Michigan, kwiecień 2019. Wszystkie komputery lokalnego centrum medycznego zostały zaszyfrowane przez oprogramowanie typu ransomware – lekarze tracą dostęp zarówno do danych na temat pacjentów i terapii, jak i do wszelkich rozliczeń i całej logistyki placówki.

Postępując zgodnie z zaleceniami FBI, władze centrum decydują się nie płacić przestępcom okupu, klinika zostaje zamknięta na czas prowadzenia śledztwa, powodując trudne do oszacowania straty.

Dusseldorf, wrzesień 2020. System komputerowy szpitala uniwersyteckiego Uniwersytetu Heinricha Heinego zostaje zainfekowany ransomware, którego celem były serwery uczelni. Wykorzystując lukę w software Citrix, złośliwe oprogramowanie przejęło kontrolę nad komputerami obu placówek, szyfrując ich zawartość i unieruchamiając systemy operacyjne. Właśnie wtedy, kiedy w wyniku ataku wszystkie urządzenia szpitala działające pod kontrolą połączonych z siecią komputerów stały się bezużyteczne, karetka przywiozła pacjentkę w stanie krytycznym – nie mogąc udzielić jej pomocy, podjęto decyzję o odesłaniu jej do szpitala w oddalonym o 32 kilometry Wuppertal. Niestety, pacjentka zmarła.

Wrocław, grudzień 2020. Wrocławskie Pogotowie Ratunkowe pada ofiarą oprogramowania szyfrującego, które na wiele godzin blokuje jego działalność. Nie działają komputery, nie działa system wspomagający pracę dyspozytorów. Przestępcy, po wykonanym z powodzeniem ataku, zostawili żądanie okupu, a także najprawdopodobniej skopiowali dane zgromadzone w placówce.

Warszawa, luty 2022. Ransomware HIVE atakuje komputery Lotniczego Pogotowia Ratunkowego, blokując łączność, odcinając stronę internetową, maile, wyłączając systemy zarządzania pracą ratowników. LPR zostaje technologicznie cofnięte o co najmniej dekadę, zmuszone do funkcjonowania za pomocą najprostszych możliwych środków i zdane na zdolności improwizacji i determinację swoich pracowników. Atakujący żądają ponad 1,5 mln złotych okupu, którego jednak Pogotowie nie płaci, decydując się samodzielnie przywrócić sprawność swoim systemom, co trwa jednak ponad tydzień, dając pole spekulacjom, że zaszyfrowane mogły zostać także kopie zapasowe.

Przytoczone powyżej przypadki to tylko czubek góry lodowej, jaką są ataki z wykorzystaniem oprogramowania szyfrującego, czyli ransomware. Stają się one coraz częstsze, ponieważ są stosunkowo łatwe do przeprowadzenia, a ich skutki mogą być tak poważne, że w wielu przypadkach zainfekowane firmy decydują się na zapłacenie okupu, czyniąc cały proceder opłacalnym.

– Niestety sektor zdrowotny jest szczególnie podatny na tego typu ataki. Wiąże się to z faktem, że placówki medyczne jeszcze bardziej niż inne przedsiębiorstwa czy jednostki samorządowe nie mogą sobie pozwolić ani na przerwy w działaniu, ani na utratę danych, którymi operują. W ich przypadku może to oznaczać nie tylko ogromne straty finansowe i wizerunkowe, ale też i zagrożenie zdrowia i życia ludzi.

Avatar
Tomasz Kupfer

Business Development Manager, S&T

Wygląda na to, że cybeprzestępcy dobrze zdają sobie sprawę z tych zależności, bo jak wynika z raportu zajmującej się bezpieczeństwem cyfrowym firmy HHS, w 2020 roku aż 60% dużych ataków ransomware dotyczyło placówek medycznych, a ich szacowany koszt wyniósł 21 miliardów dolarów. Jeszcze ciemniejszy obraz kreślą wyniki ankiety firmy analitycznej CyberMDX, według których w ciągu sześciu miesięcy tego roku niemal połowa (48%) dyrektorów amerykańskich szpitali odnotowała konieczność dłuższego lub krótszego wstrzymania pracy swojej placówki w związku z zagrożeniami cybernetycznymi.

Patrząc na te dane, należy zadać sobie pytanie – co zrobić, żeby uniknąć takiej sytuacji?

Walka z ransomware – wojna, której nie da się wygrać?

