Hakerzy coraz częściej atakują e-zdrowie

W 2020 roku, zgodnie z raportem HIMSS Cybersecurity Survey, aż 70 proc. placówek medycznych w USA doświadczyło ataku hakerów. Także ostatnie miesiące potwierdzają wzmożone zainteresowanie cyberprzestępców – we wrześniu br., liczba ataków w porównaniu do 2020 roku zwiększyła się o 55 proc., a średnio każdego tygodnia przestępcy atakują sektor zdrowia 750 krotnie.

Ataki na systemy opieki zdrowotnej mogą by realizowane zarówno przy użyciu bezpośredniego dostępu do szpitalnej sieci WiFi, jak i z dowolnego miejsca na świecie. Motywacją dla ich autorów jest chęć kradzieży lub blokady danych, przede wszystkim pacjentów, patentowych czy wyników badań naukowych. Potencjalne zagrożenia generuje presję na placówki zdrowotne – zwłaszcza szpitale, które muszą funkcjonować w trybie 24/7. Każda przerwa w ich działalności może mieć konsekwencje dla zdrowia i zagrażać życiu pacjentów.

„Skuteczność ataków cybernetycznych na placówki służby zdrowia wynika między innymi z faktu, że instytucje te nie posiadają odpowiednich zasobów IT, a ich pracownicy nie zawsze są świadomi cyberniebepieczeństw. Wyzwaniem jest również brak świadomości wśród administratorów sieci, że celem ataku mogą być nie tylko stacje robocze i serwery, ale również każde inne urządzenie podłączone do sieci. Hakerzy mając świadomość specyfiki służby zdrowia i intensyfikują swoją działalność w tym sektorze” – ocenia Piotr Zielaskiewicz, product manager Stormshield, europejskiego lidera branży bezpieczeństwa IT.

Wśród wektorów ryzyka charakterystycznych dla sektora zdrowia wymieniane są ataki losowe z wykorzystaniem tradycyjnych punktów dostępu, takich jak załączniki do wiadomości email, linki czy stosowane w różnych miejscach pamięci USB. W tym przypadku hakerzy działają niejako „na ślepo”. Jednakże coraz częściej mamy do czynienia z atakami celowanymi. W tym kontekście istotnym wydarzeniem było wprowadzenie obowiązku prowadzenia i wymiany dokumentacji medycznej drogą elektroniczną. Po wdrożeniu EDM wzrosło znaczenie i rola systemów informatycznych, za pomocą których gromadzone i przetwarzane są dane osobowe, w tym dane medyczne.

„Zwiększa się liczba metod z wykorzystaniem których przestępcy mogą dostać się do systemów szpitali i innych placówek medycznych. Cel jest jasny: pozyskać i wykorzystać informacje lub sparaliżować pracę jednostki medycznej. Skutki ataku hakerskiego mogą być tak tragicznie, jak miało to miejsce w ubiegłym roku, gdy w Dusseldorfie zmarła pacjenta, która w wyniku blokady systemów szpitalnych przez hakerów nie otrzymała pomocy na czas” – mówi Aleksander Kostuch, inżynier Stormshield.

Jak zwracają uwagę eksperci należy ocenić podatności i ryzyka związane z każdym elektronicznym elementem funkcjonowania szpitala. Ataki mogą mieć na celu kradzież wrażliwych danych, spowodowanie awarii systemów z bazami danych czy paraliżowanie urządzeń medycznych działających w sieci – rozruszników serca czy systemów dostarczania leków. Dlatego warto mieć świadomość wszystkich słabych punktów infrastruktury sieciowej i w oparciu o tę wiedzę wprowadzać regularnie stosowne zabezpieczenia i procedury.

Podstawowym narzędziem zabezpieczającym jest oprogramowanie antywirusowe. Wadą bezpłatnych, ogólnodostępnych na rynku rozwiązań, bezpłatnych jest fakt, że najczęściej bazują na podstawowych narzędziach w zakresie programistycznym i otwartych kodach źródłowych. To powoduje zwiększoną podatność na zagrożenia sieciowe. Dlatego istotne jest, aby rozwiązania z których szpital korzysta w obszarze cyberbezpieczeństwa były certyfikowane, a także aby zapewniały ciągłość działania na wypadek awarii energetycznej czy prac serwisowych przy aktualizacji systemu operacyjnego (tzw. sprzętowy bypass). Zabezpieczenia powinny być blisko urządzenia medycznego, aby zniwelować wysokie ryzyko nieautoryzowanych modyfikacji jego parametrów czy wyłączenia.

„Należy zrobić wszystko, by zminimalizować potencjalne szkody, których mogą dokonać cyberprzestępcy. W przypadku szpitali oznacza to przede wszystkim wyizolowanie kluczowych elementów infrastruktury medycznej i skuteczne zabezpieczenie utworzonej w ten sposób sieci przed niepowołanym dostępem” – podkreśla Piotr Zielaskiewicz.

„Najczęstszą wadą wykorzystywana przez hakerów jest brak segmentacji systemu. W takiej sytuacji po przechwyceniu dostępu do sieci medycznej można uzyskać dostać do zasobów administracyjnych szpitala” – dodaje Aleksander Kostuch.

Z kolei podstawową linią obrony przed ransomware, jednym z najczęściej stosowanych typów ataku, obok poprawnie skonfigurowanej ochrony sieci szpitalnej na przykład z wykorzystaniem urządzeń typu Next Generation Firewall, jest aktualny i co istotne działający backup. Innym niesprzyjającym poprawnej konfiguracji zabezpieczeń elementem są zaniedbania i niedofinansowanie IT. W raporcie brytyjskiego Narodowego Biura Kontroli (NAO) wykazano, że na większości sprzętu zaszyfrowanego w wyniku największego w historii ataku ransomware – WannaCry – zainstalowane były systemy operacyjne Windows 7, które nie są już objęte ochroną producenta. Taka sytuacja to zaproszenie dla przestępców. WannaCry zaatakował ponad 230 tys. komputerów z systemem Windows na całym świecie, w tym liczne należące do agend rządowych i szpitali.

„Z myślą o zagrożeniu ransomware ważne jest duplikowanie danych na różnych dyskach, posiadanie odpowiednich procedur backupu, a także stworzenie reguł postępowań prewencyjnych oraz kryzysowych, pozwalających wyeliminować ryzyko ataku lub wycieku danych” – dodaje Piotr Zielaskiewicz.

„Chociaż wciąż jedynie stosunkowo niewielka liczba jednostek służby medycznej doznała ataków, to niebezpieczeństwo jest bardzo realne. Myślę, że wszyscy lekarze zgadzają się z tym, że profilaktyka jest zawsze tańsza niż leczenie. Dlatego kwota przeznaczona na dobre zabezpieczenie oraz utrzymanie infrastruktury IT i tak będzie mniejsza niż straty, których doświadczymy w wyniku cyberataku” – podsumowuje ekspert Stormshield.