Zapewnianie bezpieczeństwa informacjom, przetwarzanym w systemach teleinformatycznych, jest złożonym zagadnieniem. Wymaga między innymi spojrzenia na procesy zachodzące w organizacjach, zachowania pracowników i wykorzystywane technologie. To z kolei wymaga nie tylko znajomości technik i procedur stosowanych przez hakerów, ale również umiejscowienia ich w kontekście organizacji takiej, jak szpital.
Artykuł dr. inż. Jakuba Syty, zastępcy dyrektora Morskiego Centrum Cyberbezpieczeństwa Akademii Marynarki Wojennej w Gdyni:
Konsekwencje zaniechań w tym obszarze mogą bowiem być bardzo bolesne i obejmować straty:
• finansowe, związane zarówno z bezpośrednimi stratami powstałymi w trakcie cyberataku, takimi jak kradzież środków finansowych czy koszty związane z przerwaniem procesów,
• wizerunkowe – np. negatywnie publikacje czy ataki na portalach społecznościowych,
• regulacyjne, które mogą mieć postać kar finansowych, ograniczenia dostępu do publicznych funduszy, działalności nakazowej, a nawet postępowania skierowanego personalnie przeciwko osobom odpowiedzialnym za zaniechania.
Wszystkie z tych akcji mogą mieć znaczny wpływ na reputację ukaranej organizacji. A biorąc pod uwagę specyfikę takich organizacji, jakimi są szpitale – skutki udanych cyberataków mogą dotykać również ich pacjentów.
Najistotniejsze scenariusze cyberzagrożeń
Cyberataki dotyczą poszczególnych własności bezpieczeństwa informacji i to ich znajomość jest kluczowa dla dalszych rozważań. Nie chodzi bowiem wyłącznie o przechwycenie informacji, czyli atak na ich poufność. Często znacznie groźniejsza może być modyfikacja informacji, czyli atak na ich integralność lub przerwanie procesu wymiany informacji, zatem atak na ich dostępność. Wreszcie nie należy zapominać o podrobieniu informacji, czyli atakach na ich autentyczność, co bardzo często wykorzystywane jest jako tzw. wektor wejścia, czyli sposób, w jaki ataki się rozpoczynają.
Kluczowym scenariuszem, który przede wszystkim powinien być uwzględniany podczas analiz, jest doprowadzenie przez cyberprzestępców do niedostępności systemów. Nie chodzi tu o dostępność strony www czy nawet systemu rejestracji pacjentów, ale baz danych zawierających szczegółowe informacje o stanie zdrowia i przebiegu leczenia, a także konfiguracji urządzeń medycznych. Tomografy, rezonanse magnetyczne, systemy monitorujące stan pacjentów… – wszystkie te systemy są podłączane do sieci i tym samym są podatne na te same zagrożenia, co każdy komputer. Można wykraść z nich dane, można modyfikować parametry czy też uniemożliwić ich pracę. Z tego faktu korzystają grupy przestępców specjalizujące się w atakach typu ransomware. Szyfrują infrastrukturę szpitali i większości z nich nie przeszkadza to, że w wyniku ich działań mogą umierać pacjenci. Przeciwnie, wykorzystywane jest jako argument mający przekonać ofiary ataku (szpitale) do jak najszybszej zapłaty okupu. Opisany powyżej atak może dotyczyć pojedynczego szpitala, całej grupy lub wręcz całego sektora. Tak to wyglądało w maju 2021 roku, gdy cyberatak sparaliżował pracę szpitali w Irlandii. Najbardziej oczywisty sposób szybkiej reakcji w przypadku ransomware, którym byłaby ewakuacja pacjentów do innego szpitala, jak widać, może okazać się niemożliwy.
