Před více jak osmi měsíci zažil irský zdravotnický systém největší kyberútok ve své historii. Vzpamatovával se z něj několik měsíců, a to i přesto, že sami útočníci poskytli klíč k zašifrovaným datům. Přitom se nechce ani věřit, že před ransomwarovým útokem měli hackeři do zdravotního systému vybudovaný přístup již osm týdnů před samotným útokem. Něco podobného může kdykoliv potkat i tuzemské zdravotnické organizace, ale i jiné podniky mimo tuto oblast.
Cílem kyberzločinců ze skupiny Conti bylo odcizení dat z centrálních serverů irského zdravotního systému (Health System Executive). Prostřednictvím ransomwarového útoku došlo na dlouhé týdny k ochromení počítačového systému ve většině irských zdravotnických služeb, což způsobilo rozsáhlé rušení nezbytných operací a zdravotních vyšetření. O sedm měsíců později HSE zveřejnila obsáhlou 157stránkovou zprávu pojednávající o celém incidentu. „Forenzní zkoumání ukázala na celou řadu důležitých faktů, které stály za tímto případem, a měly na HSE mnohem větší dopad, než se doposud myslelo,“ uvádí Martin Lohnert, specialista pro oblast kyberbezpečnosti v technologické společnosti Soitron.
Na narušení chyběla adekvátní reakce IT oddělení
Zatímco ransomwarový útok byl zahájen 14. května 2021, hackeři poprvé získali přístup do sítě HSE už o osm týdnů dříve – 18. března infikováním pracovní stanice HSE malwarem – tím, že zaměstnanec na počítači se systémem Windows otevřel z phishingového e-mailu nastražený dokument Microsoft Excel. Podle zprávy systémy zahlásily několik varování o vážném narušení sítě, ale tyto varovné signály byly špatně identifikovány, a navíc nebyly dostatečně řešeny.
Jakmile hackeři získali přístup do systému, kompromitovali značný počet serverů, exfiltrovali data a pohybovali se laterálně. Zločinci následně požadovali výkupné, HSE však odmítlo zaplatit. Přesto se stalo něco, co není obvyklé. „Skupina Conti nakonec sama a bezplatně dešifrovací klíč uvolnila, pravděpodobně poté, co si uvědomila, že zasáhla vládní agenturu a v reakci na veřejné pobouření. I tak obnova zašifrovaných dat trvala více než čtyři měsíce,“ upozorňuje Martin Lohnert. Počáteční odhady nákladů na obnovu činily neuvěřitelných 600 milionů dolarů, včetně 120 milionů dolarů potřebných na upgrade a lepší zajištění systémů zasažených ransomwarem.
Zásadní chyby, které vedly k povedenému útoku
HSE obnovou dat (údajně šlo o 700 GB) pověřila členy irské armády. Snaha byla ukončena až 21. září, kdy HSE považovala všechny servery za dešifrované. I tak některá data zůstala stále neobnovená – obnovena byla data z 1 075 aplikací z celkového počtu 1 087 aplikací. Zpráva zdůrazňuje i to, že není jasné, kolik dat by se podařilo zachránit, kdyby nebyl k dispozici dešifrovací klíč. Mimochodem, zálohovací infrastruktura HSE byla nastavena pouze na periodické zálohování prostřednictvím pásek.
Problémem bylo i personální zajištění: HSE zaměstnávalo pouze 350 lidí na IT pozicích a pouze 15 v rolích bezpečnosti. Těm přitom chyběly odborné znalosti v oblasti kybernetické bezpečnosti. Alarmující také bylo to, že HSE mimo jiné neměla:
• žádné plány nebo příručky pro kybernetickou bezpečnost;
• bezpečnostní nástroje schopné prozkoumat a aktivovat bezpečnostní výstrahy;
• centralizovaný seznam kontaktních údajů pro všechny zaměstnance HSE nebo registr majetku;
• off-line kopie klíčového zabezpečení IT a dokumentace;
• předem stanovený prioritní seznam aplikací a systému pro obnovu.
Povinná četba pro firmy
Podle údajů společnosti Check Point na české firmy směřovalo v roce 2021 přes tisíc kyberútoků týdně. Oproti předchozímu roku je to nárůst o padesát procent. Celosvětový průměr činil 900 útoků. Je jen otázkou, kdy obdobný průšvih potká i Česko a bude mít fatální důsledek. Jakousi analogii v případě zdravotnictví můžeme v nedávné době najít v podobě několikatýdenního vyřazení nemocnice v Benešově, nebo útok na Fakultní nemocnici v Brně nebo Ostravě.
„Jak ukazuje tento příklad, v dobách, kdy na celém světě exponenciálně roste počet kyberútoků, mnoho institucí stále toto riziko nebere vážně. O to horší je potom situace, kdy v době pandemie útok zasáhne zdravotnický systém nebo kritickou infrastrukturu,“ varuje Martin Lohnert. Nízká úroveň vyspělosti kybernetické bezpečnosti v kombinaci absence nepřetržitého monitorování sítě na výskyt bezpečnostních incidentů je přitom vražednou kombinací. „Organizace po celém světě mohou být HSE vděčné za to, že je tak otevřená a transparentní, a že zveřejnila, k čemu přesně došlo. Všichni se z tohoto incidentu mohou poučit. Dokument přibližující, co se stalo v HSE bych vedení firem doporučil jako povinnou četbu,“ zakončuje Martin Lohnert.
