Ekspert CSIRT CeZ radzi, jak dobrze chronić dane

W jaki sposób najczęściej dochodzi do wycieku danych? Co zrobić, gdy hakerzy zaatakują placówkę medyczną? Gdzie się szkolić i szukać wsparcia finansowego na inwestycje w cyberbezpieczeństwo? Na nasze pytania odpowiada Jeremi Olechnowicz, Kierownik Wydziału CSIRT w Centrum e-Zdrowia.

W skrócie:

• Można wyróżnić 7 słabości, które najczęściej wykorzystują hakerzy;
• Najsłabszym ogniwem w łańcuchu cyberbezpieczeństwa jest człowiek;
• Ochronę danych można wzmocnić bez dużych nakładów sięgając do rozwiązań open source;
• Gdy dojdzie do ataku, trzeba szybko poinformować min. CSIRT CeZ;
• NASK realizuje szkolenia Security Awareness dla POZ-tów;
• Wkrótce ruszy nowa edycja projektu „CyberSzpitale”;
• Zaleca się wieloskładnikowe logowanie MFA i system kopii zapasowych z kopią offline.

Jaka jest skala incydentów bezpieczeństwa danych w ochronie zdrowia w Polsce według danych, którymi dysponuje CeZ?

Bazując na analizach przeprowadzonych przez Centrum e-Zdrowia oraz dostępnych publicznie raportach branżowych – np. CERT PL – widzimy, że liczba ataków ciągle rośnie.

W roku 2023 miało miejsce ponad dwa razy więcej różnych incydentów niż rok wcześniej. Zakładam, że w tym roku tendencja wzrostowa się utrzyma. Tylko w styczniu Centrum e-Zdrowia zarejestrowało ponad 40 różnych incydentów w sektorze ochrony zdrowia, od prób phishingu, przez wycieki poświadczeń, aż po próby ataków na infrastrukturę podmiotów.

W jaki sposób najczęściej dochodzi do wycieku danych medycznych?

Do udanego ataku prowadzi wiele różnych czynników, które zwykle muszą wystąpić razem. Rzadko jest tak, żeby udany atak był efektem pojedynczej słabości, choć to też jest możliwe.

Najczęściej obserwowane przez nas słabości, które wykorzystują hakerzy to:

• podatności i luki w systemach i urządzeniach,
• zbyt szeroko przyznane zdalne dostępy do organizacji,
• nadużycia i nadmiarowe uprawnienia kont użytkowników, np. kont administratorów domeny lub stacji roboczej,
• błędy w konfiguracji w infrastruktury,
• brak mechanizmów uwierzytelnienia dwuskładnikowego,
• ekspozycja zasobów organizacji do sieci publicznej,
• nieaktualne i podatne wersje elementów stron internetowych np.: CMS, wtyczki.

Przykładowo, atakujący wykorzystuje jedną z popularnych podatności na publicznie dostępną usługę, np. portal logowania do VPNa. Następnie uzyskuje dostęp do jednego z serwerów na peryferiach sieci, gdzie wykonuje tzw. eskalację uprawnień. Atakujący ma już podwyższone uprawnienia, które pozwalają na wykonanie wielu niebezpiecznych czynności. Może na przykład dalej przeczesywać sieć wewnętrzną organizacji. Finalnie atakujący uzyskuje dostęp np. do serwera plików lub baz systemów dokumentacji medycznej, które wykrada.

Media informują zazwyczaj tylko o dużych atakach hakerów. Czy małe, indywidualne praktyki lekarskie też mają się czego obawiać?

To, w jakim stopniu dany podmiot jest narażony na ryzyko, zależy m.in. od jego wielkości oraz od tego, jak oceniają je grupy atakujące. Duże, znane jednostki, o krytycznym znaczeniu dla systemu ochrony zdrowia, są oczywiście bardziej narażone na ataki, niż mniejsze placówki. Takie jednostki mogą paść ofiarą zarówno grup hakerskich nastawionych na zyski finansowe, jak i tzw. national state actors, czyli grup hakerów wspieranych przez obce rządy. Ich działania będą ukierunkowane na destabilizację ciągłości świadczenia usług, zniszczenia zasobów, manipulację danymi, czy też kradzież danych.

Nie oznacza to jednak, że mikro i małe podmioty nie są narażone na ataki. W takich placówkach względnie łatwo można ukraść login i hasło pojedynczym specjalistom np. poprzez masowe kampanie phishingowe oraz strony internetowe dystrybuujące złośliwy kod. Choć procentowa skuteczność takich kampanii jest śladowa to nakład pracy jest na tyle niski, że ta technika jest często stosowana.

Jakie są w takim razie minimalne zabezpieczenia techniczne i organizacyjne, które powinny być stosowane przez każdy podmiot leczniczy bez wyjątku?

