Prieš kelerius metus apie kibernetines atakas prieš ligonines kalbėdavo kaip apie egzotiką. Kažkas, kas vyksta kažkur Amerikoje ar Vokietijoje, bet ne čia. Šiandien situacija visiškai kitokia. Lietuvos sveikatos priežiūros įstaigos jau patyrė realių atakų, o grėsmių lygis tik auga.
Klausimas nebėra „ar tai nutiks”, o „kada nutiks ir ar būsime pasiruošę”.
Šis tekstas skirtas tiems, kurie valdo ar administruoja gydymo įstaigas – nuo mažų ambulatorijų iki didelių ligoninių. Apie realias grėsmes, realius padarinius ir realius sprendimus.
Kodėl būtent sveikatos sektorius
Programišiai renkasi taikinius ne atsitiktinai. Jie ieško trijų dalykų: vertingų duomenų, silpnos apsaugos ir aukų, kurios linkusios mokėti.
Sveikatos sektorius atitinka visus tris kriterijus.
Vertingi duomenys. Medicininis įrašas juodojoje rinkoje kainuoja daugiau nei kreditinės kortelės duomenys. Kodėl? Nes kortelę galima užblokuoti, o sveikatos istorija – amžina. Joje yra viskas: asmens kodas, adresas, diagnozės, vaistai, draudimo informacija. Idealus rinkinys tapatybės vagystei ar šantažui.
Silpna apsauga. Daugelis gydymo įstaigų ilgus metus investavo į medicininę įrangą, o ne į IT saugumą. Rezultatas – pasenusios sistemos, neatnaujinta programinė įranga, per silpni slaptažodžiai, trūkumas specialistų.
Poreikis veikti greitai. Kai ligoninėje sustoja sistemos – sustoja gyvybiškai svarbūs procesai. Operacijos atidedamos, pacientai nukreipiami kitur, gydytojai negali pasiekti istorijų. Spaudimas atstatyti veiklą – milžiniškas. Ir programišiai tai žino.
Kas nutinka atakos metu
Įsivaizduokite pirmadienio rytą. Darbuotojai ateina į darbą, bando prisijungti prie sistemų – ir mato juodą ekraną su pranešimu. „Jūsų failai užšifruoti. Sumokėkite 50 bitcoinų per 72 valandas arba duomenys bus sunaikinti.”
Tai ne fantazija. Tai realūs scenarijai, kurie jau įvyko Lietuvoje ir nuolat kartojasi visame pasaulyje.
Pirmosios valandos – chaosas. Niekas tiksliai nežino, kas nutiko, ką daryti, kam skambinti. IT skyrius bando suprasti masto. Vadovybė skambina teisininkams. Gydytojai grįžta prie popieriaus.
Pirmos dienos – krizės valdymas. Sprendžiama, ar mokėti išpirką (ekspertai vieningai sako – ne), ar bandyti atstatyti iš atsarginių kopijų (jei jos yra ir jei jos neužkrėstos), kaip informuoti pacientus, ką pranešti institucijoms.
Savaitės ir mėnesiai – atstatymas ir pasekmės. Sistemų atstatymas gali užtrukti savaites. Prie to pridėkite baudas už duomenų apsaugos pažeidimus, teisinius procesus, reputacijos nuostolius, pacientų pasitikėjimo praradimą.
Viena JAV ligoninė po ransomware atakos buvo priversta visiškai uždaryti duris – finansiniai nuostoliai buvo tokie dideli, kad veiklos tęsti nebeįmanoma.
Lietuvos kontekstas: specifinės grėsmės
Lietuvos sveikatos sektorius susiduria su keliomis specifinėmis aplinkybėmis.
Geopolitinė padėtis. Dėl Ukrainos palaikymo Lietuva nuolat atsiduria Rusijos haktyvistų taikinyje. DDoS atakos prieš valstybines institucijas – kasdienybė. Sveikatos sektorius – logiška tąsa.
Centralizuotos sistemos. E. sveikata, pacientų registracijos sistemos, bendros duomenų bazės – visa tai efektyvina procesus, bet sukuria ir centralizuotą taikinį. Vienos sistemos pažeidimas gali paveikti visą sektorių.
