iStock
Cyber(nie)bezpieczeństwo
Redaktor: Krystian Lurka
Data: 07.12.2021
Źródło: HIMSS Healthcare Cybersecurity Survey, materiały prasowe
Ochrona zdrowia to jeden z najbardziej krytycznych sektorów usług publicznych, a presja cyberprzestępców na nią zwiększyła się – tak jest zarówno za granicą, jak i w Polsce.
W 2020 r., zgodnie z raportem HIMSS Cybersecurity Survey, aż 70 proc. placówek medycznych w USA doświadczyło poważnego incydentu bezpieczeństwa. Także ostatnie miesiące potwierdzają wzmożone zainteresowanie cyberprzestępców – o czym pisaliśmy w tekście pod tytułem „Hakerzy atakują zdrowie”. We wrześniu 2021 r. liczba ataków w porównaniu z 2020 r. zwiększyła się o 55 proc, a każdego tygodnia przestępcy atakują sektor zdrowia średnio 750 razy.
Ataki na systemy opieki zdrowotnej mogą być realizowane zarówno przy użyciu bezpośredniego dostępu do szpitalnej sieci WiFi, jak i z dowolnego miejsca na świecie. Motywacją dla ich autorów jest chęć kradzieży lub blokady danych, przede wszystkim danych pacjentów, informacji patentowych czy wyników badań naukowych. Potencjalne zagrożenie generuje presję na placówki zdrowotne – zwłaszcza szpitale, które muszą funkcjonować w trybie dwudziestu czterech godzin na dobę i siedmiu dni w tygodniu. Każda przerwa w ich działalności może mieć konsekwencje dla zdrowia i zagrażać życiu pacjentów.
Kryzys zdrowotny związany z COVID-19 pokazał, jak szpitale są narażone – między innymi na ryzyko cybernetyczne. To przekłada się na coraz większą skalę liczby ataków – cyberprzestępcy mają świadomość stosunkowo słabych zabezpieczeń oraz niewystarczającej wiedzy i świadomości zagrożenia wśród osób zaangażowanych w funkcjonowanie systemu opieki zdrowotnej.
– Skuteczność ataków cybernetycznych na placówki służby zdrowia wynika między innymi z faktu, że instytucje te nie posiadają odpowiednich zasobów IT, a ich pracownicy nie zawsze są świadomi cyberniebezpieczeństw. Wyzwaniem jest również brak świadomości wśród administratorów sieci, że celem ataku mogą być nie tylko stacje robocze i serwery, ale również każde inne urządzenie podłączone do sieci. Hakerzy mają świadomość specyfiki służby zdrowia i intensyfikują swoją działalność w tym sektorze – ocenił Piotr Zielaskiewicz, product manager Stormshield, europejskiego lidera branży bezpieczeństwa IT.
Wśród wektorów ryzyka charakterystycznych dla sektora zdrowia wymieniane są ataki losowe z wykorzystaniem tradycyjnych punktów dostępu, takich jak załączniki do wiadomości elektronicznych, linki i stosowane w różnych miejscach pamięci USB. W tym przypadku hakerzy działają niejako „na ślepo”. Jednakże coraz częściej mamy do czynienia z atakami celowanymi. W tym kontekście istotnym wydarzeniem było wprowadzenie obowiązku prowadzenia i wymiany dokumentacji medycznej drogą elektroniczną. Po wdrożeniu EDM wzrosło znaczenie i rola systemów informatycznych, za pomocą których gromadzone i przetwarzane są dane osobowe, w tym dane medyczne.
– Zwiększa się liczba metod, z wykorzystaniem których przestępcy mogą dostać się do systemów szpitali i innych placówek medycznych. Cel jest jasny: pozyskać i wykorzystać informacje lub sparaliżować pracę jednostki medycznej. Skutki ataku hakerskiego mogą być tak tragicznie, jak miało to miejsce w ubiegłym roku, gdy w Duesseldorfie zmarła pacjentka, która w wyniku blokady systemów szpitalnych przez hakerów nie otrzymała pomocy na czas – ocenił Aleksander Kostuch, inżynier Stormshield.
Eksperci zwrócili uwagę, że należy ocenić podatności i ryzyka związane z każdym elektronicznym elementem funkcjonowania szpitala. Ataki mogą mieć na celu kradzież wrażliwych danych, spowodowanie awarii systemów z bazami danych czy paraliżowanie urządzeń medycznych działających w sieci – rozruszników serca i systemów dostarczania leków. Dlatego warto mieć świadomość wszystkich słabych punktów infrastruktury sieciowej i korzystając z tej wiedzy, wprowadzać regularnie stosowne zabezpieczenia i procedury.
