Ataki cybernetyczne na placówki medyczne w ostatnich latach
Dane udostępnione przez Ministerstwo Cyfryzacji wskazują na trzykrotny wzrost zgłoszonych cyberataków na placówki ochrony zdrowia w Polsce (z 13 w 2021 r. do 43 w 2022 r.). Trudno ocenić, ilu ataków nie zgłoszono, a ilu nawet nie wykryto. Z kolei światowe dane udostępnione przez Check Point pokazują 74% wzrost liczby ataków na tę branżę, co świadczy o tym, że jest ona najczęściej atakowanym sektorem z blisko 1800 atakami tygodniowo.
Najczęstszymi cyberzagrożeniami są ataki typu ransomware polegające na szyfrowaniu zasobów i uniemożliwieniu dostępu do nich, oraz DDoS - czyli blokowanie serwerów poprzez wysyłanie do nich dużej ilości fałszywych zapytań. W wyniku innych ataków takich, jak na przykład phishing, dochodzi do wycieku danych osobowych i informacji medycznych na temat pacjentów. Nieautoryzowany dostęp do danych medycznych pacjentów narusza ich prywatność i może być wykorzystywany w celach dalszego szantażu lub kradzieży tożsamości.
Na polskim rynku ataki ransomware dotknęły już placówki medyczne, np. Centralny Szpital Kliniczny w Łodzi czy Centrum Zdrowia Matki Polki. W obu przypadkach doszło do znaczącego utrudnienia w funkcjonowaniu jednostek ochrony zdrowia, tj. czasowego braku możliwości korzystania z rozwiązań cyfrowych oraz dostępu do zgromadzonych danych medycznych, co pośrednio również mogło stać się zagrożeniem dla zdrowia i życia pacjentów. Głośny incydent dotyczący wycieku danych (nawet 200 tysięcy pacjentów) dotknął sieci laboratoriów diagnostycznych ALAB. W tym przypadku atakujący zażądali zapłaty w zamian za niepublikowanie tych danych publicznie.
Rośnie również liczba ataków DDoS przeprowadzanych na jednostki służby zdrowia. Ich ilość zwiększyła się znacząco wraz z rozpoczęciem wojny w Ukrainie. Ataki tego typu, choć nie prowadzą bezpośrednio do szyfrowania bądź utraty danych, mogą skutecznie paraliżować działanie placówek służby zdrowia.
Ochrona zdrowia jako sektor kluczowy. Dlaczego placówki medyczne są narażone na cyberataki?
Dyrektywa NIS2, która już wkrótce zacznie obowiązywać w Polsce, ma na celu zwiększenie odporności na ataki cybernetyczne zarówno poprzez wdrażanie skutecznych środków ochronnych oraz podniesienie świadomości w zakresie cyberbezpieczeństwa. Dyrektywa ta dzieli sektory gospodarki na kluczowe i ważne. Ochrona zdrowia, ze względu na swoją rolę dla społeczeństwa, została zakwalifikowana właśnie jako sektor kluczowy. Jakie są powody takiej kwalifikacji?
- Jednostki z sektora ochrony zdrowia są atrakcyjnym celem dla hakerów. Gromadzą wrażliwe dane, stosują najróżniejsze technologie i narzędzia cybernetyczne, korzystają z technologii zarówno najnowszej i wysoce specjalistycznej, jak również z popularnych i doskonale znanych rozwiązań wykorzystywanych do zarzadzania danymi. Złożone połączenia systemów informatycznych (IT) i technologii operacyjnych (OT) są niezbędne do zapewnienia kompleksowej opieki medycznej. Taka integracja jest jedną z przyczyn, dla których stanowią one potencjalny i łatwy cel dla cyberprzestępców. Jednocześnie musimy pamiętać o tym, że mówimy o sektorze, którego podstawowym celem jest troska o zdrowie i życie nas samych.
- W sieciach informatycznych, obsługujących jednostki służby zdrowia, mamy do czynienia z ogromną różnorodnością zainstalowanych urządzeń. Znajdziemy zarówno wysoce specjalistyczną, unikalną aparaturę, dostarczaną przez niszowych dostawców, jak również powszechne rozwiązania, które oferuje przynajmniej kilku różnych producentów. Urządzenia te działają na różnych systemach operacyjnych, często już nieobsługiwanych, co sprawia, że zarządzanie nimi i zapewnienie bezpieczeństwa jest ogromnym wyzwaniem. Znajdziemy tu zarówno najnowsze, jak i stare wersje systemu Windows, wiele dystrybucji Linux, mobilne systemy operacyjne, Sun Solaris, SunOS, własne systemy dostawców urządzeń i inne.
