Kybernetické útoky ve zdravotnictví? Nejlepší prevencí je dodržování základních pravidel

(De)šifrování dat výměnou za výkupné

Jsou známé nějaké podrobnější informace o tom, jak útoky, kterým české nemocnice v prvním čtvrtletí letošního roku čelily, probíhaly?

Víme, co se stalo v Benešově. Tam došlo k zašifrování dat a následně k výpadku celé počítačové sítě v důsledku nefunkční techniky. To je jeden z typických útoků, kdy útočník zašifruje data a pak požaduje výkupné výměnou za jejich znovuobnovení.

Zaplacení výkupného asi není řešením…

Obecně to není doporučovaná taktika, protože nemáte jistotu, že se po zaplacení výkupného k datům skutečně dostanete. Navíc je tu poměrně vysoké riziko, že útočník už data stejně nějakým způsobem zcizil. Právě to se v posledních letech často děje, když se útočníci uchylují ke kombinaci šifrování dat společně s jejich zcizením. A protože zdravotnická zařízení často disponují i citlivými údaji, je zde riziko nejen, že o data přijdou, ale že je útočníci mohou ještě dále zneužívat.

Dá se tedy říci, že tam, kde se útočníkům podařilo úspěšně dostat do systémů, mají přímo nemocniční data?

To bych netvrdil. Říkám jen, že je to taktika, kterou někteří útočníci v posledních letech používají, a že by uživatelé měli být opatrní a nespoléhat se na to, že i když zaplatí výkupné – byť třeba jen v řádu několika tisíc korun – data budou obnovena a vše bude fungovat tak, jak fungovalo před napadením systému.

Existují ještě nějaké další taktiky, které hackeři používají?

Samozřejmě, je jich celá řada. Tento se zašifrováním dat je v poslední době trochu víc rozšířený, ale jinak je to jen 1 z mnoha typů útoků. 

Kam vedou stopy...?

Která metoda útoku je nejrozšířenější?

Ta, s níž se uživatelé setkávají dnes a denně, tedy snahy o získání nejrůznějších přístupových údajů – k internetovému bankovnictví, e-mailovým účtům nebo i k on-line hrám. To jsou také velmi ceněné údaje, neboť řada hráčů si svůj účet buduje dlouho a samozřejmě o něj nechce přijít. Kromě přístupových údajů obecně se potom útočníci snaží získat data jako jsou čísla platebních karet a další citlivé údaje.

Někteří hackeři se snaží „jen“ nabourat do vašeho počítače tak, aby ho mohli na dálku ovládat. To znamená, že se pak váš počítač pravidelně připojuje k nějakým vzdáleným serverům, které mu říkají, co má dělat. Takto ovládaný počítač slouží útočníkům k aktivitám, jako je rozesílání spamů, ale i k dalším koordinovaným útokům.

Takže taktik je velké množství, ale v podstatě se dají rozdělit do několika skupin: Buď jde primárně o vydírání a snahu získat peníze hned, nebo o útok vedený k tomu, aby útočník získal peníze z další nelegální aktivity. Například prostřednictvím krádeže citlivých údajů, přeprodávání dat nebo za účelem získání důležitých informací. Zde se většinou jedná o cílené útočné operace ať už z důvodu průmyslové či jiné špionáže nebo za nimi mohou stát složky některých státních aparátů.

Dá se říci, jak dlouho už české nemocnice podobným útokům čelí?

Útoků už bylo velmi mnoho. Teď se o nich jen víc mluví, ale nemocnice nejsou jediné instituce, které útokům čelí. Nicméně v případě, kdy dojde k jejich vyřazení z provozu, jsou samozřejmě víc vidět, působí to obrovské potíže a velké škody.

Infekce počítačů v síti a útoky na ně jsou běžné tak od roku 2003, 2004, kdy u nás došlo k rozvoji internetu a počítače začaly být ve velkém propojovány v síti. K jejich infekci docházelo už dřív, ale dokud nebyl počítač propojený s ostatními, nebyla takto způsobená škoda tak velká jako nyní.

O jaká data mohou mít v případě nemocnic útočníci největší zájem?

Záleží na tom, co útočník chce. Pokud nemá zájem o nějakého konkrétního jednotlivce, aby kvůli němu dělal cílený útok, potom chce něco, co může zpeněžit. Takže kromě ovládnutí systému na dálku, aby mohl počítače v něm zapojené pronajímat dál, bude mít zájem o data. Typicky jsou to přístupové údaje, neboť řada lidí používá stejné heslo ať už se hlásí na počítač v práci, doma, do elektronického bankovnictví... A dále citlivé údaje, které může dál využít pro nelegální činnost, tedy rodná čísla, jméno, příjmení, adresu trvalého bydliště, údaje o příbuzných. Pokud by tam bylo i číslo občanského průkazu, pak mohou útočníci s těmito údaji například zakládat falešné půjčky, snažit se vylákat z jiných peníze. Obecně tedy platí, že hackeři jdou po tom, z čeho mohou mít nějaký finanční zisk.

Podle některých zpráv vedou stopy toho, kdo na české nemocnice útočil, do Ruska. Dá se vůbec pachatel vystopovat, a pokud ano, co mu hrozí?

