W Rumunii 25 szpitali padło ofiarą ransomware, a ich bazy danych zostały zaszyfrowane. Od internetu zostało odłączonych 75 placówek. Śledczy badają, czy to również konsekwencje złośliwego oprogramowania. Atakujący zażądali okupu w wysokości 170 tys. dolarów, aby odszyfrować dane. Czy szpitale w Polsce są bezpieczne? Co robić, gdy placówka medyczna padnie ofiarą ataku ransomware?
Cała operacja rozpoczęła się w weekend, kiedy serwery systemu zarządzania służbą zdrowia zostały zaatakowane ransomware Backmydata, z rodziny złośliwego systemu Phobos. Działa on jak „usługa jako serwis” (SaaS) i atakuje przede wszystkim źle skonfigurowane protokoły zdalnego pulpitu, uzyskując dostęp do danych logowania poprzez kampanie phisingowe lub ataki brute force.
W rezultacie ataku system został wyłączony, a pliki i bazy danych zaszyfrowane – poinformowało rumuńskie Ministerstwo Zdrowia. Sytuacja nie jest jednak beznadziejna, ponieważ, jak się okazuje, szpitale dokonywały regularnych kopii zapasowych przetwarzanych plików, co zdecydowanie ułatwi przywrócenie danych oraz usług.
To nie pierwszy ransomare w systemie zdrowia
Przykład Rumunii to prawdopodobnie najpoważniejszy atak ransomware na placówki medyczne. Jednak nie jest to jedyny przypadek w historii. W 2017 roku podczas zmasowanego ataku ransomware WannaCry ofiarą padły systemy brytyjskiej służby zdrowia. Epicentrum ataków miało jednak miejsce podczas pandemii COVID-19, kiedy szpitale były najbardziej potrzebne.
Biorąc pod uwagę ich ówczesne obciążenie, były łatwiejszą ofiarą. Co więcej, zależało im na odszyfrowaniu danych jak najszybciej, więc cyberprzestępcy liczyli, iż jest większe prawdopodobieństwo na zapłatę okupu. Ofiarą padły placówki w Czechach i innych państwach UE.
W Niemczech ransomware zablokował działanie kliniki, która z tego powodu była zmuszona odmówić pomocy pacjentce. Poszkodowana osoba została przetransportowana do innej placówki, ale podczas podróży niestety zmarła. W tej sprawie niemiecka prokuratora prowadziła śledztwo przeciwko nieznanym sprawcom, w związku z podejrzeniem o nieumyślne spowodowanie śmierci.
Problem ataków ransomware na szpitale nie zniknął wraz z wygaśnięciem pandemii COVID-19. W 2021 roku szacowano, iż szpitale straciły bezpowrotnie 40% danych w wyniku ataków ransomware – informuje raport Data Protection Trends firmy Veeam. W 2024 roku szpital dziecięcy w Chicago musiał przejść w tryb offline ze względu na atak ransomware. Jak widać, ten problem nie zniknie i będzie wyzwaniem dla służby zdrowia i ekspertów cyberbezpieczeństwa.
Ransomware a sektor zdrowotny w Polsce
W Polsce dostępnych jest ponad 350 różnych e-usług w systemie opieki publicznej, z których korzysta 29 milionów Polaków. To pokazuje, jak najważniejszy jest ten sektor i jak dynamicznej cyfryzacji podlega. Jak wskazuje CERT Polska, gwałtowny rozwój technologii medycznych nie zawsze idzie w parze z odpowiednim poziomem ochrony.
Dlatego też producenci sprzętu wykorzystywanego w medycynie powinni kłaść szczególny nacisk na bezpieczeństwo swoich produktów. Ataki ransomware w Polsce miały już miejsce.
W 2023 roku doszło do zainfekowania infrastruktury serwerowej Centrum Medycznego TW-MED. W jego wyniku nieuprawniony podmiot zaszyfrował dane zgromadzone na serwerze, uniemożliwiając funkcjonowanie Centrum.
Bardziej znany atak miał miejsce w 2022 roku, a celem był Instytut Centrum Zdrowia Matki Polki w Łodzi. W efekcie ataku doszło do zaszyfrowania danych plików wirtualnych ransomware LockBit 3.0 oraz zaszyfrowania kopii zapasowej. Szpital poinformował odpowiednie służby takie jak Urząd Ochrony Danych Osobowych, NASK, Centralne Biuro Zwalczania Cyberprzestępczości (CBZC), ABW oraz Wojewódzkie Centrum Zarządzania Kryzysowego.
