Dla menedżerów szpitali cyberbezpieczeństwo placówek stało się kwestią strategiczną, od której może zależeć ich sprawne działanie i bezpieczeństwo danych medycznych. Rośnie zagrożenie ze strony przestępców szukających zysku oraz osób, których celem jest sianie chaosu i niepokoju społecznego. Każdy szpital potrzebuje kompleksowego zabezpieczenia swojej sieci, obejmującego każde urządzenie elektroniczne, od laptopów po kamery czy drukarki – mówi Zbigniew Kniżewski, prezes Cyber360.
– Od jakiegoś czasu coraz więcej mówimy o cyberbezpieczeństwie placówek medycznych. Z czego wynika zainteresowanie tym tematem?
Zbigniew Kniżewski – To jest wynik realnych zagrożeń. Moim zdaniem zaczęliśmy o tym mówić i tak zbyt późno. Generalnie szpitale nie dysponują dodatkowymi funduszami, czy to w prywatnym, czy w publicznym sektorze. Rozmawiając ze szpitalami, słyszymy zwykle, że opłaca się zatrudnić nowego lekarza, ale nie programistę. Temat cyberbezpieczeństwa był zwykle marginalizowany. Kilka lat temu Centrum e-Zdrowia uruchomiło projekt, w którym dofinansowano placówki medyczne inwestujące w cyberbezpieczeństwo. Wprawdzie pewna grupa szpitali z niego skorzystała, ale zainteresowanie nie było zbyt duże. I dopiero w ostatnim czasie dwa wydarzenia spowodowały zmianę tego podejścia. Pierwsze – to był wybuch wojny na Ukrainie, gdzie mamy do czynienia z szerokimi działaniami ofensywnymi, cyberatakami na szeroką skalę skierowanymi przeciwko Ukrainie i państwom, które ją popierają. Drugim przełomem było wprowadzenie NIS2, przy czym Polska zajęła się tym tematem ze znacznym opóźnieniem.
– Ale w końcu zajęliśmy się na serio?
– Zajęcie się cyberbezpieczeństwem na serio powinno dla mnie oznaczać powstanie rządowego projektu wspierającego szpitale, bo ich sytuacja finansowa nie jest na tyle dobra, żeby mogły z własnych pieniędzy finansować potrzebne działania. Szpitale mają olbrzymi dług technologiczny.
– Co jest najbardziej potrzebne?
– Pierwszym stopniem powinien być backup, czyli bezpieczna kopia wszystkich danych. W dalszej kolejności system zabezpieczenia poczty elektronicznej, a następnie polityki bezpieczeństwa i kolejne obszary. W projekcie CeZ koncentrowano się na zagrożeniu w postaci zaszyfrowania danych w wyniku ataku – jak temu zapobiegać i przeciwdziałać. A zagrożeń jest o wiele więcej
– Z jakimi atakami mierzą się placówki medyczne?
– Pierwszym rodzajem ataków jest fishing i działania socjotechniczne. Nasza firma wykonuje próbne ataki fishingowe, aby sprawdzić odporność szpitali, i widzimy, że ich pracownicy nadal są na nie podatni, niestety, nawet po przejściu przez wiele szkoleń. Nadal higiena pracy w internecie, z pocztą elektroniczną, stoi na niskim poziomie. Celem ataków są najczęściej dane medyczne, które mają dużą wartość na czarnym rynku. Atak polega najczęściej na wysyłaniu wielu spreparowanych emaili do pracowników, aby spowodować, że któryś z nich np. kliknie w specjalny link umieszczony w tej wiadomości. Treść emaila jest tak spreparowana, że prowokuje do kliknięcia w link czy też otworzenia załącznika. Bardzo często dzieje się to w piątek po południu, kiedy wszystkim się spieszy przed weekendem i zwracają mniejszą uwagę na szczegóły.
– Jaki jest cel tego ataku?
– Bardzo często na początku chodzi o przejęcie kontroli nad jednym komputerem, który wchodzi w skład firmowej sieci. Do komputera jest następnie wprowadzany kod, który pozwala wejść głębiej – na przykład zwiększa uprawnienia użytkownika, otwiera dostęp do danych medycznych, które są kopiowane w celu sprzedaży na czarnym rynku. Rozpoczyna się zatem cały proces wykradania danych przy wykorzystaniu stworzonej na początku furtki. Na koniec najczęściej do systemu wprowadzany jest kolejny kod, ransomware, który ma zatrzeć ślady włamania, a także spowodować jak najwięcej szkód.
– Jakie są jeszcze inne strategie ataku?
– Atakujący wykorzystują także podatności w urządzeniach wchodzących w skład sieci, aby dostać się do wewnątrz. Mogą być wykorzystywane podatności w systemach informatycznych, czyli tzw. dziury w oprogramowaniu – kod wprowadzany jest wówczas do sieciowych aplikacji. Czyli za pomocą różnych metod przestępcy starają się wejść do wewnątrz sieci i dalej proces wykradania danych przebiega podobnie. Istotna jest ekonomia działania przestępców – ataki mają na celu osiągnięcie zysku, szukają korzyści niczym przedsiębiorcy. Ale może też być inaczej – kiedy atakują np. służby specjalne wrogiego państwa i celem ataku nie jest zysk, tylko sianie chaosu, wywołanie paniki, spowodowanie jak największych szkód i sparaliżowanie lub przynajmniej utrudnienie działania. Wyłączenie systemów IT prowadzi do zatrzymania działalności szpitala, a w efekcie do zamieszania, niepokoju społecznego, zaburzenia w funkcjonowaniu służb ratowniczych i tak dalej.