Po pierwsze cyberbezpieczeństwo to system naczyń połączonych. Słabości lub braki pojedynczych elementów wpłyną na odporność całego systemu. Po drugie, cyberbezpieczeństwo to nie stan zero-jedynkowy. To proces ciągły wymagający weryfikacji i doskonalenia. Po trzecie, cyberbezpieczeństwo to nie kwestia zakupu kilku systemów lub urządzeń o dziwnych skrótach np. FW, AV, SMG, NAC, PAM czy DAM. Aby osiągnąć cel, jakim jest ochrona informacji przetwarzanych w organizacji, należy zaplanować kompleksową architekturę cyberbezpieczeństwa składającą się z elementów takich jak rozwiązania techniczne, organizacyjne, formalne, a także kompetencje specjalistów z różnych dziedzin. Na koniec elementy te należy połączyć w jeden sprawnie działający system.

Często pomijany jest fakt, że pierwszym ważnym krokiem jest świadomość o zagrożeniach oraz ich konsekwencjach. A więc znajomość aspektów Security Awareness wśród pracowników organizacji, w szczególności kierownictwa, na którym spoczywa obowiązek zapewnienia bezpieczeństwa przetwarzanych informacji.

Trudno jest jednoznacznie wybrać pojedyncze elementy, które powinny być stosowane bez wyjątku. Jest ich po prostu wiele, a cel można osiągnąć różnymi sposobami.

Niezmiennie najsłabszym ogniwem w łańcuchu cyberbezpieczeństwa jest człowiek. Dlatego to właśnie działania, które mają na celu zniwelowanie błędów i słabości ludzi są niezwykle istotne. Zaimplementowanie zasad cyberhigieny znacznie podnosi odporność organizacji na zagrożenia z cyberprzestrzeni, a inwestycja w kompetencje wsparcia IT na pewno się opłaci. Więcej szczegółów na temat architektury bezpieczeństwa poruszamy w opublikowanych na stronie ezdrowie.gov.pl rekomendacjach.

Oprócz cyberhigieny, co jeszcze można zrobić, aby wzmocnić ochronę danych bez ponoszenia dużych nakładów?

Po pierwsze można skorzystać z wielu rozwiązań open source. Takie rozwiązanie będzie tańsze, jednak wymaga więcej czasu na implementację i wysokich kompetencji osób je wdrażających oraz integrujących. Systemy takie można zainstalować na bezpłatnych dystrybucjach systemów operacyjnych z rodziny Linux. Środowisko dla takich rozwiązań także można utworzyć z pomocą usług o otwartym kodzie.

Ważnym aspektem architektury bezpieczeństwa jest nie samo wdrożenie rozwiązania technicznego, ale jego prawidłowa konfiguracja oraz integracja z innymi narzędziami. Czyli implementacja różnych dobrych praktyk, także na rozwiązaniach opensource, może skutecznie zmniejszyć powierzchnię ataku. Dla przykładu błędnie wdrożony system klasy Firewall na brzegu infrastruktury nie zapewni bezpieczeństwa nawet jak będzie bardzo drogi, a wszystkie podatności zostaną załatane.

Wiele ataków dokonywanych jest przy wykorzystaniu jednej lub kilku znanych podatności. Monitorowanie doniesień o nowych podatnościach oraz wdrożenie skutecznego procesu szybkiego ich usuwania również zmniejsza ryzyko skutecznego ataku.

Ważne części architektury bezpieczeństwa organizacji to wewnętrzne polityki bezpieczeństwa teleinformatycznego, a w idealnych warunkach cały System Zarządzania Bezpieczeństwem Informacji (SZBI). Wdrożenie SZBI może nie być proste i tanie, ale można zaimplementować – dodatkowym nakładem pracy – okrojoną wersję takich polityk, procesów oraz procedur. Dostępnych jest wiele poradników, zaleceń oraz ostrzeżeń opracowywanych m.in. przez CSIRTy poziomu krajowego, np. CERT PL oraz przez sektorowy zespół cyberbezpieczeństwa CSIRT CEZ. Można wykorzystać te informacje w organizacji także w formie np. mailowych ostrzeżeń dla pracowników lub jako cykliczne przypomnienia dobrych praktyk z zakresu cyberhigieny.

To wymaga z kolei ciągłej aktualizacji wiedzy, bo hakerzy też doskonalą swoje strategie działania.

Atakujący będą zmieniali swoje metody wraz ze zmianami rozwiązań z zakresu zabezpieczeń. Cyberataki wciąż są bardzo dochodowe, więc grupy hakerskie na pewno nie zaprzestaną swojego procederu. Po drugie, pozyskane środki wykorzystują  na dalszy rozwój swoich zasobów oraz metod.

