Nemocničný sektor: kritické systémy, vysoko citlivé na kybernetické útoky

Je to desivý paradox: napriek skutočnosti, že dôvera a dôvernosť sú ústredným aspektom vzťahu medzi nemocnicami a ich užívateľmi, bolo 80 % zdravotníckych organizácií medzi rokmi 2016 a 2018 cieľom úspešného útoku, uvádza článok Orange Cyberdefense a a Orange Healthcare. Ako môžeme túto úroveň zraniteľnosti vysvetliť a predovšetkým, ako jej možno čeliť?

 

Dáta a kritické prevádzky robí z nemocničného sektoru hlavný cieľ

Zdravotnícke organizácie sú pre hackerov obzvlášť atraktívne, pretože spracúvajú veľmi citlivé dáta pacientov. Hackeri, ransomware, DoS útoky, „medjacking“ alebo botnety, sa pokúsia o čokoľvek, aby narušili prístup k týmto citlivým informáciám alebo ich dostali do rúk. Dáta však nie sú pre kybernetických útočníkov jediným záujmom. Zo života ohrozujúce narušenia rôznych činností zdravotníckych zariadení sa totiž stáva účinný prostriedok vydierania, ktorý umožňuje útočníkom získať to, čo chcú.

Štrukturálne a ľudské faktory spoločne predstavujú veľmi reálnu a pre daný sektor špecifickú zraniteľnosť

Ako je možné, že systémy, ktoré sú tak citlivé – a o ktorých je známe, že sú v ohrození – môžu byť stále tak zraniteľné? Všetko to vychádza z kombinácie rôznych zlyhaní.

Priepustnosť front-line sietí

Nie je výnimkou, že v nemocničnom prostredí vedľa seba nájdeme niekoľko sietí s rôznymi úrovňami súkromia. Napríklad z Wi-Fi hotspotu je ľahké sa pripojiť k pacientskej sieti. Odtiaľ je možné odchytiť lekársku sieť a z nej získať prístup do administratívnej siete. Nedostatočná segmentácia vytvára v systéme prvú zraniteľnosť zneužiteľnú hackermi.

Mimoriadne situácie majú prioritu

Nemocnice a iné zdravotnícke organizácie sú povinné zabezpečiť kontinuitu prevádzky. To znamená, že nemôžu prerušiť prebiehajúcu liečbu. Z tohto dôvodu sa väčšina z nich pri zmene v IT infraštruktúre zdráha prepnúť do režimu údržby alebo vypnúť určité zariadenia, a to aj na krátku dobu. Tento prístup ich často vedie k tomu, že sa udržujú staršie riešenia, než aby sa na IT systém pozeralo ako na všestranný projekt s vlastnou správou.

Ak chcete problém rýchlo pochopiť, pozrite sa pri ďalšej návšteve nemocnice na používané prehliadače alebo aplikácie. Podľa článku Computerweekly Britský národný kontrolný úrad (NAO) skúmal vplyv WannaCry na Národnej zdravotnú službu (NHS). V tej dobe „väčšina infikovaných zariadení NHS používala podporované verzie Windows 7, ktoré neboli záplatované“.

Práca v naliehavých situáciách má súčasne za následok zanedbávanie základných bezpečnostných opatrení, ako je napríklad ukončenie relácie pri opúšťaní pracovnej stanice. Informácie v kartách pacientov sú potom voľne prístupné a v niektorých prípadoch môže byť ohrozený aj administrátorský prístup.

Veľký nedostatok interných odborníkov na kybernetickú bezpečnosť

Okrem nedostatočnej správy je v zdravotníckych zariadeniach ďalším problémom absencia odborníkov na IT bezpečnosť. Na slovenskom trhu zatiaľ nevyzerá, že by sa situácia mala v dohľadnej dobe výraznejšie zlepšiť.

