foto: www.anect.com/Ivan Svoboda, poradce ANECT, a.s.
Nedávné případy napadení počítačových sítích nemocnic v Brně a Benešově zatím přehlušily informace o covid-19. neznamená to, že toto nebezpečí zmizelo. Naopak – hackeři jsou stále rafinovanější a ochrana před nimi bude vždycky o krok pozadu.
Co může nemocnice udělat preventivně? Zeptali jsme se odborníka, Ivana Svobody, poradce společnosti ANECT, a.s.:
Loni postihly útoky hackerů dvě velké nemocnice. Co zanedbaly?
To není úplně snadná otázka vzhledem k tomu, že v Čechách zatím není zvykem zveřejňovat úplně detailní výsledky vyšetřování, na rozdíl třeba od praxe v USA, kde je podrobné vyšetřování vcelku běžné. Navíc musíme upozornit, že je v jednotlivých kauzách obrovské množství odlišností:
- Nešlo pouze o jeden typ útoku, ale hned o několik různých typů.
- Zadruhé, a to je asi podstatnější, se naprosto zásadně liší detailní specifika existující bezpečnostní architektury v každé nemocnici (např. jaké bezpečnostní nástroje a jaké procesy a další opatření měly jednotlivé nemocnice skutečně v provozu).
Skutečně systémové řešení bezpečnosti pro nemocnice ale není jednoduché. Jde o komplexní projekt, kde je potřeba smysluplně provázat několik desítek až stovek jednotlivých opatření technického či organizačního typu. Ve větších nemocnicích jde tedy o projekt na několik let čítající s rozpočtem v řádech desítek či stovek milionů.
Jak se vyčíslují škody, které nemocnice později uvádějí?
Existuje hned několik metodik, jak škody po kybernetických útocích vyčíslit. Bohužel, ve většině případů, v nichž je vůbec škoda veřejně určena, se jedná pouze o výpočet „ušlého zisku“, tedy
o ztráty způsobené přerušeným provozem a veškerými neprovedenými výkony.
Ve skutečnosti by korektní určení všech škod mělo brát do úvahy celou řadu dalších dopadů, které jsou v součtu ještě vyšší. Můžeme použít například výsledky pravidelné celosvětové studie, která se právě výpočtem dopadů zabývá. Statistiky ukazují, že samotná ztráta byznysu tvoří v průměru cca 40 % všech nákladů (tam spadá právě přerušený provoz a výroba, ztráta zákazníků kvůli jejich nedůvěře apod.). Další typy nákladů, které dohromady tvoří zbylých 60 %, zahrnují např.:
- Fáze incident response (služby expertních týmů zapojených do vyšetřování, nebo do samotného zastavování a likvidace následků incidentu)
- Notifikace (náklady na komunikaci a zasílání zpráv nejen regulátorům, ale hlavně všem dotčeným subjektům údajů)
- Ex-post náklady (například pokuty od regulátorů, platby postiženým klientům, vydávání nových karet apod.)
Rozvíjí se online medicína, telemedicína a další obory. Jaký je vliv těchto nových trendů na kybernetická rizika?
Všechny tyto moderní trendy a technologie s sebou nesou zároveň tři aspekty:
- Velké úspory, zrychlení a zvýšení komfortu pro pacienty.
- Zároveň ale otevírají nové cesty pro útočníky, jak mohou ohrozit pacienty, nebo poskytovatele péče.
- A navíc, často přichází s pouze minimální úrovní integrované bezpečnosti.
Může vaše společnost nabídnout ochranu a podporu i menším provozovatelům, soukromým lékařům?
K vaší otázce je nutno uvést několik specifik. Jak jsem již uvedl, pořádné systémové řešení bezpečnosti je dosti složitou disciplínou, která je pro menší společnosti často složitě realizovatelná,
a to především kvůli nedostatečným lidským zdrojům a neefektivitě pořizování složitých bezpečnostních nástrojů. Nejefektivnějším přístupem pro tyto organizace je tedy kombinace dvou metod:
- Konsolidované (společné) využívání specializovaných bezpečnostních nástrojů.
- Zároveň využití outsourcingu chybějících lidských zdrojů (bezpečnostních expertů).
Tyto dvě metody například kombinujeme v podobě služeb SOCA, což je de-facto dodávka bezpečnosti jako služby.
