Ransomware je typ viru/malware, který obsahuje většinou dvě části. První část, která zajišťuje šíření, přístup do zasažených systémů a zahájení komunikace se svými řídícími systémy, a druhou, která zajistí zašifrování dat zasaženého systému.
Jména některých jste mohli zaslechnout či vidět v médiích za posledních několik let: Reveton, CryptoLocker, WannaCry, Petya, RyuK, Paradise, Defray a další. Takové viry dokáží napáchat velké škody, obzvlášť když napadnou některé klíčové části infrastruktury jako jsou právě nemocnice. Některé nejsou tak křiklavé, dokonce na ně byly vyvinuty dešifrovací programy, jako jsou Ouroboros či Paradise, jiné ani dešifrování neumožňují a výkupné je pouze léčka – ani útočník totiž nebude schopen soubory dešifrovat a data jsou navždy ztracena. Některé ransomware používají taktiku „spray and pray“ – útočník se snaží šířit nákazu masově a snaží se zasáhnout co největší množství cílů a uspět alespoň někde náhodně (historicky nejúspěšnějším byl WannaCry) – jiné jsou však pečlivě připraveny pro jednu konkrétní organizaci a útočník si dává práci zjistit si například jména vedoucích pracovníků a upravují phishingové e-maily tak, aby byly věrohodné. Zaměstnanci pak často takové e-maily otevřou, netušíc, že právě celou instituci vystavili pohromě.
Defray…
Mezi takové patří právě nová varianta malware Defray. Je vytvářen na míru dané instituce, útok je promyšlený a pečlivě načasovaný. Jedná se tedy o tzn. cílený útok a cílí většinou na zdravotnické instituce. Vektorem útoku jsou phishingové e-maily s přílohou. V phishingových e-mailech zmiňuje skutečné osoby, které v organizaci pracují, popřípadě s organizací spolupracují. Používá též korporátní identitu organizace, jehož zaměstnance napodobuje – záhlaví a zápatí, logo společnosti, druh písma, aj. je v e-mailu stejné jako mají skuteční zaměstnanci organizace. Každý odeslaný phishingový e-mail je ve většině známých případů vytvořen na míru pro konkrétního jednoho příjemce. V minulosti využili útočníci například při útoku na jednu britskou nemocnici jako odesílatele ředitele IT oddělení nemocnice a přílohou byl dokument „karta pacienta“, který obsahoval první část viru Defray. Malware sám patří mezi ty sofistikovanější – používá celou škálu technik, kterými se skrývá před antivirovými řešeními. Defray dále maže veškeré stínové kopie a ostatní zálohy dat z napadených stanic, čímž efektivně znemožní obnovu provozu, pokud organizace nemá kromě online záloh (dostupné okamžitě, typicky jde o „kopii na jiném disku“) i tzn. offline zálohy (dostupné na vyžádání, typicky se jedná o datové pásky). Jakmile Defray dokončí proces šifrování a mazání záloh, vytvoří txt soubor, jehož první řádek zní „Don’t panic, read this and contact someone from IT department“. Obnova provozu po takovém útoku je pro IT specialisty časově nevyčíslitelně náročnou úlohou, což dále prohlubuje finanční ztrátu napadené organizace. Defray je nákazou, která napadla několik zdravotnických institucí v posledním týdnu. Zda lze pro ransomware Defray vytvořit nástroj na odšifrování právě zkoumá laboratoř společnosti Bitdefender a pokud odšifrování bude možné, pak poskytne vytvořený nástroj zdarma ke stažení zde a postižené instituce o nástroji budou informovány.
Stav kybernetické bezpečnosti ve zdravotnictví
V posledních několika týdnech je evidován celosvětový nárůst v počtu cílených útoků na zdravotnické organizace. Útočníci se tak snaží zneužít krizové situace vzniklé s šířením nákazy COVID-19, kdy z pohledu útočníků mohou být tyto instituce více ochotny zaplatit výkupné za odšifrování jejich dat. Nárůst však nijak závratně nevybočuje z trendu, počet útoků na zdravotnické organizace stoupá dlouhodobě. Dle dat uvedených v 2019 BakerHostetler Data Security Incident Response Report evidovaly v roce 2018 zdravotnické instituce přes 750 bezpečnostních incidentů. Pro porovnání, v roce 2015 bylo evidováno incidentů 300, 2,5x méně.
Proč si útočníci vybírají zdravotnictví?
