Michigan, kwiecień 2019. Wszystkie komputery lokalnego centrum medycznego zostały zaszyfrowane przez oprogramowanie typu ransomware – lekarze tracą dostęp zarówno do danych na temat pacjentów i terapii, jak i do wszelkich rozliczeń i całej logistyki placówki.
Postępując zgodnie z zaleceniami FBI, władze centrum decydują się nie płacić przestępcom okupu, klinika zostaje zamknięta na czas prowadzenia śledztwa, powodując trudne do oszacowania straty.
Dusseldorf, wrzesień 2020. System komputerowy szpitala uniwersyteckiego Uniwersytetu Heinricha Heinego zostaje zainfekowany ransomware, którego celem były serwery uczelni. Wykorzystując lukę w software Citrix, złośliwe oprogramowanie przejęło kontrolę nad komputerami obu placówek, szyfrując ich zawartość i unieruchamiając systemy operacyjne. Właśnie wtedy, kiedy w wyniku ataku wszystkie urządzenia szpitala działające pod kontrolą połączonych z siecią komputerów stały się bezużyteczne, karetka przywiozła pacjentkę w stanie krytycznym – nie mogąc udzielić jej pomocy, podjęto decyzję o odesłaniu jej do szpitala w oddalonym o 32 kilometry Wuppertal. Niestety, pacjentka zmarła.
Wrocław, grudzień 2020. Wrocławskie Pogotowie Ratunkowe pada ofiarą oprogramowania szyfrującego, które na wiele godzin blokuje jego działalność. Nie działają komputery, nie działa system wspomagający pracę dyspozytorów. Przestępcy, po wykonanym z powodzeniem ataku, zostawili żądanie okupu, a także najprawdopodobniej skopiowali dane zgromadzone w placówce.
Warszawa, luty 2022. Ransomware HIVE atakuje komputery Lotniczego Pogotowia Ratunkowego, blokując łączność, odcinając stronę internetową, maile, wyłączając systemy zarządzania pracą ratowników. LPR zostaje technologicznie cofnięte o co najmniej dekadę, zmuszone do funkcjonowania za pomocą najprostszych możliwych środków i zdane na zdolności improwizacji i determinację swoich pracowników. Atakujący żądają ponad 1,5 mln złotych okupu, którego jednak Pogotowie nie płaci, decydując się samodzielnie przywrócić sprawność swoim systemom, co trwa jednak ponad tydzień, dając pole spekulacjom, że zaszyfrowane mogły zostać także kopie zapasowe.
Przytoczone powyżej przypadki to tylko czubek góry lodowej, jaką są ataki z wykorzystaniem oprogramowania szyfrującego, czyli ransomware. Stają się one coraz częstsze, ponieważ są stosunkowo łatwe do przeprowadzenia, a ich skutki mogą być tak poważne, że w wielu przypadkach zainfekowane firmy decydują się na zapłacenie okupu, czyniąc cały proceder opłacalnym.
Wygląda na to, że cybeprzestępcy dobrze zdają sobie sprawę z tych zależności, bo jak wynika z raportu zajmującej się bezpieczeństwem cyfrowym firmy HHS, w 2020 roku aż 60% dużych ataków ransomware dotyczyło placówek medycznych, a ich szacowany koszt wyniósł 21 miliardów dolarów. Jeszcze ciemniejszy obraz kreślą wyniki ankiety firmy analitycznej CyberMDX, według których w ciągu sześciu miesięcy tego roku niemal połowa (48%) dyrektorów amerykańskich szpitali odnotowała konieczność dłuższego lub krótszego wstrzymania pracy swojej placówki w związku z zagrożeniami cybernetycznymi.
Patrząc na te dane, należy zadać sobie pytanie – co zrobić, żeby uniknąć takiej sytuacji?
Walka z ransomware – wojna, której nie da się wygrać?
Najczęstszym sposobem wprowadzenia złośliwego oprogramowania do systemu placówki medycznej jest wykorzystanie najsłabszego ogniwa jej zabezpieczeń – człowieka. Dziesiątki pracowników codziennie odbierają setki maili, otrzymują wiadomości przez komunikatory, odwiedzają strony www. Wystarczy, że tylko jeden z nich otworzy załącznik, który miał zawierać fakturę, zamówienie czy informację o przesyłce i do jego komputera – a z niego, do innych urządzeń w sieci wewnętrznej – trafia oprogramowanie ransomware. Po rozprzestrzenieniu się, program zaczyna szyfrować zawartość wszystkich nośników pamięci, jakie są połączone z zakażonymi komputerami, zostawiając placówkę z bezużytecznymi urządzeniami, wyświetlającymi tylko informację o wysokości okupu.