Raport przygotowany przez CISA (Cybersecurity & Infrastructure Security Agency) wskazuje, że ponad 60% wykorzystywanych do ataków podatności podawanych w katalogu KEV (Known Exploited Vulnerabilities) można znaleźć w urządzeniach wchodzących w skład sieci jednostek medycznych. Autorzy podają również, że około 14% tych urządzeń działa pod kontrolą systemów wycofanych z eksploatacji. Biorąc pod uwagę fakt, że urządzenia są dostarczane przez prawie czterystu dostawców, z których każdy może mieć unikalny program przygotowywania i dystrybucji poprawek, mamy do czynienia z niezbyt optymistycznym obrazem. A wszystko to dzieje się w sektorze, który pieniądze w pierwszej kolejności przeznacza na swoje podstawowe aktywności, co jest jak najbardziej zrozumiałe i wręcz oczekiwane. Taka sytuacja powoduje, że jednostki medyczne wykazują dużą ilość luk i podatności, które zgrabnie wykorzystują atakujący.
Dyrektywa NIS2 w kontekście placówek medycznych
Dyrektywa NIS2 wymaga, aby podmioty objęte jej regulacjami przede wszystkim monitorowały swoją infrastrukturę. Oznacza to wdrożenie i utrzymywanie polityk umożliwiających poprawne zarządzanie zasobami, identyfikację podatności, monitorowanie procesów, a co za tym idzie – zmniejszenie ryzyka ujawnienia podatności urządzeń lub usług, które mogłyby zostać wykorzystane przez sprawców zagrożeń do nieautoryzowanego uzyskania dostępu, kradzieży wrażliwych danych lub zakłócenia kluczowych usług.
Segmentacja sieci i oddzielenie aparatury medycznej od pozostałej sieci również będzie ograniczać ryzyko ataków i minimalizować szkody w przypadku naruszenia bezpieczeństwa. Regularne skanowanie urządzeń oraz patchowanie luk w zabezpieczeniach są kluczowe dla minimalizacji ryzyka ataków cybernetycznych. Warto zaimplementować w organizacji usługę typu SOC. Nie tylko pozwoli ona na ciągłe monitorowanie stanu bezpieczeństwa sieci, ale zapewni również wypełnienie kolejnego wymogu stawianego przez NIS2, a mianowicie raportowania o zidentyfikowanych incydentach. Jest ono ważne z jeszcze jednego powodu: dzięki systematycznemu raportowaniu o incydentach i ich przyczynach, podmioty na wspólnym rynku mogą lepiej chronić swoje zasoby, efektywniej korzystać z narzędzi cyber oraz pomagać i wspierać narodowe organizacje zajmujące się zwalczaniem cyberprzestępczości.
Kolejnym narzędziem do podnoszenia poziomu bezpieczeństwa, o którym mówi NIS2, jest ciągłe wdrażanie i powtarzanie programów edukacyjnych i szkoleń (a tym samym zwiększanie tzw. security awareness). W tym przypadku chodzi o szkolenia dla personelu medycznego w zakresie bezpieczeństwa informacji oraz świadomości zagrożeń związanych z cyberbezpieczeństwem. Dobrym zwyczajem powinno stać się cykliczne szkolenie informujące o najczęstszych i najbardziej „aktualnych” metodach ataków, jak phishing, malware i inne socjotechniki, czy o zasadach bezpiecznego korzystania z systemów informatycznych firmy. W celu kontroli efektów przeprowadzanych szkoleń warto regularnie przeprowadzać testy wśród pracowników. Idealnie do tego celu nadają się kierowane, kontrolowane ataki socjotechniczne, które pozwolą sprawdzić, czy pracownicy poprawnie rozpoznają zagrożenia, jak na nie reagują i czy poprawnie informują o ich wystąpieniu.
Dyrektywa NIS2 daje podmiotom jeszcze jedno narzędzie, które w przypadku jednostek służby zdrowia może okazać się niesłychanie ważne. Chodzi w nim o „łańcuch dostaw”, czyli myślenie o cyberbezpieczeństwie nie tylko z perspektywy pojedynczej organizacji, ale również z punktu widzenia jej klientów i dostawców. Każdy, kto podlega regulacjom NIS2, może oczekiwać od swoich dostawców rzetelnego podejścia do zagadnień cyber i jednocześnie musi zagwarantować swoim klientom, że sam wypełnia swoje obowiązki w tej dziedzinie.
Zagrożenia związane z cyberbezpieczeństwem w sektorze zdrowia są realne i wymagają kompleksowego, realnego i systematycznego podejścia, aby zapewnić bezpieczeństwo pacjentów oraz stabilności działania zakładów opieki medycznej. Wdrażanie odpowiednich środków bezpieczeństwa, edukacja personelu oraz świadomość zagrożeń są kluczowe dla minimalizacji ryzyka ataków cybernetycznych i zapewnienia integralności systemów ochrony zdrowia.
Przeczytaj też o cyberbezpieczeństwie w NFZ.
Formularz kontaktowy @Model.TitleTag>
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Formularz kontaktowy @Model.TitleTag>
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Inne formy kontaktu
-
Infolinia dla nowych klientów
(Codziennie 8:00 - 18:00) +48 22 35 81 550 -
Obsługa klienta i wsparcie techniczne
(Dostępne 24/7) 801 801 999
biznes@netia.pl -
Adres korespondencyjny Netia S.A.
skr. pocztowa nr 597
40-950 Katowice S105