Když to padá, je už pozdě
Pro zvládnutí sofistikovaných cílených kybernetických útoků je důležitá dobrá příprava. Zdravotnictví se s nimi potýká stále častěji. Nové technologie mohou bezpečnost výrazně zvýšit. Rizikem je mimo jiné nedostatek odborníků.
Není novinkou, že zdravotnictví patří mezi obory, na které míří větší množství kybernetických útoků. Tématu se věnoval workshop s názvem „Jak to vypadá, když to padá. Kybernetická bezpečnost v nemocnicích“, pořádaný Centrem česko‑izraelských inovací a partnerství Moravské vysoké školy Olomouc.
Konkrétní data z vlastního sledování prezentoval Lotem Finkelstein, který řídí oddělení analýz kybernetických hrozeb (Cyber Threat Intelligence, CTI) a výzkumu v izraelsko‑americké softwarové společnosti Check Point Software Technologies. Firma monitoruje útoky prakticky po celém světě z dat od svých zákazníků, ale i od jiných zdrojů, například poskytovatelů připojení, a tato data analyzuje. Každý den zaznamenává desítky milionů jednotlivých útoků. V průměru jedna organizace z jakéhokoli průmyslového odvětví zažívá letos každý týden 1 000 až 1 300 útoků. U organizací ve zdravotnictví je tento počet v posledních měsících soustavně vyšší, letos od 1 200 až k téměř 1 600 útoků za týden. Zdravotnický systém má malou toleranci ke kybernetickým útokům a k výpadkům, a proto se stává výhodným terčem útočníků, říká Finkelstein.
Zdá se, že pro české nemocnice může být situace ještě napjatější. Ukazuje to porovnání počtu útoků v přepočtu na jednu organizaci, které Check Point Software Technologies zaznamenává po celém světě, s počty zaznamenanými v České republice. Z tohoto srovnání vyplynulo, že organizace v Česku zaznamenávají více útoků, než je světový průměr. To platí praktický pro celé uvedené období od konce loňského října do letošního 11. dubna. Od konce února 2022 se tento rozdíl ještě zvýšil. Od začátku března průměrně na světě jedna organizace zaznamená zhruba 1 300 útoků za týden, v Česku zhruba 1 800 za týden.
„Je tu několik faktorů, jeden z nich je, že v souvislosti s aktuálním válečným konfliktem Evropa, a zvlášť střední a východní, zažívá teď obecně mnohem více útoků než obvykle. Dalším důvodem je, že Česká republika udělala zřetelný technologický pokrok v posledních letech. Kde jsou technologie, jsou i příležitosti pro útoky. Východní a střední Evropa se stává velmi zajímavým cílem pro útočníky,“ myslí si Lotem Finkelstein.
Zvláštní pozornost věnoval Finkelstein APT útokům, sofistikovaným útokům cíleným přímo na konkrétní nemocnici. Na rozdíl od hromadně necíleně rozesílaných závadných kódů jsou komplexnější a na jejich zachycení často nestačí antivirus. Takové útoky využívají některé státy pro špionáž, kybernetičtí zločinci, s prodejem ransomware je ale také spojen sílící obchod.
Finkelstein mluví o kybernetické válce (cyber warfare), tedy využití kybernetických útoků organizacemi s podporou států k politickým cílům. „Ještě před pěti lety jsme kybernetickou válku očekávali jen proti vojenským organizacím, vládním organizacím nebo zpravodajským službám. Dnes ale vidíme, že se prostředí změnilo a v přední linii kybernetické války je více a více sektorů, ať jsou na to připraveny, nebo ne,“ říká Finkelstein. Zdravotnictví je součástí tohoto trendu. Finkelstein připomněl několik zpráv ze světa o kyberbezpečnosti ve zdravotnických organizacích v posledních několika měsících: o problému se zabezpečením infuzních pump, úniku dat i útoku ransomware v nemocnicích.
Zdravotnické přístroje připojené k internetu stále mají potíže se zabezpečením. „Před dvěma lety jsme se rozhodli podívat na slabá místa v zabezpečení ultrazvuků. Našli jsme poměrně nový ultrazvukový přístroj, šest měsíců starý, ale měl v sobě zranitelnosti 13 let staré. Ultrazvuk totiž prošel schvalovacím procesem s Windows 2000 a zůstal 13 let poté zranitelný. Nezáleží na tom, kdy koupíte ultrazvuk, ale kdy byl programován,“ upozornil na jednu ze známých pastí zajištění nemocnic Finkelstein.
