Typy ataków na Szpitale i sektor zdrowia

Szpital jest atrakcyjnym celem dla przestępców ponieważ znajdują się tam dane medyczne i osobowe, ponadto Szpital jest infrastrukturą krytyczną dla zapewnienia bezpieczeństwa publicznego.

Ludzka kreatywność i pomysłowość nie zna granic, dlatego nie ma narzędzi i metod gwarantujących 100% zabezpieczenia przed każdym atakiem. Dlatego tak ważna jest aktywność i świadomość zagrożeń, rozpoznawanie różnych metod ataków, czujność oraz budowanie kultury odporności i bezpieczeństwa.

Powszechna informatyzacja procesów leczenia, wprowadzanie sztucznej inteligencji, internetu rzeczy, zdalnego serwisu i nadzoru nad sprzętem przez zewnętrznych dostawców, duża ilość pracowników Szpitala i różnorodność urządzeń podłączonych do sieci znacząco utrudniają zablokowanie i zabezpieczenie tysięcy możliwych scenariuszy i ścieżek ataków.

Najczęstsze scenariusze ataków.

Phishing

Metoda:

• Fałszywe e‑maile/SMS-y podszywające się pod NFZ, dostawcę, bank, kierownictwo. Przesyłane informacje mogą być łudząco podobne do wysyłanych przez urzędy i firmy (podobne logo, formatki, odnośniki do prawdziwych stron), adres nadawcy zwykle jest zbliżony do prawdziwych adresów lub podszywający się pod prawdziwe osoby. Wiadomości zwykle zawierają alarmującą treść lub nakłaniają do szybkiego działania, otwarcia jakiegoś dokumentu, wypełnienia ankiety, kliknięcia w link, „potwierdzenia” hasła lub „odblokowania” konta.

Konsekwencje:

• Zainstalowanie złośliwego oprogramowania (malware), przejęcie kont pracowników, wyciek danych pacjentów, zablokowanie działania systemów.

Przeciwdziałanie:

• Trwałe kasowanie otrzymanych wiadomości bez otwierania załączników i bez klikania w załączone linki. Stosowanie oprogramowania antywirusowego, szkolenie pracowników.

Ransomware

Metoda:

• Instalacja oprogramowania poprzez wykorzystanie luk i podatności w systemach, wykorzystanie kont i słabych haseł personelu Szpitala, zdalnego dostępu do sieci Szpitala. Zaszyfrowanie danych i systemów (HIS, LIS, PACS) z żądaniem okupu za odblokowanie i odszyfrowanie danych.

Konsekwencje:

• Paraliż pracy szpitala, odwołanie zabiegów, zagrożenie życia pacjentów, naruszenie danych.

Przeciwdziałanie:

• Systemy wykrywania i przeciwdziałania włamaniom, aktualizacje systemów, usuwanie podatności, właściwa polityka kopii zapasowych, weryfikacja kont, haseł, uprawnień, logowanie wieloskładnikowe, segmentacja sieci, szkolenie personelu.

Credential stuffing / brute force

Metoda:

• Wykorzystanie wyciekłych haseł z innych serwisów do logowania się w systemach szpitala. Wykorzystanie kont personelu Szpitala do wykonania ataku, skanowanie kont w poszukiwaniu słabych lub już złamanych haseł. Wykorzystywanie przez przestępców dostępnych baz danych kont i haseł.

Konsekwencje:

• Przejęcie kont, nieuprawniony dostęp do dokumentacji medycznej, modyfikacja danych.

Przeciwdziałanie:

• Szkolenia personelu, okresowa zmiana haseł, wymuszenie bezpiecznego hasła (odpowiednio długie i złożone), logowanie wieloskładnikowe, blokowanie nie używanych kont i nieaktywnych użytkowników, minimalizacja uprawnień użytkowników, systemy wykrywania włamań i analizy aktywności w sieci.

Ataki na zdalny dostęp / VPN

Metoda:

• Wykorzystanie słabych konfiguracji, braku MFA (logowania wieloskładnikowego), nieaktualnych systemów na sprzęcie użytkowników, dostępu osób trzecich do sprzętu pracownika.

Konsekwencje:

• Dostęp do sieci wewnętrznej z wykorzystaniem sprzętu i uprawnień pracownika (bez jego wiedzy), instalacja backdoorów (omijanie zabezpieczeń, tworzenie kont z uprawnieniami administratora).

Przeciwdziałanie:

• Szkolenia personelu, stosowanie logowania wieloskładnikowego, systemy wykrywania włamań i analizy aktywności w sieci.

Ataki na urządzenia medyczne / IoT

Metoda:

• Wykorzystanie luk w oprogramowaniu sprzętu medycznego, kamer, systemów monitoringu, do instalacji złośliwego oprogramowania, przejęcia i/lub szyfrowania danych, wywiadu, aktów sabotażu.

Konsekwencje:

• Zakłócenie działania urządzeń, ryzyko dla pacjentów, wyciek danych.

Przeciwdziałanie:

• Aktualizacje sterowników, aktualizacja systemów, bezpieczne hasła, segmentacja i fizyczna separacja sieci.

Ataki na łańcuch dostaw i systemy informatyczne partnerów

Metoda:

• Atak na dostawcę oprogramowania lub usług (np. dostawcę hostingu, serwerów pocztowych, dostawcę oprogramowania, firmę serwisującą sprzęt diagnostyczny). Przełamanie zabezpieczeń u dostawcy, który posiada uprawniony dostęp do sieci Szpitala lub przetwarza jego dane.

Konsekwencje:

• Zainfekowane aktualizacje, masowy wyciek danych, awarie działania sprzętu medycznego, włamania do sieci informatycznej Szpitala.

Przeciwdziałanie:

• Odpowiednie polityki i umowy z dostawcami, ograniczenia dostępu i segmentacja sieci, systemy wykrywania włamań i analizy aktywności w sieci.

Socjotechnika offline

Metoda:

• Podszywanie się pod serwisanta, audytora, lekarza, aby uzyskać dostęp fizyczny. Uzyskanie nowego hasła lub dostępu do systemów przez telefon do informatyków.

Konsekwencje:

• Kradzież nośników, dokumentacji, instalacja złośliwych urządzeń, przejęcie cudzego konta, umożliwienie włamania do systemów informatycznych Szpitala.

Przeciwdziałanie:

• Szkolenia personelu, promowanie polityk bezpieczeństwa przez przełożonych, identyfikatory i ich używanie, zamki kodowe i zabezpieczone strefy.