Kyberútok na nemocnici: Může to být jen snaha škodit, většinou jde o výkupné, říká expert

Provoz benešovské nemocnice ochromil počítačový kryptovirus, který v noci na středu napadl nemocniční počítačový systém. V nemocnici nelze spustit žádný přístroj včetně počítačové sítě, všechny plánované operace jsou zrušené. Na otázky k útokům na počítačové sítě odpovídal expert na kybernetickou bezpečnost Martin Leskovjan ze společnosti Citadelo.

Rozhovor Praha Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Zavřít

Martin Leskovjan

Martin Leskovjan | Zdroj: archiv Martina Leskovjana

Dá se z veřejně známých informací v tuto chvíli alespoň odhadnout, co se vlastně v benešovské nemocnici stalo?
Pravděpodobně tam došlo k infiltraci škodlivého viru do té vnitřní sítě, vypadá to, že je to nějaký typ ransomwaru. To je technika, kdy útočník zašifruje důležitá data a následně pak požaduje výkupné za jejich opětovné zpřístupnění. V tomto případě se zatím neobjevila informace a o tom, že by útočníci požadovali nějaké výkupné, ale dá se předpokládat, že tímto směrem byla motivace toho útoku vedená. Pokud někdo zaviruje síť, tak to většinou má nějaký důvod. Může to samozřejmě být jen snaha zkrátka škodit, ale většinou to má tu ekonomickou motivaci, že se prostě chce útočník obohatit.

Vyděračský software. Škodu může nemocnice napravovat i týden, říkají experti o útoku v Benešově

Číst článek

Je to typický útok?
Ano, klasická podoba útoku skutečně je ta, kdy se jedná o nějakém výkupném za dešifrování těch dat. Ale musíme říct, že jsou i nové formy útoků, které jsou specifické a orientované na určité obory nebo segmenty byznysu nebo státní správy.

V čem jsou tedy ty nové podoby jiné?
Začínáme se například setkávat s tím, že jsou viry, které například vydírají tu oběť tím, že pokud nezaplatí, tak ta získaná data útočník zveřejní. A právě to v oblasti zdravotnictví může být kritický problém, protože tam jsou ta nejcitlivější a nejproblematičtější data. To může postavit ty nemocnice do velmi svízelné situace. Mohou se dostat do momentu, kdy ponesou obrovskou odpovědnost za rozhodnutí, jestli ohrozí vlastní pacienty a jejich data, nebo jestli přistoupí na požadavky těch útočníků.

Mohou v případě zdravotnických zařízení takové útoky mít fatálnější následky než například v běžném byznysu?
Když si představíme tu situace, kdy už je útočník v té vnitřní síti a je schopný ji kompletně ovládnout, jak se to stalo v té benešovské nemocnici, tak samozřejmě v každé nemocnici je i řada zařízení, které slouží přímo k výkonu těch zdravotnických zákroků. A je otázka, do jaké míry lze napadnout i ty přístroje řízené počítačem a provádět tam například určité manipulace, které nemusí být na první pohled vůbec zřejmé. O to větší dopad ale pak mohou mít přímo na výkon té zdravotní péče. To je směr hrozeb, které to zdravotnictví zatím neumí vůbec reflektovat. Velmi málo si lidé uvědomují, kam až ty hrozby mohou zajít a jak závažná otázka to skutečně může být.

Někdy je lepší zaplatit

Má tedy vlastně nemocnice v takovém případě jinou možnost, než přistoupit na podmínky těch útočníků?
V případě ransomwaru se vždy vyšetřuje, o jaký typ jde, a podle toho se identifikuje i ten útočník. Potom je důležité posoudit, jakou má ten vir reputaci. A někdy může skutečně čistě ekonomicky – nehovořím tu o nějakém morálním a etickém rozměru – ale ekonomicky může dávat velký smysl to výkupné zaplatit. A poučit se z toho, přijmout opatření, aby se to nestalo znovu. Každopádně je opravdu nutné vyhodnotit vždy tu konkrétní situaci. Známe mnoho případů, kde ty společnosti si vyhodnotily, že je pro ně mnohem menší újma, když zaplatí výkupné, než aby nesly ty následky například ve formě ztráty důležitých a citlivých dat.

Jak vlastně to vyjednávání o výkupném v takových případech vypadá?
Ti útočníci nechávají při té infiltraci poměrně kvalitní možnost kontaktování. Dokonce jsou viry, které mají i vlastní propracovaná podpůrná centra. Tam jsou standardní operátoři, kteří vám velmi vstřícně odpovídají a vyjednávají s vámi jako s obětí. A vyjednává se samozřejmě i o té ceně. Vlastně se to přizpůsobilo požadavkům, jaké jsou běžné v klasickém byznysu.