Pokud hacker zcizí data, jak je může zneužít, komu je prodat a co
z toho za nebezpečí může vyplynout klientovi?
Kybernetický útok a následné zneužití dat může mít mnoho různých podob. Nejčastější případ v posledních letech je zašifrování vašich vlastních dat a požadování výkupného. Musíme ale upozornit, že ani zaplacení výkupného (které nedoporučujeme), není zárukou řešení problému. Zaprvé, hacker vám nemusí šifrovací klíč vůbec dát (platba vždy probíhá předem, a musíte tedy „věřit podvodníkovi“). Zadruhé, může si ve vašich systémech ponechat tajná „vrátka“ a po čase se vrátit a data zašifrovat znovu. Zatřetí, v poslední době se rozmáhá několikanásobné vydírání, kdy vám hacker data jednak zašifruje, ale zároveň také odcizí, a vyhrožuje potom i zveřejněním jejich citlivých částí. Nejčastější případ je vyhrožování zveřejněním citlivých fotografií – například z plastické chirurgie.
Krom toho funguje i černý trh, kde se obchoduje s ukradenými osobními údaji, které jsou následně zneužívány k masovým či cíleným útokům přímo na fyzické osoby (pacienty). Jde například
o spam, phishing a další typy útoků a podvodů.
Chráníte i údaje zdravotních pojišťoven?
Ano, samozřejmě, zdravotní pojišťovny jsou také našimi zákazníky. Jejich specifikem je pozice, která kombinuje přesah do zdravotního sektoru a zároveň do finančního a pojišťovacího. V jejich systémech je tedy potřeba chránit bezpečí nejen zdravotních údajů, ale i finančních toků.
Co vše zahrnuje komplexní služba, kterou nabízíte – musí mít nemocnice nebo centrum již nějaké technické zařízení, nebo lze dodat řešení na klíč?
Máme připravena různá řešení pro nejrůznější typy a velikosti zákazníků.
Pro ty největší, například fakultní nemocnice, dodáváme řešení individuálně projektovaná dle jejich situace a požadavků. Jedná se většinou o dodávky mnoha specializovaných bezpečnostních nástrojů, včetně zajištění jejich provozu a podpory.
Naopak u těch středních a menších musíme většinou počítat s tím, že bude zájem spíše o využívání „dodávky bezpečnosti jako služby“ bez větších investičních nákladů. V podstatě každá nemocnice již má nějaké existující bezpečnostní nástroje. Součástí úvodní bezpečnostní analýzy je pak i posouzení efektivity těchto nástrojů. Často se bohužel setkáváme s tím, že i kdysi pořízený kvalitní nástroj, ale s nedostatečnou instalací a konfigurací, nebo s nedostatečnou údržbou a bez aktualizací, poskytuje pouze falešný pocit jistoty, a je tedy spíše kontraproduktivní. Jsme připraveni i na to, že ve finále může být výhodnější poskytnout nové nástroje jako součást služby.
Může s možnostmi ochrany počítat i klient, který si stáhne aplikaci, jejímž prostřednictvím komunikuje s lékařem?
My konkrétně nedodáváme žádné specializované medicínské aplikace, ale rozhodně bych doporučil vždy vybírat pouze takové aplikace, které splňují podobné bezpečnostní parametry, jako například bankovní aplikace. Pro ověřování kvality bezpečnosti byste měli požadovat nejen doklady od dodavatele, ale navíc si pravidelně dělat i důkladné nezávislé testy, například skenování zranitelností či penetrační testy. Toto jsou služby, které pro zákazníky rutinně poskytujeme v rámci služeb SOCA.
Můžete pomoci chránit data i při registraci na očkování a podobně?
Ano, různé registrační systémy přináší ještě další specifická rizika, která známe například z e-shopů a dalších portálů, jež jsou otevřeny široké veřejnosti. Jedná se například o zajištění vysoké dostupnosti, ochranu před útoky typu DDoS („zahlcení“ serverů), ochranu před podvody, krádežemi identity nebo před automatizovanými útoky botnetů apod.
Autor: Jan HOVORKA
Foto: www.anect.com
Ivan Svoboda, poradce pro kybernetickou bezpečnost společnosti ANECT a.s.