Ve světě zločinu nečekejme slitování. Kyberzločin jde tvrdě za svým cílem, kterým je nejčastěji finanční zisk. Podle toho si hackeři ostatně vybírají své oběti, kde je největší pravděpodobnost úspěchu a kde se nachází nejhodnotnější data. Není proto překvapení, že třetím nejčastějším terčem kyberútoků je zdravotnictví.
Kyberbezpečnostní společnost Check Point® Software Technologies Ltd. (NASDAQ: CHKP) upozorňuje, že letos čelí každá zdravotnická organizace v průměru 2 018 kyberútokům týdně, což je meziroční nárůst o 32 %. Nemocnice a další zdravotnická zařízení si nemohou dovolit výpadky nebo narušení služeb, protože by to mohlo přímo ohrozit životy pacientů. Citlivé údaje o pacientech jsou navíc při obchodování na darknetu velmi žádaným zbožím a mohou také sloužit jako páka při vydírání firem. Největší hrozbou současnosti, která již ochromila nespočet nemocnic po celém světě, je ransomware. Digitalizace zdravotnictví přináší řadu nesporných výhod, ale zároveň to klade větší nároky na kybernetické zabezpečení. A řada zdravotnických organizací bohužel nemá na zajištění odpovídající kybernetické ochrany dostatečné zdroje.
Světová zdravotnická organizace (WHO) proto vyhlásila na 17. září Světový den bezpečí pacientů, který má upozornit na možná rizika. Bezpečnost pacientů není pouze otázkou fyzické péče, ale zdraví a životy pacientů mohou být v ohrožení i v případě kybernetického útoku. Problém je o to větší, že mnoho kyberzločinců spolupracuje – někteří nabízejí přístup k organizacím, které již dříve napadli, jiní třeba nabízejí pronájem své infrastruktury za poplatek. Darknet je plný inzerátů nabízejících ransomware jako službu (RaaS), takže nemocnice a další zdravotnická zařízení mohou ohrozit i amatérští kyberzločinci, kteří by jinak neměli technické znalosti a zkušenosti pro podobně závažné útoky.
Například hacker s přezdívkou Cicada3301 zveřejnil inzerát na uzavřeném ruskojazyčném undergroundovém fóru, kde informoval o novém týmu nabízejícím ransomware jako službu (RaaS). Za úspěšné útoky požaduje pouze provizi ve výši 20 %. To je ukázka toho, jakým způsobem kyberzločinci rekrutují své partnery a jaké je standardní rozdělení příjmů. Zajímavé je, že některá fóra mají mechanismus rozhodčího řízení a řešení sporů v případech, kdy se obě strany neshodnou na platbě nebo dodaných službách. To je nezbytné, protože všechny komunikující strany jsou zločinci, kteří komunikují v anonymním prostředí.
Příklad inzerátu, který na darknetu hledá potenciální partnery pro ransomwarové útoky
Hacker Cicada3301 zároveň na speciálních vyděračských stránkách zveřejnil informace o několika obětech, mezi kterými byla i italská zdravotnická organizace ASST Rhodense, která musela v důsledku útoku pozastavit některé operace a rezervace operačních termínů. Bohužel to zdaleka není ojedinělý případ.
Příklad ukradených dat ze zdravotnické společnosti ASST Rhodense a jejich zveřejnění na vyděračské stránce, což má zvýšit tlak na zaplacení výkupného
Nemocnice a pacienti se často stávají terčem dobře koordinovaných ransomwarových útoků. Ransomwarové gangy poskytují zájemcům o spolupráci infrastrukturu a nástroje pro šifrování a pro zvýšení tlaku na oběti také možnost zveřejnit ukradená data na speciálních webových stránkách. Kvůli strachu z vysokých pokut za porušení předpisů o ochraně osobních údajů a také z obavy o bezpečnost pacientů nebo narušení provozu nemocnic raději řada obětí zaplatí i vysoké výkupné. Na undergroundových fórech je prodáván i přístup do zdravotnických systémů. Někteří hackeři totiž fungují jako zprostředkovatelé počátečního přístupu, nakupují přístupy do systémů a následně vyhodnocují jejich kvalitu, zneužívají získaná oprávnění, mapují sítě a později je prodávají zájemcům. Například rusky mluvící kyberzločinec, který je na fóru aktivní od ledna 2024, prodává přístupy do zdravotnických společností. Nabízí přístup například do brazilských nemocnic a klinik, které mají údajně příjmy 55 milionů dolarů. Přístup se prodává za 250 dolarů a umožňuje další vlnu útoků.
