Praha 31. ledna 2022 – Před více jak osmi měsíci zažil irský zdravotnický systém největší kyberútok ve své historii. Vzpamatovával se z něj několik měsíců, a to
i přesto, že sami útočníci poskytli klíč k zašifrovaným datům. Přitom se nechce ani věřit, že před ransomwarovým útokem měli hackeři do zdravotního systému vybudovaný přístup již osm týdnů před samotným útokem. Něco podobného může kdykoliv potkat i tuzemské zdravotnické organizace, ale i jiné podniky mimo tuto oblast.
Cílem kyberzločinců ze skupiny Conti bylo odcizení dat z centrálních serverů irského zdravotního systému (Health System Executive). Prostřednictvím ransomwarového útoku došlo na dlouhé týdny k ochromení počítačového systému ve většině irských zdravotnických služeb, což způsobilo rozsáhlé rušení nezbytných operací
a zdravotních vyšetření. O sedm měsíců později HSE zveřejnila obsáhlou 157stránkovou zprávu pojednávající o celém incidentu. „Forenzní zkoumání ukázala na celou řadu důležitých faktů, které stály za tímto případem, a měly na HSE mnohem větší dopad, než se doposud myslelo,“ uvádí Martin Lohnert, specialista pro oblast kyberbezpečnosti v technologické společnosti Soitron.
Na narušení chyběla adekvátní reakce IT oddělení
Zatímco ransomwarový útok byl zahájen 14. května 2021, hackeři poprvé získali přístup do sítě HSE už o osm týdnů dříve – 18. března infikováním pracovní stanice HSE malwarem – tím, že zaměstnanec na počítači se systémem Windows otevřel
z phishingového e-mailu nastražený dokument Microsoft Excel. Podle zprávy systémy zahlásily několik varování o vážném narušení sítě, ale tyto varovné signály byly špatně identifikovány, a navíc nebyly dostatečně řešeny.
Jakmile hackeři získali přístup do systému, kompromitovali značný počet serverů, exfiltrovali data a pohybovali se laterálně. Zločinci následně požadovali výkupné, HSE však odmítlo zaplatit. Přesto se stalo něco, co není obvyklé. „Skupina Conti nakonec sama a bezplatně dešifrovací klíč uvolnila, pravděpodobně poté, co si uvědomila, že zasáhla vládní agenturu a v reakci na veřejné pobouření. I tak obnova zašifrovaných dat trvala více než čtyři měsíce,“ upozorňuje Martin Lohnert. Počáteční odhady nákladů na obnovu činily neuvěřitelných 600 milionů dolarů, včetně 120 milionů dolarů potřebných na upgrade a lepší zajištění systémů zasažených ransomwarem.
Zásadní chyby, které vedly k povedenému útoku
HSE obnovou dat (údajně šlo o 700 GB) pověřila členy irské armády. Snaha byla ukončena až 21. září, kdy HSE považovala všechny servery za dešifrované. I tak některá data zůstala stále neobnovená – obnovena byla data z 1 075 aplikací
z celkového počtu 1 087 aplikací. Zpráva zdůrazňuje i to, že není jasné, kolik dat by se podařilo zachránit, kdyby nebyl k dispozici dešifrovací klíč. Mimochodem, zálohovací infrastruktura HSE byla nastavena pouze na periodické zálohování prostřednictvím pásek.
Problémem bylo i personální zajištění: HSE zaměstnávalo pouze 350 lidí na IT pozicích a pouze 15 v rolích bezpečnosti. Těm přitom chyběly odborné znalosti
v oblasti kybernetické bezpečnosti. Alarmující také bylo to, že HSE mimo jiné neměla:
- žádné plány nebo příručky pro kybernetickou bezpečnost;
- bezpečnostní nástroje schopné prozkoumat a aktivovat bezpečnostní výstrahy;
- centralizovaný seznam kontaktních údajů pro všechny zaměstnance HSE nebo registr majetku;
- off-line kopie klíčového zabezpečení IT a dokumentace;
- předem stanovený prioritní seznam aplikací a systému pro obnovu.
Povinná četba pro firmy
Podle údajů společnosti Check Point na české firmy směřovalo v roce 2021 přes tisíc kyberútoků týdně. Oproti předchozímu roku je to nárůst o padesát procent. Celosvětový průměr činil 900 útoků. Je jen otázkou, kdy obdobný průšvih potká
i Česko a bude mít fatální důsledek. Jakousi analogii v případě zdravotnictví můžeme v nedávné době najít v podobě několikatýdenního vyřazení nemocnice v Benešově, nebo útok na Fakultní nemocnici v Brně nebo Ostravě.
„Jak ukazuje tento příklad, v dobách, kdy na celém světě exponenciálně roste počet kyberútoků, mnoho institucí stále toto riziko nebere vážně. O to horší je potom situace, kdy v době pandemie útok zasáhne zdravotnický systém nebo kritickou infrastrukturu,“ varuje Martin Lohnert. Nízká úroveň vyspělosti kybernetické bezpečnosti v kombinaci absence nepřetržitého monitorování sítě na výskyt bezpečnostních incidentů je přitom vražednou kombinací. „Organizace po celém světě mohou být HSE vděčné za to, že je tak otevřená a transparentní, a že zveřejnila, k čemu přesně došlo. Všichni se z tohoto incidentu mohou poučit. Dokument přibližující, co se stalo v HSE bych vedení firem doporučil jako povinnou četbu,“ zakončuje Martin Lohnert.
O společnosti Soitron
Soitron je IT integrátor inovativních řešení a technologií původem ze Slovenska. Dnes zaměstnává přes 800 lidí a jeho týmy pracují kromě Slovenska také v České republice, Rumunsku, Turecku, Bulharsku, Polsku a Velké Británii. Filozofií Soitronu je neustále se zlepšovat. Pomáhá klientům v různých odvětvích řídit jejich byznys efektivněji, rozvíjet ho a chránit před hrozbami online prostředí. Je dlouhodobým lídrem v oblasti IT infrastruktury a sítí, komunikačních řešení, IT služeb a IT outsourcingu. K dlouhodobým kompetencím Soitronu přibyly nové v oblasti internetu věcí (IoT), robotizace a automatizace, robotické procesní automatizace (RPA), umělé inteligence (AI), aplikací, cloudových řešení a vlastního security operations centra (SOC). Všechny tyto kompetence vedly k vytvoření vlastního IT konzultačního týmu, díky kterému dokáže porozumět byznysu a potřebám klientů s ohledem na rychlý vývoj technologií. Do jeho portfolia patří také řešení pro inteligentní policejní auta známá pod značkou Mosy a nová služba v oblasti kybernetické bezpečnosti – známá pod značkou Void.