Rodná čísla, adresy bydliště, zdravotní dokumentace, případně i čísla bankovních účtů a platebních karet – to jsou informace, které útočníci chtějí. Mohou je totiž zpeněžit, ať už přímo – pojišťovací podvody, podvodné půjčky apod., nebo nepřímo – prodat informace na černém trhu zájemci, který zaplatí nejvyšší sumu. Nejde tedy vždy jen o ransomware. Ransomwary jsou známé, jelikož vyřadí instituci z provozu, a tudíž se často informace dostane k široké veřejnosti, avšak útoky nejsou pouze tohoto rázu. Zároveň útok ransomware je v mnoha případech jen posledním krokem pro odvedení pozornosti poté, co útočník ukradne data, která chtěl. Nemocnice jsou zajímavé právě protože spousty z těchto informací mají a bezpečnost je často zanedbána kvůli příliš nízkým rozpočtům na bezpečnost, nebo není dostatečně udržována z důvodu nedostatku bezpečnostních specialistů, kteří jsou finančně motivováni prací v soukromém sektoru (pozn. autora: v soukromém sektoru si IT či bezpečnostní specialista vydělá v průměru 1,7x více než v sektoru veřejném). Proto jsou nemocnice oproti spořitelnám, bankám, burze a jiným zajímavým, avšak soukromým subjektům snadná kořist.
Zlatá horečka ransomware ve zdravotnictví
Bezpečnostní analytici poukazovali na mezery v zabezpečení tohoto odvětví dlouhé roky předtím, než zasáhl WannaCry v roce 2017 a jasně ukázal, jaký dopad tyto mezery mají na „skutečný svět“.
Květen 2017 – útok WannaCry na National Health Service (UK):
- Zasaženo 30 % z 236 zařízení v Anglii
- Zasaženo 603 oddělení péče, včetně operačních sálů
- 19 494 pacientům byl zrušen termín objednání, včetně minimálně 139 pacientů s „urgentním doporučením k vyšetření pro podezření rakovinového onemocnění“
- Přes 1 200 kusů diagnostického vybavení bylo nakaženo ransomwarem
- Další velké množství vybavení bylo raději odpojeno, aby nedošlo k jejich nakažení
WannaCry odhalil slabiny zabezpečení zdravotnických zařízení a přilákal tím další útočníky. Tak začala zlatá horečka honu za daty zdravotnických zařízení.
Červenec 2018 – Cass Regional Medical Center (US)
- Nucena odmítat všechny pacienty s úrazy či mrtvicí posílat do jiné nemocnice kvůli útoku ransomware
- Informační systém se záznamy pacientů musel být odstaven z provozu, dokud nebyl dodavatelem dostatečně zabezpečen
Listopad 2018 – Útok na East Ohio Regional Hospital a Ohio Valley Medical Center (US)
- Kvůli útoku nuceni přesměrovat všechny pacienty do jiných nemocnic
- Dočasně nuceni používat papírové záznamy, aby bylo možno se postarat o stávající pacienty, dokud nedojde k nápravě všech systémů
Prosinec 2019 – Útok RyuK na Nemocnici Rudolfa a Stefanie v Benešově
- Okamžitě omezen provoz, přechod na papírové záznamy
- Všechny plánované operace přeloženy na leden-únor 2020
- Díky obnovám ze záloh omezený provoz trval jen 3 týdny, než se vrátil do normálu
- Celkové náklady na nápravu následků útoku přibližně 40 milionů Kč.
Březen 2020 – útok na Fakultní nemocnici Brno
- Okamžité omezení provozu
- Všechny plánované operace odloženy na neurčito
- Zatím není známo, jak dlouho bude omezení trvat
Do této chvíle jsme si zmínili útoky, které provádí útočníci za účelem zpeněžení zcizených dat. Větší nebezpečí však číhá v jiných typech útoků. U všech ale platí, že následná náprava následků útoku je vždy řádově dražší než jejich prevence.
Cílené útoky na nemocniční vybavení – hudba budoucnosti, nebo krutá současnost?
Představte si, že útočník napadne tomograf ve vaší nemocnici tak, že bude upravovat pořizované snímky a lékař vám kvůli němu nesprávně diagnostikuje nádor. Většina moderních diagnostických přístrojů zpracovává informace digitálně a též je digitálně přenáší dál – například CT. Jak Washington Post poukázal již v loňském roce, příklad takového malwaru byl navržen a otestován vědci z izraelské univerzity, aby poukázali na klíčové zranitelnosti zobrazovacích přístrojů a sítí, které tyto obrazy přenášejí do jiných zařízení. (pozn. Autora: takovému výzkumu se říká „etický hacking“ a účelem je najít zranitelnosti a spolupracovat s výrobci na odstranění těchto zranitelností). Takové zásahy mohou ohrožovat život pacientů, nebo minimálně měnit jejich životní postoje a rozhodnutí. Představte si, že by vám lékař diagnostikoval rakovinu – vaše životní hodnoty se změní a případná operace či medikace by zásadně ovlivnily kvalitu vašeho života.
