Proč právě zdravotnická zařízení?

Zajímavé závěry přinesla studie Healthcare Environmental Security Scan Report od neziskové organizace HIMSS. Z nich vyplývá, že pravděpodobnost ovlivnění pokročilým malwarem je u zdravotnických zařízení 4x vyšší než v jiných odvětvích. A není divu, podle odhadů se na černém trhu platí za zdravotnické záznamy pacientů 10x až 20x více než za čísla kreditních karet. Důvodem k vysokým platbám je další možné využití získaných dat k podvodům či krádežím identity. Ponemon Institut odhaduje, že ztráta nemocnic způsobená kybernetickými útoky dosahuje částky 6,2 miliardy dolarů ročně. Během práce na studii Cisco Midyear Cybersecurity Report jsme se zaměřili i na zdravotnická zařízení a zjistili jsme, že se zde častěji vyskytují:

• Situace, kdy jednotliví zaměstnanci sdílí svá hesla a mnoho z nich má nastavený účet s vysokým stupněm oprávnění, ačkoliv je k práci nepotřebují.
• Nedostatečně zabezpečené přihlašování, které umožňuje jednoduchou detekci hesel.
• Webové aplikace se zranitelnostmi z dokumentu OWASP top 10.
• Aplikace a operační systémy, na kterých nejsou nainstalovány aktuální patche.

Jak může takový útok vypadat?

V současné době pozorujeme, že zdravotnická zařízení bývají napadena třemi kmeny ransomwaru: Powerware, Maktub Lockers a SamSam. První dva jmenované využívají především phishingových kampaní a podvodných e-mailů. Poslední typ ransomwaru, SamSam, necílí přímo na uživatele. Zaměřuje se na sítě a díky tomu také častěji požaduje vyšší výkupné. Jednou z nejrozšířenějších metod, jak útočníci ransomware do sítě dostanou, je využívání open-source nástroje JexBoss. Prostřednictvím něj dokážou monitorovat aplikační servery Jboss. Díky tomuto monitoringu útočníci zjistí, zda je zařízení zranitelné vůči některému exploitu, který této zranitelnosti využívá. Poté, co se do sítě dostane, nahraje útočník webshell postavený na technologii JavaServer Pages a nahraje nástroj, jako je „regeorg“, který umožní další kompromitování systému. Tato technika se nazývá „pivoting“.

Ucelený koncept řešení, ale i základní prevence

Jak se chovat, pokud se staneme obětí ransomwaru? Pravidlo číslo 1 zní: Neplatit! Neexistuje totiž jistota, že útočník data skutečně odšifruje. Kontaminovaná data navíc mohou být změněna. Kromě toho zaplacením výkupného podporujete zločin, což v některých státech může být trestné. Minimalizaci škod zajistíte především pravidelným zálohováním dat na úložiště, které není se sítí spojené. Samozřejmě nejlepší taktikou je mít ucelený koncept ochrany zahrnující v sobě jednotlivá bezpečnostní řešení. Ten zahrnuje:

• Firewally kontrolující komunikaci podle nastavených pravidel.
• Prvky pro ochranu před průnikem do interní sítě organizace porovnávají aktuální provoz se signaturami známých zranitelností a blokují provoz, který byl na základě takových signatur vyhodnocen jako škodlivý.
• Nástroj pro ochranu webového provozu kontroluje provoz z a do webového prostředí, funguje jako proxy brána a umožňuje nastavení bezpečnostních politik pro komunikaci s webovými servery.
• Bezpečnostní brána (či cloudová služba) pro ochranu e-mailového provozu kontroluje příchozí i odchozí e-mailový provoz.
• Nástroj pro ochranu před malwarem má za úkol obvykle prevenci, detekci, blokaci a také retrospektivní analýzu souborů.
• Řešení pro ochranu komunikace na DNS servery s efektivní ochranou před zneužitím DNS. Přes 92 % dnešních malwarových kampaní potřebuje ke svému šíření DNS a takové řešení například ve formě cloudové služby dokáže tyto DNS požadavky schvalovat či blokovat.

Pouze několik málo zdravotnických zařízení si může dovolit specializovaný bezpečnostní IT tým, a proto by měla dbát na zlepšení bezpečnostní hygieny sítě, aktivně ji monitorovat, vzdělávat své zaměstnance v oblasti kybernetické bezpečnosti a vytvořit si plán reakce na incidenty.

Milan Habrcetl Autor článku je Security Account Managerem ve firmě Cisco.