného. Nejde na něm surfovat po internetu ani do něj nejde vložit fl ash disk. Je potřeba mít ochranu sítě dobře rozmyšlenou. Není k ničemu, když recepční v nemocnici nemůže používat fl ash disk, ale může volně využívat internet a stahovat jakékoli přílohy v e‑mailu.
Základem je také kontinuálně školit zaměstnance. Na to bych apeloval. Podle našich průzkumů je 90 procent incidentů způsobeno lidským faktorem.
Ekonomicky rozumné by mohlo být využití sdílených služeb, jak se o nich mluví například ve zmíněném memorandu jedenácti nemocnic. Ty plánují společný monitoring provozu a detekci mimořádných aktivit. Je možné zaznamenávat to, co se v síti organizace děje, pomocí chytrých nástrojů detekovat škodlivé IP adresy a včas zakročit a daná zařízení odpojit.
Mít zabezpečená alespoň koncová zařízení antivirovým programem, to je základní minimum. A to přesto, že nemocnicím, které mají méně než 800 lůžek, to dosud žádný předpis nenařizoval.
- Je vysloveně riziková práce z domova, například účetních, a vzdálený přístup k síti?
Nemyslím, že to je velké riziko, existují technologie, které umějí vzdálený přístup k síti zabezpečit. Může tam ale hrát roli psychologické hledisko, kdy člověk sedí sám doma a nemá tak snadnou možnost zkonzultovat s kolegou, když mu přijde nějaká podezřelá e‑mailová zpráva. Připojení do vnitřní sítě společnosti se dá snadno zabezpečit, pokud se člověk nenechá zmást phishingovým útokem, který z něj vyláká přístupové údaje.
- Falešné e‑mailové zprávy, které jsou součástí kybernetického útoku, jsou čím dál víc věrohodné, je to tak?
Útoky jsou opravdu čím dál víc sofistikované. Setkal jsem se s případem, kdy přišla IT administrátorovi e‑mailová zpráva od jeho kolegy a on z toho s plnou důvěrou spustil konfigurační soubor. Vypadalo to jako běžná konverzace. Bohužel to dopadlo incidentem.
Zdroj: MT