Žiaden sektor ani organizácia nie sú imúnne voči rýchlo sa stupňujúcim kybernetickým hrozbám. Pokiaľ ide o zdravotníctvo, v stávke je naozaj veľa a môže ísť doslova o život. Aká je aktuálne sitácia v zdravotníctve?
Aká je situácia v zdravotníctve?
Ešte pred ruskou inváziou na Ukrajinu sa objavovali značné obavy, že vojenská eskalácia bude čoraz viac zasahovať kybernetický priestor a v súvislosti s tým vznikne množstvo komplexných digitálnych útokov s medzinárodným dosahom. Organizácie na celom svete preto začali prijímať potrebné opatrenia v oblasti kybernetickej bezpečnosti a pripravovať sa na to, ako reagovať na nebezpečenstvo útokov.
Sektor, ktorý je z tohto hľadiska jedným z najzraniteľnejších, je zdravotníctvo. Digitálne hrozby, ktorým toto odvetvie a vlastne celá kritická infraštruktúra čelí, sa už roky stupňujú a invázia Ruska na Ukrajinu úroveň ohrozenia ešte zvýšila.
Bojuje sa aj v digitálnom svete, je čas obrniť sa proti kybernetickým hrozbám Prečítať článok
V reakcii na to americké ministerstvo zdravotníctva vydalo upozornenie, v ktorom ako príklad akútneho rizika uvádza nový malvér HermeticWiper, ktorý objavili výskumníci spoločnosti ESET.
Samozrejme, riziká by si mali všímať nemocnice a ďalší poskytovatelia zdravotnej starostlivosti aj v Európe, keďže v posledných rokoch sú čoraz vyhľadávanejším cieľom útočníkov. Agentúra Európskej únie pre kybernetickú bezpečnosť ENISA pred niekoľkými mesiacmi informovala, že útoky na tento sektor v roku 2020 medziročne vzrástli takmer o 50 %.
Získajte praktické rady o bezpečnosti na internete. Prihláste sa na odber nášho newslettra.
V stávke je však oveľa viac než len peniaze
Štúdia z roku 2019 uvádza, že aj úniky údajov môžu byť jedným z faktorov zvyšujúcich nemocničnú úmrtnosť pacientov hospitalizovaných po akútnom infarkte. Hoci sa nepredpokladá, že by dnes už neslávne známy ransomvérový incident v Nemecku priamo spôsobil smrť pacienta, bol silnou predzvesťou potenciálneho vplyvu virtuálnych útokov na reálny svet v prípadoch, keď sú systémy na záchranu života vyradené z prevádzky.
Vzhľadom na to, že európske zdravotnícke organizácie pokračujú v digitalizácii v reakcii na tlak pandémie COVID‑19, hromadný prechod na prácu z domu a starnúcu populáciu, tieto riziká budú len narastať. Budovaním odolnosti voči kybernetickým hrozbám prostredníctvom správnych bezpečnostných opatrení a iných osvedčených postupov či zlepšením detekcie incidentov a reakcie na ne sa však tento sektor dá ochrániť.
Prečo je zdravotníctvo vystavené kybernetickým útokom?
Odvetvie zdravotnej starostlivosti predstavuje významný segment kritickej vnútroštátnej infraštruktúry v celej Európe. Podľa najnovších odhadov je v ňom zamestnaných takmer 15 miliónov ľudí, čiže 7 % pracujúcej populácie.
Zdravotníctvo je jedinečným sektorom aj v množstve výziev, ktorým čelí, a preto je viac vystavené kybernetickým hrozbám ako iné odvetvia. Medzi tieto výzvy možno zaradiť:
- Nedostatok kvalifikovaných IT pracovníkov je celospoločenským problémom, no zdravotnícke organizácie často nedokážu konkurovať vyšším platom ponúkaným v iných odvetviach. Pandémia ochorenia COVID‑19 vyvíja bezprecedentný tlak na zamestnancov vrátane IT tímov.
