V České republice dojde podle Národního úřadu pro kybernetickou bezpečnost každý měsíc v průměru ke dvěma útokům na zdravotnická zařízení a zdravotnictví obecně patří k nejčastějším cílům kybernetických útoků. Nejhorší následky mají ransomwarové útoky, které mají potenciál zcela přerušit provoz zařízení, a kromě škody ve výši desítek milionů korun ohrozit také bezpečnost pacientů. Jak nejsofistikovanější z takových útoků probíhají, co se při nich děje a jak jim můžou zdravotnická zařízení předcházet, zmapovali odborníci technologické společnosti ANECT s využitím veřejně přístupné databáze největších kybernetických útoků MITRE ATT&CK.
„Základní modus operandi je u ramsomwarových útoků vždy stejný. Útočníci si o napadeném subjektu nejprve získávají informace, následně se dostanou do interních systémů, zde se nějakou dobu rozkoukávají a získávají další informace a privilegia a následně ve vhodnou chvíli přistoupí k samotnému zašifrování dat následované žádostí o výkupné," vysvětluje Petr Mojžíš, Security Architect společnosti ANECT.
K prvotnímu přístupu do sítě se útočníci dostanou nejčastěji přes uživatele
Před samotným útokem se jednotlivé organizované skupiny snaží získat o zdravotnickém zařízení co nejvíce informací, ať už na dark webu, nebo z veřejně dostupných zdrojů. Na jejich základě potom přizpůsobují svůj útok na míru dané organizaci. V této fázi je však prevence poměrně složitá a poměr vynaložených nákladů a jejich přínosů je většinou negativní. „Obecně doporučujeme soustředit se na prevenci v dalších fázích útoku, tedy ztížení vstupu útočníků do interní sítě, omezení možného pohybu útočníků v síti a včasné odhalení případného útoku," říká Petr Mojžíš.
Co se týče samotného přístupu do sítě, stále platí, že nejčastější vektor útoků vede přes samotné uživatele, a to formou spear phishingu, tedy personalizovaného phishingového útoku zaměřeného na konkrétní uživatele. „Personalizované kampaně jsou velmi účinné a často se jejich obětí stanou i lidé, kteří mají vysoké povědomí o kybernetických rizicích a možných formách útoků. Jejich nebezpečí spočívá v tom, že vypadají jako součást pracovní rutiny oběti. Zde je proto potřeba zaměstnance neustále vzdělávat a upozorňovat je na tato rizika, ideálně v interaktivní formě, ve které si mohou vyzkoušet například jak phishingovou kampaň, tak ochranu před touto kampaní", vysvětluje Petr Mojžíš.
Mezi další časté vstupní brány do interní sítě patří známé zranitelnosti samotné sítě, například neaktualizované verze operačních systémů či jednotlivých programů a používaných aplikací, případně napadení systémů dodavatele, který má přístup do některých částí sítě. Podle Petra Mojžíše tomu můžou zdravotnická zařízení do značné míry předcházet klasickým skenem zranitelností. „Jde o poměrně jednoduchý automatizovaný test, který porovnává informace o existujících zranitelnostech se stavem interní sítě nemocnice či jiné organizace. Pokud srovnáme cenu a efektivitu takových testů, tak se řadí mezi ty účinnější nástroje, kterými lze riziko kybernetického útoku snížit. Samozřejmě, pokud se s nálezy adekvátně pracuje," dodává odborník.
Útočníky v síti pomůže odhalit automatická analýza chování jednotlivých zařízení
Jakmile se útočník dostane do sítě, následuje spuštění škodlivého kódu a snaha o jeho zakotvení v interní síti a následnou úpravu tak, aby obešel jednotlivá opatření na její ochranu. „Útočníci u zdravotnických zařízení využívají poměrně široké spektrum známých technik, které jim umožní dosáhnout tohoto cíle, z nichž každá má svá specifika. U každé z nich zároveň existují různé možnosti a techniky, jak se jim můžou zdravotnická zařízení interně bránit. Pokud však hledají poměrně jednoduché komplexní řešení, jsou jím v tomto případě EDR (či nověji XDR) aplikace," říká Petr Mojžíš. Tzv. Endpoint Detection and Response aplikace monitorují chování koncových bodů (nejčastěji počítačů, ale i mobilních zařízení, serverů apod.) a v případě, že se chovají nestandardně, sami reagují nebo upozorní správce sítě nebo dohledové centrum, kde můžou podezřelou aktivitu prozkoumat a případně proti ní zasáhnout.
Na druhou stranu, pokud se útočníkům podaří převzít tzv. privilegované účty, tedy účty, které mají v síti výrazně vyšší pravomoci než běžní uživatelé, je i tato část ochrany prolomena. „V tuto chvíli je zásadní, aby organizace měla už předem dobře nastavené řízení těchto privilegovaných účtů. Typicky to znamená, že k určitým úlohám a zařízením se dostane pouze konkrétní člověk z konkrétního zařízení, které se fyzicky nachází uvnitř organizace. To útočníkům výrazně ztěžuje práci, protože i když převezmou kontrolu nad nějakým účtem, nepřevezmou pomocí něj kontrolu nad celou sítí," vysvětluje Petr Mojžíš.
