foto: www.acresia.com/Luděk Nezmar ACRESIA
Pořád ještě je mediální prostor zahlcen jediným tématem – pandemie. Neměli bychom ale zapomínat na nebezpečí, která se již projevila a projevovat budou. Bezpečnost informačních systémů nemocnic je téma citlivé, a asi dlouhodobé.
Týká se i komunikace s veřejností: Jak sdělit pacientům, že jejich data jsou odcizena, co udělat, aby se tak příště nestalo. Uklidnění veřejnosti je většinou úkolem komunikačních manažerů. Ti ale musí vědět, co se vlastně stalo, jak situaci řešit a co s podobnými útoky dál. K tomu pomáhají odborně specializované firmy. O rozhovor jsme požádali majitele jedné z nich (Acresia Consulting, s.r.o.), odborníka na kybernetickou bezpečnost a předsedu Asociace pověřenců České republiky, Ing. Mgr. Luďka Nezmara, MBA.
Před časem byly tvrdě napadeny nemocnice v Benešově a v Brně. Jak se útok konkrétně projevil?
Jedna věc je, jak se projevil útok a druhá - proč vůbec byl úspěšný. Nejprve k té úspěšnosti. Hackeři byli úspěšní, protože se jako obvykle projevili dvě největší slabiny. Jednak samotní zaměstnanci nemocnice a jednak nevhodně vystavěná a zabezpečená infrastruktura IT sítě. Zaměstnanci jsou nepoučitelnou skupinou uživatelů a klikají na každý odkaz, který se jim objeví v emailu. Jedinou možnou prevencí v této oblasti jsou nekonečná školení a vzdělávání.
Vhodným způsobem je simulace phishingu, kdy rozešleme zaměstnancům phishingové emaily a v reálu pak můžeme zjistit, kdo je tím neopatrným, a identifikovat největší hříšníky spolu s hrozbami. Druhou částí je samotná obrana před útočníky, například nastavení procesů dle ISO 27001, tedy řízení bezpečnosti informací a ISO 27701, řízení bezpečnosti soukromí. Dopady, které veřejnost zaznamenala, byly katastrofální, několik týdnů nefunkční nemocnice, obrovské finanční ztráty, poškození důvěry a dobrého jména, nemluvě o zdravotním riziku pro některé pacienty. Bohužel, vedení si obvykle důležitost a prioritu kybernetické bezpečnosti uvědomí až po útoku.

Je vůbec možné nastavit ochranu systému, aby plánovanému útoku odolala?
Ano, možné to je. Základem je respektovat elementární pravidla kybernetické bezpečnosti, nastavit procesy nakládání s informacemi, vhodně nastavit infrastrukturu a nikdy nezapomenout na zálohování. Zde zdůrazním funkční zálohování, kdy jsou zálohy pravidelně ověřovány, existují reálné scénáře obnovy dat, tedy tzv. Data recovery plans. Nesmí být opomenuto vzdělávání zaměstnanců, ale opět reálné vzdělávání. Jen odklikat e-learningový kurz a formálně si udělat čárku nemá smysl. Doporučil bych zavedení ISMS - tedy řízení bezpečnosti informací, v našem prostředí nejlépe dle zákona o kybernetické bezpečnosti, případně dle ISO norem. ISO normy jsou rozsáhlejší a obvykle aktuálnější. Není od věci provést penetrační testy, tedy řízený pokus o narušení bezpečnosti a ověření zranitelností systému.
Kdo by se měl v krajské nebo státní nemocnici postarat o bezpečnost dat a IT - outsourcovaná firma, stálý pracovník, specialista z instituce státní správy...?
V tomto směru záleží spíše na rozpočtu daného zařízení. Ne každá nemocnice si může na plný úvazek dovolit zaměstnávat specialisty. Řekl bych, že více než na formě, záleží na znalostech a zkušenostech těch osob, které se o bezpečnost mají postarat. Podstatnou věcí je ochota vrcholového managementu naslouchat těmto odborníkům, protože bezpečnost není pohodlná. Velmi často jsou bezpečnostní opatření a procesy vnímány jako zdržování od podstatných věcí, zbytečná "buzerace" uživatelů a podobně. Pokud není jasná a viditelná podpora vedení, vždy je jen otázkou času, kdy dojde k selhání.
Pokud útočník ukradne data, jak je může "zobchodovat"?