- Práca na diaľku môže zdravotnícke organizácie vystaviť rizikám v podobe nedostatočne sústredených pracovníkov, nezabezpečených koncových zariadení a zraniteľnej či nesprávne nakonfigurovanej infraštruktúry vzdialeného prístupu.
- Zastaraná IT infraštruktúra.
- Obrovské množstvo osobných údajov a vysoké nároky na splnenie regulačných požiadaviek.
- Používanie množstva rôznych nástrojov a riešení, čo môže tímy zamerané na riešenie hrozieb zahltiť prácou.
- Prechod na cloudové riešenia so sebou prináša vyššie riziko potenciálnych útokov. Mnohé zdravotnícke organizácie nemajú interné prostriedky a zručnosti na bezpečnú správu a konfiguráciu takýchto prostredí, prípadne nesprávne chápu zdieľanú zodpovednosť za bezpečnosť.
- Komplexnosť IT systémov zavedených počas dlhšieho obdobia.
- S pripojenými zariadeniami, napríklad staršími operačnými technológiami v nemocniciach, ako sú MRI a röntgenové prístroje, sa spája riziko vzdialených útokov. Mnohé takéto zariadenia vykonávajú príliš dôležité funkcie na to, aby mohli prejsť do režimu offline pre nainštalovanie záplat, poprípade už nie sú výrobcom vôbec podporované.
- Mnohé IoT zariadenia, ktoré sú čoraz obľúbenejšie napríklad na podávanie liekov či monitorovanie životných funkcií pacientov, nemajú nainštalované záplaty a chránia ich len predvolené výrobné heslá, takže sú vystavené útokom.
- Profesionálni kybernetickí zločinci čoraz častejšie vnímajú zdravotnícke organizácie ako ľahký cieľ, keďže zápasia s vysokým počtom pacientov nakazených ochorením COVID‑19. Dáta o pacientoch, ktoré zahŕňajú veľmi citlivé informácie a finančné údaje, sú lukratívnym tovarom v podsvetí počítačovej kriminality. Prostredníctvom ransomvéru si útočníci s väčšou pravdepodobnosťou vynútia peniaze, pretože nemocnice si nemôžu dovoliť mať prístroje dlho mimo prevádzky. Výskumné ústavy môžu uchovávať aj veľmi citlivé údaje o pripravovaných patentoch na výrobu liekov.
Ďalší malvér na Ukrajine: CaddyWiper maže firemné dáta Prečítať článok
Útoky v reálnom svete a zistené poznatky
V priebehu rokov sme boli svedkami viacerých vážnych útokov na zdravotnícke organizácie, z ktorých sa tento sektor musí poučiť a pracovať na zvyšovaní zabezpečenia. Prinášame vám pohľad na niektoré z týchto útokov:
Britskú Národnú zdravotnú službu (NHS) v roku 2017 s vážnymi dôsledkami zasiahol ransomvér WannaCry po tom, ako zdravotnícke organizácie nestihli rýchlo opraviť zraniteľnosť v systéme Windows. Odhadom sa zrušilo v dôsledku útoku asi 19 000 prehliadok a operácií. Britský sektor zdravotníctva tak celkovo prišiel o 92 miliónov libier v podobe nadčasov IT pracovníkov, na ktoré sa minulo 73 miliónov libier, a výpadkov v rámci starostlivosti o pacientov, ktoré predstavovali straty vo výške 19 miliónov libier.
Írsky Úrad pre zdravotné služby (HSE) zasiahol v roku 2021 útok ransomvérovej skupiny Conti po tom, ako zamestnanec otvoril nastražený dokument programu Excel, ktorý bol súčasťou phishingového e‑mailu. Útočníkov za viac ako osem týždňov, až pokiaľ nenasadili ransomvér, nikto neodhalil. Zistilo sa, že:
- Antivírusový softvér bol nastavený na režim monitorovania, preto neblokoval škodlivé súbory.
