Článek
Článek si také můžete poslechnout v audioverzi.
Co se v analýze dočtete
- České zdravotnictví jednoznačně patří mezi hackerstvím nejvíce zasažené sektory.
- Hackeři kradou zdravotnická data milionů lidí, která mají na černém trhu pětadvacetinásobnou hodnotu oproti ukradeným kreditním kartám.
- Dalším cílem útoků je vyděračství. Hackeři zašifrují systémy a napadená nemocnice ztratí přístup k datům o pacientech, k rezervačním systémům nebo k ovládání zdravotnických přístrojů. Za odblokování pak hackeři žádají peníze, nejčastěji bitcoiny.
- Zdravotnická zařízení, která zažila hackerský útok, uvedla, že v 59 procentech případů došlo k prodloužení pobytu pacientů, necelá čtvrtina zaznamenala zvýšenou smrtnost.
- IT zabezpečení nemocnic je často nepříliš kvalitní. V příštích třech letech je navíc podle expertů více než 25% pravděpodobnost, že proběhne globální útok, při kterém budou ohroženy zdravotnické záznamy více než 80 milionů lidí.
Hackeři svoji pozornost stále častěji zaměřují na nemocnice a zdravotnická zařízení a rostou také škody, které tyto útoky způsobí. Jen od roku 2020 stoupla průměrná škoda jednoho napadení o 42 procent na 10,1 milionu dolarů. Již dvanáctý rok v řadě tak podle analýzy IBM drží zdravotnictví prvenství mezi průměrnými škodami způsobenými kyberzločinci.
Ani Česká republika není výjimkou. „Můžeme říct, že v poměru námi regulovaných subjektů patří zdravotnictví jednoznačně mezi nejvíce zasažené sektory,“ řekl Seznam Zprávám mluvčí Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Marek Vala.
Do tří let přijde velký útok
Následky útoků navíc mohou být dalekosáhlé. Jak upozorňuje kyberbezpečnostní společnost Onclave, kromě toho, že loňský rok byl co do počtu útoků na zdravotnictví nejhorší, ukázal také, o jak zásadních číslech je řeč. Za rok 2021 se totiž povedlo hackerům v 686 velkých útocích zveřejnit či ukrást zdravotnická data téměř 45 milionů lidí. Tyto údaje tvořily 95 procent všech krádeží identity v daném roce a data měla na černém trhu pětadvacetinásobnou hodnotu oproti ukradeným kreditním kartám.
„Osobní informace, lékařské záznamy, výsledky testů a řada dalších vysoce citlivých informací. Nemocnice mají množství dat, která mají pro zločince svou – často vysokou – hodnotu,“ upozorňuje pro Seznam Zprávy Pavel Krejčí, security engineer v kyberbezpečnostní společnosti Check Point Software Technologies. „Cena jednoho záznamu se na darknetu pohybuje od 5 do 60 dolarů a při jednom útoku může dojít k úniku stovek tisíc nebo i milionů různých záznamů. To atraktivitu útoků na tento typ subjektů dále zvyšuje.“
Podle telekomunikační společnosti Verizon bylo zdravotnictví spolu s finančním průmyslem v roce 2021 nejoblíbenějším cílem. Na první sektor mířilo 15 % útoků a na druhý každý desátý. Jak odhaduje Journal of Cybersecurity, v příštích třech letech je více než 25% pravděpodobnost, že proběhne útok, při kterém budou ohrožena data více než 80 milionů lidí. Jako příklad uvádí sedm let starý útok, kdy se cílem hackerů stala druhá největší zdravotnická pojišťovna v USA Anthem. Útočníci tehdy získali data 80 milionů pojištěnců.
Z pozorování Check Point Software Technologies pak vyplývá, že začátkem srpna čelila zdravotnická organizace v průměru 1 170 útokům za týden. Na konci září byl týdenní průměr útoků na jednu zdravotnickou organizaci dokonce rekordních 1 848.
Mapa níže ukazuje živě kybernetické útoky, které eviduje kyberbezpečnostní společnost Check Point Software Technologies. Mapa sdílí hrubá data v reálném čase, nejde proto s jistotou určit, jestli je například útok z Číny akcí čínských hackerů. Barvy rozdělují základní typy útoků na fialovou (phishing), červenou (malware) a žlutou (exploit).