Plný provoz ve středu neobnovíme, oznámil ředitel benešovské nemocnice po kyberútoku

Číst článek

Pokud tedy útočníci ovládli sít té konkrétní nemocnice, znamená to automaticky, že tedy byla velmi špatně zabezpečena?
Je potřeba říct, že dnes už jsou i velmi sofistikované viry, které se do těch sítí dokáží dostat velmi složitým způsobem, ale na druhou stranu vyšetřování většiny incidentů poukazuje na to, že většinou zkrátka došlo k běžné lidské chybě. Tedy například k rozbalení škodlivé přílohy v mailu a podobně. To jsou ty nejčastější formy útoku. Často je to spojeno s nedostatečnou antivirovou ochranou. V případě benešovské nemocnice se mluví o tom, že byly překonány dvě antivirové ochrany, ale tady je potřeba si uvědomit, že není antivirová ochrana jako antivirová ochrana. Mají různé úrovně kvality. A také záleží na architektuře té vnitřní sítě.

Jak by tedy měla být nastavena?
Mělo by se tam počítat s tím, aby ta síť nebyla snadno plošně napadnutelná tak, jak se to stalo v Benešově. Třeba běžně se dělá nějaká segmentace těch vnitřních sítí, tedy jejich rozdělení do nějakých logických celků tak, aby ta nákaza nemohla postupovat tak snadno a rychle do všech těch částí.

Jaká je v české republice obecně úroveň kybernetické bezpečnosti v nemocničních zařízeních? Nedávno na riziko pro nemocnice upozorňoval i Národní úřad pro kybernetickou a informační bezpečnost.
Obecně je ta úroveň velmi nízká. Nemocnice se potýkají s rozpočtovými problémy a navíc ve zdravotnictví je poměrně obtížné změnit ten samotný způsob uvažování o hrozbách tohoto druhu. To povědomí ve vedeních nemocnic o této problematice je poměrně nízké a to riziko se podhodnocuje. Nejsou na to vyčleněné dostatečné prostředky. Často ti jsou si ti IT pracovníci dokonce vědomi těch problémů, které mohou nastat, ale zároveň dodávají, že zkrátka nemají peníze na obnovu těch sítí. To je bohužel velmi častá realita.

Co lidský faktor?
Zdravotnický personál má obecně poměrně nízké dovednosti v oblasti kybernetické bezpečnosti. Sestry a lékaři například nejsou příliš ochotní měnit své návyky v oblasti používání IT technologií a těch zařízení. Běžnou praxí jsou sdílené účty, hesla nalepená na papírku na monitoru počítače atp. Je velmi těžké přesvědčovat ten personál, aby si osvojil některé zásady bezpečnějšího chování.

Dá se říci, že s velikostí a významem nemocnice roste i úroveň jejího zabezpečení?
Tady ta přímá úměra určitě nefunguje. Spíše je možné sledovat rozdíl mezi soukromými zařízeními a těmi státními. V tom soukromém sektoru se do toho problému obecně investuje více, ty organizace vznikly většinou nedávno, takže mají i modernější technologie.

Jaké je řešení do budoucna, co by bylo potřeba v té oblasti udělat?
Jde o uchopení té problematiky informační problematiky jako celku. Protože například jen investicí do infrastruktury se ta bezpečnost bude zvedat jen velmi pomalu a navíc velmi nákladně. Je velmi důležité, aby tu oblast vzali v nemocnicích vážně jako průřezový problém, který se týká uspořádání té organizace, personálního zajištění, chování personálu a v další úrovni pak toho technického zabezpečení a logiky těch opatření. Je to dlouhá a náročná cesta.

Jsou na to ale v tom systému peníze?
Ten systém financování zdravotnictví je extrémně komplikovaný, ale je to problém v tom, ta rizika se brzy stanou nepřehlédnutelnými. A nebude otázka, jestli ty peníze najdeme, ale otázka bude stát, jak je najdeme. Bude to zkrátka nutnost, pokud budeme chtít pokračovat v digitalizaci a používat veškeré moderní technologie. Pak to bude muset jít ruku v ruce. A můžeme být pak paradoxně rádi za podobné incidenty, protože otevírají oči zatím bez toho, aby to někomu přímo ublížilo. 

Kolik vlastně stojí řádné kybernetické zabezpečení jedné nemocnice?
Je to individuální v závislosti na velikosti té organizace a její celkové kondici. Může se to pohybovat od jednotek až do vyšších desítek miliónů na jednu organizaci. Pokud chcete, řekněme během dvou tří let, dosáhnout nějakého opravdu citelného zlepšení úrovně toho zabezpečení, tak pak to jsou investice v těchto řádech.

Jakub Troníček Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Zavřít

Nejčtenější

Nejnovější články

Aktuální témata

Doporučujeme