Sieć amerykańskich szpitali unieruchomiona po cyberataku. To prawdopodobnie ransomware
Jak donosi NBC News oraz specjaliści ds. cyberbezpieczeństwa, sieć szpitali Universal Health Services w Stanach Zjednoczonych została sparaliżowana atakiem skierowanym w infrastrukturę teleinformatyczną. UHS wydało jedynie lakoniczny komunikat i nie upoważniło żadnego pracownika do kontaktu z prasą. Nieoficjalnie mówi się o tym, że szpital padł ofiarą ransomware, a atak był na tyle zaawansowany, że wstrzymał łączność telefoniczną i internetową, a także zablokował wszystkie firmowe stacje robocze.
W pierwszych tygodniach pandemii koronawirusa pojawiały się informacje o tym, że liczba ataków na komputery osobiste wzrosła (z racji pracy z domu), ale chwilowo spadła właśnie w przypadku szpitali. Gdy szpitale ponownie zaczęły być atakowane, wywołało to mobilizację społeczności infosec w postaci wolontariatu w walce ze skutkami ataków. Pospolite ruszenie dobiegło jednak końca, a i przestępcom skończyły się resztki cierpliwości. Biznes rozkręcił się na nowo.Nic nie działa, nic się nie daUniversal Health Services to duża sieć ponad 400 prywatnych szpitali. Służba zdrowia w USA jest jednak po prostu świadczona prywatnie: także osoby uprawnione do świadczeń Medicare otrzymują je w ramach kontraktu z prywatną firmą (co niekoniecznie oznacza, że jest ona for-profit). Sieci szpitali są więc duże, a skuteczne ataki na nie mają bezpośredni wpływ na bardzo wiele osób.
Zaskakuje nie tylko szerokość, ale i "głębokość" ataku: według relacji, wszystkie stacje robocze z Windows 10 poinformowały o zamknięciu oprogramowania antywirusowego a następnie wyłączyły się, nie chcąc włączyć z powrotem. Ten sam los spotkał dedykowane maszyny z zaplecza medycznego (PACS, EKG itd.), często pracujące pod kontrolą Windows Embedded i Windows XP.
Blokada infrastruktury ma więc wpływ nie tylko na biurokrację, ale i na przeprowadzane zabiegi i dostępność opieki. Może się to skończyć śmiercią pacjentów. Nawet gdy nikt nie ucierpi na atakach fizycznie, może odczuć je inaczej: przestępcy przy okazji kradną dane osobowe oraz informacje wrażliwe dot. stanu zdrowia (co na pewno cieszy ubezpieczycieli).
Czy to ransomware?
Relacje pracowników, nieupoważnionych do rozmów na temat incydentu, nie zawierają wzmianek o żądaniach okupu ani cechach szczególnych, właściwych ransomware. Do czasu pierwszych informacji o plikach z rozszerzeniem *.ryk, sprawa mogła wyglądać wręcz na wyrafinowany sabotaż.
A co u nas?
Z powodów, które lepiej nazwać proceduralno-budżetowymi, polskie szpitale trudno byłoby skłonić do opłacenia okupu odblokowującego infrastrukturę, są więc one atakowane na znacznie mniejszą skalę i raczej punktowo. Ministerstwo Zdrowia rzadko porusza temat. Z kolei Ministerstwo Cyfryzacji ze swoim Krajowym Systemem Cyberbezpieczeństwa ma raczej ograniczony wpływ na placówki medyczne.
Istnieje jednak Centrum e-Zdrowia. To ono zajmuje się wspomaganiem ochrony zdrowia od strony technicznej. Ale dotyczy to głównie obrotu dokumentacją (jak e-recepty). Jedną z ostatnich informacji na stronie Aktualności CeZ jest dostęp do szkolenia z web-aplikacji dotyczącej koronawirusa (gdzie rzekomo można sprawdzić wyniki badań każdego Polaka, podając tylko PESEL).
Centrum oferuje wytyczne dotyczące zabezpieczania infrastruktury, ale są one dość ogólne. Nie dowiemy się też nic o case studies z przykładami prac zabezpieczających. Ostatni raz CeZ o ransomware wspominał lutym. Możliwe zatem, że w Polsce nie stanowi ono zagrożenia branego pod uwagę. Czas pokaże, na ile słusznie.