Hakerzy biorą na celownik systemy szpitalne i dane pacjentów. "Niebezpieczne linki w mailach"

Hakerzy szukają słabego punktu w systemach IT

Włamania do systemów informatycznych placówek ochrony zdrowia także w Polsce stają się coraz częstsze. W jakie systemy próbują uderzać hakerzy atakujący szpitale?

Małgorzata Rusin, zastępca dyrektora Krakowskiego Szpitala Specjalistycznego im. Jana Pawła II: Zaatakowane przez hakerów mogą być przede wszystkim serwery z systemami bazodanowymi, w tym oczywiście systemy zawierające dane pacjentów (HIS, PACS), personelu, kontrahentów, także oprogramowanie sieciowe. Również systemy aparatury medycznej, laboratoryjnej, urządzeń, np. choćby lodówek do przechowywania leków, z których atak może się rozsiać na szpitalną infrastrukturę IT.

Biorąc pod uwagę wszystkie aspekty cyberbezpieczeństwa i prowadząc analizę podatności musimy identyfikować każdy najmniejszy element systemu informatycznego, by wiedzieć o nim jak najwięcej, bo praktycznie przez każdy z nich może być przeprowadzony atak na infrastrukturę szpitalną.

W zakres prac administratorów wchodzi obszar monitorowania podatności infrastruktury teleinformatycznej na atak, identyfikowanie takich zagrożeń i ich usuwanie w aplikacjach, systemach operacyjnych, systemach zarządzania bazami danych serwerów, ale również w komputerach. Wiemy, że niezbędne są analiza, zakup i wdrożenie nowych systemów wspomagających pracę administratorów w tych obszarach.

Hakerom najłatwiej obejść zabezpieczenia tam, gdzie działa stary, czyli niewspierany przez producenta system operacyjny, albo nieaktualny system zarządzania bazą danych. Szukają słabego punktu, a stosowanie niewspieranych rozwiązań z oczywistymi podatnościami im takie ataki ułatwia, pomimo wielu innych stosowanych zabezpieczeń.

Złośliwe oprogramowanie, niebezpieczne linki

Gdzie szpital identyfikuje największe zagrożenia w zakresie cyberbezpieczeństwa?

Systemy antyspamowe są dzisiaj na tyle zaawansowane, że zagrożenie zmalało, natomiast złośliwe oprogramowanie i nowe możliwości ataków są ciągle rozwijane przez hakerów i tymi drogami najczęściej próbują przejąć kontrolę nad infrastrukturą i systemami.

Systemy antywirusowe i antyspamowe pozwalają na filtrowanie ruchu wychodzącego oraz przychodzącego. Chronią zasoby firmowe szpitala przed wzrastającą liczbą wirusów i malware. Dzięki temu możliwe jest ciągłe monitorowanie wydajności serwerów mailowych, prowadzenie statystyk ilości otrzymywanych wirusów lub wiadomości typu spam dla konkretnych odbiorców lub ich grup.

Największym zagrożeniem jest oczywiście człowiek, czyli działanie pracowników poprzez wchodzenie w niebezpieczne linki docierające w mailach. To brama otwierająca szeroko drogę zewnętrznemu atakowi na szpitalną sieć.

Najskuteczniejsze byłoby całkowite odcięcie sieci i komputerów szpitala od internetu, ale jest to niemożliwe. Dlatego w szpitalach stosowane są różne metody ograniczenia tego dostępu np. niewykorzystywany jest pełny dostęp do sieci, który zezwala tylko na odwiedzanie stron niezbędnych do pracy w szpitalu. Pomysłów jest wiele. Trudno jednak sobie wyobrazić, byśmy odcięli personel od poczty, by nie mógł korzystać z niej lekarz czy administracja.

Rozważaliśmy wielokrotnie różne dodatkowe możliwości zmniejszenia zagrożenia atakami hakerskimi poprzez wprowadzenie terminali czy ograniczenie korzystania z zewnętrznych nośników danych, ale są to rozwiązania po prostu niemożliwe do zastosowania w obszarze ochrony zdrowia.

Pacjent przynosi wyniki swoich badań na płytach czy pendrive, trudno z nich nie korzystać. Pendrive może być źródłem wirusów i innych zagrożeń. Można podejmować próby stosowania tzw. komputerów „brudnych” do diagnostyki takiego zewnętrznego nośnika.

Zalecenia polityk bezpieczeństwa zakładają, że nie należy wpinać do komputera nośnika zewnętrznego, dopóki nie przejdzie walidacji, ale trudno to zrealizować w praktyce w poradniach czy oddziałach szpitalnych. Aby zapobiegać tego typu źródłom zagrożeń, stosujemy systemy antyspamowe, antywirusowe i monitorujemy potencjalne podatności komputerów na zagrożenie cyberbezpieczeństwa.