Najczęstszym sposobem wprowadzenia złośliwego oprogramowania do systemu placówki medycznej jest wykorzystanie najsłabszego ogniwa jej zabezpieczeń – człowieka. Dziesiątki pracowników codziennie odbierają setki maili, otrzymują wiadomości przez komunikatory, odwiedzają strony www. Wystarczy, że tylko jeden z nich otworzy załącznik, który miał zawierać fakturę, zamówienie czy informację o przesyłce i do jego komputera – a z niego, do innych urządzeń w sieci wewnętrznej – trafia oprogramowanie ransomware. Po rozprzestrzenieniu się, program zaczyna szyfrować zawartość wszystkich nośników pamięci, jakie są połączone z zakażonymi komputerami, zostawiając placówkę z bezużytecznymi urządzeniami, wyświetlającymi tylko informację o wysokości okupu.

img

„Pod wieloma względami zapobieganie infekcji cybernetycznej przypomina doskonale znane wszystkim związanym z sektorem zdrowotnym środki zapobiegania rozprzestrzenianiu się zakaźnej choroby. Pierwszą linią obrony jest prewencja, która polega na stałym edukowaniu pracowników, a także właściwym ustawieniu uprawnień i polityk bezpieczeństwa, żeby nawet w przypadku udanego ataku na komputer któregoś z użytkowników nie było możliwe eskalowanie go na dalsze maszyny. Kolejny poziom zabezpieczeń stanowią zabezpieczenia aktywne, czyli oprogramowanie wykrywające i blokujące malware, zarówno na poziomie poszczególnych komputerów, jak i całej sieci. Niestety, tak jak w przypadku bakterii i wirusów, nigdy nie da się osiągnąć całkowitego bezpieczeństwa. Obrońcom musi się udawać za każdym razem. Atakującym wystarczy, że uda się tylko raz…”

– Tomasz Kupfer, Business Development Manager, S&T

Na szczęście w walce z ransomware mamy do dyspozycji narzędzie, które nie ma swojego odpowiednika w medycynie. Jego najbliższym analogiem byłoby… wskrzeszenie chorego.

Cyfrowy bunkier, czyli cybernetyczne zmartwychwstanie

W sytuacji, kiedy wszystkie komputery i serwery placówki są unieruchomione przez ransomware, do wyboru są dwie opcje: zapłacić okup i trzymać kciuki, żeby przestępcy dotrzymali słowa i rzeczywiście udostępnili klucz do odszyfrowania danych, albo nie zapłacić, wyczyścić zawartość wszystkich maszyn i postawić wszystko od nowa. Ta druga możliwość oznaczałaby katastrofalne straty finansowe i wizerunkowe, jeśli wiązałaby się z utratą całego oprogramowania i wszystkich danych – ale wcale nie musi. Mam na myśli oczywiście kopię zapasową.

– Tworzenie kopii zapasowej to podstawa cyfrowego bezpieczeństwa. Kluczowe dane, konfiguracje i oprogramowanie powinny być, zgodnie z najlepszymi praktykami, skopiowane i przechowywane w dwóch różnych lokacjach, na trzech różnych rodzajach nośników. Jednak takie podejście do backupu pochodzi z czasów, kiedy przetwarzano o rzędy wielkości mniej danych, niż ma to miejsce w dzisiejszych czasach, a najpoważniejszym zagrożenia miały charakter fizyczny, jak na przykład pożar, zalanie czy kradzież.

Avatar
Tomasz Kupfer

Business Development Manager, S&T

W sytuacji, kiedy strumień powstających danych wymaga aktualizacji niemal w czasie rzeczywistym – utrata danych z choćby kilku godzin działania pracowni rezonansu magnetycznego czy zdjęć rentgenowskich to ogromne, czasem bezpowrotne straty – a najgroźniejszym czynnikiem jest złośliwe oprogramowanie, mogące równie dobrze zainfekować też dane w kopii zapasowej, potrzebne są nowe rozwiązania.

Takim rozwiązaniem jest tak zwany cyfrowy bunkier.

Cyfrowy bunkier to określenie obejmujące infrastrukturę, sprzęt, oprogramowanie i procedury postępowania. Jego sercem jest zapasowa infrastruktura, na której gromadzone są dane kopii bezpieczeństwa. Infrastruktura musi pozwalać na szybkie kopiowanie danych, testowanie ich integralności, oraz szybkie ich odtwarzanie w całości lub w części.

img

„Podobnie, jak w przypadku tradycyjnego podejścia do backupów, serwery kopii powinny znajdować się w oddzielnej lokalizacji, która będzie też fizycznie zabezpieczona przed niepowołanym dostępem – pojawienie się ransomware nie sprawiło, że inne zagrożenia całkiem zniknęły. Jednak kluczowym elementem cyfrowego bunkra jest tak zwany „air gap”, czyli fizyzna przerwa izolująca sieć firmową i internet od serwerów kopii zapasowej”.