Wydarzenie to jest cenną lekcją, iż ataki ransomware na szpitale nie powinny być lekceważone, a w przyszłości ich liczba będzie rosła. Świadczy o tym kilka czynników.
Dlaczego ryzyko ataków rośnie?
Po pierwsze sektor zdrowotny jest bardzo atrakcyjnym celem dla cyberprzestępców posługujących się ransomware. Jego cyfryzacja, będąca też efektem pandemii COVID-19, powoduje, iż wektor ataku jest duży, przez co stosunkowo łatwo jest taki atak przeprowadzić.
Cyberprzestępcy, biorąc na cel placówkę medyczną, niestety mają duże szanse na otrzymanie okupu. Kiedy liczy się życie pacjentów, szpital jest w stanie zrobić wszystko, choćby zapłacić hakerom, byle tylko odzyskać kontrolę nad sprzętem. I to pomimo iż eksperci rekomendują, aby nie płacić.
Po drugie wciąż w wielu placówkach medycznych nie ma świadomości ryzyka zagrożeń i tego, iż każdy członek personelu jest elementem systemu cyberbezpieczeństwa. Cyberprzestępcy mają wiele dobrze znanych sposobów, które pozwalają im zmanipulować użytkownika i zachęcić go do ściągnięcia szkodliwego pliku lub wejścia na stronę internetową.
Biorąc również pod uwagę niedoinwestowanie systemu ochrony zdrowia, brakuje również pieniędzy na kwestie związane z cyberbezpieczeństwem. Problem ten starał się rozwiązać Narodowy Fundusz Zdrowia w 2022 roku, kiedy rozpoczęto proces dofinansowania działań podnoszących bezpieczeństwo. Szpitale wyraziły duże zainteresowanie uczestnictwem w tym procesie.
Placówki zdrowotne muszą również uczulić swoich pracowników na podstawowe kwestie związane z cyberhigieną, budując świadomość na temat zagrożeń. Pracownik powinien wiedzieć, iż może zostać poinstruowany, by odłączyć się od sieci i co wówczas ma zrobić. Rekomendowane jest również wprowadzenie segmentacji sieci, co umożliwi filtrowanie i izolowanie ruchu.
Ważne jest też regularne tworzenia aktualnych kopii zapasowych, bo te wykonane w odpowiedni sposób są ważnym narzędziem walki z ransomware. Pozwalają bowiem na przywrócenie działania systemów, bez konieczności płacenia okupu. Ich tworzenie powinno być elementem planów ciągłości działania na wypadek zakłócenia podstawowych usług zapewnionych przez szpital. Takie działania powinny dotyczyć każdej placówki.
Co robić w przypadku ataku ransomware?
Konsekwencje dla zaatakowanego szpitala mogą być bardzo poważne. Pierwszą z nich jest niemożność świadczenia usług medycznych i tym samym narażenie życia i zdrowia pacjentów. Drugą kwestią jest utrata danych osobowych pacjentów. Nowoczesne programy ransomware wykradają wrażliwe informacje. Ich utrata grozi skutkami prawnymi i finansowymi dla placówek medycznych, które do tego dopuszczą.
Co powinna zrobić placówka medyczna, która zostanie zaatakowana?
- Jak najszybciej wstrzymać wszelkie prowadzone działania w systemie, który został naruszony.
- Odłączyć zainfekowane urządzenia od zewnętrznych dysków lub sprzętu medycznego.
- Poinformować odpowiednie służby, w tym wypadku krajowy zespół CSIRT NASK, który powinien pomóc uporać się z incydentem.
Przekazanie informacji o ataku Centralnemu Biuru Zwalczania Cyberprzestępczości (CBZC) i Policji da szansę wyśledzenia i ukarania sprawców incydentów. W przypadku, kiedy ransomware spowodował wyciek danych pacjentów, konieczne jest również poinformowanie Urzędu Ochrony Danych Osobowych.
Tak samo jak w medycynie kluczowa jest profilaktyka, tak i w cyberbezpieczeństwie warto stawiać na zapobieganie atakom. Aby im przeciwdziałać, trzeba edukować pracowników placówek medycznych oraz zwiększać inwestycje w systemy informatyczne.
W przeciwnym wypadku grozi nam, iż oprócz materialnych strat spowodowanych atakiem, zagrożone będzie zdrowie i życie ludzi.
Chcesz dowiedzieć się, co dolega polskiemu e-zdrowiu? Przeczytaj: Kto bada polskie e-zdrowie? Co wiemy o skutkach cyfryzacji w opiece zdrowotnej?
Źródło zdjęcia: National Cancer Institute/Unsplash