Článek
Na české nemocnice v posledních týdnech opět útočí hackeři.
Útoky, které míří na významná regionální zdravotnická zařízení, jsou opět spojeny se stejnou osobou jako ty, jimž čelila zdravotnická zařízení zkraje roku a o nichž Seznam Zprávy detailně psaly.
I nyní je totiž vlastníkem IP rozsahů, z nichž útoky probíhají, a tedy klíčovým mužem operací, Alexander Černyšev, kterého už Seznam Zprávy s pomocí IT poradců vystopovaly v malé kanceláři v severní části ruského hlavního města.
„Ano, Černyševa známe, v tuto chvíli je to pro nás dlouhodobý problém,“ potvrdil Seznam Zprávám bezpečnostní manažer jedné z velkých českých nemocnic.
Jeho slova potvrdil i profesní kolega z jiné nemocnice. „Ano, tuto situaci tu teď musím opravdu řešit,“ řekl.
Oba bezpečnostní odborníci si kvůli momentální situaci a obavám z dalších útoků přáli zůstat v anonymitě. Redakce je však s jejich působením seznámena, oba manažeři nyní dohromady chrání před útoky hackerů šest významných českých nemocnic.
Nynější útoky na důležité české nemocnice probíhají z IP rozsahu 85.209.0.0.-255. To je soubor IP adres, ze kterých jsou nemocnice „bombardovány“.
Na vysvětlenou: IP rozsah je zjednodušeně jakási podsíť internetu, definována je jednotlivými IP adresami. (Do internetové sítě se přistupuje prostřednictvím IP adres. IP rozsah je soubor obvykle po sobě jdoucích IP adres, které tak vytvářejí podsíť, jež umožňuje vstup do samotné internetové sítě.)
Brutforce a scan
V posledních týdnech bezpečnostní manažeři řeší velký útok, který trvá od 26. 6. do současné chvíle.
„Ty poslední útoky se už skoro dají považovat za brutforce útoky,“ řekl jeden z bezpečnostních manažerů oslovených nemocnic.
Mluví o útocích, které jsou postaveny na neustálém a opakovaném dotazování nemocničních serverů. Jejich možným cílem je snaha o zahlcení kapacity počítačové sítě.
Pokud by se to útočníkům podařilo, celý systém nemocnice by mohl zkolabovat. Tak daleko se ale situace v Česku nedostala a nemocnice se zatím dokážou bránit.
Druhým typem útoku, jemuž zdravotnická zařízení čelí, je neustálé scanování bezpečnostního zabezpečení nemocnic, hledání slabého místa a pokusy prolomit ho.
Podobné snahy jsou v internetovém prostředí poměrně běžné. Obvykle scan probíhá několik málo minut nebo maximálně hodin, a když nic nenajde, scanování nechá a jde o dům dál.
Nikdo nechce výpalné
Samotný scan totiž není úplně levná záležitost. Nákup IP rozsahu je dosti náročná operace, protože je jich fakticky volných velmi málo a cena se pohybuje v řádu desítek tisíc korun, k tomu je třeba dobrého IT vybavení a v případě dlouhodobého útoku i více přístrojů a jejich správa.
Vážnost takzvaného scanu, který přichází podle českých bezpečnostních manažerů z Ruska, je však právě to, že navzdory velké nákladnosti trvá nepřetržitě už více než měsíc. Útočníkovi přitom nic nepřináší, nikdo nepožaduje žádné výpalné.
Stejně jako je však útok sám o sobě velmi drahý pro iniciátory, je drahý také pro nemocnice. Fakticky totiž nutí bezpečnostní manažery neustále hlídat, aby se mu náhodou nepodařilo proniknout ochrannou nemocniční počítačové sítě.
Právě z délky a intenzity útoků na druhou stranu vyplývá důležitá indicie - je velmi nepravděpodobné, že by za útokem stál jednotlivec.
Útoky se zabývá i Národní úřad pro kybernetickou bezpečnost (NÚKIB).
„Všechny závažné incidenty byly a jsou detailně analyzovány, aby mohly být provedeny nápravné kroky a bezpečnostní díry ošetřeny. Bylo vydáno varování podle zákona o kybernetické bezpečnosti a doporučení konkrétních kroků plynoucích z varování, jehož důsledkem bylo provedení bezpečnostních kroků ze strany povinných i nepovinných osob,“ uvedl mluvčí úřadu Radek Holý s tím, že nemůže komentovat, kterých zdravotnických zařízení se nynější vlna kyberútoků týká.
„Společně s Ministerstvem zdravotnictví připravujeme strategii a děláme konkrétní kroky k trvalému navýšení kyberbezpečnosti zdravotnických zařízení,“ dodává.
Ruský podnikatel Alexandr Černyšev, s nímž jsou jarní i nynější hackerské útoky spojovány, má společnost, která IP rozsahy nakupuje pro sebe a své klienty.
Když Seznam Zprávy o jeho roli v útocích zjara napsaly, na několik měsíců se odmlčel. Jeho jméno a rozsahy se dokonce dostaly na takzvané blacklisty, tedy seznamy nežádoucích osob, které vede řada světových agentur, jež se zabývají internetovou bezpečností.
Na svůj blacklist jej zařadila kupříkladu americká společnost CINS Army.
Redakce s ním v minulosti navázala kontakt, ale pro koho pracuje, odmítl prozradit.
„Adresy nám nepatří, ale ukazují se u nás, protože si je od třetí strany pronajal náš klient, který toho má u nás hodně,“ prohlásil Černyšov. Přiznal ještě, že „klient“ je fyzická osoba a platí měsíčně. Ale o koho jde, odmítl sdělit, byť to zjevně ví, protože sám říká, že jde o velkého klienta.
Nyní ho Seznam Zprávy opět požádaly o reakci, ale neodpověděl.