Riboti resursai. Daugelis įstaigų, ypač regioninės, neturi nei biudžeto, nei specialistų pilnavertei kibernetinei apsaugai. IT skyriuose dirba vienas ar du žmonės, kurie sprendžia viską – nuo sugedusio spausdintuvo iki saugumo politikos.
Teisinis spaudimas. Naujasis Kibernetinio saugumo įstatymas, įgyvendinantis ES TIS2 direktyvą, nustato griežtus reikalavimus sveikatos sektoriui. Tai apima privalomą incidentų pranešimą per 24-72 valandas, vadovų asmeninę atsakomybę, galimas dideles baudas.
Silpniausios grandys
Dauguma sėkmingų atakų prasideda ne nuo sudėtingo techninio įsilaužimo, o nuo žmogiškosios klaidos.
Elektroninis paštas. Darbuotojas gauna laišką, kuris atrodo kaip iš laboratorijos ar tiekėjo. Atidaro priedą ar paspaudžia nuorodą. To pakanka. Socialinės inžinerijos atakos tampa vis rafinuotesnės – dirbtinis intelektas leidžia kurti įtikinamus laiškus lietuvių kalba.
Slaptažodžiai. „Ligonine123″ – ne juokas, o realybė daugelyje įstaigų. Tie patys slaptažodžiai naudojami metų metus, dalinami tarp kolegų, užrašomi ant lipnių lapelių prie monitorių.
Pasenusi programinė įranga. Operacinės sistemos, kurioms nebeteikiami saugumo atnaujinimai. Medicininė įranga, kurios programinės įrangos atnaujinti neįmanoma. Senų pažeidžiamumų duomenų bazės – programišių mėgstamas šaltinis.
Fizinė prieiga. USB laikmenos, kurias kas nors „rado”. Neužrakinti kompiuteriai. Svečių Wi-Fi, prijungtas prie vidinio tinklo.
Ką daryti: praktiniai žingsniai
Geros naujienos – apsisaugoti įmanoma. Blogos naujienos – tai reikalauja sistemingo požiūrio ir investicijų.
Pirma: žinokite, ką turite
Inventorizuokite visą IT infrastruktūrą. Kiek kompiuterių? Kokie serveriai? Kokios sistemos? Kas prie ko jungiasi? Tai skamba elementariai, bet daugelis įstaigų neturi pilno vaizdo apie savo IT ūkį.
Identifikuokite kritines sistemas. Kas nutiks, jei neveiks registratūra? Laboratorija? Vaistinė? Elektroniniai medicininiai įrašai? Kurios sistemos – gyvybiškai svarbios, kurios – svarbios, kurios – patogios?
Antra: užtikrinkite pagrindus
Atsarginės kopijos – svarbiausia apsauga nuo ransomware. Bet jos turi būti:
- Reguliarios (kasdien ar dažniau kritiniams duomenims)
- Izoliuotos (ne tame pačiame tinkle kaip pagrindinės sistemos)
- Testuojamos (ar tikrai galite atstatyti duomenis?)
Atnaujinimai. Visos sistemos turi būti reguliariai atnaujinamos. Tai apima ne tik kompiuterius, bet ir serverius, tinklo įrangą, net medicininius prietaisus (kur įmanoma).
Prieigos valdymas. Kas prie ko turi prieigą? Ar gydytojui reikia prieigos prie buhalterijos? Ar registratūrai – prie visų medicininių įrašų? Minimalios būtinos prieigos principas.
Kelių lygių autentifikacija. Slaptažodis + kodas iš telefono. Paprasta priemonė, kuri sustabdo didžiąją dalį atakų.
Trečia: investuokite į žmones
Darbuotojų mokymai – viena efektyviausių investicijų. Ne vienkartiniai seminarai, o nuolatinė programa: kaip atpažinti fišingo laiškus, ką daryti pastebėjus įtartiną veiklą, kodėl svarbu stiprūs slaptažodžiai.
Nacionalinis kibernetinio saugumo centras organizuoja pratybas sveikatos sektoriui – „PhishEx” simuliacijos, kuriose tikrinamas darbuotojų budrumas. Rezultatai rodo, kad mokymai veikia – vis daugiau darbuotojų atpažįsta apgaulingus laiškus.
