Cyberzagrożenia coraz większym problemem dla służby zdrowia

29 marca 2016, 13:22

Szpitale to coraz częstszy cel cyberataków. Są bowiem w posiadaniu danych, których utrata może spowodować katastrofalne skutki. W dodatku w wielu przypadkach jest to cel dla hakerów dość łatwy.

Przeprowadzony w połowie marca br. cyberatak na szpital w Ottawie, w wyniku którego 9,8 tys. szpitalnych komputerów zostało zainfekowanych złośliwym wirusem, to tylko jeden z przykładów tego typu działań. W tym przypadku wszystko skończyło się dobrze - przekonywała rzeczniczka szpitala Kate Eggin. Infekcja nastąpiła w momencie kliknięcia przez kogoś na szpitalnym komputerze w złośliwy link, czego skutkiem było zaszyfrowanie plików. Szpital, dzięki zastosowanym rozwiązaniom bezpieczeństwa, nie musiał jednak płacić okupu – administratorzy wyczyścili jedynie dyski zainfekowanych maszyn. Rzeczniczka zapewniła, że nie wyciekły żadne dane pacjentów.

Nie zawsze jednak obywa się bez strat. W przypadku  Hollywood Presbyterian Medical Center z Los Angeles. władze szpitala zapłaciły cyberprzestępcom 17 tys. dolarów, aby odzyskać zaszyfrowane dane. A w wypadku identycznego ataku na niemiecki szpital Lukas Krankenhaus, konsekwencją działania zagrożenia szyfrującego było realne zagrożenie życia pacjenta – konieczne było przełożenie zaplanowanych operacji.

Blaski i cienie telemedycyny

Dzisiejsze przychodnie posiadają wyrafinowany sprzęt medyczny, który składa się z w pełni funkcjonalnych komputerów z systemem operacyjnym i zainstalowanymi w nim aplikacjami. Lekarze bazują na komputerach, a wszelkie informacje są przechowywane w formie cyfrowej. Ponadto, wiele technologii związanych z ochroną zdrowia aktywnie korzysta z połączenia z Internetem. Jednak masowy atak z użyciem szkodliwego oprogramowania to tylko jeden z możliwych sposobów wykorzystania przez przestępców infrastruktury IT nowoczesnego obiektu służby zdrowia.

Jak się okazuje luki, które mogą w wykorzystać cyberprzestępcy, istnieją także w sprzęcie medycznym, co wykazali eksperci Kaspersky Lab.  Przeprowadzali oni badanie w prywatnej przychodni w celu zidentyfikowania słabych punktów w jej zabezpieczeniach i znalezienia sposobu na ich wyeliminowanie.

Pierwszą rzeczą, jakiej eksperci z Kaspersky Lab postanowili się dowiedzieć w ramach badania, było oszacowanie, ile urządzeń medycznych na świecie jest obecnie podłączonych do Internetu. Współczesny sprzęt medyczny to w pełni funkcjonalne komputery z systemem operacyjnym, z których większość posiada kanał komunikacyjny z Internetem. Włamanie się do nich umożliwiłoby cyberprzestępcom ingerencję w ich funkcjonalność.

Wykorzystując wyszukiwarkę Shodan w celu znalezienia sprzętu połączonego z Internetem, stwierdzono, że zarejestrowane są tam setki urządzeń medycznych – maszyny służące do wykonywania tomografii komputerowej, sprzęt kardiologiczny, urządzenia do wykonywania zdjęć rentgenowskich, rozmaite narzędzia medyczne i wiele innych. Odkrycie to prowadzi do niepokojących wniosków – niektóre z tych urządzeń nadal działały pod kontrolą starych systemów operacyjnych, takich jak Windows XP, z "niezałatanymi" lukami w zabezpieczeniach, a w niektórych jedynym zabezpieczeniem były domyślne hasła ustawione przez producenta, które można z łatwością znaleźć w dostępnych publicznie instrukcjach i dokumentacjach.

Wykorzystując te luki w zabezpieczeniach, cyberprzestępca mógłby uzyskać dostęp do interfejsu urządzenia i wpłynąć na jego sposób działania.

Luki lokalnej sieci

Jednak to tylko jeden ze sposobów, jaki cyberprzestępcy mogliby wykorzystać, aby uzyskać dostęp do infrastruktury krytycznej przychodni. Innym oczywistym i logicznym sposobem jest próba zaatakowania sieci lokalnej placówki. Podczas badania zidentyfikowano lukę w zabezpieczeniach połączenia sieci Wi-Fi przychodni i za pośrednictwem słabego, przestarzałego protokołu komunikacyjnego uzyskano dostęp do sieci lokalnej.