V bezpečí nejsou ani české nemocnice
Počty útoků na zdravotnictví rostou i v České republice. „Počet incidentů ve zdravotnictví, které NÚKIB registroval, se meziročně zvýšil ze 17 incidentů v roce 2020 na 26 incidentů v roce 2021,“ popisuje Vala. Statistiky za rok 2022 ještě nejsou k dispozici.
„Nárůst incidentů u nemocnic může souviset do jisté míry také s navýšením regulovaných subjektů ve zdravotnictví v roce 2021, které mají povinnost incidenty NÚKIB hlásit,“ dodává mluvčí.
A proč útočníci zaměřují svoji pozornost právě na zdravotnictví? „Primární motivací pro útočníky je finanční zisk. Jakmile proniknou do síťové infrastruktury zvolené nemocnice, zkopírují ransomware na všechny počítače a servery, ke kterým získají přístup, a zašifrují veškerá data,“ vysvětluje pro Seznam Zprávy analytik malwaru v Avastu Ladislav Zezula. „Napadená nemocnice ztratí přístup k datům o pacientech, k rezervačním systémům nebo k ovládání zdravotnických přístrojů.“
„Kromě finančního zisku nelze vyloučit ani tzv. doxing, tedy vykopírování zdravotních záznamů pacientů, což jsou velmi citlivá data, která lze zpeněžit na černém trhu,“ přidává další důvody Zezula. „Další, spíše méně pravděpodobnou motivací je snaha ochromit provoz cílené nemocnice.“
Typy útoků odpovídají i těm, které vypočítává Vala. „Typy útoků jsou různé – ransomware, ale i jiné různé kompromitace, malware, DDoS útoky, administrativní výpadky, úniky dat.“
Osobní informace – špatně střežený poklad
Na to, jak citlivé údaje databáze nemocnic obsahují, nebývá jejich zabezpečení na dostatečné úrovni. „Zabezpečení sítí ve zdravotnických zařízeních bohužel obvykle nebývá prioritou, IT oddělení jsou často podfinancovaná a nemocnice nemají dostatek kvalifikovaných lidí, kteří by se o jejich bezpečnost starali,“ upozorňuje Zezula.
„Problémem je také to, že jednotlivá státní zařízení si vytvářejí vlastní bezpečnostní řešení, vzájemně příliš nespolupracují a stát jim v tomto ohledu neposkytuje dostatečnou podporu. Věříme ale, že útoky z posledních let ukázaly, jaké následky může mít podcenění prevence, a nemocnice tak na zabezpečení své infrastruktury kladou větší důraz.“
Přibývá i útoků na banky
K polovině letošního roku hlásí banky čtyřikrát více útoků na své klienty, než jich bylo za celý rok 2020. Každý druhý podvodný telefonát přitom končí poškozením klienta, který v průměru ztrácí přes sto tisíc.
Podle Valy se situace sice lepší, ale zdaleka ne tak rychle, jak by bylo potřeba. „S rostoucí digitalizací stoupá také náročnost na kybernetické zabezpečení. Provozovatelé či majitelé nemocnic na to musí myslet,“ dodává.
Národní úřad pro kybernetickou a informační bezpečnost se zdravotnickým zařízením snaží pomoci. „NÚKIB se snaží být v celé věci sektoru zdravotnictví co nejvíce nápomocen. Vydáváme metodiky, doporučení i varování. V mnoha nemocnicích právě probíhá v rámci Festivalu bezpečného internetu takzvaná Výtahová kampaň,“ vypočítává mluvčí. „Pro širokou veřejnost funguje již několik let web osveta.nukib.cz, pořádáme školení, cvičení, spolupracujeme s Ministerstvem zdravotnictví.“
Dopad útoku: déle v nemocnici, více úmrtí
Útoky na nemocnice přitom mají závažné dopady. „Každý úspěšný kybernetický útok znamená problém. U zdravotnických zařízení je to o to nepříjemnější, že v krajním případě jsou v ohrožení také pacienti, tedy lidské životy,“ připomíná Vala. „Aby nemocnice zvýšily svou odolnost, musí investovat do kybernetické bezpečnosti. Je ovšem potřeba myslet nejen na technické zabezpečení, ale také na pravidelná školení zaměstnanců.“
Studie ze Spojených států ukazuje, že útoky na nemocnice mají za následek kromě již zmíněných faktorů také horší péči, kterou pacienti dostanou, a zvýší počet úmrtí. Dvě třetiny respondentů studie uvedly, že ransomware útoky narušily péči o pacienty a v 59 procentech došlo k prodloužení pobytu pacientů v zařízení. Necelá čtvrtina pak ve výzkumu uvedla, že v jejich zařízení došlo ke zvýšené smrtnosti.
