6 zasad ochrony przed ransomware, które trzeba znać

Atak hakerów na centrum zdrowia w Wersalu pod Paryżem to kolejna gorzka lekcja bezpieczeństwa danych. Co się dokładnie stało i czy w ogóle można się jeszcze obronić przed cyberprzestępcami?

Hakerzy działają bez skrupułów

Z początkiem grudnia 2022 r,. centrum szpitalne w Wersalu – w skład którego wchodzą szpital Andre-Mignot, Richaud i dom spokojnej starości Despagne – musiało odwołać zaplanowane operacje i ewakuować pacjentów z oddziału intensywnej terapii i noworodkowego po tym, jak zostało zaatakowane przez hakerów. Choć urządzenia medyczne nadal pracowały, wyświetlane dane nie były pełne ze względu na blokadę sieci szpitalnej.

François Braun, francuski Minister Zdrowia nazwał atak dosadnie jako „branie zdrowia Francuzów w charakterze zakładnika.”

Dotknięte cyberatakiem podmioty musiały odciąć komunikację telefoniczną, internet i wyłączyć wszystkie systemy komputerowe. Hakerzy zażądali okupu, jednak placówka nie zgodziła się go zapłacić. Zresztą nie mogła, bo francuskie prawo tego zabrania.

Takie ataki zdarzają się coraz częściej. Jesienią 2022 roku hakerzy zażądali 10 mln dolarów za zakończenie cyberataku na paryski szpital regionalny. Jego działalność została poważnie zakłócona przez kilka tygodni. W Polsce spore kłopoty po ataku ransomware miał Instytut Centrum Zdrowia Matki Polki w Łodzi.

Mała luka bezpieczeństwa, duża szkoda

Nawet ataki na największe i – wydawałoby się – najlepiej zabezpieczone placówki ochrony zdrowia mają zazwyczaj ten sam schemat: złośliwe oprogramowanie ransomware dostaje się do sieci i zaraża kolejne urządzenia. Dzieje się to z reguły albo w wyniku złamania słabych haseł, albo uruchomienia złośliwego pliku przesłanego e-mailem.

Człowiek jest najsłabszym ogniwem systemu zabezpieczeń – aż w 90% przypadków incydentów bezpieczeństwa to pracownicy stają się nieświadomymi wrotami do danych i systemów IT.

Badania pokazują, że w symulowanych atakach phisingowych, pracownicy szpitali klikają na zarażony załącznik w co siódmej wiadomości e-mail. Dlatego należy się skupić właśnie na tym, aby bezpieczeństwo informacji było wszyte w używane systemy i procedury. To jest zadanie dla administratorów systemów IT i ochrony danych.

Absolutnym minimum w systemie bezpieczeństwa przez cyberatakami są:

• Bieżąca aktualizacja wszystkich zasobów IT, w tym przeglądarek internetowych, systemów operacyjnych, systemów antywirusowych itd. Wiele podmiotów medycznych nadal korzysta – ze względu na koszty – ze starych systemów operacyjnych bardzo podatnych na włamania;
• Używanie silnych haseł i ich regularna zmiana;
• Silne filtry antyspamowe i uczulanie pracowników, aby nie otwierać żadnych podejrzanych załączników (szkolenia i symulacje ataków);
• W przypadku przesyłania danych z zewnątrz, należy upewnić się, że pracownicy ochrony zdrowia korzystają z bezpiecznej usługi VPN;
• Wykonywanie kilku kopii bezpieczeństwa, w tym jednej w chmurze danych;
• Opracowanie i przegląd systemu bezpieczeństwa informacji, który obejmuje regularne szkolenia i sposób reagowania w przypadku ataku cybernetycznego.

Warto pamiętać, że ataki phishingowe dokonywane są najczęściej za pośrednictwem poczty elektronicznej, telefonu i wiadomości tekstowych. Przykładowo, hakerzy mogą zadzwonić podszywając się pod pracownika placówki i poprosić o otworzenie załącznika we właśnie przesłanym mailu, podanie hasła albo przekazanie kartoteki pacjenta. Metody są coraz bardziej wyrafinowane. Hakerzy mogą wybrać sobie za cel konkretnego pracownika szpitala i zmusić go do udostępnienia danych albo kliknięcie załącznika, powołując się na stan pacjenta zagrażający jego życiu.

3–2–1: Kopie, kopie i jeszcze raz kopie

Jak podkreślają eksperci, bezpieczna i aktualna kopia zapasowa to najlepsza polisa w przypadku ataku cyberprzestępców. Kopia pozwoli przywrócić normalne funkcjonowanie placówki i odzyskać wszystkie dane medyczne pacjentów, które są krytyczne z punktu widzenia leczenia. I nawet jeśli hakerzy opublikują dane w darknecie, co ma poważne konsekwencje dla prywatności pacjentów, placówka zapewni ciągłość leczenia i bezpieczeństwo chorych.

Zaleca się, aby przechowywać kilka kopii zapasowych w różnych lokalizacjach z różnym stopniem aktualności. Jedną z zasad jest „3–2–1”: tworzenie trzech oddzielnych kopii zapasowych danych, dwóch na różnych nośnikach i jedną poza siedzibą firmy, najlepiej w chmurze. Kopia w chmurze powinna być aktualizowana w czasie rzeczywistym. Z kolei kopie na nośnikach zewnętrznych, które przydadzą się w awaryjnych sytuacjach, mogą być tworzone w większych odstępach czasu.

Polisa od ryzyka cybernetycznego

Archiwizacja w chmurze jest najwygodniejszą i najpewniejszą metodą, bo realizowana jest automatycznie, a do tego kopia przechowywana jest poza siecią placówki ochrony zdrowia. Jest też coraz tańszym sposobem ze względu na rosnącą ofertę chmur danych. Niektóre usługi oparte na chmurze powalają też tworzyć nieedytowalne kopie – nie mogą być one ani usunięte, ani zmienione przez cały okres przechowywania, co jeszcze bardziej zwiększa poziom ochrony.

Chmura ma też jeszcze jedną zaletę – usługa bezpieczeństwa danych i tworzenia kopii jest outsourcingowana. A przy trudnościach, jakie placówki medyczne mają z zatrudnieniem pracowników IT i ich rotacją, może to być decydujący argument.

Niektóre placówki decydują się też polisę od ryzyk cybernetycznych oraz związanych z RODO. Oferuje je już kilka działających w Polsce ubezpieczalni. W sytuacji wycieku danych, poszkodowana placówka może liczyć na szybką pomoc ekspertów bezpieczeństwa, pokrycie kosztów napraw i kar administracyjnych czy nawet wypłatę odszkodowania osobom poszkodowanym. Nie jest to jednak tanie rozwiązanie. Silna kultura cyberbezpieczeństwa powinna być zadaniem nr 1 dla wszystkich podmiotów ochrony zdrowia. A na nią składa się dobrze opracowana strategia, aktualne systemy IT, bezpieczne kopie baz w chmurze, systematyczne szkolenia i regularne symulacje ataków.

Czytaj także: Jak chronić dane pacjentów? 5-minutowy poradnik