Mít předem domluvené postupy
Konkrétní zkušenost s kybernetickým útokem, který měl rozsáhlé dopady, popsal Tomáš Šenk, manažer bezpečnosti IT ve společnosti Nemocnice Plzeňského kraje. Ta sdružuje šest nemocnic; záměrně nesděluje, ve které z nich se incident odehrál, ačkoli médii tato informace prošla. Šlo o jednu z menších nemocnic, která se nezaměřuje na akutní lůžkovou péči.
Do Nemocnic Plzeňského kraje nastoupil Tomáš Šenk z byznysového prostředí v době, kdy se stal přelomový kybernetický útok na nemocnici v Benešově. Po něm se téma kyberbezpečnosti v nemocnicích začalo brát mnohem seriózněji. Stejně tak v krajských nemocnicích v Plzeňském kraji. „V našich krajských plzeňských nemocnicích byla realita asi podobná jako v jiných krajských nemocnicích. Po incidentu v Benešově mělo IT oddělení sepsány seznamy, co vše se musí koupit a udělat, abychom se někam posunuli. Vypadalo to dobře. Realita pak byla malinko jiná kvůli financím. Když jsem si udělal prvotní analýzy rizik, uvědomil jsem si, že je to obrovská výzva,“ uvádí Šenk s tím, že před samotným útokem opakovaně přemýšlel, jaké to bude, pokud nějaký bezpečnostní incident přijde. „Mám monitorovací nástroje, doufal jsem, že budu schopen reagovat, protože mi správce ohlásí, že se něco děje. Bohužel incidenty, které jsem zažil, přišly nepozorovaně a že se něco stalo, jsem se dozvěděl až po několika hodinách, když už byl dopad fatální,“ uvádí k útoku Šenk.
Z toho také vyplynula reakce IT pracovníků nemocnice. Útok začal v lednu 2021 ve čtvrtek v odpoledních hodinách. Teprve v pátek v ranních hodinách pracovníci nemocnice kontaktovali IT oddělení, že jim nefungují některá zařízení. Jednotliví IT pracovníci se snažili řešit konkrétní požadavky. Teprve v pátek odpoledne se od managementu nemocnice Šenk jako manažer bezpečnosti IT dozvěděl, že něco není v pořádku, a odjel na místo. Tou dobou už potřeboval management nemocnic informace pro svá rozhodnutí o dalších provozních opatřeních a nervozita stoupala. „Začaly se dělat přípravy pro obnovu systémů. Ukázalo se ale, že IT pracovníci přemazali veškerá data na napadených zařízeních, a tím pádem jsme ztratili důkazy, co se vlastně stalo,“ poznamenal Tomáš Šenk. „Ukázalo se, jak dobré je mít předem domluvené postupy,“ tvrdí. Doporučuje proto nastavit ve všech organizacích pravidelné testování plánů obnovy.
Od pátku do soboty pracoval nemocniční IT tým ve velkém napětí, v sobotu večer se potvrdilo, že záloha nemocničního informačního systému je čitelná a použitelná. Obnovou strávil tým víkend a v pondělí bylo možné postupně znovu spouštět systémy, většina informačních systémů byla znovu zprovozněna do týdne. „Lékařská péče byla zajištěna, zdravotníci pracovali v režimu tužka/papír. Ke ztrátě dat naštěstí nedošlo. Byla to velká zkušenost,“ uvedl Šenk.
Pro rychlou reakci jsou potřeba data
Zajistit data je pro následnou reakci a vyhodnocení incidentu důležité. Zdůraznil to Vojtěch Sikora z Vládního CERT Národního úřadu pro kybernetickou a informační bezpečnost. „Pro odpověď na incident jsou potřeba data. Zajistěte si data, abychom vám mohli pomoci,“ uvádí. Důležitá jsou provozně bezpečností data jako logy nebo záchyty antivirů. „Další data jsou forenzní. Stalo se, že pracovníci IT všechna forenzní data smazali. To je chyba, protože při dohledávání směru útoku jsou tato data potřebná,“ vysvětluje Sikora. Kromě toho je dobré mít k dispozici dobře zpracovaná data o infrastruktuře. Pokud si nemocnice nebo jiná organizace nechá po incidentu pomoci od nějakého externího týmu, musejí se tito lidé zorientovat v infrastruktuře. Hodně se podle Sikory osvědčuje využívat data od poskytovatele internetových služeb, který může po nějakou dobu uchovávat data, jež mohou být doplňkovým zdrojem informací k údajům z vlastního systému.
