Martinská univerzitná nemocnica zažila masívny kybernetický útok. Patrí medzi najväčšie na Slovensku, má množstvo špecializovaných pracovísk a v brandži je uznávaná za svoju afinitu k digitalizácii. V prípade úspešného útoku hrozí kolaps národných rozmerov.
Môžete si vydýchnuť. Tento phishingový útok bol iba test.
Poháňa ich zodpovednosť
„V zdravotníctve predstavuje najväčšie riziko strata a odcudzenie pacientskych údajov,“ upozorňuje Ivan Kocan, riaditeľ Univerzitnej nemocnice Martin. A hneď dodáva, že výpadok informačných systémov, prípadne ich dysfunkcia ohrozujú pacientov a zhoršujú prácu zamestnancom vytváraním zbytočných stresových situácií.
Preto ako štatutár vníma Ivan Kocan potrebu riešenia kyberbezpečnosti nielen kvôli legislatívnym povinnostiam, „ale aj v kontexte dnešnej doby, keď sa zväčšujú riziká pre zamestnanca a pacienta. Našou úlohou je tieto riziká predvídať a minimalizovať“.
Nerozprávajte, robte
Rýchlosť je významný faktor v kyberbezpečnosti a zdá sa, že lepšie to využívajú útočníci. Žijeme v dobe, keď umelá inteligencia rýchlejšie urobí phishingový útok, ako sa vo väčšine organizácií dohodne manažér kybernetickej bezpečnosti s vedením.
Martinskí zdravotníci preto nelenili a vybrali si na phishingový test platený nástroj. Chceli kvalitný priebeh a dobrý report. Nasledovala analýza prostredia, vytypovanie účastníkov testu, výber vhodného termínu a vytvorenie obsahu phishingových e-mailov.
Ako sa robí útok
V deň D dostali zamestnanci administratívy mail, že v zdieľanom súbore si môžu pozrieť mimoriadne odmeny. Stačí zadať osobné údaje. Ruku na srdce – kto by nebol zvedavý? Doručených bolo 189 správ a priložený odkaz použila takmer tretina používateľov a tretina z nich zadala prihlasovacie údaje. Niektorí používatelia aj viackrát. Správne zareagovalo iba desať používateľov.
Prvé varovanie
Schválne – viete, aký je rozdiel v adrese UNM a UMN? Cena za kybernetický útok.
Prvým podozrivým znakom emailovej správy je adresa odosielateľa. Stačí prehodiť jedno písmenko v poradí a už sa stáva z bežného mailu útočný. Meno reálneho odosielateľa sa dá totiž zistiť z verejných zdrojov, ako je telefónny zoznam alebo faktúry na webe. A uvedené telefónne číslo zvyšuje dôveryhodnosť e-mailu.
Druhé varovanie
Ďalším znakom phishingových správ je naliehanie na používateľa, že je v časovej tiesni. V tomto prípade to bola informácia, že ak používateľ súbor neotvorí do 96 hodín, vymaže sa.
Ak vás e-mail motivuje niečo stiahnuť, zbystrite. Aspoň chvíľku sa zamyslite, či je príloha alebo zdieľaný súbor relevantný pre pracovnú pozíciu používateľa.Ak už odkaz presmeruje používateľa na úložisko, opäť treba skontrolovať adresu. Žiadne gramatické patvary či generátory názvov tu nemajú miesto.
A nikdy, úplne nikdy nezadávajte osobné údaje, prístupové heslá a čísla platobnej karty.
Podozrenie potvrdené
Používatelia, ktorí správne reagovali v phishingovom teste, dostali odmenu. Symbolickú, ale keby išlo o skutočný útok, zachránili by životy. Pričom pripomíname, že išlo o zamestnancov administratívy. Zdravotnícki zamestnanci mali „svoj“ phishingový test.