To je velice obtížné. Záleží na tom, kdo za útokem stojí – jaký typ útočníka, a pak také jak dobře se maskuje. Při útoku se používají připojení z různých koutů planety a pokud možno přes takové státy, které mezi sebou nemají dohodu o vydávání pachatelů nebo si nejsou přátelsky nakloněny. I kdyby se ho tedy podařilo vypátrat, je spolupráce orgánů činných v trestním řízení nebo vyšetřovacích orgánů velmi složitá. Případů, kdy se podařilo velké ryby v kybernetickém zločinu vypátrat, zatknout a vydat do země, kterou poškodili, je zdokumentovaných velmi málo. Jsou však známy případy, kdy tito hackeři sami špatně skončili a doplatili na svou činnost, když přišli o život kvůli tomu, že se zapletli s podsvětím.

ČR není v otázce kyberbezpečnosti Popelkou

Dá se říci, jak si stojí Česká republika v otázce ochrany před kybernetickými útoky? Jsou na ně některé země připravené lépe než my?

Myslím, že je to všude stejné. Počítačové sítě ve všech typech institucí – ať už se jedná o školy, nemocnice nebo úřady – jsou cíle, na něž útočníci útočí všude.

Soukromé firmy, které nejsou z principu neziskové, zpravidla kalkulují do svých rozpočtů nutnost zabezpečení svých počítačových systémů a zvažují riziko, nakolik si mohou dovolit, aby bylo jejich fungování takovýmto způsobem narušeno či poškozeno. V soukromé sféře bych tedy řekl, že je úroveň zabezpečení o trochu vyšší než ve státní správě prostě a jednoduše proto, že si to mohou firmy dovolit.

Co se týče zdravotnictví, když vezmu zdravotní systémy srovnatelné s tím českým (německé, francouzské, britské, ale třeba i maďarské nebo estonské), myslím si, že jsme na tom, co se týče kyberochrany, plus minus stejně. Ale to je můj názor, nevím o tom, že by v některé zemi docházelo ke kybernetickým útokům na nemocnice více nebo méně než u nás. Samozřejmě mluvím o klasické infrastruktuře, nikoliv té kritické. Předpokládám, že zdravotní systém armády USA bude po IT stránce lépe zabezpečený než systém třeba u nás v Benešově − to je logické.

Říká se, že každý řetěz je jen tak silný jako jeho nejslabší článek. V každé instituci, nemocnice nevyjímaje, je tím nejslabším článkem člověk. Existují nějaká obecná doporučení, která by měli dodržovat všichni zaměstnanci, aby svého zaměstnavatele v otázce kybernetické bezpečnosti zbytečně neohrozili?

Nejdůležitější jsou lidé, kteří s počítači pracují. V naprosté většině případů nejsou kybernetické útoky úspěšné proto, že někde něco nebylo správně nastaveno nebo že chyběl nějaký program, ale proto, že selhal člověk při používání tohoto systému. Lékaři jsou přetížení, ve stresu, a tak když jim někdo řekne, že mají posílat e-maily nikoliv takto, ale nějakým jiným způsobem, který je zdlouhavější, jsou méně ochotní to dělat. Pošlou e-mail, kliknou na odkaz, který jim někdo poslal a už jsou ta vrátka pro případného útočníka otevřená.

Nejdůležitější je proto zvyšování povědomí o tom, že každý počítač je pro útočníky zajímavý. Je důležité věnovat se tomu, jak počítač používám, a dodržovat základní pravidla: mít rozdílná hesla pro různé systémy, neklikat na každý odkaz, který mi přijde e-mailem, neotevírat každý dokument, který mi přijde, a věnovat pozornost adrese, ze které mi e-mail přišel. A pokud mi přišel e-mail od někoho známého, ale obsahuje něco, co by mi pravděpodobně nikdy nenapsal, uvědomit si, že může jít o podvrh. I tyto jednoduché zásady mohou velmi výrazně snížit riziko. Stejně tak by měla být základem instalace antivirového programu.

Pandemie COVID-19 vedla k tomu, že i lékaři začali používat výpočetní techniku ke komunikaci s pacientem na dálku, bez osobního kontaktu. Je používání běžných e-mailů, komunikačních platforem typu Skype a dalších bezpečné?

Obecně platí, že používání běžných mailových nebo konferenčních služeb nabízených zdarma bezpečné není. Nejsou to bezpečné kanály a pro tyto účely by neměly být používány, navíc nikdy nevíte, jak má zajištěný počítač ten, s kým komunikujete. Osobně můžete mít sebelépe zabezpečený počítač, ale když pošlete data přes soukromý mailový server na soukromou adresu kolegy lékaře či laboranta, nevíte, jak s nimi nakládá druhá strana. Zdravotnická data podléhají určitému utajení, a proto by měl lékař vždy vědět, kde je má uložena a jak jsou zabezpečena. 

Jak by tedy měl vypadat správný postup?

V nemocnici by měli všichni používat místní mailové servery, na kterých je možné kontrolovat, jaká data odcházejí ven a jaká přicházejí dovnitř. Také jsou tam nastavená určitá bezpečnostní opatření, aby někdo například neposlal omylem rentgenové snímky pacienta někomu ven jen proto, že se překliknul v adrese. Co se týká praktických lékařů či ambulantních specialistů, pokud používají stejný program, předpokládám, že většina z nich podporuje nějak zabezpečenou výměnu dat. Ve chvíli, kdy spolupracují s někým, kdo používá jiný program, by měla být posílaná data šifrována. Ovšem uznávám, že to je požadavek, který ne každý dokáže sám vyřešit. 

Lenka Kadeřávková, Magda Hettnerová
redakce proLékaře.cz