V testu prozradilo své heslo 279 uživatelů z tisíce
Zajímavý incident s dobrým koncem prezentoval na semináři Petr Foltýn, náměstek ředitele FN Ostrava pro IT. Jednalo se o phishingový útok, který přišel z partnerské univerzity, tedy organizace, která byla v bezpečnostních systémech na takzvaném white listu bezpečných odesílatelů. Informační systém univerzity totiž byl napaden. „Základní bezpečnostní systémy před tímto útokem kapitulovaly. Bylo k nám zasláno v jedné vlně 500 zpráv. Prošly firewall, dostaly se k nám na server, poslední zábranou před tím, aby naši uživatelé zprávu dostali, byl sandbox, který jsme instalovali zhruba měsíc před tímto incidentem,“ uvádí Foltýn. E‑maily podle něj vypadaly tak věrohodně, že by uživatelé škodlivou přílohu otevřeli.
Fakultní nemocnice Ostrava patří mezi ty, které se už delší dobu musejí striktně řídit pravidly podle zákona o kybernetické bezpečnosti jako poskytovatelé základních služeb. Bezpečnost zvyšuje mimo jiné posílením edukace uživatelů. V roce 2020 nemocnice provedla test, ve kterém bylo rozesláno 1 003 podvržených e‑mailů, které vyzvaly uživatele k zadání hesla. Bylo zadáno 363 hesel, z toho 279 validních. Následně proběhla další edukace, kursy a v roce 2021 znovu testování. V něm bylo zasláno 1 489 podvržených e‑mailů, v první fázi vyzvaly k otevření odkazu a ve druhé k otevření zavirované přílohy. Bylo zadáno 229 hesel, z toho 203 validních, a otevřením přílohy „zavirováno“ 177 zařízení.
Phishingové testování pro FN Ostrava připravila Vysoká škola báňská za přátelskou finanční kompenzaci. V testech chce nemocnice pokračovat, zvažuje poptat automatizované testy.
Technologické zabezpečení je tedy podle Foltýna klíčové, uživatelé i přes nezbytnou edukaci mohou selhávat. V letech 2019 až 2021 investovala ostravská fakultní nemocnice do projektů kybernetické bezpečnosti 223 milionů korun, vytvořila samostatné oddělení kybernetické bezpečnosti a přijala manažera kybernetické bezpečnosti, shrnuje Foltýn.
Do kyberbezpečnosti šla v předchozích letech silná podpora z evropských fondů, na které dosáhly zejména velké nemocnice. I v příštích letech se chystají výzvy, které budou moci čerpat další nemocnice. Kromě financí je ale problém se zajištěním kyberbezpečnosti v nemocnicích i kapacitní. Odborníků v této oblasti není v Česku přespříliš a o ty dobré je na trhu práce velký zájem. V konkurenci komerčních firem nemocnice mnohdy nemohou nabídnout vyšší platové ohodnocení a jsou závislé na práci nadšenců, kteří vidí v angažmá ve zdravotnictví smysl.
Obnova do čtyř hodin
Reakce na incident začíná přípravou na něj a na ní do velké míry závisí, jak velké napáchá kybernetický útok škody. To zmínil na semináři Matěj Kačic z firmy Security Avengers. Dopředu je potřeba mimo jiné myslet i na přístupy do systému pro případ mimořádné události. Ideálním cílem je být vždy schopen okamžitě zjistit probíhající útok. „Měli bychom být schopni identifikovat incident v minutách, ne v hodinách, ne ve dnech,“ říká Kačic. Následně hned izolovat napadenou stanici, zálohovat napadený systém pro zachování dat a provést preventivní scan čisté části sítě. Po útoku pak znovu vše otestovat a poučit se pro příště. Důležitou otázkou podle Kačice je, jaké jsou motivy a cíle útočníka. Někdy může být viditelný útok zástěrkou pro krádež dat o pacientovi.
Pokud vše funguje přesně tak, jak má, dají se podle Kačice následky útoku minimalizovat. „S dnešními technologickými prostředky jsme schopni obnovit Fakultní nemocnici Brno za čtyři hodiny, pokud vše dobře funguje,“ tvrdí Kačic. S pokročilou automatizací se dá zkracovat čas specialistů při řešení incidentů. A vývoj jde dál. Podle Kačice budou do pěti let dostupné technologie založené na hlubokém učení, které dokážou spolehlivě najít probíhající incident ve velkém množství dat.