Snadná kořist
Velmi často slýcháme, že kybernetická bezpečnost je nekonečná hra na kočku a na myš – ve výsledku tím zástupci tohoto názoru říkají, že je lepší reagovat na hrozby, a ne jim předcházet. Hašení požárů ale nikam nevede a na hrozby nového rázu nestačí – je třeba si uvědomit, že zde opravdu jde o lidské životy – a ty nelze nahradit jakkoli vysokou investicí do nápravy škod, je zapotřebí posílit a upevnit prevenci. Útočníci, motivovaní možností zisku, hledají zranitelnosti a nové překvapující způsoby útoků a nenechají si uniknout jakoukoli příležitost uspět. Útoky se budou stále stupňovat, dokud zdravotnictví nezareaguje a nereviduje své bezpečnostní standarty, aby útočníkům ztížily život a nebyly nadále „snadnou kořistí“. Čas ubíhá, zejména těm nejzranitelnějším pacientům, které technologie udržuje při životě. Ve skutečnosti zdravotnictví a kyberbezpečnost mají mnoho společného. Jedná se o komplexní systémy zajišťující lidem bezpečí a prosperitu. Abychom pomohli vedoucím, zdravotníkům a IT pracovníkům udělat správná rozhodnutí, uvádíme bohatý přehled, jak se celý zdravotnický ekosystém vyrovnává s kyberkriminalitou a praktické rady, jak posílit bezpečnost.
Úniky dat ve zdravotnictví
Zde je jen pár příkladů ukazujících, jak jsou pro malware zdravotnická zařízení dobrou kořistí:
- 27 % všech úniků dat je z oblasti zdravotnictví (ENISA Threat Landscape Report 2018)
- 750 úniků dat hlášeno v roce 2018, což je více, než v jakémkoli jiném odvětví (2019 BakerHostetler Data Security Incident Response Report)
Zatímco lidem vně tohoto odvětví to nemusí být na první pohled jasné, vedoucí IT ve zdravotnictví ví, že péče o pacienty je hluboce závislá na kybernetické bezpečnosti.
Data, která jsou ve zdravotnictví pro útočníky nejzajímavější:
- Rodné číslo (37 %) – 55 % ze všech incidentů kybernetické bezpečnosti bylo v důsledku chyby nebo aktivity zevnitř organizace.
- Zdravotní dokumentace (33 %) – 37 % úniků dat bylo způsobeno Phishingovými útoky – zdaleka nejčastější příčina napříč všemi odvětvími.
- Platební údaje (19 %) – 37 % úniků dat bylo způsobeno Phishingovými útoky – zdaleka nejčastější příčina napříč všemi odvětvími.
2019 BakerHostetler Data Security Incident Response Report
Finanční dopad kyberkriminality na zdravotnictví
Útočníci zneužívají potřebu zdravotní péče veřejnosti, aby vydíraly zdravotnické instituce o výkupné. Jelikož se často jedná o životy pacientů, tak instituce v mnoha případech výkupné zaplatí.
- 1 z 10 obětí ransomware, které výkupné zaplatily, obdržely klíč k odšifrování dat
- $28 920 průměrná hodnota zaplaceného výkupného v roce 2018
- $1 million+ nejvyšší dodnes zaplacené výkupné (které bylo veřejně komunikováno)
2019 BakerHostetler Data Security Incident Response Report
Finanční dopad na zdravotnická zařízení není omezen pouze na výkupná, ale hlavně na služby, které nemohou poskytovat a na nárazovou práci IT specialistů, kteří musí škody napravovat. Výše pokut správcům za únik spravovaných dat se razantně zvýšily.
Například v roce 2018 byl v USA položen nový rekord v pokutách uložených podle HIPAA (pozn. autora: Health Insurance Portability and Accountability Act) – $28 683 400, což byl oproti roku 2017 nárůst o 22 %.
V těchto případech mohou IT a bezpečnostní specialisté využít v poslední době narůstající množství dat o jejich odvětví, aby vytvořili projekty pro navýšení rozpočtů pro bezpečnost, a byli úspěšní v úsilí o její zvýšení a znepříjemnění života útočníkům nasazením například EPP nové generace, DLP systémů, NTA systémů, EDR systémů či UTM Firewallů nové generace.
