Jak chronić dane pacjentów przed hakerami

IBM

Szpitale to w naszej części Europy instytucje biedne. Badania dojrzałości szpitalnej informatyki tylko potwierdziły fakt widoczny od dawna gołym okiem.  Informatyka w szpitalach jest niedoinwestowana i niedoceniana przez zarządy.  Brakuje wielu zupełnie podstawowych podsystemów, a kadra informatyczna ma niski status. Trudno oczekiwać, by w okrojonym składzie informatyków znalazło się miejsce na specjalistów od bezpieczeństwa cybernetycznego. Taki etat jest dziś rzadkością. 

Problem

W tym szpitalu było podobnie. Bezpieczeństwem informatycznym zajmował się specjalista od sieci. Było to raczej jego hobby, bo budżet nie przewidywał żadnych inwestycji w ten obszar. Na szczęście wiele można osiągnąć własną pracą z użyciem bezpłatnych narzędzi.

Zlecona przez zarząd analiza ryzyka operacyjnego przygotowana przez specjalistę od sieci wskazała potencjalne zagrożenie incydentami cyberinformatycznymi. Duża ilość interesujących dla hakerów danych, jakie znajdują się w systemie szpitala oraz brak świadomości zagrożenia po stronie kadry medycznej spowodowało, że prawdopodobieństwo wystąpienia tego typu incydentu zostało ocenione jako wysokie.

Ryzyko zapewne pozostałoby lekceważone, gdyby nie zbieg okoliczności: w 2017 roku doszło do drobnego incydentu. Wyciekły dane pacjenta, a sprawą zainteresowała się prasa. Indagowany przez dziennikarzy dyrektor szpitala nie był w stanie odpowiedzieć na podstawowe pytania: nie wiedział kiedy, ani jak do wycieku doszło. Dziennikarz osiągnął to, co zespół informatyki próbował bezskutecznie uczynić od wielu lat. Uświadomił zarządowi, jak poważne konsekwencje prawne, finansowe oraz wizerunkowe mogą mieć takie sytuacje. Doszło do przełomu.

Rozwiązanie

W rozmowach działu IT z zarządem powstał plan redukcji zagrożenia. Oprócz budżetu na inwestycje ustalono, że priorytetem jest stworzenie możliwości skutecznego zareagowania na podobny incydent. Rozważano nawet zatrudnienie specjalisty, ale szybko się okazało, że przekracza to finansowe możliwości placówki. Po co zresztą utrzymywać własnego specjalistę, skoro można mieć cały zespół specjalistów na telefon?

Jednostka zdecydowała pozyskać zewnętrzną firmę, która zapewni możliwość analizy, określenia skutków oraz właściwej reakcji, w tym podjęcie odpowiednich kroków ograniczających skutki incydentu. Skorzystano z oferty IBM, wybierając standardowy pakiet IRIS Vision Retainer, który jest w czymś rodzaju abonamentu na telefon do przyjaciela od bezpieczeństwa.

Technologia

Osiem miesięcy później jeden z pracowników szpitala powiadomił informatyków o dziwnych wiadomościach email, jakie widzi w swojej skrzynce odbiorczej. Były to informacje o problemach w dostarczeniu wiadomości do odbiorcy, jednak pracownik nie przypominał sobie, by kiedykolwiek wysyłał do nich jakikolwiek email. Wspomniany wcześniej specjalista od sieci po przeanalizowaniu sytuacji znalazł szereg maili wysłanych z konta użytkownika. Zostały one usunięte ze skrzynki nadawczej, jednak nadal widoczne były na serwerze pocztowym oraz w kilku odpowiedziach udzielonych przez odbiorców. Na tym etapie specjalista przystąpił do działania: powiadomił kierownictwo o możliwości wystąpienia Incydentu Bezpieczeństwa oraz skontaktował się z IBM IRIS.

Specjalista IBM IRIS został przydzielony do sprawy i w ciągu 2 godzin skontaktował się ze szpitalem przy pomocy narzędzi umożliwiających komunikację oraz przekazywanie widoku ekranu. Podjęto działania mające na celu zablokowanie dalszego propagowania zagrożenia oraz przystąpiono do analizy sytuacji.

Wstępny raport został przedstawiony jeszcze tego samego dnia. Wynikało z niego, że użytkownik dwa dni przed wykryciem otrzymał wiadomość email z informacją o konieczności weryfikacji danych w systemie HR. Link w wiadomości prowadził do fałszywej strony imitującej system logowania szpitala.

Po dwóch dniach przedstawiony został finalny raport z incydentu. Wynikało z niego, że atakujący w wiadomości email zamieścili link do strony imitującej stronę logowania; po próbie zalogowania użytkownik otrzymywał informację o błędzie logowania z powodu niepoprawnego hasła. Następnie był przekierowywany na prawdziwą stronę logowania, gdzie mógł się zalogować. Użytkownik pozostawał nieświadomy, że jego dane logowania zostały skradzione. Dzięki tym informacjom dział IT mógł wymusić zmianę hasła użytkownika uniemożliwiając hakerom korzystanie z konta. Możliwe było również zablokowanie odbierania podobnych, spreparowanych, wiadomości w przyszłości.