W ostatnich tygodniach czytamy i słyszymy coraz częściej o przypadkach zaszyfrowania systemu informatycznego w placówkach medycznych. Doniesienia te dotyczą nie tylko mniejszych placówek, w których być może brakuje środków na inwestycje IT, ale także największych jednostek w Polsce, dysponujących rozbudowaną infrastrukturą i doświadczoną kadrą. Dlaczego dochodzi do takich sytuacji i jak można się przed nimi zabezpieczyć? mówi Krzysztof Kulesza, Dyrektor Handlowy, Chmura dla zdrowia.
Złośliwe szyfrowanie danych, czyli tak zwane ataki ransomware polegają na uruchomieniu na urządzeniach atakowanej instytucji złośliwego oprogramowania, które rozsiewa się po wszystkich komputerach, do których ma dostęp. Następnie zaszyfrowaniu ulegają pliki na dyskach zainfekowanych maszyn, a na komputerach użytkowników pojawia się komunikat z żądaniem okupu. Ze względu na długość użytego klucza, odszyfrowanie danych bez udziału cyberprzestępców jest niemożliwe. Atak może dotknąć zarówno komputerów indywidualnych, jak też całych sieci i serwerów paraliżując pracę instytucji.
Atak typu ransomware jest szczególnie uciążliwy dla placówek medycznych. Funkcjonowanie jednostki leczniczej bez dostępu do systemu informatycznego jest obecnie w zasadzie niemożliwe. W sytuacji, w której została wdrożona elektroniczna dokumentacja medyczna, znaczna część dokumentów istnieje tylko w postaci cyfrowej. Forma papierowa ucyfrowionych dokumentów jest dzisiaj wręcz zakazana, ponieważ dokumentacja nie może istnieć w dwóch różnych postaciach. Cyberataki powodują realną groźbę całkowitej lub czasowej utraty jedynej informacji o stanie zdrowia pacjentów.
Jak atakują cyberprzestępcy
Oprogramowanie typu ransomware dostaje się do sieci jednostek służby zdrowia na kilka sposobów. Najczęstszym z nich jest wysyłanie tzw. maili phishingowych (od ang. phishing – łowić). Wybrani pracownicy dostają maile z intrygującymi załącznikami lub linkami np. informacją o potrąceniu z wypłaty lub nieopłaconej fakturze. Po otwarciu załącznika lub kliknięciu w link, komputer zostaje zainfekowany i zaczyna atakować inne urządzenia w sieci.
Innym sposobem jest atakowanie serwerów udostępniających informacje do Internetu (np. tych, na których znajduje się portal placówki opieki zdrowotnej lub serwera udostępniającego dokumentację medyczną podmiotom zewnętrznym. Hakerzy wykorzystują tzw. zero-day vulnerabilities, czyli nieznane błędy w systemach operacyjnych lub serwerach aplikacyjnych. Brak stosownej łatki eliminującej podatność może sprawić, że zainfekowana zostanie cała sieć komputerów.
Po zarażeniu wystarczającej liczby komputerów i serwerów następuje szyfrowanie – w zależności od konfiguracji sieci może dojść do zniszczenia danych także na serwerach, na których zainstalowany jest system HIS, przechowywane są backupy czy elektroniczna dokumentacja medyczna.
Jak bronić się przed ransomware?
Charakterystyka ataków ransomware powoduje, że obrona przed nimi jest niezwykle trudna. Dlatego bardzo ważne jest regularne tworzenie backupów systemów i danych, a także przechowywanie ich na takich macierzach i nośnikach, których wirus nie zainfekuje, gdyż będą one np. odseparowane fizycznie od reszty infrastruktury IT. Dodatkowo należy zadbać o:
- bieżącą aktualizację serwerów (szczególnie tych, do których jest dostęp z zewnątrz),
- segmentację sieci (podział na odseparowane strefy, co pozwala ograniczyć skutki ewentualnego cyberataku),
- ciągłe podnoszenie świadomości pracowników (testy penetracyjne – symulowane ataki phishingowe).
Trzeba mieć jednak świadomość, że nawet w optymalnie chronionej instytucji może dojść do ataku. W takiej sytuacji konieczność odtworzenia systemów z dobrze zachowanych kopii zapasowych, może spowodować kilkunasto- lub kilkudziesięciogodzinny brak dostępu do systemu informatycznego i EDM.
W jaki sposób chmura może pomóc ochronić organizację przed ransomware?
Dobrym sposobem obrony przed cyberatakami jest fizyczne rozproszenie systemu informatycznego i wykorzystanie usług chmurowych (czyli serwerów i aplikacji wynajętych od zewnętrznego, wyspecjalizowanego podmiotu) do zadań zakładających udostępnianie informacji na zewnątrz (portal jednostki opieki zdrowotnej, udostępnianie EDM) lub przechowywania danych krytycznych (EDM, backup bazy danych). Ważne jest, aby kluczowe informacje znajdowały się fizycznie w innej lokalizacji niż jednostka lecznicza.
Wykorzystanie chmury jako swojego rodzaju bufora pomiędzy światem zewnętrznym a placówką medyczną eliminuje niezałatane podatności jako jeden z wektorów ataku. Dzięki dedykowanym zespołom, dostawcy chmury na bieżąco usuwają luki w zabezpieczeniach, instalują poprawki w systemach operacyjnych i serwerach aplikacyjnych. Dodatkowo utrzymują w trybie 24/7 Security Operation Center, czyli zespół monitorujący i przeciwdziałający atakom. Na zapewnienie podobnego poziomu zabezpieczeń w ramach zespołu wewnętrznego mogą pozwolić sobie tylko największe jednostki służby zdrowia.
Drugą ważną zaletą technologii cloud computing jest separacja sieci pomiędzy chmurą a systemem placówki medycznej. Powoduje to, że złośliwe oprogramowanie, które zaatakuje jeden system (chmurę czy HIS) nie przeniesie się na inny. W razie zainfekowania komputerów i serwerów jednostki opieki zdrowotnej można korzystać z zasobów chmury i np. w bezpieczny sposób pobrać z niej backup, czy też pozwolić pracownikom na awaryjny dostęp do elektronicznej dokumentacji medycznej przechowywanej na zewnętrznych serwerach (za pomocą dedykowanej aplikacji).
Chmura nie rozwiązuje wszystkich problemów, ale znacząco ogranicza ryzyko ataku oraz wprowadza dodatkową warstwę zabezpieczeń. Technologia cloud computing pozwala zmniejszyć skutki ataku, a także podnosi bezpieczeństwo pacjentów i ich danych.