Do cyberataków na placówki służby zdrowia dochodzi coraz częściej. Wina znajduje się rzecz jasna po stronie hakerów, którzy bezwzględnie wykorzystują trudną sytuację. Jednocześnie jednak w wielu wypadkach systemy informatyczne szpitali po prostu nie są odpowiednio dobrze zabezpieczone, co ułatwia zadanie internetowym przestępcom.
Tragiczny atak na szpital w Niemczech
Do jednego z najgłośniejszych, a zarazem najbardziej krytycznych przypadków doszło w Uniwersyteckim Szpitalu w Düsseldorfie. Według władz oraz doniesień niemieckiej prasy za atakiem mieli stać rosyjscy hakerzy.
Przestępcy korzystali z oprogramowania malware znanego jako Doppelpaymer. W rezultacie szpital w Düsseldorfie utracił dostęp do swoich systemów informatycznych. Hakerzy zażądali od placówki pieniędzy w zamian za jego przywrócenie.
Atak zakończył się śmiercią ciężko chorej kobiety: system informatyczny szpitala stracił łączność z karetkami, przez co pacjentka musiała zostać przetransportowana do znacznie dalej położonej placówki. Niestety, transport trwał zbyt długo, aby lekarze mogli uratować kobiecie życie.
Według niemieckich władz tego samego oprogramowania użyto również w kilku innych atakach. Ich celem były przede wszystkim niemieckie uczelnie wyższe, w tym między innymi Uniwersytet w Düsseldorfie, Uniwersytet w Kolonii czy Uniwersytet w Giessen.
Ataki na szpitale United Health Services w USA
Do potężnego ataku doszło również w Stanach Zjednoczonych. Obiektem hakerów stała się sieć szpitali znanej firmy United Health Service, do której należy aż 250 placówek medycznych rozsianych po niemal całym terytorium USA.
Ostatecznie atak udało się zneutralizować, jednak szpitale w ciągu wielu godzin nie dysponowały dostępem do swoich systemów informatycznych.
Według specjalistów tego rodzaju ataki będą się powtarzać, ponieważ ogromne przeciążenie służb zdrowia w realiach pandemii Covid-19 to dla hakerów wręcz wymarzona sytuacja.
Inny, tym razem nieudany atak cyberprzestępców miał miejsce we Francji. Podobnych przypadków niestety zdarzyło się w ostatnich tygodniach o wiele więcej, co dowodzi, że zagrożeniem dla zdrowia i życia pacjentów w obecnych warunkach jest nie tylko koronawirus, ale także działania przestępców, które potrafią być równie śmiercionośne.
Skąd biorą się ataki i jak można im zapobiegać?
Co ciekawe, ataki na systemy informatyczne czasami wcale nie wymagają specjalnie wysublimowanych działań. W niektórych przypadkach był to po prostu phishing, poprzez który pracownicy służby zdrowia nieświadomie otwierali hakerom dostęp do systemu informatycznego.
Często też hakerzy szukają prostych luk po stronie frontendu, a więc np. różnego rodzaju drobnych błędów oprogramowania łączącego się z serwerami Citrix. Jeżeli system nie jest odpowiednio zabezpieczony, takie działanie jest w stanie udzielić hakerom dostęp do serwerów po stronie backendu, a więc aplikacji działających na serwerach systemu informatycznego.
W tym wypadku znalezienie luki nawet we wtyczce z reklamami może dać dostęp do haseł serwera.
Inne możliwe nieprawidłowości, które narażają system informatyczny na ataki, to błędy certyfikatu SSL lub korzystanie z niezaszyfrowanych połączeń HTTP, zamiast HTTPS.
Jak natomiast powinna wyglądać prewencja przeciwko atakom? Kluczowe znaczenie ma tutaj stosowanie VPN online we wszystkich obszarach działania systemu po stronie backendu.
Aplikacje frontendowe to między innymi programy do rejestracji online przez pacjentów. W tym wypadku znaczenie mają przede wszystkim odpowiednie certyfikaty oraz brak błędów w kodzie strony i wtyczkach.
Kluczowe jest również to, aby żadne sesje po stronie frontendu z maszynami backendowymi, które mają tzw. cookies z hasłami czy loginami, nie znajdowały się po stronie frontendu.
Dodatkowo stosuje się API Keys, czyli klucze, które są ustalane po stronie aplikacji frontendowej i backendowej. Taki zaszyfrowany klucz powinien się pojawić w nagłówku HTTPS – jest on weryfikowany po stronie backendu i dopiero przy weryfikacji pozytywnej następuje wysłanie wiadomości zwrotnej.
Ponadto serwery backendowe nie mogą być dostępne przez Citrix, a co najwyżej przez RDP (Remote Desktop Protocol) jednak tylko wewnątrz VPN albo przez tzw. jump serwer.
Wszystkie aplikacje na serwerach po stronie backendu, a więc programy służące lekarzom i pielęgniarkom do wprowadzania danych pacjentów, powinny być dostępne tylko przy:
- włączonym VPN,
- loginie z ustawionym mocnym i unikatowym hasłem,
- dodatkowej autoryzacji, czyli tzw. autoryzacji dwuskładnikowej (ruch odbywa się tylko przez HTTPS, natomiast oprogramowanie jest pozbawione tzw. SQL Injections albo JS injections. Dzięki temu skrypty mogą być uruchamiane bezwiednie na serwerze, ponieważ nie dochodzi do walidacji na poziomie formularza czy serwerach frontendowych).
Podsumowanie
Jak widać, odpowiednie zabezpieczenie systemu informatycznego szpitala lub innej placówki zdrowotnej z pewnością nie jest zadaniem łatwym i wymaga wsparcia naprawdę wykwalifikowanych specjalistów. Jednak trzeba mieć na uwadze fakt, że w przypadku szpitala niedostatecznie efektywne zabezpieczenie może mieć skutki o wiele bardziej poważne czy wręcz tragiczne, niż w przypadku sklepu online czy portalu informacyjnego.
/materiał partnera/