BYOD: bežná, ale nekontrolovaná praxe

Ďalší faktor zvyšujúci zraniteľnosť nemocničného prostredia je priamo spojený s tým, ako lekári pracujú – mnohí delia svoj čas medzi súkromnú prax a nemocnicu, pritom ale používajú rovnaký počítač a smartphone. Vzhľadom k tomu, že toto zariadenie nebolo dodané nemocnicou, nie je vždy v súlade s bezpečnostnými opatreniami, ktoré organizácia zaviedla.

Nové a relatívne neisté medicínske technológie

Pripojené zdravotnícke zariadenia sú v dobre financovaných nemocniciach čoraz bežnejšie. Pozornosť venovaná bezpečnosti pri navrhovaní týchto zariadení je však stále nedostatočná a ponecháva otvorené dvere „medjackingu“.

Rastúce využívanie systémov pre technické riadenie budov

Systémy technického riadení budov okrem iného umožňujú diaľkové ovládanie zariadení, ako sú klimatizačné systémy, požiarne systémy alebo výťahy. Ak je taký systém napadnutý, môže to napríklad viesť k nútenej evakuácii nemocnice. Tieto systémy, navrhnuté na základe „fyzických“ bezpečnostných noriem, nie sú z hľadiska digitálneho zabezpečenia dostatočne odolné.

Ako môže nemocničný sektor zvýšiť odolnosť voči kybernetickým útokom?

Najprv je nutné plne zhodnotiť zraniteľnosť zdravotníckych zariadení a urobiť z kybernetickej bezpečnosti kľúčovú otázku v rámci organizácie so všetkým, čo z toho plynie aj z pohľadu investícií (ľudské zdroje, správa, vybavenie, vyhradený rozpočet atď.).

Použitie certifikovaných a kvalifikovaných bezpečnostných riešení pre siete a hardvér

Na praktickejšej úrovni je nevyhnutné začať používať riešenia určené na zabezpečenie sietí, ich ochrane pred vniknutím a zaručenie kontinuity prevádzky, ale aj na zabezpečenie ochrany pracovných staníc. Tieto riešenia musia byť povinné pre všetky zariadenia zapojené do starostlivosti o pacientov, či už je vlastní zamestnanci alebo nie.

Zvyšovanie informovanosti zamestnancov

Aby bol zdravotnícky personál presvedčený o potrebe dodržiavania osvedčených postupov v oblasti kybernetickej bezpečnosti, je dôležité mu pravidelne pripomínať, čo je v stávke, a objasniť s ním rôzne postupy. S ohľadom na túto skutočnosť spolupracovala skupina Pays de la Loire’s v oblasti elektronického zdravotníctva (GCS) so spoločnosťou Orange Cyberdefense na vytvorenie únikovej hry známej ako Sant’escape – Digital Security. Aký je princíp? Vysvetliť a aplikovať osvedčené postupy v zdravotníctve prostredníctvom účasti na hre.

Hlásenie incidentov dozornému úradu

Zdravotnícke zariadenia sú povinné nahlásiť kybernetický incident alebo podozrenie na incident dozornému orgánu, ktorým Národný bezpečnostný úrad (prostredníctvom jednotného informačného systému kybernetickej bezpečnosti). Veľké nemocnice sú okrem GDPR dotknuté o požiadavky Zákona o kybernetickej bezpečnosti. 

Nemocnice a zdravotnícke zariadenia všeobecne sa dnes z jednej strany musia vysporiadať s požiadavkou znižovania nákladov a z druhej strany s potrebou plného využitia potenciálu, ktorý ponúka digitálne technológie, ako je napríklad zavedenie nových služieb typu telemedicíny. Nedostatočné zabezpečenie IT systémov však môže mať obzvlášť závažný dopad na súkromie a bezpečnosť pacientov. Ak teda nie je kybernetická bezpečnosť považovaná za rovnakú prioritu ako zdravie.

Autor: Marco Genovese, Stormshield
Preklad a úpravy: Jan Mazal,
VPGC
Zdroj: Stormshield – The hospital sector: critical systems, highly sensitive to cyberattacks