Podstawowym narzędziem zabezpieczającym jest oprogramowanie antywirusowe. Wadą bezpłatnych, ogólnodostępnych na rynku rozwiązań jest fakt, że najczęściej bazują na podstawowych narzędziach w zakresie programistycznym i otwartych kodach źródłowych. To powoduje zwiększoną podatność na zagrożenia sieciowe. Dlatego istotne jest, aby rozwiązania, z których szpital korzysta w obszarze cyberbezpieczeństwa, były certyfikowane, a także aby zapewniały ciągłość działania na wypadek awarii energetycznej czy prac serwisowych przy aktualizacji systemu operacyjnego – tzw. sprzętowy bypass. Zabezpieczenia powinny być blisko urządzenia medycznego, aby zniwelować wysokie ryzyko nieautoryzowanych modyfikacji jego parametrów czy wyłączenia.
– Należy zrobić wszystko, by zminimalizować potencjalne szkody, których mogą dokonać cyberprzestępcy. W przypadku szpitali oznacza to przede wszystkim wyizolowanie kluczowych elementów infrastruktury medycznej i skuteczne zabezpieczenie utworzonej w ten sposób sieci przed niepowołanym dostępem – ocenił Piotr Zielaskiewicz, a Aleksander Kostuch dodał, że „najczęstszą wadą wykorzystywana przez hakerów jest brak segmentacji systemu”. – W takiej sytuacji po przechwyceniu dostępu do sieci medycznej można dostać się do zasobów administracyjnych szpitala – zauważył.
Z kolei podstawową linią obrony przed ransomware, jednym z najczęściej stosowanych typów ataku, obok poprawnie skonfigurowanej ochrony sieci szpitalnej na przykład z wykorzystaniem urządzeń typu Next Generation Firewall, jest aktualny i co istotne działający backup. Innymi elementami niesprzyjającymi poprawnej konfiguracji zabezpieczeń są zaniedbania i niedofinansowanie IT. W raporcie brytyjskiego Narodowego Biura Kontroli wykazano, że na większości sprzętu zaszyfrowanego w wyniku największego w historii ataku ransomware – WannaCry – zainstalowane były systemy operacyjne Windows 7, które nie są już objęte ochroną producenta. Taka sytuacja to zaproszenie dla przestępców, którzy zaatakowali ponad 230 tys. komputerów z systemem Windows na całym świecie, w tym liczne należące do agend rządowych i szpitali.
– Z myślą o zagrożeniu ransomware ważne jest duplikowanie danych na różnych dyskach, posiadanie odpowiednich procedur backupu, a także stworzenie reguł postępowań prewencyjnych oraz kryzysowych, pozwalających wyeliminować ryzyko ataku lub wycieku danych – podkreślił Piotr Zielaskiewicz.
– Chociaż wciąż jedynie stosunkowo niewielka liczba jednostek służby medycznej doznała ataków, to niebezpieczeństwo jest bardzo realne. Myślę, że wszyscy lekarze zgadzają się z tym, że profilaktyka jest zawsze tańsza niż leczenie. Dlatego kwota przeznaczona na dobre zabezpieczenie oraz utrzymanie infrastruktury IT i tak będzie mniejsza niż straty, których doświadczymy w wyniku cyberataku – podsumował ekspert.
Ataki na systemy opieki zdrowotnej mogą być realizowane zarówno przy użyciu bezpośredniego dostępu do szpitalnej sieci WiFi, jak i z dowolnego miejsca na świecie. Motywacją dla ich autorów jest chęć kradzieży lub blokady danych, przede wszystkim danych pacjentów, informacji patentowych czy wyników badań naukowych. Potencjalne zagrożenie generuje presję na placówki zdrowotne – zwłaszcza szpitale, które muszą funkcjonować w trybie dwudziestu czterech godzin na dobę i siedmiu dni w tygodniu. Każda przerwa w ich działalności może mieć konsekwencje dla zdrowia i zagrażać życiu pacjentów.
Kryzys zdrowotny związany z COVID-19 pokazał, jak szpitale są narażone – między innymi na ryzyko cybernetyczne. To przekłada się na coraz większą skalę liczby ataków – cyberprzestępcy mają świadomość stosunkowo słabych zabezpieczeń oraz niewystarczającej wiedzy i świadomości zagrożenia wśród osób zaangażowanych w funkcjonowanie systemu opieki zdrowotnej.
– Skuteczność ataków cybernetycznych na placówki służby zdrowia wynika między innymi z faktu, że instytucje te nie posiadają odpowiednich zasobów IT, a ich pracownicy nie zawsze są świadomi cyberniebezpieczeństw. Wyzwaniem jest również brak świadomości wśród administratorów sieci, że celem ataku mogą być nie tylko stacje robocze i serwery, ale również każde inne urządzenie podłączone do sieci. Hakerzy mają świadomość specyfiki służby zdrowia i intensyfikują swoją działalność w tym sektorze – ocenił Piotr Zielaskiewicz, product manager Stormshield, europejskiego lidera branży bezpieczeństwa IT.