Celkově je cena kybernetických nástrojů, dat, přístupu a infrastruktury relativně nízká, přesto může úspěšný útok způsobit obrovské škody a ohrozit zdraví pacientů, přičemž výkupné se často pohybuje v milionech a někdy i desítkách milionů dolarů.
Někteří hackeři prodávají ukradená data a přístup k nim tomu, kdo nabídne nejvíc
„Ve většině případů kyberzločinci nediktují svým partnerům, na koho mají útočit. Tabu jsou většinou jen útoky na Společenství nezávislých států (země bývalého Sovětského svazu), ale jinak nebývají žádná další omezení. Můžeme jen spekulovat, že je to kvůli tomu, že hackeři nechtějí útočit na země, ve kterých působí. V počátcích některé RaaS skupiny prohlašovaly, že nebudou napadat subjekty související se zdravotnictvím. Později došlo k úpravě, že by útoky neměly zahrnovat šifrování dat, aby nedošlo k omezení provozu, ale krádeže dat a vydírání jsou v pořádku. V reálu se ale žádná z těchto pravidel stejně nedodržují,“ říká Pavel Krejčí, Security Engineer z kyberbezpečnostní společnosti Check Point Software Technologies. „Analýza obětí veřejně vydíraných na stránkách ransomwarových skupin ukázala, že za poslední rok je téměř 10 % obětí ze zdravotnictví.“
Rozdíly mezi jednotlivými skupinami jsou většinou nepatrné. Ale existují výjimky. ALPHV/BlackCat veřejně vybídla své partnery, aby se zaměřily právě na nemocnice a zdravotnictví. Mělo se jednat o odvetu za policejní zásah proti infrastruktuře této skupiny. V důsledku toho dosáhl poměr obětí ze zdravotnictví více než 15 % za posledních 12 měsíců.
Podíl obětí souvisejících se zdravotnictvím za posledních 12 měsících
RansomHub, v červenci a srpnu nejaktivnější ransomwarová skupina, zveřejnila na darknetovém fóru inzerát a slibuje, že 90 % příjmů z výkupného zůstane partnerům a skupině za zprostředkování infrastruktury odvedou jen 10 %, navíc až oběť zaplatí. Partneři získají od skupiny sofistikované nástroje pro správu útoků a spoustu dalších výhod. Inzerát vypadá velmi podobně, jako když nabízí své služby klasické firmy, včetně seznamu výhod oproti ‚konkurenci‘. Z toho opět vyplývá, že kyberzločin je byznys a řada hackerských organizací se svou strukturou neliší od jiných technologických společností.
Ransomwarová skupina RansomHub nabízí svou infrastrukturu dalším kyberzločincům
Význam kybernetické bezpečnosti ve zdravotnictví
„V některých případech dokonce sledujeme, že pokud dojde k jednomu útoku, může relativně brzy následovat další. Kyberzločinci spoléhají, že se nepovede napravit škody spáchané předchozím útokem a v organizaci bude panovat zmatek nebo že dojde k podcenění situace, protože nemocnice nebudou čekat, že by se mohly stát terčem podobného útoku opakovaně,“ dodává Pavel Krejčí. „Zdravotnické organizace zkrátka čelí obrovskému riziku a jako rukojmí jsou často drženi pacienti. Nejen tedy v souvislosti se Světovým dnem bezpečí pacientů bychom si měli připomínat, že prevence je zásadní i při ochraně před počítačovými viry, kybernetickými nákazami, hrozbami a útoky. Zajištění bezpečnosti pacientů v digitálním věku zkrátka vyžaduje nejen technologická řešení, ale i kulturu bezpečnosti a neustálé zvyšování povědomí o hrozbách.“
Bezpečnostní tipy pro zdravotnické organizace:
Pro zajištění kybernetické bezpečnosti ve zdravotnictví je nezbytné přijmout komplexní opatření zahrnující technologická řešení, školení personálu a zlepšení bezpečnostních politik. Mezi klíčové kroky patří:
- Pozor na trojany – Ransomwarové útoky většinou nezačínají přímo ransomwarem, ale pro počáteční přístup využívají trojské koně. K infekci trojanem dochází dny nebo týdny před ransomwarovým útokem.