Velmi výhodně. Na světě jsou data o zdraví jedna z nejdražších. Podle zprávy Trustwave může být jeden záznam údajů o zdravotní péči na černém trhu oceněn až 250 USD, ve srovnání s 5,40 USD za záznam s druhou nejvyšší hodnotou (platební karta). Právě kvůli lákavému peněžnímu zisku je klíčové, aby tato bezpečnostní hrozba nebyla
IT profesionály ve zdravotnictví podceňována a byla přijata opatření k ochraně těchto dat. Velmi často jsou tato data obchodována na Dark webu. Dalším aspektem je pak cena za obnovu těchto dat, která stoupá každým rokem. Náprava porušení údajů ve zdravotnictví má vysokou cenu - v průměru až 7,13 milionu dolarů. To je o více než 10% více než v loňském roce, kdy průměrné porušení dat stálo zdravotnické organizace 6,45 milionu USD, alespoň tak to uvádí zpráva IBM Security 2020.
Co všechno vlastně může být ukradeno, nebo spíš vyvedeno z databází?
Nejbezpečnější jsou ta data, která neexistují. Vše ostatní nejen, že může být ukradeno, ale také ukradeno bude, je jen otázkou kdy a kým. Zdravotnická data mají cenu pro celou řadu hráčů - farma průmysl, pojišťovny, stát, konkurenci, ale třeba také novináře, když pasou po senzaci o známé osobě. Kromě samotných zdravotních dat pacientů jsou obvykle ukradeny i adresní a kontaktní údaje, údaje o rodinných příslušnících, ale také třeba hesla a přístupy do systémů. Bohužel většina lidí si neuvědomuje, jak důležité je používat různá hesla k různým aplikacím. Mít jedno jediné heslo, které všude používám je prostě naivní hloupost.
Jsou ve světě příklady masívního napadení nemocnic?
Nemusíme chodit nikam do světa, je již celá řada příkladu z tuzemska. Benešovskou nemocnicí počínaje a brněnskou Sv. Annou konče. Ve spojení s pandemií množství útoků na zdravotnická zařízení přibývá a zvyšuje se jejich sofistikovanost. Cena, kterou jsou provozovatelé ochotni zaplatit za znovu zprovoznění nemocnice je mnohem vyšší, než u většiny ostatních provozů. Obecně prudce vzrostl počet útoků zejména na kritickou infrastrukturu, protože pokud tam je nejvyšší předpoklad vysokého zisku pro hackery. Příkladem může být úspěšný útok na UVM Health Network, který infikoval 5 000 počítačů a společnost a stál více jak 63 milionů USD, nebo útok z 26. října minulého roku, kdy ransomware Ryuk zasáhl 6 nemocnic v USA. V reakci na tento útok nedotčené systémy nemocnic USA přijaly preventivní opatření v podobě vypnutí emailové komunikace. Po jiném útoku z 27. září se stovky zdravotnických zařízení v USA vrátily k tužce a papíru.
Jak pracovníci nemocnice zaznamenají první známky napadení?
Většinou se nejedná o jeden konkrétní den, kdy dojde k napadení. Nejběžnější způsob je zasílání různých emailů s odkazy nebo přílohami. Pokud dotyčnou přílohu otevřete a tím spustíte skript nebo kliknete na odkaz uvedený v mailu, tak většinou spustíte ransomware, který zašifruje data na počítači, případně počítačích v celé propojené síti. Pak už se jen objeví obrazovka s informací, kam poslat výkupné po jehož zaplacení v lepším případě dostanete heslo k odšifrování. První známky, že něco není v pořádku poznáte už z emailové hlavičky, kdy název kontaktu neodpovídá rozumné emailové adrese. Další znakem je citelné zpomalení počítače nebo komunikace. Ne vždy musí mít napadení podobu ransomwaru, skript může například nainstalovat těžební software kryptoměny a uživatel nic nepozná, kromě výrazného zpomalení odezvy počítače.
Může být narušena i třeba vnitřní komunikace, například emergency s posádkami IZS a podobně?
Samozřejmě za určitých okolností může. Záleží na konkrétním technickém řešení. V zásadě lze říci, že kdekoliv je procesor vykonávající příkazy, tak do něj mohu nahrát svůj skript a donutit tak zařízení jednat dle mého přání. Nebezpečné jsou třeba tiskárny s USB portem. Všechny současné tiskárny jsou počítačem samy o sobě a mohou sloužit jako zdroj šíření škodlivého softwaru, nahraného právě přes nezabezpečený USB port dále do sítě.
Co jsou první kroky, které nemocnice musí udělat?
Zmapovat procesy a aktiva, která jsou pro chod zařízení důležitá. Pak následuje ohodnocení, nejlépe finanční, kolik by stálo znefunkčnění procesu nebo aktiva. Na základě stanovení výše případné ztráty a výše rizika takové události pak lze rozumně stanovit případná opatření. Opatření by vždy měla být v korelaci s dopadem hrozby. Je nesmysl kupovat nové drahé zařízení, když mohu jeho bezpečnost zajistit novým zámkem do dveří. Na druhou stranu ne bezpečnosti šetřit se zjevně nevyplácí, takže postupovat se zdravým rozumem.
Autor: JAN HOVORKA
Foto: www.acresia.com