- Po detekcii škodlivej aktivity na doménovom radiči systému Windows nedošlo k okamžitej reakcii.
- Antivírusový softvér nedokázal umiestniť škodlivé súbory do karantény po detekcii nástroja Cobalt Strike, ktorý bežne používajú ransomvérové skupiny.
- Tím bezpečnostných operácií Úradu pre zdravotné služby dostal informácie o početných hrozbách vo viacerých nemocniciach a odporučil reštart servera.
Útoky ransomvéru na francúzske nemocnice v meste Dax a Villefranche-sur-Saone si v čase vrcholiacej pandémie ochorenia COVID‑19 vynútili preloženie pacientov do iných zariadení. Telefónne a IT systémy boli vyradené z prevádzky a lekári používali na vedenie záznamov pero a papier. Francúzska bezpečnostná agentúra ANSSI prekvapivo spojila útoky s ruskými spravodajskými službami, čo môže byť znakom zvýšeného prepojenia nástrojov a techník medzi kybernetickým zločineckým podsvetím a vládnymi aktérmi.
Kybernetické operácie sa v dôsledku vojny na Ukrajine zintenzívňujú aj v krajinách sivej zóny Prečítať článok
Budovanie odolnosti voči kybernetickým hrozbám v sektore zdravotníctva
Pod vplyvom rastúceho tlaku musia zdravotnícke organizácie nájsť spôsob, ako účinnejšie zmierniť kybernetické riziká tak, aby to zvládol ich rozpočet a produktivita zamestnancov nebola nijako zasiahnutá. Dobrou správou je, že mnohé z osvedčených postupov, ktoré zvyšujú odolnosť voči hrozbám v iných sektoroch kritickej vnútroštátnej infraštruktúry, budú fungovať aj tu. Medzi takéto postupy možno zaradiť:
- Získanie prehľadu o rizikových miestach potenciálnych útokov s posúdením všetkých IT prostriedkov, ich stavu opráv a konfigurácie. Na katalogizáciu inventáru je vhodná pravidelne aktualizovaná konfiguračná databáza (CMBD).
- Zabezpečenie správneho nakonfigurovania a opravy IT prostriedkov pomocou programov na správu bezpečnostných záplat na základe vyhodnocovania rizík.
- Pochopenie vplyvu rizík spojených s dodávateľským reťazcom pomocou pravidelných auditov a monitorovania.
- Vytvorenie silnej prvej línie obrany proti phishingu prostredníctvom školení používateľov a zvyšovania ich povedomia o rizikách phishingu.
- Komplexné zabezpečenie správy identity a prístupu s viacúrovňovým overovaním (MFA) a nastavením prístupov s minimálnymi oprávneniami.
- Zváženie možnosti nadviazať na vyššie uvedené pomocou koncepcie nulovej dôvery (tzv. Zero Trust).
- Zbieranie a analyzovanie telemetrických dát z bezpečnostných nástrojov v celom prostredí pre rýchlu detekciu incidentov a reakciu na ne.
Európske zdravotnícke organizácie majú povinnosť dodržiavať nielen smernicu EÚ o bezpečnosti sietí a informačných systémov (NIS) pre kontinuitu služieb, ale tiež nariadenie GDPR o ochrane údajov, ako aj všetky miestne zákony a nariadenia.
Agentúra ENISA chce dosiahnuť, aby v každom členskom štáte vznikli špecializované tímy pre riešenie počítačových bezpečnostných incidentov (CSIRT). Dovtedy si však zdravotnícke organizácie musia poradiť samy. Bez stabilného IT zabezpečenia, na ktorom sa dá ďalej stavať, bude oblastné poskytovanie zdravotnej starostlivosti vždy vystavené napospas nebezpečným útočníkom.
Autor: tím Bezpečne na nete
Zdroj: WeLiveSecurity – Securing healthcare: An IT health check on the state of the sector