Jaké je riziko hackerských útoků pro zdravotnictví?

4 minuty čtení 30. 5. 2017 red Vyšlo v titulu Medical Tribune

Ve zdravotnictví se pracuje s nejcennějšími daty, na jejich dostupnosti závisí dostupnost zdravotních služeb. Zdravotnická zařízení využívají velmi často relativně zastaralé platformy počítačových systémů a jejich upgrade, tím jsou i snadnějším cílem hackerských útoků. Na otázky MT ohledně rizika hackerských útoků pro zdravotnictví odpovídal Ivan Svoboda, Business Development Manager ICT Security společnosti ANECT.

Jaká je reálná hrozba malwaru WannaCry pro česká zdravotnická zařízení a lékaře, servery ministerstev a SÚKL (úložiště dat), ÚZIS nebo zdravotní pojišťovny?

Hrozba ransomwaru a malwaru obecně je v současnosti velmi reálná, přičemž v ohrožení nejsou pouze systémy z oblasti zdravotnictví. Je však nutno upřesnit, že první verze malwaru WannaCry již sama o sobě žádné velké riziko nepředstavuje, neboť se podařilo jeho šíření zastavit. WannaCry se ale velmi rychle vyvíjí a již nyní se objevují další verze a mutace, které mohou být nebezpečné. K šíření nových verzí se útočníci pravděpodobně nebudou omezovat pouze na zranitelnost operačního systému stanic, ale budou využívat i všechny ostatní cesty pro šíření škodlivého kódu, včetně např. podvodných e‑mailů (tzv. phishingu).

Proč je riziko ransomwaru a malwaru velmi významné zejména v oblasti zdravotnictví?

Pro to je mnoho důvodů, zde jsou tři nejzásadnější:

1. Ve zdravotnictví se pracuje s těmi nejcennějšími daty a závislost fungování zdravotnických služeb na dostupnosti dat je naprosto kritická, což se potvrdilo i v rámci této konkrétní kampaně – zasažené nemocnice nebyly po určitou dobu schopné vůbec fungovat.

2. Ve zdravotnictví jsou často využívány relativně velmi zastaralé platformy počítačových systémů a jejich upgrade nebo i pouhé záplatování je často komplikované či zcela nemožné vzhledem k riziku nekompatibility programového vybavení. Tento problém pak vede k tomu, že zdravotnické systémy jsou snadným cílem různých typů útoků, které jsou v jiných sektorech bez komplikací okamžitě blokovány.

3. Vzhledem k výše uvedenému problému by bylo nutné nedostatek starých platforem kompenzovat nasazením doplňkových bezpečnostních opatření. Celková úroveň řešení kybernetické a informační bezpečnosti ve zdravotnictví je však často bohužel podprůměrná a neodpovídá dnešním standardům. Mnohdy nesplňuje ani požadavky základní kybernetické hygieny, což je dáno nízkou úrovní investic do bezpečnosti jak v oblasti technických opatření (např. moderní typy firewallů, sandboxing nástrojů apod.), tak v oblasti organizačních opatření (např. školení zaměstnanců a kapacit pro složitější funkce pokročilých metod obrany).

Co dělat/nedělat v prevenci, lze útoku malwaru zabránit?

Na zastavení útoku první verze WannaCry stačilo použít tzv. vypínač („kill switch“) v podobě zpřístupnění dvou doménových jmen z ohrožených stanic. Nová verze WannaCry 2.0 již tento „vypínač“ neobsahuje. Pro účinné snížení rizika nových verzí WannaCry, nebo i ostatních typů ransomwaru a malwaru obecně, je nutné využít komplex technických a organizačních opatření, např. pravidelná školení zaměstnanců, pravidelné odhalování a odstraňování zranitelností systémů, zálohování dat, detekce a blokace podezřelých komunikací a podezřelých souborů.

Jak omezit riziko specificky pro WannaCry?

V rámci prevence proti nákaze tímto konkrétním ransomwarem je vhodné provést následující technická opatření:

1. Blokovat SMB komunikaci z internetu a do internetu na portech 139 a 445, a pokud již není blokován, blokovat Tor a podobné datové toky. Podobně je vhodné blokovat tyto typy komunikací i na interních firewallech, a vůbec segmentovat interní sítě.

2. Nainstalovat aktualizace ošetřující bezpečnostní chyby, které WannaCry zneužívá. Zranitelnost protokolu Windows SMB byla společností Microsoft opravena v rámci bezpečnostních aktualizací v polovině března 2017. Dodatečně Microsoft vydal také aktualizace i pro starší operační systémy, které již nejsou podporovány, jako Windows XP, Windows Server 2003/2008 a další.