Potrzebne wytyczne, szpitalne "ABC" dla infrastruktury IT?

W jakim stopniu powinna być rozwinięta sieć zabezpieczeń w szpitalu?

Nie ma formalnych obowiązujących wytycznych, które precyzowałyby, jak ma wyglądać informatyczna infrastruktura szpitala i jakie systemy zabezpieczeń powinny zostać zakupione.

Obawiam się, że gdyby taki poradnik powstał, to według najlepszej eksperckiej wiedzy, okazałoby się, że szpitali nie stać finansowo na zalecany poziom zabezpieczenia, w tym zatrudnienie odpowiedniej klasy specjalistów .

Oczywiście bazując na naszej wiedzy i doświadczeniu rozwijamy infrastrukturę służącą cyberbezpieczeństwu. Wsparciem są tu środki, o które można starać się w ramach dofinansowania z NFZ. Można uzyskać dofinansowanie na systemy bezpieczeństwa, wykorzystaliśmy tę możliwość w ubiegłym roku.

Teraz zajmujemy się systemami PAM, pozwalającymi zwiększyć bezpieczeństwo infrastruktury IT poprzez zapewnienie kompleksowego monitoringu i kontroli nad pracownikami, którzy mają do niej uprzywilejowany dostęp za pomocą systemu oraz systemami SIEM, które pomagają administratorom aktywnie uczestniczyć w walce z zagrożeniami.

W szpitalach barierą są fundusze na kupno tego typu systemów, a potem na ich utrzymanie. Posiadanie systemu to nie wszystko, potrzebni są ludzie, doświadczeni administratorzy, którzy są w stanie go skonfigurować i monitorować.

W szpitalach publicznych ze względu na obowiązujące siatki płac mamy ograniczone możliwości zatrudnienia najwyższej klasy specjalistów w dziedzinie informatyki, biorąc pod uwagę ich wymagania finansowe.

Być może powinny powstać odgórne wytyczne, które pomogłyby szpitalom określić ramy systemów/podsystemów bezpieczeństwa. Takie szpitalne „ABC” dla infrastruktury teleinformatycznej, dające działom informatyki uzasadnienie dla określonych zakupów ze względu na bezpieczeństwo informatyczne.

Podstawowa kwestia, poza budowaniem zabezpieczeń przed samym włamaniem do systemu, to ciągła dbałość o backupy i archiwizację danych na zapasowych serwerach/nośnikach, pozwalająca w razie awarii bądź ataku na na ich szybkie odzyskanie.

Być może tu pewnym rozwiązaniem ułatwiającym odtwarzanie danych byłoby budowanie centrów zapasowych, do których spływałyby dane z wielu szpitali i tam byłyby przechowywane. Utworzenie centrum danych poza szpitalem powodowałoby, że placówki nie musiałyby ponosić tylu kosztów jak obecnie, zatrudniać tak wielu administratorów.

Sądzę, że w oparciu o takie centra można byłoby upowszechnić w wielu szpitalach dobry "plan B" na przechowywanie danych i przywrócenie ciągłości działania w razie awarii czy ataku hakerskiego. Tworzenie centrów zapasowych jest standardem w wielu instytucjach o wysokim poziomie informatyzacji.

Na ile realnym zagrożeniem jest włamanie do systemów monitorujących stan pacjentów czy aparatury medycznej odpowiadającej za bezpieczeństwo pacjenta?

Taka aparatura jest wpinana do wydzielonej sieci. Z dostępnych informacji wiemy, że tak ukierunkowane ataki nie miały w kraju miejsca. Próby dostania się do urządzeń ratujących życie to już działania terrorystyczne. Dotąd wiemy o atakach prowadzących do wyłączenia z działania systemów HIS, czyli zarządzających ruchem pacjentów, gromadzących wszelkie dane o pacjentach. Zagrożenie ze strony hakerów dotyczy szyfrowania danych lub ich kradzieży w celu uzyskania okupu.

Zwykle hakerzy są o krok przed systemami zabezpieczeń. Monitoring podatności i testy penetracyjne są drogą do zapobiegania atakom. W szpitalach mówi się: „lepiej zapobiegać niż leczyć” , staramy się przenosić to hasło do obszaru informatycznego.

Największe zagrożenie, jakie dzisiaj identyfikujemy, to właśnie fałszywe maile, linki umożliwiające wpuszczenie złośliwego oprogramowania do sieci. Dlatego niezbędne są ciągłe szkolenia dla pracowników.

Materiał chroniony prawem autorskim - zasady przedruków określa regulamin.