Pokud se již stanou cílem hackerů, měly by se nemocnice držet jednoduchých pravidel. „V případě, že již útok proběhl, je nutné obnovit zašifrovaná data ze záloh. Nemocnice i jiné instituce by měly veškerá svá data důsledně a pravidelně zálohovat na úložiště, které není přímo přístupné z počítačů,“ radí Zezula. „Obětem ransomwarových útoků rozhodně nedoporučujeme platit za zašifrovaná data výkupné. Neexistuje garance, že se data podaří úspěšně dešifrovat.“
Neméně důležitá je ale prevence. „Společnosti by měly pravidelně aktualizovat svůj software, tedy operační systém, antivirus a další aplikace,“ připomíná odborník Avastu. „Neaktualizovaný software může útočníkům poskytnout přístup do sítě cílené organizace. Následně mohou zašifrovat její data nebo je vykopírovat mimo napadenou společnost.“
Zvlášť ostražití by měli být bezpečnostní technici o víkendech. „Nemocnice si nemohou dovolit přerušit provoz, proto můžeme očekávat další stupňování kybernetických útoků,“ upozorňuje pro Seznam Zprávy odborník Pavel Krejčí. „Zejména v období víkendů a svátků musí bezpečnostní týmy ještě zvýšit ostražitost, protože kyberzločinci zkouší útočit ve chvíli, kdy to organizace nejméně čekají a klíčový personál je hůře dostupný.“
Bezpečnostní tipy pro zdravotnické organizace podle Check Point Software Technologies
Zbystřete o víkendech a svátcích – Většina ransomwarových útoků probíhá o víkendech a svátcích. Hackeři se snaží zaměřovat na dobu, kdy bude pravděpodobnější, že nebudou IT a bezpečnostní týmy v plné pohotovosti.
Používejte antiransomware – Ransomwarové útoky jsou sofistikované, ale antiransomwarové řešení napraví případné škody a vrátí vše do normálu během několika málo minut.
Vzdělávejte zaměstnance – Důležitou součástí obrany je vzdělávání. Zaměstnanci by měli umět poznat potenciální hrozby. Mnoho kybernetických útoků totiž začíná cíleným phishingem, který sice neobsahuje malware, ale s pomocí sociálního inženýrství se snaží uživatele nalákat ke kliknutí na škodlivý odkaz nebo k poskytnutí citlivých informací.
Pozor na zranitelnosti – Záplatujte a aktualizujte staré verze softwaru a systémů. V nemocnicích to ale v mnoha případech z různých důvodů nelze. Proto doporučujeme používat systém prevence narušení (IPS – Intrusion Prevention System, systém prevence průniku) s možností virtuálních oprav, aby se zabránilo pokusům o zneužití slabých míst ve zranitelných systémech nebo aplikacích. Aktualizovaný IPS pomáhá organizacím zůstat v bezpečí.
Pozor na trojské koně – Ransomwarové útoky většinou nezačínají přímo ransomwarem. Ryuk a další typy ransomwaru využívají v počáteční fázi trojské koně. K infekci trojanem dochází dny nebo týdny před ransomwarovým útokem, proto by bezpečnostní týmy měly hledat v sítích infekce Trickbotem, Emotetem, Dridexem nebo Cobalt Strikem a odstranit je dříve, než mohou přichystat půdu pro ransomware.
Vše zabezpečte a spokojte se jen s tím nejlepším – Nic nepodceňte, počítače, servery, mobilní zařízení, ale i chytré žárovky nebo libovolné jiné IoT zařízení mohou být pro hackery vstupním bodem a branou do vaší organizace. Používejte proto vždy to nejlepší bezpečnostní řešení a využijte případně služeb externích týmů specializovaných na lov hrozeb.