Po získání klíčových přístupů mají útočníci často zbytečně vyhráno
Další fází ransomwarového útoku je Credential Access neboli sběr jakýchkoli přístupů, Dicovery (prozkoumání sítě) a Lateral Movement, tedy přechod na další klíčové prvky jako servery, doménové řadiče apod. „Z naší zkušenosti bohužel vyplývá, že jakmile se u zdravotnických zařízení útočníci dostanou až ke kompromitaci privilegovaných účtů, jejich další cesta už je poměrně jednoduchá. Řada interních sítí totiž bývá poměrně plochá, to znamená, že jednotlivá zařízení spolu mohou jakkoli komunikovat. Útočníkovi tak stačí získat kontrolu nad jedním zařízením a má v zásadě vyhráno," upozorňuje odborník z ANECTu.
V tomto bodě je proto podle Petra Mojžíše důležité, aby interní síť byla vhodně segmentovaná a aby existovala jasná pravidla pro to, jaké segmenty spolu jakým způsobem mohu interagovat a případně, jestli jde o jednosměrnou či obousměrnou komunikaci. Speciálním případem je potom oddělení zastaralých koncových bodů, například počítačů se starými operačními systémy. Ty by měly být od zbytku sítě pokud možno odděleny co nejvíce a při segmentaci by jim měla být věnována zvláštní pozornost. „Podobné počítače nacházíme ve zdravotnických zařízeních zcela běžně, a to napříč celou organizací. V takovém případě není možná jejich fyzická segmentace, ale je zapotřebí speciální software, který je takříkajíc uzamkne a omezuje jejich možnosti aktivně komunikovat se zbytkem sítě," říká Petr Mojžíš.
Data ze zdravotnických zařízení útočníci stahují přes Dropbox
Jakmile se útočníci natrvalo a bez odhalení zabydlí v napadené síti, přichází finální část útoku. Tou je často sběr veškerých dat z provozu zdravotnického zařízení, jejich následné stažení (exfiltrace) a finální útok pomocí programu, který zašifruje veškerá data v síti. Pokud zařízení využívá nějakou z EDR aplikací, existuje podle Petra Mojžíše stále ještě šance na odhalení probíhajícího útoku. „Zde je však už potřeba, aby zařízení disponovalo nepřetržitým monitoringem síťového provozu a zároveň mělo aktivní bezpečnostní monitoring. Jinými slovy, je potřeba, aby bezpečnostní indikátory někdo neustále vyhodnocoval. Když si vezmeme třeba nastavení forward pravidla v e-mailu, tak to je celkem běžná věc. Co už ale může budit podezření, je třeba nastavení času přeposílání všech doručených e-mailů uprostřed noci," vysvětluje Petr Mojžíš.
Zároveň dodává, že co se týče exfiltrace dat, existují u zdravotnických zařízení až překvapivě jednoduché metody, jakým způsobem je útočníci stáhnou k sobě. U útoků vedených v databázi MITRE ATT&CK probíhala exfiltrace často přes Dropbox. „V tomto případě by stálo za úvahu, zda používání obdobných úložišť v pracovním prostředí zakázat a nabídnout uživatelům bezpečnou alternativu," přemítá Petr Mojžíš.
Kritická chvíle poslední záchrany: kvalitní záloha dat odolná proti ransomware
Pokud všechna opatření selžou a útočníci přesto data zašifrují, je podle Petra Mojžíše důležité mít dobře nastavené zálohování dat. „Toto je jeden z klíčových bodů a je potřeba, aby na to všechny organizace kladly opravdu velký důraz. Všechna výše zmíněná opatření sice snižují riziko úspěšného útoku, ale nikdy ho zcela neeliminují. Dobrá a odolná záloha dat tak nakonec může rozhodnout o tom, jestli a jak rychle se podaří opět zprovoznit všechny systémy a kolik to bude nakonec všechno stát," upozorňuje odborník z ANECTu.
Funkční záloha proti ransomwaru přitom musí splňovat celou řadu pravidel. Tradiční pravidlo 3-2-1 (3 různé kopie dat na 2 různých typech úložišť, přičemž 1 je v jiné lokalitě) je třeba nejen dodržovat, ale také rozšířit zejména o požadavek, aby alespoň jedna záloha nešla technicky nijak pozměnit. Naštěstí jak v datových centrech, tak v cloudu již existují technologie, jak tuto neporušitelnost záloh zajistit. „Základem je samozřejmě ukládání záloh na denní bázi - každý den samostatná záloha. Protože útočníci se mohou v síti pohybovat klidně i rok, je třeba myslet na to, že obnova systému z týden staré zálohy ho obnoví včetně kompromitovaných součástí. Útočník potom může svoji akci kdykoli zopakovat. Proto je třeba, aby bylo možné se vrátit do stavu před samotným napadením systému," varuje Petr Mojžíš.
Ochrana před kybernetickými útoky je komplexní záležitostí, počítá se ale každé opatření
Ochrana před kybernetickými útoky je tedy komplexní a nikdy nekončící proces, který je vhodné neustále zdokonalovat. Ve světě omezených zdrojů (jak lidských, tak finančních) je však důležité každé opatření, které útočníkům ztíží jejich snahu. Ať již jde o účinné vzdělávání uživatelů a skenování zranitelností ve fázi před samotným útokem, či o vhodné řízení privilegovaných účtů a nastavení bezpečnostních politik, tedy procesů, jak má síť fungovat, co v ní jednotliví uživatelé a zařízení smějí či nesmějí dělat. Nezbytná je segmentace sítě, silná ochrana koncových počítačů (EDR) a kvalitní bezpečnostní monitoring. Když přesto všechno selže, je zásadní kvalitní záloha odolná vůči ransomware.