Ketvirta: turėkite planą
Incidentų valdymo planas turi būti parašytas iš anksto, ne atakos metu. Jis turėtų atsakyti:
- Kas priima sprendimus krizės metu?
- Kam skambinti (IT, vadovybė, NKSC, teisininkai)?
- Kaip komunikuoti su darbuotojais, pacientais, žiniasklaida?
- Kaip užtikrinti pacientų priežiūros tęstinumą be IT sistemų?
Planas turi būti testuojamas. Ne šiaip perskaitytas, o praktiškai išbandytas per simuliacijas.
Profesionali pagalba: kada ir kodėl
Mažos ir vidutinės įstaigos dažnai neturi galimybės turėti pilnavertę IT saugumo komandą. Čia į pagalbą ateina išoriniai partneriai.
Profesionali serverių priežiūra apima ne tik techninę priežiūrą, bet ir saugumo aspektus: sistemų stebėseną, atnaujinimų valdymą, atsarginių kopijų priežiūrą, incidentų aptikimą.
Specializuotas kibernetinis saugumas sveikatos sektoriui apima: pažeidžiamumų vertinimą, saugumo auditus, darbuotojų mokymus, incidentų valdymo planavimą, 24/7 stebėseną.
Išorinių partnerių privalumai:
- Prieiga prie platesnių kompetencijų nei vienas vidinis specialistas
- Specializuoti įrankiai ir technologijos
- Nuolatinis atnaujinimas pagal naujausias grėsmes
- Galimybė reaguoti bet kuriuo paros metu
Reguliaciniai reikalavimai
Nuo 2024 metų sveikatos priežiūros įstaigos privalo atitikti griežtesnius kibernetinio saugumo reikalavimus:
Rizikų vertinimas. Privalote įvertinti, kokios grėsmės aktualiausios jūsų įstaigai.
Saugumo priemonės. Privalote įdiegti technines ir organizacines priemones, atitinkančias identifikuotas rizikas.
Incidentų pranešimas. Kibernetiniai incidentai turi būti pranešami NKSC per 24-72 valandas.
Tiekimo grandinės saugumas. Privalote užtikrinti, kad jūsų tiekėjai ir partneriai taip pat laikosi saugumo reikalavimų.
Vadovų atsakomybė. Už kibernetinio saugumo spragas gali tekti atsakyti asmeniškai įstaigos vadovams.
Investicijos vs nuostoliai
Kibernetinis saugumas kainuoja. Bet kiek kainuoja jo nebuvimas?
Tiesioginiai nuostoliai: sistemų atstatymas, prarastas darbo laikas, galimos išpirkos (jei nuspręstumėte mokėti), baudos už duomenų apsaugos pažeidimus.
Netiesioginiai nuostoliai: reputacijos žala, pacientų pasitikėjimo praradimas, teisiniai procesai, vadovų laikas krizės valdymui.
Tyrimai rodo, kad vidutinė duomenų pažeidimo kaina sveikatos sektoriuje – didžiausia tarp visų sektorių. Prevencija visada pigesnė nei pasekmių valdymas.
Nuo ko pradėti rytoj
Jei šis tekstas paskatino susimąstyti – puiku. Štai konkretūs žingsniai artimiausiai savaitei:
- Paklauskite savo IT – ar turime veikiančias, izoliuotas, testuotas atsargines kopijas?
- Patikrinkite – ar visos sistemos atnaujintos? Ar nėra senų, nebepalaikomų sistemų?
- Įvertinkite – kada paskutinį kartą darbuotojai buvo mokomi apie kibernetinį saugumą?
- Suplanuokite – ar turime incidentų valdymo planą? Kas jį paskutinį kartą peržiūrėjo?
- Konsultuokitės – galbūt laikas pakalbėti su profesionalais apie saugumo auditą?
Kibernetinis saugumas sveikatos sektoriuje – ne IT skyriaus reikalas. Tai pacientų saugos klausimas. O pacientų sauga – kiekvieno gydymo įstaigos darbuotojo ir vadovo atsakomybė.