Kolejny scenariusz dotyczy ujawniania wrażliwych danych pacjentów – szczególnie danych dotyczących osób o statusie VIP: polityków, celebrytów, przedsiębiorców. Informacje o problemach psychiatrycznych, odbytych terapiach uzależnieniowych, bezpłodności, aborcji… byłyby na wiele tygodni pożywką dla internetowych trolli i mniej etycznych dziennikarzy. Miały już na świecie miejsce kampanie nakierowane na kradzież danych z klinik chirurgii plastycznych po to, by wykorzystując materiały sprzed, w trakcie i po zabiegu, szantażować swoje ofiary. Warto też dodać, że kradzież danych może być niezależnym atakiem, ale często jest również elementem ataku typu ransomware.
Masowy wyciek danych przede wszystkim może się jednak wiązać z próbą kradzieży tożsamości pacjentów. Posiadając dostęp do imienia i nazwiska, imion i nazwisk rodziców, danych teleadresowych i numerów dokumentów tożsamości, przestępcy mogą starać się podszywać pod swoje ofiary, by gromadzić na ich temat więcej, tym razem bardziej wrażliwych informacji. Atak może być jednak również znacznie prostszy – na przejęte adresy e-mail czy SMS-y można wysyłać wiadomości phishingowe podszywające się pod szpital, by wykorzystać je do masowej kradzieży danych uwierzytelniających – na przykład do poczty elektronicznej lub konta bankowości online.
Cyberatak skierowany na szpital mógłby również mieć charakter terrorystyczny, gdyby jego celem była modyfikacja parametrów funkcjonowania urządzeń. A ponieważ większość nowoczesnych urządzeń jest podłączona do sieci wewnętrznej i za jej pośrednictwem do internetu, takie ataki są jak najbardziej możliwe. Znane są przypadki zdalnego modyfikowania przez hakerów pracy pomp insulinowych czy przypadki błędnego ustawienia aparatów RTG prowadzące do poparzeń, które co prawda nie były rezultatem cyberataku, ale wydaje się to wyłącznie kwestią czasu. Można również zdalnie manipulować rozrusznikami serca… Każda nowa technologia niesie za sobą wiele zagrożeń, których trzeba być świadomym, by móc w razie potrzeby zareagować.
Warto dodać, że poziom bezpieczeństwa jest bardzo obniżony przez trudności związane z aktualizacją oprogramowania na urządzeniach, co czasami wręcz wiąże się z ponownymi procedurami dopuszczającymi do używania. Znane luki w oprogramowaniu należą do głównych wektorów ataku.
Atak mogłoby również dotyczyć nieautoryzowanej modyfikacji przetwarzanych danych. Nieautoryzowana zmiana grupy krwi, informacji o alergiach, przebytych lub planowanych zabiegach – to wszystko staje się możliwe. Nie należy spodziewać się masowości tego typu ataków, gdyż najprawdopodobniej bardzo szybko zostałoby one wykryte i – wykorzystując kopie zapasowe – można by było przywrócić integralność danych. Jednak tego typu cyberataki, wycelowane w konkretne osoby, mogą mieć w przyszłości miejsce. Stąd tak istotna powinna być troska o zapewnienie nadzorowania integralności tych danych.
Kolejne dwa zagrożenia, biorąc pod uwagę dotychczas nakreślone scenariusze, mogą wydawać się mało istotne. Pamiętać jednak należy, że ryzyko związane jest zarówno ze skutkami ataków, jak i ich prawdopodobieństwem. A w obu przypadkach prawdopodobieństwo będzie bardzo wysokie.
Pierwszy związany jest z haktywizmem, czyli wykorzystywaniem technik i narzędzi hakerskich do promowania, demonstrowania swoich poglądów przez cyberprzestępców. Tego typu ataki najczęściej mają formę niegroźnych zmian treści na stronach www, jednak po latach względnej ciszy, wraz z początkiem wojny w Ukrainie, można zaobserwować zwiększenie liczby tego typu prób.
