Na jedné straně jsou nemocnice a zdravotnická zařízení lákavé cíle, na straně druhé je ale řada úspěšných útoků na ně pouze dílem náhody. Útočníci prostě prohledávají Internet na zranitelné systémy, a jakmile nějaký najdou, zaútočí. V ještě více náhodné podobě pak někdo klikne na e-mail, ve kterém je v příloze ransomware, a tím vyvolá doslova katastrofu.

Zároveň je ale potřeba upozornit na to, že i v té „náhodné“ skupině útoků si nemocnice nesou svůj díl – často patří mezi snadné cíle, protože se riziku „samy vystavují“. Zdravotnický sektor totiž dlouhodobě patří mezi ta odvětví, která mají doslova „smrtící kombinaci“:

• Zpracovávají nejcennější data (zdravotní údaje pacientů mají vyšší cenu než třeba data o platebních kartách).
• Úniky dat ve zdravotnictví mají ze všech sektorů největší finanční dopady.
• Naopak úroveň bezpečnosti vykazují velmi nízkou.
• Největší hrozbou se přitom můžou stát zaměstnanci – procento incidentů způsobených právě nepozorností zaměstnanců je v tomto sektoru celkem vysoké.

Aktuálně jsou s ohledem na koronavirovou epidemii pro hackery nejlákavější organizace věnující se vývoji vakcín, kde už byla zaznamenána řada úspěšných útoků z Číny i Ruska. Komplikací je i čerstvá zranitelnost v Microsoft Exchange Server, na kterou se zaměřilo několik velkých a zásadních hackerských skupin.

Rostoucí počty útoků i následné škody

Útoky na zdravotnická zařízení jsou na vzestupu a stejně tak tomu bude i letos. Potvrzuje to i společnost CheckPoint, která uvádí, že od 1. listopadu 2020 došlo celosvětově k 45% růstu útoků proti zdravotnickým cílům, zatímco u ostatních cílů šlo v průměru o 22% nárůst.

V České republice je vývoj podobný, počet útoků stoupá a útočníci zkoušejí řadu způsobů – ransomware, botnety, spouštění vzdáleného kódu, DDoS. Prvně jmenovaný ransomware je přitom nejčastěji používaný, umožňuje totiž úspěšný útok proměnit ve finanční zisk – pro hackery aktuálně nejrozšířenější motivace. Nejčastěji užívanými ransomware je přitom stále Ryuk a Sodinokibi, předcházené některými z trojanů, jako je Trickbot, Emotet, Dridex či Cobalt strike.

Problém s (nejenom) českými zdravotnickými zařízeními spočívá navíc zpravidla v zastaralém vybavení. Počítačové a síťové prostředí v nemocnicích tak bývá běžně dlouhodobě zanedbávané a nutnost aktualizací a správného nastavení chodu je často ignorována.

Prevence a aktivní ochrana

Počítačové sítě je nutné aktivně chránit anti-malware, ale i anti-ransomware řešeními, důsledně oddělovat kritické systémy od těch čistě administrativních, kde nejčastěji dochází k průniku do sítě. Nutná je také silná ochrana na vstupu do sítí, nastavení bezpečnostních pravidel, stejně jako na jednotlivých počítačích. Řada útoků přichází v e-mailech, kde je možné efektivně blokovat rizikové přílohy i analyzovat obsah.

Nesmí se zapomenout také na vzdělávání uživatelů, které je nutné pravidelně opakovat jak u nových, tak stávajících uživatelů. Právě uživatelé e-mailu jsou nejčastěji těmi, kdo do sítě umožní vstup nějakému trojskému koni, který později do sítě pustí ransomware, ale třeba i nástroje pro špionáž. Některé z útoků přes e-mail mohou být plošné, ale v lukrativnějších případech jde o cílený spear phishing. Zde se nesmí zapomenout ani na BYOD a na e-maily, které uživatelé čtou a zpracovávají doma.

Mezi jeden z velmi účinných nástrojů pro vzdělávání uživatelů patří i simulované útoky, testování toho, jak uživatelé zareagují na „falešný“ virus či malware. Nejen, že díky tomu dochází k lepšímu pochopení problému, ale z reakcí je možné lépe nastavit aktivní opatření a omezení.

Část úspěšných útoků je možné také zamezit aktualizací software i hardware, ale také ukončením používání starých verzí operačních systémů, na které již bezpečnostní opravy neexistují. Tam, kde to není možné, je nutné takovéto systémy od sítí zcela izolovat.

Hodně z útoků bylo prováděno záměrně i v „nepracovní době”, tedy hlavně o víkendech, kdy se dá předpokládat výrazně delší reakční doba ICT oddělení. Proto je nutné myslet i na aktivní prvky ochrany, automatické detekce s využitím pokročilých systémů využívajících AI.

Podceňovat nelze ale ani nutnost kvalitního zálohování, takového, které nebude napadeno stejným ransomware, jako zbytek sítě, ale také takového, které umožní obnovit všechny systémy v co nejkratší době a bez zásadních ztrát. Včetně toho, že postupy obnovy je nutné mít vyzkoušené a nespoléhat se na to, že vše bude fungovat, až to bude třeba.

Na závěr je nutné říci, že na základě našich zkušeností se zákazníky vidíme velký pokrok, mnoho z nich začalo brát IT bezpečnost velmi vážně. Navíc se rozšířil počet zdravotnických zařízení, která nově spadají pod zákon o kybernetické bezpečnosti, což určitě kvitujeme.