Kybernetickým útokům čelí nemocnice v podstatě denně. Stoprocentně se proti nim sice ochránit nelze, důkladná příprava ale pomáhá předejít škodám. Krom různých technických řešení se snažíme hodně zaměřovat na edukaci uživatelů, kteří jsou potenciálně nejslabším článkem řetězu. V rozhovoru pro Zdravotnický deník to říká Klára Pavelcová, manažerka kybernetické bezpečnosti z Útvaru náměstka ředitele pro informační technologie Fakultní nemocnice Ostrava.
V tuzemských nemocnicích dochází stále častěji ke kyberútokům. Jak často jim musíte čelit?
Pokusům o provedení kybernetických útoků čelí všechny nemocnice denně, Fakultní nemocnice Ostrava není výjimkou. Mezi nejběžnější pokusy o útok lze jednoznačně zařadit takzvaný scanning neboli sken v rozsahu vnější sítě (Scanning útočníkům pomáhá identifikovat zranitelnost napadeného – pozn. red.). A samozřejmě nelze nezmínit takzvaný phishing, jehož cílem nejčastěji je kliknutí na potenciálně nebezpečný odkaz s pokusem o vylákání přihlašovacích údajů. Dále se v poslední době opět setkáváme s e-maily, které se vás snaží přesvědčit o tom, že jste byli vybráni jako dědicové nebo že jste vyhráli nějakou astronomickou částku. Tyto e-maily neobsahují žádné odkazy, ale snaží se z vás vylákat odpověď, ideálně s vašimi osobními údaji, včetně podrobností o zaměstnání, doklady o příjmu a podobně.
Dalším častým druhem phishingů jsou podvržené e-maily zneužívajících jména členů vrcholového vedení nemocnice, zejména pana ředitele a jeho náměstků. Scénář je vždy stejný – útočník se ptá na aktuální bankovní zůstatek a na to, zda můžeme ještě dnes zaplatit nějakou částku. V obou případech dochází ze strany techniků Odboru infrastruktury k okamžité blokaci odesílatele a případných odkazů.
S popsanými pokusy o útoky, se dnes asi potýká většina organizací, nejen ve zdravotnictví. Zasáhl vás v poslední době i kyberútok jiného typu?
Ano, letos jsme se setkali s útokem na jeden ze síťových prvků, a to s využitím metody „brute force“. Takovýto typ útoku slouží k prolamování, tedy získání hesel metodou prostého uhádnutí uživatelského jména a hesla, tedy bez jakékoliv znalosti základního šifrovacího klíče – použitých písmen, číslic a symbolů. Jedná se o druh sice primitivního, ale za určitých okolností stále efektivního útoku. Útok cílil na konkrétní entitu naší organizace, kterou útočníci v první fázi skenovali a následně útok provedli.
Samotný útok probíhal z různých IP adres z celého světa – včetně IP adres vedených vsíti TOR, což je softwarový systém a označení pro celosvětovou síť serverů, která svým uživatelům umožňuje anonymně komunikovat a procházet internet. Naštěstí mimo kapacitní zatížení a nezbytně nutnou participaci našich techniků nebyly zmíněnými útoky způsobeny žádné další škody.
Lze takovému typu útoku vůbec nějak předejít?
Bohužel ne zcela, přímo zabránit jeho vzniku v podstatě není možné. Lze ale provádět postupné blokace IP adres, ze kterých jsou předchozí útoky realizovány a geolokačně je také možné omezit vzdálený přístup do sítě. Prevence samozřejmě primárně předpokládá i implementované a správně nastavené komponenty zabezpečení a související práci s uživateli.
Jaká všechna preventivní opatření přijímáte v IT oblasti k tomu, abyste kyberútokům v budoucnu zabránili?
Kybernetickým útokům nikdy nelze stoprocentně zabránit. Samozřejmě děláme vše pro to, abychom jejich četnost snížili a jejich možné dopady eliminovali. Zejména na úrovni technických opatření, kdy nám k tomu dopomáhají technické nástroje jako jsou antispam komponenty, antivirové programy či různé nástroje pro behaviorální analýzu.
Připravujete nějak speciálně i zaměstnance nemocnice?
Ano, snažíme se i na úrovni organizační, kdy například v pravidelných intervalech testujeme naše zaměstnance pomocí realizovaných phishingových kampaní, které jsou zaměřeny buď cíleně na naši nemocnici, nebo jde o ty nejčastěji využívané ve světě a v ČR – například pod hlavičkou Microsoftu či České pošty.
Zároveň v rámci těchto kampaní využíváme i edukační fázi, kdy v případě, že se uživatel nechá nalákat na potencionálně infikovaný odkaz, je mu sděleno, že se jednalo o test a na co si má dát příště pozor. Vždy je to ale přizpůsobeno konkrétní formě kampaně. Stále platí, že uživatel je potenciálně nejslabším článkem řetězu při zajištění kybernetické bezpečnosti organizace.
V čem je kybernetická ochrana v nemocnicích specifická?
Fakultní nemocnice spadají pod zákon o kybernetické bezpečnosti, jsou tedy povinny plnit požadavky z tohoto zákona a prováděcího předpisu z něj vyplývající. Fakultní nemocnice Ostrava samozřejmě není výjimkou a v souvislosti s kybernetickými útoky se zaměřujeme zejména na řízení kontinuity a řízení dodavatelů. Nicméně řídit kontinuitu v nemocnicích, které mají nepřetržitý provoz je velmi náročné, protože testovat například plány kontinuity v provozu a způsobit tím – byť plánovaný – výpadek, je mnohdy naprosto nereálné. Z toho důvodu si musíme hledat takové cesty, aby to bylo jak pro „terén“ tak i pro nás „bezpečáky“ přijatelné.