Wśród wektorów ryzyka charakterystycznych dla sektora zdrowia wymieniane są ataki losowe z wykorzystaniem tradycyjnych punktów dostępu, takich jak załączniki do wiadomości elektronicznych, linki i stosowane w różnych miejscach pamięci USB. W tym przypadku hakerzy działają niejako „na ślepo”. Jednakże coraz częściej mamy do czynienia z atakami celowanymi. W tym kontekście istotnym wydarzeniem było wprowadzenie obowiązku prowadzenia i wymiany dokumentacji medycznej drogą elektroniczną. Po wdrożeniu EDM wzrosło znaczenie i rola systemów informatycznych, za pomocą których gromadzone i przetwarzane są dane osobowe, w tym dane medyczne.
– Zwiększa się liczba metod, z wykorzystaniem których przestępcy mogą dostać się do systemów szpitali i innych placówek medycznych. Cel jest jasny: pozyskać i wykorzystać informacje lub sparaliżować pracę jednostki medycznej. Skutki ataku hakerskiego mogą być tak tragicznie, jak miało to miejsce w ubiegłym roku, gdy w Duesseldorfie zmarła pacjentka, która w wyniku blokady systemów szpitalnych przez hakerów nie otrzymała pomocy na czas – ocenił Aleksander Kostuch, inżynier Stormshield.
Eksperci zwrócili uwagę, że należy ocenić podatności i ryzyka związane z każdym elektronicznym elementem funkcjonowania szpitala. Ataki mogą mieć na celu kradzież wrażliwych danych, spowodowanie awarii systemów z bazami danych czy paraliżowanie urządzeń medycznych działających w sieci – rozruszników serca i systemów dostarczania leków. Dlatego warto mieć świadomość wszystkich słabych punktów infrastruktury sieciowej i korzystając z tej wiedzy, wprowadzać regularnie stosowne zabezpieczenia i procedury.
Podstawowym narzędziem zabezpieczającym jest oprogramowanie antywirusowe. Wadą bezpłatnych, ogólnodostępnych na rynku rozwiązań jest fakt, że najczęściej bazują na podstawowych narzędziach w zakresie programistycznym i otwartych kodach źródłowych. To powoduje zwiększoną podatność na zagrożenia sieciowe. Dlatego istotne jest, aby rozwiązania, z których szpital korzysta w obszarze cyberbezpieczeństwa, były certyfikowane, a także aby zapewniały ciągłość działania na wypadek awarii energetycznej czy prac serwisowych przy aktualizacji systemu operacyjnego – tzw. sprzętowy bypass. Zabezpieczenia powinny być blisko urządzenia medycznego, aby zniwelować wysokie ryzyko nieautoryzowanych modyfikacji jego parametrów czy wyłączenia.
– Należy zrobić wszystko, by zminimalizować potencjalne szkody, których mogą dokonać cyberprzestępcy. W przypadku szpitali oznacza to przede wszystkim wyizolowanie kluczowych elementów infrastruktury medycznej i skuteczne zabezpieczenie utworzonej w ten sposób sieci przed niepowołanym dostępem – ocenił Piotr Zielaskiewicz, a Aleksander Kostuch dodał, że „najczęstszą wadą wykorzystywana przez hakerów jest brak segmentacji systemu”. – W takiej sytuacji po przechwyceniu dostępu do sieci medycznej można dostać się do zasobów administracyjnych szpitala – zauważył.
Z kolei podstawową linią obrony przed ransomware, jednym z najczęściej stosowanych typów ataku, obok poprawnie skonfigurowanej ochrony sieci szpitalnej na przykład z wykorzystaniem urządzeń typu Next Generation Firewall, jest aktualny i co istotne działający backup. Innymi elementami niesprzyjającymi poprawnej konfiguracji zabezpieczeń są zaniedbania i niedofinansowanie IT. W raporcie brytyjskiego Narodowego Biura Kontroli wykazano, że na większości sprzętu zaszyfrowanego w wyniku największego w historii ataku ransomware – WannaCry – zainstalowane były systemy operacyjne Windows 7, które nie są już objęte ochroną producenta. Taka sytuacja to zaproszenie dla przestępców, którzy zaatakowali ponad 230 tys. komputerów z systemem Windows na całym świecie, w tym liczne należące do agend rządowych i szpitali.
– Z myślą o zagrożeniu ransomware ważne jest duplikowanie danych na różnych dyskach, posiadanie odpowiednich procedur backupu, a także stworzenie reguł postępowań prewencyjnych oraz kryzysowych, pozwalających wyeliminować ryzyko ataku lub wycieku danych – podkreślił Piotr Zielaskiewicz.
– Chociaż wciąż jedynie stosunkowo niewielka liczba jednostek służby medycznej doznała ataków, to niebezpieczeństwo jest bardzo realne. Myślę, że wszyscy lekarze zgadzają się z tym, że profilaktyka jest zawsze tańsza niż leczenie. Dlatego kwota przeznaczona na dobre zabezpieczenie oraz utrzymanie infrastruktury IT i tak będzie mniejsza niż straty, których doświadczymy w wyniku cyberataku – podsumował ekspert.