- Zbystřete o víkendech a svátcích – Většina ransomwarových útoků probíhá o víkendech a svátcích. Hackeři se snaží zaměřovat na dobu, kdy bude pravděpodobnější, že IT a bezpečnostní týmy nebudou v plné pohotovosti a reakce na hrozbu bude pomalejší.
- Používejte anti-ransomware – Ransomwarové útoky jsou sofistikované, ale anti‑ransomwarové řešení napraví případné škody a vrátí vše do normálu během několika málo minut. Ochrana proti ransomwaru hlídá, jestli nedochází k neobvyklým aktivitám, jako je otevírání a šifrování velkého počtu souborů. Pokud anti-ransomware zachytí jakékoli podezřelé chování, může okamžitě reagovat a zabránit masivním škodám.
- Zálohujte data – Cílem ransomwaru je donutit oběť zaplatit výkupné, aby získala zpět přístup k zašifrovaným datům. To je však účinné pouze v případě, že cíl skutečně přístup ke svým datům ztratí. Pokud se něco pokazí, vaše data by mělo být možné snadno a rychle obnovit. Je proto nutné důsledně zálohovat, včetně automatického zálohování i na zařízeních zaměstnanců.
- Segmentujte a omezte přístup jen na nutné informace – Chcete-li minimalizovat dopad případného úspěšného útoku, pak je důležité zajistit, aby uživatelé měli přístup pouze k informacím a zdrojům, které nutně potřebují pro svou práci. Segmentace sítě minimalizuje riziko, že se hrozba bude nekontrolovatelně šířit napříč celou organizací. Řešit následky útoku na jednom systému může být složité, ale napravovat škody po útoku na celou síť je podstatně náročnější.
- Vzdělávání je nezbytnou součástí ochrany – Zaměstnanci by měli umět poznat potenciální hrozby. Mnoho kybernetických útoků totiž začíná cíleným phishingem, který sice neobsahuje malware, ale s pomocí sociálního inženýrství se snaží uživatele nalákat ke kliknutí na škodlivý odkaz nebo k poskytnutí citlivých informací. Vzdělávání uživatelů je proto jednou z nejdůležitějších součástí ochrany.
- Používejte silná a nestandardní hesla – Defaultní hesla jsou snadným cílem, takže je důležité používat složité a těžko odhadnutelné kombinace a také vícefaktorové ověřování. Jedná se o další vrstvu ochrany, která výrazně sníží riziko neoprávněného přístupu.
- Pravidelně instalujte aktualizace a záplaty – WannaCry v květnu 2017 zasáhl tvrdě organizace po celém světě a během tří dnů infikoval přes 200 000 počítačů. Přitom už měsíc před útokem byla k dispozici záplata pro zneužívanou zranitelnost EternalBlue. Aktualizace a záplaty instalujte okamžitě a automaticky. Záplatujte a aktualizujte staré verze softwaru a systémů. V nemocnicích to ale v mnoha případech z různých důvodů nelze. Proto doporučujeme používat systém prevence narušení (IPS – Intrusion Prevention System) s možností virtuálních oprav, aby se zabránilo pokusům o zneužití slabých míst ve zranitelných systémech nebo aplikacích. Aktualizovaný IPS pomáhá organizacím zůstat v bezpečí.
- Právní a regulační rámec – Dodržování národních a mezinárodních standardů a předpisů v oblasti ochrany osobních údajů je základem pro zajištění bezpečnosti pacientů.
- Vše zabezpečte a spokojte se jen s tím nejlepším – Nic nepodceňte, počítače, servery, mobilní zařízení, ale i chytré žárovky nebo libovolné jiné IoT či IoMT zařízení mohou být pro hackery vstupním bodem a branou do vaší organizace. Používejte proto vždy to nejlepší bezpečnostní řešení a využijte případně služeb externích týmů specializovaných na odhalování a lov hrozeb.
Novinky od českého týmu společnosti Check Point Software Technologies:
Facebook: https://www.facebook.com/CheckPointCzech
X: https://twitter.com/CheckPointCzech
LinkedIn: https://cz.linkedin.com/showcase/checkpointczech
Sledujte novinky o bezpečnostním týmu Check Point Research:
Blog: https://research.checkpoint.com/
X: https://twitter.com/_cpresearch_
Sledujte novinky o společnosti Check Point Software Technologies:
X: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.