Drugi scenariusz dotyczy atakowania pacjentów. Pamiętać należy, że cyberprzestępcy również bywają pacjentami. W trakcie leczenia bądź rehabilitacji mogą starać się wykorzystywać szpitalne sieci Wi-Fi do atakowania towarzyszy. A w przypadku, gdy sieć Wi-Fi będzie źle odseparowana od sieci szpitalnej, można będzie spodziewać się wszystkich opisywanych wcześniej ataków z wewnątrz, czyli z ominięciem systemów ochrony brzegowej.
Na koniec chciałbym zwrócić uwagę na jeszcze jedną kwestię. To, że szpitale ucierpią w wyniku cyberataku, niekoniecznie musi oznaczać, że to one padną jego ofiarą. Silne łańcuchy zależności z dostawcami i partnerami, niezbędne w obecnych czasach, również mogą być źródłem ryzyka. Udany cyberatak na partnera biznesowego może doprowadzić do wstrzymanych dostaw, przerwanych usług czy też wycieku powierzonych danych. A konsekwencje tego może ponosić przede wszystkim partner.
Powyższa lista w żadnych wypadku nie wyczerpuje wszystkich scenariuszy cyberzagrożeń, które dotknąć mogą organizacje. Są to jednak zagrożenia w znacznej mierze specyficzne dla sektora ochrony zdrowia i jako takie powinny być szczególnie nadzorowane przez władze szpitali.
Budowanie organizacji odpornych na cyberzagrożenia
W tej sytuacji pojawia się pytanie: co robić, w jaki sposób powinny zachowywać się placówki ochrony zdrowia, by nie narazić się na zarzuty nienależytego nadzoru. Warto bowiem przypomnieć, że oprócz członków zarządów, odpowiedzialność za zapewnianie cyberbezpieczeństwa, po ubiegłorocznej nowelizacji kodeksu handlowego, mają również rady nadzorcze.
Wbrew pozorom najlepszym z rozwiązań wcale nie jest zakup kolejnych urządzeń firewall czy licencji dla „systemów opartych na rozwiązaniach co najmniej klasy Endpoint Detection and Response w architekturze serwera”. To, co w zakresie cyberbezpieczeństwa jest kluczowe, to kadry. To zapewnienie, że architektura IT będzie możliwie odporna na zagrożenia, a sprzęt i oprogramowanie będzie dobierane pod kątem skuteczności oraz skonfigurowane tak, by efektywnie realizowało swoje cele. Nowe architektury bezpieczeństwa wręcz tworzone są z założeniem, że przestępcom uda się zdobyć przyczółek w chronionej sieci – to tzw. model „zero trust”.
Istnieje jednak kilka opcji, jak można zapewnić wsparcie doświadczonych pracowników. Przede wszystkim szpitale mogą budować własne zespoły, specjalizujące się w zapewnianiu cyberbezpieczeństwa. Warto je rozróżnić od zespołów IT, gdyż kompetencje IT oraz „bezpieczników” znacząco się różnią. Zresztą nawet w zakresie samego zapewniania cyberbezpieczeństwa model NICE, opracowany przez amerykański NIST, wylicza pół setki specjalizacji. Zbudowanie zespołu zdecydowanie pozwoli na prowadzenie samodzielnej polityki w tym zakresie – najlepiej zgodnie z międzynarodową normą ISO 27799, która przedstawia wytyczne w zakresie budowania systemów zarządzania bezpieczeństwem informacji w placówkach ochrony zdrowia. Biorąc pod uwagę koszty zatrudniania ekspertów w zakresie cyberbezpieczeństwa oraz ich bardzo małą dostępność, niekoniecznie jest to optymalne rozwiązane. Szczególnie, że jakby nie patrzeć, cyberbezpieczeństwo niekoniecznie jest kluczową specjalizacją szpitali i raczej powinny one doskonalić się w aspektach ratowania życia i zdrowia. Można więc zminimalizować czynności operacyjne w tym zakresie, pozostawiając po stronie szpitala np. jedynie rolę koordynatora i zacząć korzystać z usług wyspecjalizowanych podmiotów. Tutaj można wyróżnić trzy opcje:
1. Skorzystanie z usług wyspecjalizowanego podmiotu w zakresie cyberbezpieczeństwa. Musi to być podmiot godny zaufania oraz pokrywający kompetencyjnie co najmniej kilka ze specjalizacji w zakresie cyberbezpieczeństwa.