„Pod wieloma względami zapobieganie infekcji cybernetycznej przypomina doskonale znane wszystkim związanym z sektorem zdrowotnym środki zapobiegania rozprzestrzenianiu się zakaźnej choroby. Pierwszą linią obrony jest prewencja, która polega na stałym edukowaniu pracowników, a także właściwym ustawieniu uprawnień i polityk bezpieczeństwa, żeby nawet w przypadku udanego ataku na komputer któregoś z użytkowników nie było możliwe eskalowanie go na dalsze maszyny. Kolejny poziom zabezpieczeń stanowią zabezpieczenia aktywne, czyli oprogramowanie wykrywające i blokujące malware, zarówno na poziomie poszczególnych komputerów, jak i całej sieci. Niestety, tak jak w przypadku bakterii i wirusów, nigdy nie da się osiągnąć całkowitego bezpieczeństwa. Obrońcom musi się udawać za każdym razem. Atakującym wystarczy, że uda się tylko raz…”
– Tomasz Kupfer, Business Development Manager, Axians
Na szczęście w walce z ransomware mamy do dyspozycji narzędzie, które nie ma swojego odpowiednika w medycynie. Jego najbliższym analogiem byłoby… wskrzeszenie chorego.
Cyfrowy bunkier, czyli cybernetyczne zmartwychwstanie
W sytuacji, kiedy wszystkie komputery i serwery placówki są unieruchomione przez ransomware, do wyboru są dwie opcje: zapłacić okup i trzymać kciuki, żeby przestępcy dotrzymali słowa i rzeczywiście udostępnili klucz do odszyfrowania danych, albo nie zapłacić, wyczyścić zawartość wszystkich maszyn i postawić wszystko od nowa. Ta druga możliwość oznaczałaby katastrofalne straty finansowe i wizerunkowe, jeśli wiązałaby się z utratą całego oprogramowania i wszystkich danych – ale wcale nie musi. Mam na myśli oczywiście kopię zapasową.
W sytuacji, kiedy strumień powstających danych wymaga aktualizacji niemal w czasie rzeczywistym – utrata danych z choćby kilku godzin działania pracowni rezonansu magnetycznego czy zdjęć rentgenowskich to ogromne, czasem bezpowrotne straty – a najgroźniejszym czynnikiem jest złośliwe oprogramowanie, mogące równie dobrze zainfekować też dane w kopii zapasowej, potrzebne są nowe rozwiązania.
Takim rozwiązaniem jest tak zwany cyfrowy bunkier.
Cyfrowy bunkier to określenie obejmujące infrastrukturę, sprzęt, oprogramowanie i procedury postępowania. Jego sercem jest zapasowa infrastruktura, na której gromadzone są dane kopii bezpieczeństwa. Infrastruktura musi pozwalać na szybkie kopiowanie danych, testowanie ich integralności, oraz szybkie ich odtwarzanie w całości lub w części.
„Podobnie, jak w przypadku tradycyjnego podejścia do backupów, serwery kopii powinny znajdować się w oddzielnej lokalizacji, która będzie też fizycznie zabezpieczona przed niepowołanym dostępem – pojawienie się ransomware nie sprawiło, że inne zagrożenia całkiem zniknęły. Jednak kluczowym elementem cyfrowego bunkra jest tak zwany „air gap”, czyli fizyzna przerwa izolująca sieć firmową i internet od serwerów kopii zapasowej”.
– Tomasz Kupfer, Business Development Manager, Axians
Ta niezwykle skuteczna technika ma jednak pewną dość oczywistą wadę. Tak jak pisałem wyżej, kopie zapasowe muszą być aktualizowane, najlepiej możliwie często. Tu pojawia się coś w rodzaju zwodzonego mostu stosowanego w średniowiecznych zamkach. Podczas aktualizowania danych kopii most jest opuszczony, pozwalając danym przepływać, ale kiedy tylko przesyłanie się zakończy, natychmiast się podnosi, odcinając zamek od otoczenia. To jednak nie wszystko. Ponieważ wraz z nowymi aktualizacjami do bunkra mógłby trafić także i malware, wszystkie dane są zapisywane w trybie wyłącznie do odczytu – w razie, gdyby atak doszedł aż tu nie mogą więc zostać nadpisane i zaszyfrowane.
W ten sposób nawet jeśli wszystko inne zawiedzie i placówka zostanie sparaliżowana przez skuteczny atak ransomware, jej dane i oprogramowanie są bezpieczne w cyfrowym bunkrze, skąd mogą być szybko przywrócone. Tak, jakby można było cofnąć czas do chwili przed atakiem.