Rizika jsou hlavně v přístrojové technice
Jedním z problémů rozvoje kybernetické bezpečnosti v nemocnicích jsou veřejné zakázky, uvedl Antonín Hlavinka, náměstek informačních technologií Fakultní nemocnice Olomouc. „Žijeme v době datové, data jsou dnes nejdůležitější komodita, je to nová ropa. Vzhledem k tomu, jak digitální zdravotnictví roste, jsme teprve na začátku. Evropská komise nedávno dělala průzkum, ze kterého vyplynulo, že pacienti jsou ochotni sdílet data, ale požadují, aby byla bezpečná,“ uvedl Hlavinka. Podle něj se dá očekávat v příštích letech exponenciální růst digitálních zdravotních služeb a s ním i růst kybernetických incidentů.
V oblasti bezpečnosti a e‑health vidí Hlavinka jako přínosné, že přibylo nemocnic, které jsou podle zákona o kybernetické bezpečnosti ve striktnějším režimu, pomoci by měly také chystané evropské dotace.
Za riziko ale považuje legislativní prostředí, které není na zavedení digitálního zdravotnictví úplně připraveno. Neexistuje zatím centrální bod pro propojení poskytovatelů zdravotních služeb, strukturovanost zdravotnických záznamů je omezená, ve vzdělávání v informačních technologiích jsou velké rezervy, a to nejen na lékařských fakultách, zdravotnictví je při nasazování technologií digitálního zdraví málo pružné, vyjmenoval rizika Hlavinka. A zdůraznil další z nich, nedostatek IT profesionálů a odborníků na kyberbezpečnost. „Státní správa často nebývá atraktivní zaměstnavatel pro největší profesionály. Zbývají nám srdcaři, kteří mají altruistické srdce a chtějí zdravotnictví pomoci,“ uvádí Hlavinka.
Je tu také přetrvávající problém s veřejnými zakázkami, které se v oblasti IT často prodlužují kvůli námitkám některého z účastníků. „Je tu sice dobrý trend, že už se nesoutěží jen na cenu. Zákon o veřejných zakázkách nás sice stále nutí hrát na cenu, ale je možné stanovovat kvalifikační kritéria s úmyslem získat kvalitu za rozumnou cenu. Pak ale hrozí, že veřejná zakázka skončí na antimonopolním úřadě, jak se stalo řadě projektů financovaných z dotačních výzev IROP 10 a IROP 26,“ uvedl Hlavinka.
Po útoku na nemocnici v Benešově, který i Hlavinka označil za přelomový, vznikla platforma sdružující manažery kyberbezpečnosti v nemocnicích Hospital Security Operation Centra (hSOC), která dnes má 56 členských subjektů. Sdílejí informace o bezpečnostních hrozbách, spolupracují při přípravách vzdělávacích plánů a pořádají konference.
Když si samotná Fakultní nemocnice Olomouc dělala analýzu kybernetických rizik, zjistila, že na oddělení zajišťujícím IT bezpečnost je málo lidí. „Jen na řízení projektu zavádění kyberbezpečnosti jsme potřebovali alespoň dva lidi ke kybermanažerovi, abychom byli schopni nastavit základní pravidla,“ uvedl Hlavinka. Celkem nemocnice našla a ohodnotila 217 rizik. „Ukázalo se, že pro většinu klinik je možné při výpadku nemocničního informačního systému přejít na práci bez počítačů. Největší riziko tedy není výpadek NIS jako takového, ale nejcitlivější jsou systémy PACS a na to napojené modality jako CT, rentgeny a podobně,“ uvádí Hlavinka. Následuje zdravotnická technika. „Bez té se těžko provozuje zdravotní péče. Identifikovali jsme zdravotnickou techniku, která by už měla být vyřazena, ale z různých důvodů se jí úplně zbavit nemůžeme. Vytvořili jsme úplně oddělenou síť, která není s ničím propojena a je svázána jen s omezeným množstvím počítačů. Zdravotnický prostředek se mnohdy neobejde bez připojení do sítě. Problém je, že když zdravotnický prostředek kupujete, je už z hlediska bezpečnosti zastaralý. Už jen proto, že proces schvalování uvedení na trh trvá řadu měsíců, nebo i roky. Sledovat trendy v kyberbezpečnosti by znamenalo nový certifikát,“ vysvětluje Hlavinka.
Nové evropské nařízení o zdravotnických prostředcích MDR na tyto problémy reaguje. Je ale také dobré s dodavatelem o tématu kyberbezpečnosti mluvit a vědět, jak přístroj do sítě zapojit.
Workshop „Jak to vypadá, když to padá. Kybernetická bezpečnost v nemocnicích“ proběhl 19. dubna v BEA campus Olomouc.