Pred viac ako ôsmimi mesiacmi zažil írsky zdravotnícky systém najväčší kyberútok vo svojej histórií. Spamätával sa z neho niekoľko mesiacov, a to aj napriek tomu, že sami útočníci poskytli kľúč k zašifrovaným dátam. Pritom sa nechce ani veriť, že pred útokom ransomware mali hackeri do zdravotného systému vybudovaný prístup už osem týždňov. Niečo podobné sa môže kedykoľvek stať aj našim zdravotníckym organizáciám, ale aj iným podnikom mimo túto oblasť.
Cieľom kyberzločincov zo skupiny Conti bolo odcudzenie dát z centrálnych serverov írskeho zdravotníckeho systému (Health System Executive). Prostredníctvom útoku ransomware došlo na dlhé týždne k ochromeniu počítačového systému vo väčšine írskych zdravotníckych služieb, čo spôsobilo rozsiahle rušenie nevyhnutných operácií a zdravotných vyšetrení. O sedem mesiacov neskôr HSE zverejnila rozsiahlu 157-stranovú správu pojednávajúcu o celom incidente. „Forenzné skúmania poukázali na množstvo dôležitých faktov, ktoré stáli za týmto prípadom a mali na HSE omnoho väčší dopad, než sa pôvodne myslelo,“ uvádza Martin Lohnert, špecialista pre oblasť kyberbezpečnosti v technologickej spoločnosti Soitron.
Zatiaľ čo útok ransomware bol zahájený 14. mája 2021, hackeri po prvýkrát získali prístup do siete HSE už o osem týždňov skôr – 18. marca, infikovaním pracovnej stanice HSE malwarom – tým, že zamestnanec na počítači so systémom Windows otvoril z phishingového e-mailu nastražený dokument Microsoft Excel. Podľa správy systémy zahlásia niekoľko varovaní o vážnom narušení siete, ale tieto varovné signály boli zle identifikované a navyše neboli dostatočne riešené.
Akonáhle hackeri získali prístup do systému, kompromitovali veľký počet serverov, exfiltrovali dáta a pohybovali sa laterálne. Zločinci následne požadovali výkupné, HSE ho však odmietla zaplatiť. Napriek tomu sa stalo niečo, čo je neobvyklé. „Skupina Conti nakoniec sama a bezplatne dešifrovací kľúč uvoľnila, pravdepodobne potom , čo si uvedomila, že zasiahla vládnu agentúru, a v reakcii na verejné pobúrenie. Aj tak obnova zašifrovaných dát trvala viac než štyri mesiace,“ upozorňuje Martin Lohnert. Počiatočné odhady nákladov na obnovu predstavovali neuveriteľných 600 miliónov dolárov, vrátane 120 miliónov dolárov potrebných na upgrade a lepšie zabezpečenie systému zasiahnutého ransomwarom.
HSE poverila obnovou dát (údajne išlo o 700 GB) členov írskej armády. Snaha bola ukončená až 21. septembra, keď HSE považovala všetky servery za dešifrované. Aj tak niektoré dáta zostali stále neobnovené – obnovené boli dáta z 1 075 aplikácií z celkového počtu 1 087 aplikácií. Správa zdôrazňuje aj to, že nie je jasné, koľko dát by sa podarilo zachrániť, keby nebol k dispozícií dešifrovací kľúč. Mimochodom, zálohovacia infraštruktúra HSE bola nastavená iba na periodické zálohovanie prostredníctvom pások.
Problémom bolo aj personálne zabezpečenie: HSE zamestnávala iba 350 ľudí na IT pozíciách a iba 15 na bezpečnostných pozíciách, ktorým ale chýbali odborné znalosti v oblasti kybernetickej bezpečnosti. Alarmujúce tiež bolo to, že HSE okrem iného nemala:
Podľa údajov spoločnosti Check Point na české firmy smerovalo v roku 2021 cez 1000 kyberútokov týždenne. Oproti predchádzajúcemu roku je to nárast o päťdesiat percent. Celosvetový priemer predstavoval 900 útokov. Je len otázkou, kedy obdobný problém stretne aj Slovensko a bude mať fatálny dôsledok. Analógiu v prípade zdravotníctva môžeme v ostatnej dobe nájsť v podobe niekoľkotýždňového vyradenia nemocnice v českom Benešove alebo útoku na Fakultnú nemocnicu v Brne či Ostrave.
„Ako ukazuje tento príklad, v dobách, kedy na celom svete exponenciálne rastie počet kyberútokov, veľa inštitúcií toto riziko stále neberie vážne. O to horšia je potom situácia, keď v dobe pandémie útok zasiahne zdravotnícky systém alebo kritickú infraštruktúru,“ varuje Martin Lohnert.
Nízka úroveň vyspelosti kybernetickej bezpečnosti, v kombinácií s absenciou nepretržitého monitorovania siete na výskyt bezpečnostných incidentov, je vražednou kombináciou. „Organizácie na celom svete môžu byť HSE vďačné za to, že je tak otvorená a transparentná, a že zverejnila, k čomu presne došlo. Všetci sa z tohoto incidentu môžu poučiť. Dokument približujúci, čo sa stalo v HSE, by som vedeniu firiem odporučil ako povinné čítanie,“ zakončuje Martin Lohnert.
We are in the process of finalizing. If you want to be redirected to our old version of web site, please click here.