Placówki ochrony zdrowia są bardziej niż inne placówki usług dla ludności narażone na wykradanie danych, ataki ransomware, phishing czy nawet ataki na systemy medyczne. Analitycy Fortinet stworzyli mapę najważniejszych zagrożeń oraz trzy zasady zabezpieczeń, które bardzo takie ataki utrudniają.
Raport Fortinet dotyczy najważniejszych zagrożeń cyberbezpieczeństwa dla placówek ochrony zdrowia oraz wymienia trzy najważniejsze praktyki w dziedzinie zabezpieczenia przed atakami. Pierwszym zagrożeniem okazuje się „stary, dobry e-mail”, będący w placówkach ochrony zdrowia nadal podstawowym środkiem komunikacji. Systemy do pracy grupowej występują w nielicznych lokalizacjach, zwykle prywatnych zakładach lecznictwa zamkniętego. Oznacza to, że poczta elektroniczna jest oczywistym celem atakujących. Przestępcy wykorzystują tu takie manipulacyjne metody socjotechniczne jak phishing (nakłonienie użytkownika do udzielenia osobistych informacji), czy spear phishing w celu zdobycia danych uwierzytelniających do różnego typu usług internetowych, czy nawet ataku ransomware (poprzez złośliwe oprogramowanie).
Drugą, nowszą i znacznie groźniejszą drogą prowadzenia ataku są urządzenia IoMT (Internet of Medical Things). W skrócie, to wszystkie urządzenia lub moduły urządzeń medycznych, w których zamontowano rozwiązania umożliwiające zbieranie danych oraz komunikację sieciową. Zwykle są to proste czujniki, ale także inteligentne systemy regulujące temperaturę, dozowniki tlenu, maszyny które mogą zdalnie monitorować pacjentów, a nawet rozruszniki serca. Jak udowodniają to operacje white czy grey hat (działania hakerów wykrywających luki w oprogramowaniu, ale ich nie wykorzystujących do popełnienia przestępstwa), poczynając od 2005 r. „hacking” tych urządzeń jest stale możliwy, mimo wprowadzania poprawek przez producentów. Atakujący chcą przez nie uzyskać dostęp do infrastruktury IT całej placówki, ale także, jak przyznała w 2018 r. FBI „możliwe jest dokonanie czynu kryminalnego”, czyli po prostu morderstwa.
Kolejne miejsce na liście Fortinet zajmują systemy EHR (Electronic Health Record). To zwykle elektroniczne karty zdrowia, które mają ułatwić leczenie pacjentów przez zgromadzenie danych o nich w jednym miejscu. Tyle, że są to dane wrażliwe więc pożądane przez cyberprzestępców, bo zawsze znajdą nabywców np. nieetycznie działające firmy ubezpieczeniowe. Do ich przejęcia często stosowany jest phishing, czasem ransomware, gdzie atakujący mogą wymusić okup w zamian za odszyfrowanie informacji, grożąc dodatkowo ich upublicznieniem.
Inne urządzenia elektroniczne jak laptopy, tablety, telefony komórkowe znajdujące się w placówkach ochrony zdrowia zarówno zamkniętych, jak i otwartych mogą zostać zhakowane przez umieszczenie oprogramowania szpiegującego lub zmanipulowane. Prowadzi to zwykle do utraty danych lub poufnych informacji, które mogą trafić do cyberprzestępców.
Problemem są też stare długo działające systemy, zwykle obecne w niedoinwestowanych informatycznie placówkach ochrony zdrowia. Nie są wspierane przez producentów, nie wydawane są na nie tzw. „łaty bezpieczeństwa”, przez co są w największym stopniu narażone na atak.
Jednocześnie raport zaleca trzy zasady bezpieczeństwa. Jak przyznają sami analitycy dzięki nim zagrożenia się całkowicie nie uniknie, ale przynajmniej można liczyć na jego zmniejszenie. Pierwszą z nich jest ustalenie reguł bezpieczeństwa. Na zasadzie rozpoznania środowiska pracy i występujących w nim zagrożeń należy ustalić reguły minimalizujące prawdopodobieństwo wystąpienia zagrożenia w placówce ochrony zdrowia oraz poza naciskiem na ich stosowanie w codziennej pracy, prowadzić akcję edukacyjną. Edukacja w zakresie cyberbezpieczeństwa musi objąć wszystkich, od kierownictwa placówki, które łatwo może paść ofiarą ataków typu spear phishing (podszywanie się pod kogoś znajomego lub innego pracownika firmy w celu wyłudzenia haseł lub danych dostępowych), po zwykłych szeregowych pracowników administracji (zagrożenie keyloggerami, ransomware, phishingiem, scamem, malware). Tu ważne jest, aby w trakcie szkoleń wpoić pewne zasady jak np. używanie silnych haseł i ich częste zmienianie, nie instalowanie aplikacji z nieznanego źródła, pilnowanie służbowego sprzętu elektronicznego.
Druga zasadą jest stworzenie planu reakcji na zagrożenia, obejmującego reagowanie na incydenty i ataki. Tego typu plany są częścią pracy zespołów bądź specjalistów IT i powinny one być znane kierownictwu placówki. Tu ważna jest postawa proaktywna i stworzenie systemu reagowania na różne scenariusze. Konieczne jest także stworzenie kompleksowej ochrony na pomocą właściwego oprogramowania. Niezbędny jest tu firewall najnowszej generacji i na bieżąco aktualizowane oprogramowanie antywirusowe. Ze względu na rozwój telemedycyny zwłaszcza zdalnego monitorowania stanu zdrowia pacjentów konieczne jest wdrożenie rozwiązań zapewniających zdalny, ale bezpieczny dostęp do zasobów sieciowych, jak sieciowe mechanizmy Zero Trust Network Access (ZTNA) i SD-WAN. Pomocna w wyeliminowaniu lub ograniczeniu liczby naruszeń może być także segmentacja całej infrastruktury IT.
(ISBiznes)
