Szpitale łakomym kąskiem dla cyberprzestępców

Analitycy Anzeny zwracają uwagę, że liczba cyberataków rośnie, ale biznes broni się coraz lepiej. Okazuje się bowiem, że dzięki wdrażaniu dodatkowych środków bezpieczeństwa zagrożenia przebywają w firmowych sieciach coraz krócej. W 2014 roku było to jeszcze 205 dni (mediana), ale już rok później ta liczba spadła do 146 - takie dane w swoim najnowszym raporcie zamieściła firma bezpieczeństwa IT Mandiant. Tendencja spadkowa może napawać umiarkowanym optymizmem, jednak drugą stroną medalu jest rosnąca bezwzględność cyberprzestępców, którzy ani myślą rezygnować z dotychczasowych praktyk. Pokazuje to rosnąca liczba ataków z wykorzystaniem zagrożeń szyfrujących dyski oraz nowe cele, takie jak szpitale, w które do niedawna cyberszantażyści uderzali raczej sporadycznie.

Na początku lutego lutego 2016 r. atak szyfrujący spowodował tygodniowy przestój systemów amerykańskiego szpitala Hollywood Presbyterian MC. Szpitalna sieć została wyłączona, w wyniku czego utracono część danych pacjentów. Zaszyfrowano m.in. komputery służące do tomografii, analizy laboratoryjnej, przechowywania dokumentacji medycznej i obsługi szpitalnej apteki. Atak odciął też niektóre systemy na oddziale ostrego dyżuru, a chociaż nie stworzył sytuacji zagrożenia życia to część pacjentów prewencyjnie przeniesiono do sąsiednich ośrodków. Za odszyfrowanie zablokowanych danych agresorzy zażądali początkowo około 9 tys. bitcoinów (równowartość 3,6 mln dolarów). Pozbawiony komórki bezpieczeństwa IT szpital poprosił o pomoc lokalną policję i FBI, ale ostatecznie uległ szantażowi odzyskując swoje dane dopiero po wpłacie 17 tys. dolarów haraczu.

Podobna sytuacja wydarzyła się w ostatnich dniach w dwoch niemieckich ośrodkach zdrowia. Praca w Lukas Hospital (Neuss) została zdezorganizowana do tego stopnia, że pozbawieni sieci lekarze zaczęli wymieniać odręczne notatki. Zaalarmowany personel zdecydował o wyłączeniu sieci po tym, jak system obsługujący urządzenie rentgenowskie wyświetlił komunikat o braku dostępu do zaszyfrowanych danych. Konsekwencją ataku było m.in. przełożenie zaplanowanych operacji na późniejsze terminy. Obecnie administratorzy planują sprawdzenie ponad 100 serwerów oraz blisko 900 komputerów i urządzeń medycznych. Według wstępnych szacunków potrwać ma to trzt miesiące. Dwa dni po ataku na Lukas Hospital pracownik szpitala w Arnsberg otwarł zainfekowaną wiadomość mailową, ale gdy tylko aktywowane zagrożenie zaczęło szyfrować pierwszy serwer, obsługa przytomnie wyłączyła system. W obu placówkach z pomocą przyszły aktualne kopie bezpieczeństwa, dzięki którym udało się wznowić przerwaną pracę.

Podobne ataki na szpitale będą się zapewne powtarzać. Zważywszy na postępujące zmiany technologiczne (m.in. trend internet rzeczy) w sektorze opieki medycznej i rosnące zagrożenie atakami szyfrującymi, eksperci od dawna zapowiadali realizację podobnego scenariusza. Wśród nich są m.in. specjaliści TrapX, firmy zajmującej się bezpieczeństwem IT jednostek służby zdrowia. W grudniu 2015 r. ujawnili oni luki bezpieczeństwa m.in. w dostępnych na rynku systemach pomiaru ciśnienia krwi, obrazowania medycznego i wyposażenia radiologicznego. Znaleźli też uśpione zagrożenia, w tym programy szyfrujące w różnego typu urządzeniach medycznych podłączonych do szpitalnych sieci. Ponurego obrazu dopełnia cytowany przez nich przypadek, gdy dostęp do specjalistycznego sprzętu medycznego "chroniło" hasło password123.

Prognozy firmy konsultingowej PwC przewidują, że wartość rynku produktów medycznych z podłączeniem do sieci w 2020 roku sięgnie 285 miliardów dolarów. Niestety możemy być więcej niż pewni, że autorzy zagrożeń szyfrujących też czytają te raporty. Szpitale - jako podmioty zaufania publicznego - powinny więc teraz szczególnie zadbać o bezpieczeństwo swoich sieci. Anzena przypomina, że w 2014 w samych Stanach Zjednoczonych wyłomy w ochronie IT naraziły dane ponad 99 mln pacjentów.