– Jakiś przykład takiej akcji?
– Znany jest incydent w Instytucie Centrum Zdrowia Matki Polki, kiedy systemy informatyczne przestały działać i chorych trzeba było przenieść do innych szpitali. Dzisiaj bez systemu informatycznego szpital nie jest w stanie funkcjonować. Dane zostały zaszyfrowane, nikt nie miał do nich dostępu. Drugi znany przykład dotyczył szpitala w Krakowie, gdzie przestępcy włamali się do systemu poprzez kamerę używaną do monitoringu wizyjnego budynku. Niestety regułą jest, że po zakupieniu kamery nie zmienia się fabrycznego hasła dostępowego. Kamery były włączone do sieci IP, więc jedna z nich stała się furtką do włamania. Po włamaniu dane zostały prawdopodobnie ukradzione, a następnie cały system zaszyfrowany.
– Czy po tych atakach udaje się dane odzyskać?
– Aby to było możliwe, szpital musi tworzyć backupy odmiejscowione, czyli utrzymywane w innym miejscu, bez połączenia z zasobami sieci. Dzięki temu można odtworzyć to, co zostało zaszyfrowane.
– Tworzenie zapasowych baz danych kosztuje.
– Dlatego wielką zaletą tego programu CeZ, o którym wspomniałem, była możliwość pozyskania pieniędzy na sfinansowanie backupów przez szpitale. A teraz menedżerowie szpitali uzyskali drugie narzędzie, czyli NIS2, aby znalazły się środki na sfinansowanie. Mówiąc w uproszczeniu, ustawa przeniosła inwestycje w cyberbezpieczeństwo szpitali z przegródki “chciałbym” do przegródki “muszę mieć”. Dzięki temu rozmowa dotyczy nie zabiegania o pieniądze na potrzebne inwestycje, tylko tego, w jaki sposób spełnić wymagania ustawy. Ustawa została podpisana w marcu i dzięki temu wszyscy, w sposób kompleksowy, muszą podejść do cyberbezpieczeństwa.
– Ile to kosztuje?
– Dostawca usługi, która w sposób kompleksowy zabezpiecza kwestie cyberbezpieczeństwa w szpitalu, zaczyna od zbudowania dokumentacji polityk bezpieczeństwa, buduje odporność na kampanie fishingowe, szkoli pracowników, analizuje ryzyko, monitoruje zagrożenia i w razie potrzeby reaguje na nie. Dla przeciętnego szpitala, który ma 300 komputerów w sieci, koszty takiej usługi kształtują się na poziomie 200 tys. zł rocznie. W przypadku większej placówki, w której komputerów jest około tysiąca, koszty zbliżają się do pół miliona złotych rocznie.
– Zabezpieczyć trzeba każdy komputer, dlatego koszty rosną wraz z wielkością sieci?
– Tak, ale od strony technicznej chodzi o monitorowanie całej infrastruktury. Trzeba chronić każdy komputer i każde urządzenie wpięte do sieci. Nasza firma partnerska z Hiszpanii opisała atak, w którym włamanie nastąpiło na domowy komputer jednego z lekarzy, który w domu wykonywał opisy badań diagnostyki obrazowej, a następnie przenosił je do sieci szpitalnej na przenośnym dysku. Wgrali złośliwy kod na ten przenośny dysk, a celem ataku było uszkodzenie urządzeń diagnostycznych, aby sparaliżować działanie szpitala. Na szczęście system bezpieczeństwa w szpitalu monitorował wszystkie stacje i narzędzia, reakcja nastąpiła na poziomie komputera, do którego ten lekarz wsunął przenośny dysk. Zainfekowanie nie poszło dalej. Ta historia jest dobrym argumentem za tym, że trzeba chronić całość infrastruktury, a nie tylko wybrane, wydawałoby się, najważniejsze jej elementy.
– Jakie najważniejsze wnioski z tych zagrożeń płyną dla menedżerów szpitali?
– Cyberbezpieczeństwo powinno stać się elementem polityki inwestycyjnej placówek medycznych. Nie ma bezpiecznych systemów. Podatności występują w każdym, pytaniem jest tylko to, czy pierwsi zauważą je przestępcy, czy autorzy lub użytkownicy. Dobrze, że rośnie świadomość zagrożeń. Z tej nowej ustawy wynika, że dbanie o bezpieczeństwo stało się odpowiedzialnością menedżerów szpitali, a nie tylko hobby dyrektorów IT.
– I dotyczy nie tylko szpitali.
– Każdy kolejny dzień – to kolejne próby ataków nie tylko na systemy szpitali, ale także na systemy państwowe związane ze zdrowiem. Te ataki polegają głównie na próbach przeciążenia, aby doprowadzić do ich wyłączenia. Wprowadzanie systemów centralnych, jak e-recepty czy KSeF, w naturalny sposób stwarza nowe zagrożenia i wymaga reakcji. W mojej ocenie nasze polskie systemy centralne są dobrze zabezpieczone, chociaż przeciążenie może się zdarzyć nawet bez ataku. Pamiętamy, że niedawno wprowadzenie KSeF spowodowało kłopoty z profilem zaufanym, za pomocą którego nagle dużo większa liczba osób jednocześnie logowała się w celu wystawiania faktur.
(rozmawiał Krzysztof Jakubiak)