Badając sieć lokalną przychodni, ekspert z Kaspersky Lab wykrył sprzęt medyczny, który został wcześniej znaleziony w wyszukiwarce Shodan. Tym razem jednak chciał sprawdzić, czy możliwe jest uzyskanie dostępu do sprzętu, do którego nie było potrzebne żadne hasło – ponieważ sieć lokalna stanowiła zaufany obszar dla aplikacji i użytkowników urządzeń medycznych. W ten sposób cyberprzestępca może uzyskać dostęp do niemal każdego urządzenia medycznego podłączonego do sieci przychodni.

Inżynierowie odpowiedzialni za sprzęt i oprogramowanie medyczne wkładają mnóstwo wysiłku w stworzenie przydatnego urządzenia medycznego, które będzie ratowało i chroniło życie ludzkie, ale niekiedy całkowicie zapominają o zabezpieczeniu go przed nieautoryzowanym dostępem z zewnątrz.

Siergiej Łożkin, starszy badacz ds. bezpieczeństwa IT, w Globalny Zespole ds. Badań i Analiz (GReAT), Kaspersky Lab.

Badając głębiej medyczną sieć, eksperci z Kaspersky Lab wykryli poważną lukę w zabezpieczeniach aplikacji służącej do obsługi urządzeń medycznych. W jej interfejsie zastosowano mechanizmy, które mogą zapewnić cyberprzestępcom dostęp do danych osobowych pacjenta, w tym jego historii choroby oraz informacji dotyczących analizy medycznej, jak również adresu zamieszkania i innych danych identyfikacyjnych. Co więcej, luka ta pozwalała ingerować w pracę urządzeń medycznych, takich jak maszyny służące do wykonywania tomografii komputerowej, urządzenia rentgenowskie, sprzęt kardiologiczny i chirurgiczny. Po pierwsze, przestępca mógłby zmienić sposób działania urządzenia, wyrządzając tym samym szkody fizyczne pacjentom. Po drugie, możliwe byłoby uszkodzenie samego urządzenia, co naraziłoby placówkę medyczną na ogromne koszty.

- Nowoczesna przychodnia to już nie tylko lekarze i sprzęt medyczny, ale również usługi informatyczne. Jakość pracy wewnętrznych działów odpowiedzialnych za bezpieczeństwo wpływa na ochronę danych pacjentów oraz funkcjonowanie sprzętu medycznego. Inżynierowie odpowiedzialni za sprzęt i oprogramowanie medyczne wkładają mnóstwo wysiłku w stworzenie przydatnego urządzenia medycznego, które będzie ratowało i chroniło życie ludzkie, ale niekiedy całkowicie zapominają o zabezpieczeniu go przed nieautoryzowanym dostępem z zewnątrz  – komentuje Siergiej Łożkin, starszy badacz ds. bezpieczeństwa IT, w Globalnym Zespole ds. Badań i Analiz (GReAT) Kaspersky Lab.

Przykre skutki cyberataków

Kamil Sadkowski, analityk zagrożeń z firmy Eset, zauważa natomiast, że dziś szpitale są szczególnie narażone na ataki typu ransomware, gdyż zapewniają cyberprzestępcom stosunkowo szybką i łatwą monetyzację działań – w pułapki wpada bowiem bardzo wielu użytkowników, którzy często z powodu braku backupu, płacą dobrowolnie okup, by odzyskać swoje cenne dane. Schemat ataku tego typu zagrożeniami zwykle wygląda następująco: ransomware najczęściej rozprzestrzenia się jako linki prowadzące do zainfekowanych stron internetowych lub złośliwe załączniki dołączone w wiadomościach mailowych. Gdy użytkownik kliknie w link lub otworzy załącznik, zagrożenie zostanie zainstalowane na jego komputerze.

Efektem udanego cyberataku na organizację medyczną może być także wykorzystanie danych osobowych pacjentów do celów przestępczych. Cyberprzestępcy mogą odsprzedać zdobyte informacji osobom trzecim, albo celowo sfałszować wyniki diagnoz pacjentów. Szkody dla szpitali i placówek medycznych mogą też wynikać z uszkodzenia sprzętu medycznego, które może zagrażać pacjentom przynosząc też ogromne straty finansowe instytucjom służby zdrowia. Nie bez znaczenia jest również negatywny wpływ na reputację przychodni.

Jak placówki medyczną mogą uchronić się przed skutkami działania złośliwych wirusów szyfrujących? Kamil Sadkowski z firmy Eset radzi, aby regularnie tworzyć kopie zapasowe swoich danych, dzięki którym w razie potrzeby można przywrócić działanie całego systemu. Poza tym warto wyposażyć sprzęt w rozwiązania zabezpieczające, a także dbać o aktualizacje systemu i programów zainstalowanych na maszynie.

Kaspersky Lab rekomenduje stosowanie mocnych haseł w celu ochrony wszystkich kanałów komunikacji i ochronę aplikacji obsługujących sprzęt medyczny w sieci lokalnej przy użyciu silnych haseł na wypadek nieautoryzowanego dostępu do zaufanego obszaru. 

CyberDefence24
CyberDefence24
Tweets CyberDefence24