„Test potvrdil, že jednou zo slabín systému je samotný zamestnanec, preto chceme ďalej pokračovať v edukácii zamestnancov, ako takýmto hrozbám čeliť,“ hovorí Ivan Kocan.
Po teste evidujú administrátori v martinskej nemocnici zvýšený počet hlásení. Súčasne zaviedli školenie kybernetickej bezpečnosti pre nových zamestnancov, implementujú e-learning a začínajú všeobecnú informačnú kampaň v internom newslettri.
Smutné prvenstvo
Phishing je v globálnom hodnotení najčastejší spôsob úvodného útoku v zdravotníctve. Zodpovedá za 16 percent všetkých únikov dát. Hlási to výročná správa prestížneho Ponemon Institute, ktorá monitoruje náklady spojené s únikom dát.
Správa opätovne potvrdzuje, že porušenie ochrany údajov v zdravotníctve patrí medzi najnákladnejšie. Priemerné náklady spojené s porušením sú tu najvyššie zo všetkých odvetví. Výdavky rastú už 13 rokov za sebou, pričom za posledné tri roky sa zvýšili o 53 percent
Rekord, ktorý nikto nechce
Podľa štatistík trvá až 231 dní, kým prevádzkovateľ v zdravotníctve identifikuje narušenie ochrany dát, čo je viac ako priemer. Zároveň zdravotníci zažijú dlhšie obdobia obmedzenia ako následky útoku – priemerne 92 dní v porovnaní so 73 v iných odvetviach.
„Len za prvých deväť mesiacov tohto roka čelila jedna zdravotnícka organizácia v globále až 1 613 kyberútokom týždenne, pričom útoky sú multifaktorové a vysoko komplexné,“ varuje Tomáš Vobruba z Check Point Software Technologies. Problémom zdravotníctva na Slovensku je veľa zariadení a rôzneho softvéru, a tým aj potreba rôznych špecialistov. Ítečkári pritom riešia aj servis tlačiarní, zabudnuté heslá, aktualizácie softvéru a na bezpečnosť im zostáva málo času.
Opatrenie na dosah
Július Selecký z Esetu hovorí, že kedysi chodili po príklady kyberútokov do sveta, dnes si už vystačíme aj na Slovensku: „Zdravotníctvo vnímame ako najviac ohrozený sektor.“
Toho roku doplnili malý kúsok do bezpečnostnej skladačky, čo definitívne potvrdzuje trend od produktov a riešení k službám kybernetickej bezpečnosti. V riešeniach Esetu sa už nachádza nástroj na vyhľadávanie zraniteľností a ich zaplátanie.
Účinná ochrana môže byť aj systém, ktorý pošle do laboratória vzorku hrozby. Tam sa cielene „nakazia“, analyzujú vzorku a zákazníkovi pošlú report, ktorý môže použiť v správe alebo v hlásení. Pri ochrane sa dá spoliehať už iba na súbor technológií, kde je ťažisko na rýchlosti a komplexnosti. Výhodou riešenia je, že technológie sú integrované a netreba ďalšie inštalácie.
Čo ďalej
Väčšie zdravotnícke zariadenia sa už pozerajú po službe externého SOC-u, čiže Strediska bezpečnostných operácií. Pre mnohé organizácie je totiž nemožné najať dostatok kyberbezpečnostných odborníkov, nehovoriac o výške investícií či zdĺhavom obstarávaní technológií, aby si vlastný SOC postavili.
SOC prepája bezpečnostný a prevádzkový monitoring aktív a často umožňuje odhaliť anomálie a udalosti, ktoré by mohli vyústiť do kybernetického bezpečnostného incidentu ešte pred jeho vznikom. O kyberbezpečnosť v zdravotníctve sa čoraz intenzívnejšie zaujímajú nielen útočníci a národné autority, ale aj pacienti. A na to, aby bolo zdravotníctvo skutočne odolné, už iba antivírus nestačí.
Zdrojové informácie: prednášky na Kongrese Nemocničné informačné systémy 2023