– Tomasz Kupfer, Business Development Manager, S&T

Ta niezwykle skuteczna technika ma jednak pewną dość oczywistą wadę. Tak jak pisałem wyżej, kopie zapasowe muszą być aktualizowane, najlepiej możliwie często. Tu pojawia się coś w rodzaju zwodzonego mostu stosowanego w średniowiecznych zamkach. Podczas aktualizowania danych kopii most jest opuszczony, pozwalając danym przepływać, ale kiedy tylko przesyłanie się zakończy, natychmiast się podnosi, odcinając zamek od otoczenia. To jednak nie wszystko. Ponieważ wraz z nowymi aktualizacjami do bunkra mógłby trafić także i malware, wszystkie dane są zapisywane w trybie wyłącznie do odczytu – w razie, gdyby atak doszedł aż tu nie mogą więc zostać nadpisane i zaszyfrowane.

W ten sposób nawet jeśli wszystko inne zawiedzie i placówka zostanie sparaliżowana przez skuteczny atak ransomware, jej dane i oprogramowanie są bezpieczne w cyfrowym bunkrze, skąd mogą być szybko przywrócone. Tak, jakby można było cofnąć czas do chwili przed atakiem.

Zobacz podobne

27.07.2022

Infrastruktura HCI sprzyja przyspieszeniu cyfryzacji sektora ubezpieczeniowego

W 2018 roku Polska Izba Ubezpieczeń opublikowała raport Cyfryzacja sektora ubezpieczeń w Polsce. Już z tego raportu, sporządzonego na długo przed pandemią wynikało, że polskie firmy ubezpieczeniowe postawiły na cyfryzację, choć były w tym względzie bardziej zachowawcze niż ich zagraniczny konkurenci.
20.07.2022

System ECM – konieczność czy zbędny dodatek?

Firmy, w uzupełnieniu do istniejących już systemów klasy ERP lub MES, coraz częściej poszukują rozwiązań do archiwizacji i obiegu dokumentów. Poznaj pełne spektrum możliwości narzędzi klasy ECM.
27.06.2022

Dlaczego systemy kontrolingowe są potrzebne współczesnym firmom?

Narzędzia Corporate Performance Management (CPM) pozwalają na przyśpieszenie tempa podejmowania decyzji biznesowych nawet o 90 proc. w porównaniu do firm konkurencyjnych.
A MOŻE WOLAŁBYŚ OD RAZU UZYSKAĆ SPERSONALIZOWANĄ OFERTĘ? Zostań naszym klientem już dziś

Kontakt

    Dane są podawane dobrowolnie. Podanie danych oznaczonych gwiazdką (*) jest obowiązkowe do wysłania zapytania.

    Zgoda oznacza możliwość otrzymywania informacji handlowych dotyczących produktów i usług promowanych przez spółki z grupy S&T AG, jak również informacji marketingowych powstałych we współpracy z naszymi partnerami technologicznymi.
    Mają Państwo prawo do cofnięcia wyrażonej zgody w dowolnym momencie. Wycofanie zgody nie ma wpływu na zgodność z prawem przetwarzania Państwa danych, którego dokonano na podstawie udzielonej zgody przed jej cofnięciem.

    Jeśli chcą Państwo wycofać zgodę, mogą Państwo tego dokonać tutaj.

    Administratorem Państwa danych osobowych jest właściwa spółka z grupy S&T AG, mająca siedzibę w Polsce. Podane dane osobowe będą przetwarzane w celu identyfikacji nadawcy i udzielenia odpowiedzi na zapytanie. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności.

    Zapisz się na newsletter S&T

      Dane są podawane dobrowolnie. Podanie danych oznaczonych gwiazdką (*) jest obowiązkowe do otrzymania newslettera.
      Zgoda oznacza możliwość otrzymywania informacji handlowych dotyczących produktów i usług promowanych przez spółki z grupy S&T AG, jak również informacji marketingowych powstałych we współpracy z naszymi partnerami technologicznymi. Mają Państwo prawo do cofnięcia wyrażonej zgody w dowolnym momencie. Wycofanie zgody nie ma wpływu na zgodność z prawem przetwarzania Państwa danych, którego dokonano na podstawie udzielonej zgody przed jej cofnięciem.
      Jeśli chcą Państwo wycofać zgodę, mogą Państwo tego dokonać tutaj.

      Administratorem Państwa danych osobowych jest właściwa spółka z grupy S&T AG, mająca siedzibę w Polsce. Podane dane osobowe będą przetwarzane w celu prowadzenia działań marketingowych, co jest prawnie uzasadnionym interesem Administratora. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności.