Cyberatak! Jak się chronić i regować? Rady CSIRT i Policji

Podczas konferencji Centrum e-Zdrowia, eksperci z CSIRT Centrum e-Zdrowia, Centralnego Biura Zwalczania Cyberprzestępczości (CBZC), Urzędu Ochrony Danych Osobowych (UODO) oraz środowiska medycznego rozmawiali o tym, jak się zabezpieczyć przed atakami hakerów i jak na nie reagować. Przedstawiono też kulisy największego przestępstwa cybernetycznego w ochronie zdrowia ostatnich lat, które wykryło CBZC.

Tylko 60% placówek wykonuje testy kopii zapasowych

Jeremi Olechnowicz, Kierownik CSIRT Centrum e-Zdrowia, podkreślił, że sektor zdrowia jest jednym z najbardziej podatnych na ataki, co wynika z kilku czynników: systemy są złożone, przetwarzają dane wrażliwe (medyczne, osobowe, dokumentację), a placówki często mają ograniczone zasoby kadrowe i techniczne.

Dane nie pozostawiają złudzeń: gwałtownie rośnie liczba incydentów cybernetycznych, a zgodnie z globalnym raportem IBM, sektor zdrowia generuje najwyższe straty finansowe spośród wszystkich sektorów, właśnie ze względu na wrażliwość danych oraz znaczenie systemów dla życia i zdrowia pacjentów.

Według Olechnowicza, były już pojedyncze przypadki na świecie, kiedy doszło do takiej sytuacji, że utrudniony dostęp do dokumentacji medycznej zagroził zdrowiu i życiu pacjenta. Hakerzy najczęściej zorganizowane grupy przestępcze, które posiadają budżet i działają w pełni profesjonalnie. Statystyki Centrum e-Zdrowia sugerują, że najczęstsze formy ataków na placówki zdrowia to:

• Phishing i spear-phishing, czyli próby wyłudzenia loginów i haseł pracowników.
• Wirusy, ransomware i ataki szyfrujące, które blokują dostęp do danych i systemów medycznych, a hakerzy żądają zapłacenia okupu.
• Wykorzystanie podatności w aplikacjach i infrastrukturze, szczególnie na serwerach podłączonych do internetu.

Czynnik ludzki nadal pozostaje najsłabszym ogniwem systemu ochrony danych. Wielu incydentów dałoby się uniknąć dzięki prostym nawykom bezpieczeństwa i edukacji pracowników.

– Cyberbezpieczeństwo to złożone zadanie dla każdego podmiotu. Wymaga zaangażowania wszystkich pracowników, całej organizacji, no i niestety budżetu – mówił Olechnowicz. Do bazowych zabezpieczeń należą antywiriusy, aktualne oprogramowanie, inwestowanie w kompetencje pracowników, spełnienie wymagań prawnych w zakresie RODO oraz monitorowanie infrastruktury IT.

Ekspert CSIRT CeZ podkreślił, że cyberbezpieczeństwo to proces. Nie chodzi tylko o to, żeby co roku odnawiać subskrypcję na program antywirusowy. Cyberprzestępcy szukają nowych metod, nowych wektorów ataku, więc organizacja też musi się przystosować i zabezpieczyć przed tymi atakami.

Wkrótce Cez opublikuje wyniki ankiety badającej poziom cyberodporności w sektorze zdrowia. Wstępne wyniki są alarmujące. Chociaż ponad 90% podmiotów posiada system kopii zapasowych, to tylko niecałe 60% wykonuje ich testy. W krytycznym momencie może się okazać, że kopie nie działają albo kopie są nieprawidłowe. 9% podmiotów nie ma podstawowych narzędzi bezpieczeństwa, takich jak antywirus, firewall czy ADR (systemy wykrywania i reagowania na incydenty). Duże zaniedbania są też w uwierzytelnianiu wieloskładnikowym, choć mówi się o tym od wielu lat.

CSIRT CeZ wspiera placówki medyczne, pomagając w obsłudze incydentów, monitorując podatności oraz szkoląc personel i przygotowując wytyczne sektorowe.

–  Wspólnie z Akademią Cez przeszkoliliśmy już ponad 1700 przedstawicieli podmiotów medycznych. Uruchamiamy też platformy e-learningowe, żeby dotrzeć do szerszego grona odbiorców –  podsumował  Olechnowicz.

Centralne Biuro Zwalczania Cyberprzestępczości zdradza kulisy działania hakerów w ochronie zdrowia

Komisarz Dariusz Śpicha, z CBZC przedstawił operacyjne spojrzenie na cyberzagrożenia w sektorze zdrowia, oparte na konkretnych śledztwach i przestępstwach. Opowiedział m.in. o dużej grupie przestępczej, którą CBZC rozpracowało w czasie pandemii COVID-19. Cyberprzestępcy zdobywali dane logowania do systemów, m.in. do gabinet.gov.pl i rejestru podmiotów wykonujących działalność leczniczą (RPWDL) wykorzystując brak uwierzytelnienia wieloskładnikowego (MFA).

Za pomocą przejętych kont generowali fałszywe recepty oraz potwierdzenia szczepień COVID, które były sprzedawane nawet za 1500 zł. Taki certyfikat był następnie wpisywany do centralnego systemu. Grupa wykorzystywała wycieki danych, które zdobywała na forach darknetowych, a następnie sprzedawała dane lub używała ich do dalszych włamań.

Wraz z upływem czasu certyfikaty covidowe przestały być chodliwym towarem, dlatego grupa zmieniła sposób działania i zaczęła wystawiać recepty na leki opioidowe, które bardzo dobrze się sprzedawały zarówno w Polsce, jak i za granicą. Wykorzystywali do tego dostęp do e-recept, logując się przez konta pozyskane z wcześniejszych ataków (np. gabinet.gov.pl), ale także przekształcając konta zwykłych użytkowników w konta lekarzy. Pozyskiwali dane logowania z wycieków z różnych podmiotów medycznych, które były słabo zabezpieczone. Większość placówek medycznych korzysta z aplikacji zewnętrznych i wiele z tych aplikacji nie ma uwierzytelniania dwuskładnikowego, co pozwalało na łatwe logowanie. Lekarz mógł nawet nie wiedzieć, że – używając jego konta – wystawiane są recepty, które trafiają do przestępców.

Ostatecznie, CBZC we współpracy z Centrum e-Zdrowia doprowadziło do wdrożenia MFA, które znacząco utrudniło przejmowanie kont. Jednak przestępcy zaczęli szukać innych punktów wejścia. Dlatego monitoring darknetu i wymiana informacji między instytucjami są kluczowe.

Jeszcze inna grupa hakerów przeprowadziła trzy kampanie phishingowe wymierzone w NFZ, z których jedna – najlepiej przygotowana – zakończyła się powodzeniem. W jej wyniku 180 użytkowników odpowiedziało na fałszywy komunikat i podało swoje dane dostępowe.

– Dzięki temu przestępcy założyli około 20 kont w różnych podmiotach medycznych. Dlaczego było to dla nich tak ważne? Ponieważ chcieli uzyskać własne konta – najlepiej z uprawnieniami administratora – w placówkach medycznych. Dzięki takim kontom mogli infekować systemy, wprowadzać własnych użytkowników, tworzyć dodatkowe konta i pozyskiwać dostęp do aplikacji oraz danych. Mieli listę stworzonych kont w kilku instytucjach medycznych. Większość z nich udało się później zablokować – mówił Komisarz Śpicha.

Hakerzy często korzystają z tzw. info-stealer’ów instalowanych na komputerach ofiar. Jest ono często niewidoczne nawet dla antywirusa. Takie oprogramowanie pobiera wszystkie dane zapisane w przeglądarce, w tym loginy, hasła i dane wrażliwe, i przekazuje je do przestępców w postaci tekstu jawnego. Kradzione są również pliki cookies z aktywnych sesji logowania, co oznacza, że nawet zabezpieczenia MFA nie chronią, jeśli użytkownik nie wylogował się z konta. Pobierane są także dane typu autofill – czyli wszystko, co wpisujemy w przeglądarkę: numery kont, dane adresowe, wyszukiwane informacje. Dzięki temu przestępcy mogą tworzyć pełne profile użytkowników i ich aktywności. Tak pozyskane informacje trafiają do serwisów handlujących wyciekami.

W marcu 2024 roku wydarzył się kolejny incydent – tym razem w placówce medycznej korzystającej z niezabezpieczonego systemu MyDr. Doszło do przełamania zabezpieczeń i wycieku danych. Ponieważ placówka miała podpięte API do systemu eWuś, przestępcy masowo zadawali zapytania – nawet kilka milionów. Udało się jednak zidentyfikować sprawcę, zatrzymać go i odzyskać całość danych. Jedynie niewielka liczba rekordów została wcześniej sprzedana.

Komisarz podkreślił, że CBZC nie tylko ściga sprawców, ale również prowadzi działania prewencyjne i monitoruje fora darknetowe, aby możliwie wcześnie powiadamiać instytucje o zagrożeniach. Wymienił liczne przypadki placówek (szpitale, centra krwiodawstwa, firmy farmaceutyczne), w których odkryto podatności techniczne i przekazano zalecenia naprawcze.

Można mieć świetny sprzęt i nadal być podatnym na ataki

Cyberbezpieczeństwo w ochronie zdrowia to zagadnienie techniczne, strategiczne, organizacyjne i etyczne. Podczas panelu dyskusyjnego podkreślano, że główne zagrożenie wynika dzisiaj z braku świadomości, kultury bezpieczeństwa oraz umiejętności reagowania. Podmiotom medycznym często wydaje się, że skoro inwestują w systemy, zabezpieczenia i dokumentację, to ich poziom bezpieczeństwa jest wystarczający. Tymczasem, jak zauważyła prof. Marlena Sakowska-Baryła z Uniwersytetu Łódzkiego, „można mieć system, procedury i sprzęt, a mimo to być kompletnie nieprzygotowanym”.

– Widziałam wiele gabinetów, w których polityka dotycząca danych osobowych była tylko skopiowana od kogoś i częściowo uzupełniona. Często podstawowe dane, takie jak lokalizacja, nie były zmieniane, przez co polityka wskazywała na zupełnie inny podmiot, czasem nawet geograficznie odległy – mówiła prof. Sakowska-Baryła.

Jeszcze bardziej niebezpieczne jest przekonanie, że naruszenie danych to tylko „wyciek”, podczas gdy realnym ryzykiem są manipulacje, utrata integralności dokumentacji medycznej czy niedostępność systemów, która unieruchamia pracę całej placówki.

Przypomniano przy tym, że RODO to nie „fasadowa procedura narzucona przez Unię Europejską”, ale podejście chroniące dane. „Często myślimy, że wystarczy polityka RODO kupiona za 300 zł, wpisanie własnych danych i nagłówek – reszta nie jest czytana i w praktyce RODO po prostu nie działa.”

Dr inż. Jakub Syta z Akademii Marynarki Wojennej zaznaczył, że w sektorze medycznym priorytetem nie jest poufność, ale dostępność. „Brak dostępu do danych przez godzinę może być różnicą między życiem a śmiercią”. Dane medyczne należy traktować jak element procesu leczenia, a nie jak informację zapisaną w komputerze. Jak dodała prof. Sakowska-Baryła, „tak naprawdę nie bronimy danych, ale bronimy człowieka przed konsekwencjami utraty tych danych”.

Eksperci podkreślali, że błędem jest traktowanie incydentu jako kompromitacji organizacji. Wiele szpitali do dziś boi się zgłaszać incydenty, chcąc je wyciszyć lub ukryć. To właśnie ten mechanizm powoduje największe szkody. Jak zauważył komisarz Śpicha, „incydent to nie porażka – porażką jest brak reakcji”. Dlatego każdy incydent w ochronie zdrowia musi być traktowany jako problem medyczny, organizacyjny, prawny, a nawet humanitarny. Na ostatnim, a nie pierwszym miejscu, jest myślenie o wizerunku podmiotu.

Niewiedza i strach pracownika to największy sprzymierzeniec hakera

Wiele uwagi poświęcono kulturze organizacyjnej, a raczej jej brakowi. Z jednej strony widać placówki, które mają procedury, wiedzą jak reagować i natychmiast uruchamiają odpowiednie działania. Ale są też jednostki, w których pierwszą reakcją jest panika, ukrywanie i działanie na własną rękę.

Dr Beata Konieczna-Drzewiecka z Wydziału Prawa i Administracji Uniwersytetu Kardynała Stefana Wyszyńskiego oraz Inspektor Ochrony Danych przytoczyła sytuację, w której pracownik, nie mając żadnego szkolenia ani wsparcia, po zauważeniu zaszyfrowanych plików, w panice kupił kryptowaluty i próbował samodzielnie zapłacić cyberprzestępcom, aby „załatwić sprawę po cichu”. O ataku nie wiedział nawet informatyk. Ten przykład pokazuje, że brak świadomości jest realnym zagrożeniem generującym ogromne straty. Dla kontrastu, opisała sytuację placówki, w której wystarczyło jedno zgłoszenie, szybka reakcja administratora i sprawnie działające procedury, które zatrzymały atak zanim wyrządził szkody. Jak podkreśliła Konieczna-Drzewiecka, najlepiej zabezpieczona placówka to nie ta, która nie ma incydentów, ale ta, która potrafi je właściwie obsłużyć.

– Jedna z dużych placówek zdrowia padła ofiarą ataku ransomware. Dzięki temu, że kierownictwo regularnie szkoliło wszystkich pracowników w zakresie bezpieczeństwa i reagowania na ataki, udało się szybko zareagować. Pani doktor zauważyła, że coś jest nie tak z komputerem podczas przyjęcia pacjenta. Natychmiast przerwała wizytę i powiadomiła kierownika, co uruchomiło szybki kontakt z działem IT i podjęcie działań naprawczych. Ten przykład pokazuje, że kompleksowa analiza ryzyk i procedury wynikające z dokumentacji bezpieczeństwa są kluczowe. Brak takiej dokumentacji może skutkować wysokimi karami dla administratora w przypadku kontroli. Z drugiej strony, dobrze przygotowane procedury pozwalają pracownikom wiedzieć, jak reagować i gdzie zgłosić problem – mówiła Konieczna-Drzewiecka.

Konsekwencje ataków dla placówek, które nie są przygotowane, są ogromne. Odłączenie systemów może całkowicie uniemożliwić pracę, analogicznie jak odcięcie prądu. Dlatego przeprowadzanie ocen i analiz ryzyka w jednostkach jest niezbędne, aby zidentyfikować słabe punkty i odpowiednio się zabezpieczyć.

Fundamentem bezpieczeństwa jest wiedza ludzi na każdym poziomie organizacji. To właśnie brak zrozumienia sprawia, że personel medyczny unika zgłaszania incydentów, bo „nie wie do kogo”, „boi się konsekwencji” albo „myśli, że poradzi sobie sam. Dlatego szkolenia z ochrony danych nie mogą być traktowane jako jednorazowy obowiązek i powinny stać się naturalnym elementem kultury pracy – tak, jak higiena, etyka czy tajemnica lekarska.

Prostota obsługi systemów to też element bezpieczeństwa

Ochrona danych wprowadza zasady, które powinny być uwzględniane już na etapie projektowania systemów. Jedną z nich jest „ochrona danych w fazie projektowania”, która poprzez odpowiednie rozwiązania technologiczne i organizacyjne minimalizuje ryzyka. Chodzi m.in. o uniemożliwienie użytkownikom popełniania błędów poprzez przemyślany design procesów i interfejsów użytkownika, ich ujednolicenie i przyjazność obsługi.

Często zapomina się, że na końcu mamy człowieka – w przypadku placówek medycznych to personel medyczny, który jest zajęty i nie może poświęcać dużo czasu na naukę nowych systemów. Dlatego kluczowe jest projektowanie narzędzi tak, aby były intuicyjne i ułatwiały właściwe zachowanie użytkowników. To w dużej mierze decyduje o bezpieczeństwie całej placówki.

Niewygoda obsługi może być ryzykowna, bo jeśli funkcja bezpieczeństwa jest uciążliwa w korzystaniu, użytkownik jej nie użyje, obejdzie albo dezaktywuje. Najczęstszym grzechem jest wyłączanie niektórych zabezpieczeń, bo wymagają powtórnego logowania czy wprowadzania kodów. Piotr Drobek, Dyrektor Departamentu Innowacyjności w UODO podkreślił, że system, który jest wprawdzie wdrożony, ale jest nieużywalny, też jest niebezpieczny. Dlatego każda placówka musi analizować, jak personel medyczny faktycznie pracuje i jak korzysta z zasobów IT. Lekarz dyżurny nie będzie studiował instrukcji ani zastanawiał się nad zasadami MFA. On „musi wejść do systemu natychmiast, bo ktoś leży na oddziale i czeka na decyzję”.

To też pokazuje, że cyberbezpieczeństwo nie jest już domeną działu IT. Systemy, które są intuicyjne, odpowiadają potrzebom i są zaprojektowane z myślą o codziennym funkcjonowaniu personelu, są wielokrotnie skuteczniejsze niż nawet najbardziej zaawansowane rozwiązania techniczne niedopasowane do realiów pracy szpitala. Zwrócono także uwagę, że w wielu klinikach jednym z najlepszych narzędzi bezpieczeństwa okazał się zwykły system komunikacji – numer telefonu i zasada: „Jeśli coś nie działa – zgłoś natychmiast”.

– Kluczowa jest świadomość kierownictwa – niezależnie od wielkości placówki – zarówno w zakresie ochrony danych osobowych przy nowych inwestycjach, jak i w kontekście cyberbezpieczeństwa dotyczącego już istniejących systemów. Często wyznacza się inspektora ochrony danych i zakłada, że on sam odpowiada za bezpieczeństwo danych, podczas gdy kierownictwo nie czuje się odpowiedzialne. Bez tego trudno, aby system działał właściwie. Podczas szkoleń inspektorzy przypominają, że dyrektorzy i kierownictwo muszą rozumieć swoją rolę i odpowiedzialność – zarówno finansową, jak i organizacyjną – mówił Drobek dodając, że nie można przerzucać całej odpowiedzialności tylko na administratora danych, bo dyrektorzy i zarządy szpitali, choć nie są ekspertami od cyberbezpieczeństwa, powinni wiedzieć, jakie działania należy podjąć, aby minimalizować ryzyko i zapewnić bezpieczeństwo placówki.

Kolejny problem w placówkach zdrowia to koncentrowanie się jedynie na łańcuchu dostaw i weryfikowanie podwykonawców, ale przy tym ignorowanie własnego, wewnętrznego bezpieczeństwa. Dostawcy też powinni być bezpieczni, ale nie można przerzucać całej odpowiedzialności na podmioty trzecie. „Najpierw powinniśmy zadbać o to, jak funkcjonuje nasza własna organizacja – jakie mamy procesy i usługi. Kiedy to przeanalizujemy, możemy określić rodzaje przetwarzanych informacji, ich znaczenie i poziom ryzyka.”

Wyciek danych? Zadzwonić na Policję, do CSIRT CeZ czy UODO?

Jak placówki zdrowia powinny reagować na incydenty ochrony danych? Komisarz Dariusz Śpicha wielokrotnie podkreślał, że najlepiej, aby to Policja była pierwsza na miejscu, bo każda godzina zwłoki to zniszczony dowód. Jest to powszechny problem: Placówki, zamiast zgłosić incydent, najpierw próbują go „naprawić”: restartują systemy, zmieniają hasła, wgrywają kopie, co w praktyce niszczy ślady ataku i dowody.

W efekcie cyberprzestępcy są nieuchwytni nie dlatego, że są tacy sprytni, ale dlatego, że wszystkie dowody zostały usunięte przez administratorów. „Lepiej nie dotykać niczego i zadzwonić, niż działać na własną rękę i stracić wszystko”.

– W przypadku ataków ransomware trzeba pamiętać, że zaszyfrowanie systemu to najczęściej tylko efekt końcowy. Sprawcy byli wcześniej w systemie – czasem nawet kilka miesięcy – pobierali dane, przygotowywali infrastrukturę do szantażu. Jeśli ktoś przywraca kopie zapasowe z tego okresu, często są one już skompromitowane – mówił Komisarz Śpicha. Przypomniał też, że jednostki zdrowia mają stałe połączenia z innymi szpitalami, laboratoriami, dostawcami usług. Trzeba natychmiast odciąć te kanały i poinformować partnerów, aby incydent się nie rozprzestrzenił.

Eksperci zachęcali do zgłaszania ataków hakerów. CSIRT CeZ i CBZC potrafią pomóc w przywróceniu systemów i nawet zatrzymać sprawców. Nie są od tego, aby kontrolować i karać.

– Obecnie, jeśli podmiot w ochronie zdrowia ma incydent, ma obowiązek go zgłosić, również do CSIRT CeZ. Zgodnie z nowelizacją ustawy o KSC, wszystkie takie incydenty będą zgłaszane do nas. My wówczas niezwłocznie, maksymalnie w ciągu 8 godzin, powiadamiamy NASK i współpracujemy z nimi – tłumaczył dr Tomasz Jeruzalski z CSIRT CeZ.

Jak mówił Jeruzalski, incydent poważny należy zgłosić w ciągu 24 godzin. Wówczas można liczyć na pomoc w obsłudze incydentu. Może ona obejmować dostarczenie sprzętu, urządzeń sieciowych, notebooków czy transfer kompetencji.

– Oferujemy analizę logów, wsparcie sprzętowe, kontakt z innymi jednostkami oraz szkolenia dla personelu. Pracujemy nad platformą, która umożliwi szkolenia zarówno personelowi medycznemu, jak i administracyjnemu. Dla zainteresowanych przeprowadzamy testy podatności i przygotowujemy raporty z rekomendacjami, jak poprawić bezpieczeństwo systemów. Mamy też bardziej zaawansowane testy dla jednostek, które chcą pogłębić swoją ochronę – podsumował Jeruzalski.

Czytaj także: Więcej o bezpieczeństwie danych? Pobierz bezpłatny 129-stronicowy poradnik