Ewoluująca technologia ma także wpływ na stosowane przez atakujących metody. Jedną z charakterystycznych zmian w ostatnich latach jest modyfikacja modelu biznesowego ataków ransomware. Kiedyś po prostu żądano okupu za odszyfrowanie. Rynek odpowiedział na to szerszym i skuteczniejszym wdrożeniem systemów kopii zapasowych. Hakerzy zaczęli więc nie tylko szyfrować dane, ale też je wykradać. Teraz żądają okupu za odszyfrowanie i niepublikowanie wykradzionych danych. Jest to tzw. Double Extortion. Metody te są rozwijane w celu wywarcia dodatkowej presji na atakowaną organizację czyli np. Triple lub Quadruple Extortion.

Oczywiście to tylko ułamek zmian, które zachodzą w metodach stosowanych przez hakerów. Ciekawa przyszłość czeka nas w kontekście wykorzystania AI w cyberbezpieczeństwie. Nie tylko rozwiązania bezpieczeństwa będą implementować AI. Hakerzy też się dostosowują i zaczynają korzystać ze wsparcia sztucznej inteligencji.

Co robić, gdy już doszło do ataku cybernetycznego w placówce medycznej?

Gdy już dojdzie do ataku, kluczowe jest jego rozpoznanie i podjęcie działań, które mogą zminimalizować/zniwelować skutki ataku. Na przykład, jeśli zauważymy masowe wyłączanie serwerów w sieci, warto rozpocząć izolowanie całych segmentów sieci, tak żeby złośliwy kod nie miał możliwości się rozprzestrzenić. Na tym etapie nie jest zalecane natomiast fizyczne odłączanie urządzeń od zasilania. Zalecany jest natomiast pilny kontakt telefoniczny do zespołów CSIRT w celu uzyskania szybkiego wsparcia poprzez zdalną konsultację. Takim zespołem jest m.in. CERT PL ulokowany w NASK oraz sektorowy zespół cyberbezpieczeństwa w Centrum e-Zdrowia – CSIRT CEZ.

Należy pamiętać też o obowiązkach wynikających z Ustawy o Krajowym Systemie Cyberbezpieczeństwa. Mowa o formalnym zgłoszeniu incydentu na dedykowanym formularzu. Formularz nie musi być w 100% wypełniony przy pierwszym zgłoszeniu. Zgłoszenie można zaktualizować w późniejszym czasie. Jeśli trwa incydent, zgłaszający może nie mieć kompletu informacji. Ważne jest natomiast jak najszybsze poinformowanie dedykowanych zespołów cyberbezpieczeństwa. W przypadku nieterminowego zgłoszenia podmiot może się narazić na kary finansowe.

Gdzie szukać programów wsparcia na inwestycje w bezpieczeństwo danych?

Centrum e-Zdrowia oraz Ministerstwo Zdrowia propagują informacje o różnych projektach wśród podmiotów wykonujących działalność leczniczą, w szczególności wśród szpitali.

Największy tego typu projekt to „CyberSzpitale”. Jest on skierowany do szpitali w Polsce. Polega na refundacji inwestycji poniesionych przez tę grupę podmiotów na rzecz podniesienia poziomu cyberbezpieczeństwa. Pierwsza edycja zakończyła się w ubiegłym roku. Wkrótce, dzięki rządowemu wsparciu, ruszy kolejna edycja.

Poza wymienioną refundacją prowadzone są też różne przedsięwzięcia szkoleniowe. Jedno z nich to szkolenia Security Awareness realizowane przez NASK na rzecz podmiotów Podstawowej Opieki Zdrowotnej (POZ). Ministerstwo Cyfryzacji wraz z partnerami prowadzi teraz cykl szkoleń podnoszących kompetencje kadry IT w szpitalach. Szkolenia te już trwają. Na rok bieżący oraz kolejny przygotowywane są kolejne projekty szkoleniowe, o których Centrum e-Zdrowia oraz Ministerstwo Zdrowia będzie informować. Wśród nich znajdą się m.in. szkolenia Security Awareness dla kadry kierowniczej szpitali.

Jakie trzy bazowe inwestycje w bezpieczeństwo danych pozwalają znacznie poprawić ochronę danych w podmiotach medycznych?

Jak już wcześniej wspomniałem, architektura cyberbezpieczeństwa składa się z wielu elementów. Nie da się zbudować bezpiecznej infrastruktury bez zabezpieczeń technicznych: płatnych lub bezpłatnych. Każda organizacja ma już jakieś rozwiązania techniczne zaimplementowane – lepsze lub gorsze.

To, czego najczęściej brakuje, a znacząco podnosi odporność organizacji to:

• Szkolenia z Security Awareness dla całej kadry w organizacji wraz z cyklicznym przypomnieniem obowiązujących zasad bezpieczeństwa;
• Wieloskładnikowe logowanie MFA (multi factor authentication), które znacząco podniesie odporność kont na przejęcie dostępów;
• Prawidłowo zaimplementowany system kopii zapasowych z kopią offline, który – gdy zawiodą inne rozwiązania – pozwoli na odzyskanie ciągłości działania oraz utraconych danych.

Czytaj takż: Pobierz pełny raport “Cyberbezpieczeństwo w ochronie zdrowia”