2. Przeniesienie części systemów do wyspecjalizowanego podmiotu, oferującego usługi w chmurze obliczeniowej. W takim wypadku znów kluczowe będzie ustalenie, czy podmiot daje rękojmię należytej ochrony przetwarzanych danych oraz niezbędnej dostępności usług. Pamiętać też należy, że w takiej sytuacji tylko część danych (tych najcenniejszych) byłaby właściwie chroniona. Niemniej po stronie szpitala wciąż wymagany byłby poprawny nadzór nad siecią i systemem.
3. Stworzenie wraz z innymi szpitalami własnego, wyspecjalizowanego centrum usług wspólnych. Taka spółka, kontrolowana przez kilka podmiotów, zapewniałaby należytą jakość usług, a koszty związane z jej początkową działalnością rozkładałyby się na kilka podmiotów. Możliwe, że z czasem zaczęłaby generować zyski.
Każda z tych opcji na wady i zalety. Podczas podejmowania decyzji dotyczącej strategii postępowania należy wziąć pod uwagę koszty, możliwość wpływu na kształt usług, dostępność niezbędnych kompetencji oraz zaufanie do osób w to zaangażowanych (że będą poważnie podchodzić do obowiązków oraz nie będą udostępniać wewnętrznych danych). Pamiętać też należy o tym, że można również myśleć o modelach hybrydowych.
Podsumowanie
Cyberprzestępczość rozwija się w zastraszającym tempie. Przychody osiągane przez zorganizowane grupy są gigantyczne – istnieje nawet porównanie, że gdyby utworzyły one państwo, stałoby się ono trzecią ekonomią świata, tuż po USA oraz Chinach. Z tego powodu przestępcy mają dostęp do najnowszych technologii, które wykorzystując do zwiększenia skali działalności – atakowania na masową skalę, choć niekoniecznie w znacznie bardziej wyrafinowany sposób. Pamiętajmy bowiem, że dla cyberprzestępców rozwijanie nowoczesnych technologii to element swoiście pojmowanej „przewagi konkurencyjnej”, że jest to inwestycja, a nie koszt.
Często można usłyszeć, że „nie da się obronić przed wszystkimi atakami”. Ale to stwierdzenie przede wszystkim dotyczy najistotniejszych podmiotów, które będą atakowane przez rządy wrogich państw czy międzynarodowe przestępcze syndykaty. Zdecydowana większość z organizacji jest zbyt mało znacząca, by stać się celem dla takich podmiotów. To, przed czym wszystkie szpitale powinny jednak się zabezpieczyć, to skutki cyberataków w wykonaniu script kiddies, mniejszych grup przestępców motywowanych finansowo, skutki awarii i błędów oraz działalności sił natury. Cyberbezpieczeństwo jest bowiem kolejnym obszarem, którym trzeba zarządzać. Każdy szpital spełniać musi wiele wymagań w zakresie ochrony przeciwpożarowej, bezpieczeństwa i higieny pracy, musi przestrzegać norm sanitarnych i standardów w zakresie zapewniania bezpieczeństwa fizycznego. Przez lata podmioty już się nauczyły z żyć z tymi wymaganiami, stworzyły niezbędne struktury organizacyjne i wdrożyły niezbędne zabezpieczenia. Pędzący do przodu świat wymaga od zarządów zdobycia kompetencji w kolejnym obszarze i nikt na to nic nie poradzi.
Artykuł opublikowano w opracowaniu „Dobre praktyki – cyberbezpieczeństwo w szpitalach” przygotowanym przez Pracodawców Medycyny Prywatnej i Ogólnopolskie Stowarzyszenie Szpitali Prywatnych.