Krátký popis zmíněných technologií
EPP nové generace
Endpoint Protection neboli ochrana koncových stanic je všeobecně známá pod pojmem „antivirus“, avšak nová generace „antivirů“ obsahuje kromě klasického enginu využívajícího virové signatury i další engine (nejlépe několik různých), které umí pomocí modelů strojového učení odhalit i hrozby neznámé a zastavit je ještě před jejich spuštěním. Ty nejsofistikovanější EPP mají i vrstvu odhalující anomální chování koncové stanice a jsou plně integrovány s EDR systémy.
EDR systémy
Endpoint Detection & Response se dá volně přeložit jako „systém odhalení hrozeb na koncových stanicích a reakce na ně“. Jedná se o relativně mladou disciplínu kybernetické bezpečnosti, a tudíž o ní není zdaleka tolik informací jako o ostatních zmíněných systémech. EDR znamená detekci škodlivého či anomálního chování stanic na základě korelace různých „artefaktů“ na koncových stanicích. Takovým artefaktem můžou být vstupně-výstupní operace, čtení, zápis, změna souborů, registrů, síťová komunikace, vytváření procesů, zasahování procesu do běhu jiných procesů apod. EDR systémy tedy prakticky zaznamenávají veškeré dění v systému koncové stanice a kontrolují, zda se nejedná o nežádanou činnost. Chrání tak i proti APT, což jsou Advanced Persistent Threats neboli pokročilé přetrvávající hrozby, které buď dlouhodobě odposlouchávají, odčerpávají data, nebo provádí průmyslovou sabotáž – jako třeba StuxNet. Součástí EDR systémů jsou i možnosti rychlého řešení odhalených incidentů na dálku a obsahují nástroje jako například odpojení koncové stanice od sítě, vzdálené připojení ke stanici apod. Ty nejpokročilejší EDR systémy spolupracují i s NTA systémy a korelují aktivitu na koncových stanicích s aktivitou síťovou, čímž odhalí i ty „nejtišší“ hrozby.
DLP systémy
Data Loss/Leak Prevention neboli Ochrana před Ztrátou/Únikem Dat umí hlídat a blokovat, mazat či šifrovat data uložená na koncových stanicích a monitorovat a v případě potřeby blokovat všechny možné způsoby přenosů dat na koncové stanice a z koncových stanic včetně zpráv i souborů přenášených pomocí instant messagingu (Skype, Messenger, Viber apod.), cloudového úložiště (OneDrive, Google Drive, DropBox apod.), e-mailem a mnoho jiných. Takové systémy jsou velice časově náročné na prvotní nastavení a správu, ale nenahraditelné při ochraně před vnitřními hrozbami (vynášení informací) a pro vynucení dodržování právních norem regulujících zpracovávání osobních údajů (například životopis uchazeče o práci uložený v lokalitě, kde k němu má přístup i někdo jiný než personalista). Ty nejsofistikovanější DLP systémy umí i znemožnit používání konkrétních typů zařízení (Wi-Fi, Bluetooth, USB apod.) s výjimkou uvedených konkrétních (například flashdisky vydané konkrétním osobám) a pro přenositelná média vynutit šifrování dat na ně ukládaných a případně znemožnit přístup k těmto médiím z jiného zařízení než podnikového.
UTM Firewally
Unified Threat Management Firewall nemá žádný smysluplný překlad – jde o zařízení, která fungují jako ochrana perimetru organizace – mezi lokální sítí a internetem – a obsahují pokročilé funkce kontroly obsahu přenášených dat mezi lokálními sítěmi a internetem s možností blokování škodlivého obsahu. Standartní funkcí takových Firewallů je IDS/IPS, což je zkratka pro Intrusion Detection System a Intrusion Prevention Systems – tyto systémy odhalují a blokují pokusy o průnik do počítačové sítě organizace, a DPI – Deep Packet Inspection neboli hloubkové prověřování síťových paketů. Informace získané pomocí těchto funkcí pak prověřuje pomocí antimalwarového enginu, který ve většině případů dodává některý z nejznámějších výrobců EPP ochrany.
NTA systémy
Network Traffic Analysis neboli systémy analýzy síťového provozu, fungují buď jako průchozí brána, nebo jako sonda, do které směřuje kopie veškerého síťového provozu. Takové systémy analyzují provoz a hledají anomálie – například že vaše síťová tiskárna právě odeslala 90 MB dat na konkrétní Ruskou IP adresu, nebo že Váš PC mimo pracovní dobu kontaktoval všechna ostatní PC dostupná na síti, apod. NTA systémy nové generace však jdou dál a umožňují integraci s EPP a EDR za účelem automatizovaných reakcí na takto detekované síťové hrozby. Některé NTA systémy mají také integrovanou funkci okamžitého odpojení napadených či podezřelých zařízení ze sítě.
Jaroslav Hromátka pracuje ve společnosti is4security jako Bitdefender Security Specialist.