3. Zkontrolovat nebo provést zálohu uživatelských dat a zajistit proces pravidelného a skutečně fungujícího zálohování.

4. Vypnout SMBv1 funkce operačního systému Windows.

5. Pravidelně kontrolovat zranitelnosti všech ICT prvků, a pokud možno ty kritické co nejrychleji odstraňovat, nebo alespoň kontrolovat doplňkovými opatřeními. Toto doporučení mimochodem patří mezi absolutní základy kybernetické hygieny, která je však bohužel mezi těmi nejčastěji nedodržovanými.

6. Instalovat některé z řešení pro detekci a blokaci škodlivého kódu, a to optimálně na několika vrstvách a několika technologiemi:

na externím perimetru (komunikace s internetem), zejména na webové a e‑mailové komunikaci,

na interních perimetrech (v interně segmentované síti),

na koncových stanicích. Z hlediska technologií doporučujeme kombinaci:

nástroje pro detekci a blokaci podezřelých komunikací a souborů (firewally, IPS a sandboxy),

nástroje pro detekci anomálií v interním provozu.

Zabránit všem útokům tohoto typu bohužel nelze. Proto by omezení prevence pouze na uplatnění technických opatření bylo velmi krátkozraké. Z toho důvodu doporučujeme uvedená opatření doplnit také organizačním opatřením ve smyslu cílené osvěty uživatelů koncových stanic. Uživatelé by měli být pozornější při čtení e‑mailové korespondence a zejména při otevírání příloh nebo kliknutí na odkazy ve zprávách. U mnoha podvržených zpráv (tzv. phishing), které se na první pohled jeví jako korektní zpráva od kolegy, nadřízeného nebo partnerské organizace, lze nalézt znaky, které mohou pomoci k jejich odhalení. Při podezření je vždy vhodné potvrdit si pravost zprávy prostřednictvím telefonu.

Co udělat, když k zašifrování dojde?

S ohledem na skutečnost, že zaplatit požadovanou částku útočníkovi se nedoporučuje a dešifrovací nástroje nejsou stále k dispozici, nezbývá než reinstalace celé stanice a načtení uživatelských dat ze zálohy.

Zdroj: MT

IMPORT: tituly

Medicínu by měl člověk studovat proto, že chce pomáhat lidem

Nebojme se u LDL cholesterolu ambiciózních terapeutických cílů

Je současné rozhodování o změně léčby roztroušené sklerózy založeno na důkazech?

Účelná farmakoterapie jako přínos pro pacienta

Edoxaban má své výhody pro lékaře i pacienty

Anesteziologie – obor s jasnou koncepcí a požadavky

Antipsychotika a riziko IM

Čím níže, tím lépe a bez obav o zachování neurokognitivních funkcí

Pohled kardiologa, internisty a neurologa na možnosti snižování LDL‑C

Můžeme účinně zabránit remodelaci myokardu?

Lékaři málo pátrají po fibrilaci síní u pacientů po CMP

Nové naděje v prevenci i léčbě mozkových příhod

Clopidogrel některým pacientům příliš nepomůže, mají defektní gen

Konvenční kardiostimulátory by neměly být kontraindikací pro MRI

Ablační léčba arytmií má obrovský kurativní potenciál

Moderní léčba fekální inkontinence

Přinese empagliflozin konec nejistoty do kardiologie?

V Ostravě se uskuteční konference evropského významu

Změny v systému by měla doprovázet finanční spoluúčast pacientů

Z redakční pošty

Jsou české nemocnice připraveny na útok hackerů?

Jak optimalizovat terapii metforminem?

Kolik u nás žije sklerotiků, nevíme, ale známe počet léčených

Čas jsou peníze, ale také mozek

SPL usiluje o zvýšení kompetencí praktických lékařů

Tiskové prohlášení České diabetologické společnosti k DiaRemediu

Těhotné klientky OZP ohrožené cukrovkou budou sledovány na dálku

Práce na hygienické stanici mladé lékaře příliš neláká

Většina Čechů chce komunikovat s lékaři elektronicky

Dlouhověkost rodičů předurčuje kardiovaskulární zdraví potomků

Je káva bezpečná pro kardiaky?

Doporučené

PredictONCO – automatizovaná analýza nádorových mutací a pomůcka pro výběr léčby

Na digitální kultuře záleží: technologie je prostředek, ne cíl

Výzkumná aliance EU bojuje proti odolným superbakteriím

V digitalizaci musíme dohnat vyspělý svět

Přihlaste se k odběru novinek.

Nové články, kurzy, testy

Jak probíhají naše kurzy a znalostní testy

Obsah je určen odborným pracovníkům ve zdravotnictví. Informace nejsou určeny pro laickou veřejnost.

Přihlaste se k odběru NOVINEK.