Cyberatak w UK sparaliżował szpitale. Jak się zabezpieczyć?


W wyniku cyberataku rosyjskich hakerów, londyńskie laboratorium mogło zrealizować jedynie 10% normalnego wolumenu badań
W wyniku cyberataku rosyjskich hakerów, londyńskie laboratorium mogło zrealizować jedynie 10% normalnego wolumenu badań

Rosyjscy hakerzy zaatakowali prywatne laboratorium obsługujące badania krwi dla londyńskich placówek zdrowia. W efekcie trzeba było przesunąć ponad 1300 operacji i 4900 wizyt ambulatoryjnych. Analizujemy co się stało i jak zabezpieczyć się przed skutkami podobnych ataków.

Niebezpieczny efekt domina

Tym razem cyberprzestępcy wzięli na muszkę nie szpital, ale podwykonawcę. Chodzi o laboratorium Synnovis wykonujące badania krwi dla kilku placówek Narodowej Służby Zdrowia w Wielkiej Brytanii (NHS). Atak – prawdopodobnie przeprowadzony przez rosyjskich hakerów z grupy Qilin – dotknął prawie wszystkie systemie IT dostawcy, uniemożliwiając identyfikację próbek i paraliżując bieżącą realizację badań oraz przekazywanie wyników do zleceniodawców. Hakerzy dokonali podwójnego ataku ransomware blokując i kradnąc dane. W zamian za ich odblokowanie zażądali zapłaty 40 mln funtów okupu, na co NHS się nie zgodził.

Sytuacja przypominała efekt domina: paraliż działalności laboratorium doprowadził do opóźnienia realizacji badań, co z kolei spowodowało konieczność utylizacji tysiąca próbek krwi pacjentów, których nie można było przeanalizować w wymaganym czasie. Placówki musiały skontaktować się z pacjentami i powtórzyć badania. NHS, nie wiedząc ilu chorych w szpitalach potrzebuje transfuzji krwi, na oślep zaapelowało o oddawanie krwi. Zamiast elektronicznie, wyniki badań były zapisywane ręcznie, co zwiększyło ryzyko popełnienia błędu. Narządy do przeszczepów trzeba było przekierować do innych placówek.

Tysiące odwołanych wizyt

NHS szybko wdrożył procedury zarządzania kryzysowego, przekierowując badania do innych laboratoriów oraz koordynując opieką nad najbardziej pilnymi przypadkami. Mimo to, incydent doprowadził do zakłócenia bieżącej działalności placówek zdrowia współpracujących z Synnovis. Laboratorium mogło zrealizować jedynie 10% normalnego wolumenu badań. W pierwszym tygodniu po cyberataku, trzeba było przełożyć ponad 800 planowanych operacji i 700 wizyt ambulatoryjnych, w tym 97 operacji onkologicznych. W kolejnych tygodniach liczby te wzrosły do 1391 operacji i 4913 wizyt w opiece ambulatoryjnej.

Cyberatak na londyńskie szpitale spowodował konieczność przełożenia ok. 1391 operacji. Według doniesień Bloomberga, londyńskie szpitale od lat miały zastrzeżenia co do standardów bezpieczeństwa danych w laboratorium Synnovis
Cyberatak na londyńskie szpitale spowodował konieczność przełożenia ok. 1391 operacji. Według doniesień Bloomberga, londyńskie szpitale od lat miały zastrzeżenia co do standardów bezpieczeństwa danych w laboratorium Synnovis

Kryzys szybko rozlał się także na inne placówki, powodując zamieszanie z wizytami pacjentów i uniemożliwiając podejmowanie decyzji klinicznych. Wychodzenie z chaosu zajęło kilka tygodni, odbijając się na zdrowiu pracowników poszkodowanych placówek i pacjentów. To pokazuje, że ataki cybernetyczne na placówki zdrowia są atakami na ludzi, którzy w nich pracują oraz chorych, którzy się w nich leczą.

Jak się przygotować na podobne incydenty?

Czerwcowy indycent to jeden z największych ataków cybernetycznych na brytyjską służbę zdrowia od 2017 roku, kiedy to ransomware WannaCry i NotPetya spowodowały ogromne zakłócenia. Od tego czasu, NHS zainwestował łącznie 350 mld funtów w cyberbezpieczeństwo. Jak się okazuje – nadal za mało. Eksperci od cyberzagrożeń podkreślają, że liczba ataków będzie rosła i należy pilnie zwiększyć nakłady na bezpieczeństwo danych.

Szpitale muszą nie tylko wzmacniać wewnętrzne systemy i procedury ochrony, ale wymagać wysokich standardów bezpieczeństwa danych w całym łańcuchu dostaw, w tym od podwykonawców. Zarządzanie dostawcami obejmuje m.in. przeprowadzanie regularnych audytów zgodności z wymaganiami dotyczącymi ochrony danych. W umowach należy zawrzeć klauzule nakazujące powiadamianie o incydentach cybernetycznych i sposób reagowania na nie w kontekście zapewniania płynności usług medycznych.

NHS szybko zareagowała, bo miała plan reagowania na incydenty cyberbezpieczeństwa. Bez niego chaos byłby jeszcze większy. Jeśli już dojdzie do ataku, dobry i regularnie ćwiczony plan zarządzania kryzysowego pozwala przywrócić płynność działania, redukując negatywne skutki cyberataku. Równie ważna jest transparentna komunikacja. Synnovis i NHS od początku podawali do wiadomości publicznej przebieg wydarzeń oraz skalę zakłóceń w działalności.

Miesiąc po cyberataku Synnovis nadal nie mógł normalnie pracować, o czym informował w publikowanych co kilka dni komunikatach. Dotyczyły one uruchomionych procedur (współpraca z innymi laboratoriami), współpracy z organizacjami ds. cyberbezpieczeństwa i informacji o danych, które zostały wykradzione i co to oznacza dla pacjentów.

Przy okazji tego typu ataków podkreśla się znaczenie podstawowych zasad cyberbezpieczeństwa jak regularne szkolenia, symulacje phishingu, na bieżąco aktualizowana polityka bezpieczeństwa danych, regularne inwestycje w infrastrukturę IT, aktualizacje systemów IT, tworzenie bezpiecznych kopii zapasowych danych pozwalających szybko przywrócić płynność działania, monitorowanie potencjalnych zagrożeń oraz wdrażanie najlepszych praktyk np. zalecanych w kodeksach branżowych.