Kameru na monitorovanie vstupu sanitiek má asi každá nemocnica na Slovensku. A podobné kamery sú v stovkách firiem.
Zjednodušuje to kontrolu a prístup cez internet môžu využívať bezpečáci aj iní zamestnanci. Aj útočníci.
Taká malá chybička
Ak má kamera alebo jej softvér chybu, pre kybernetických zločincov je to zraniteľnosť, ktorú vedia zneužiť. A tak sa aj v tejto slovenskej nemocnici stalo.
Útočník využil ako „vstupnú bránu“ do vnútornej siete nemocnice kompromitovanú kameru a prostredníctvom nej nasadil nástroje a techniky na prieskum. Bezpečnostný tím spozornel, keď monitorovacie zariadenia zachytili nezvyčajnú aktivitu.
„Útočník sa snažil rýchlo identifikovať otvorené porty a zraniteľné služby na zariadeniach, ktoré sú pripojené k vnútornej sieti,“ opisuje útok člen tímu.
Máme incident!
Rozsah prístupu útočníka sa zisťoval vyšetrovaním, analýzou sieťovej prevádzky a aktuálnym nastavením sieťových zariadení. Kvôli hľadaniu a overovaniu možných napadnutých systémov bola prevádzka nemocnice obmedzená dvanásť hodín. Zasiahnuté systémy sa museli dočasne vypnúť, čo malo vplyv na operácie a zdravotnú starostlivosť.
Po prvotných nápravných opatreniach bola prioritou transparentná komunikácia. Vedenie informovalo zamestnancov o incidente, jeho možnom vplyve na nemocničné služby a zároveň aj o opatreniach na ochranu ich údajov. A okamžite pridalo odporúčania na zvýšenie kyberhygieny.
Najhorší scenár
Pýtate sa, čo by sa stalo, ak by napríklad bezpečnostný tím zlyhal? Útočník by získal prístup do celej siete, mohol by ukradnúť dáta pacientov a zamestnancov, zašifrovať počítače a požadovať výkupné. Informačný systém by padol.
„Nedostupnosť systémov už viac než jeden deň pri väčšej nemocnici je kritický,“ varuje audítor kybernetickej bezpečnosti Michal Ďorda auditori.it. Hrozí chaos a panika, časť prípadov treba určite odkloniť. Nemocnica musí prejsť na papierovú dokumentáciu a obnova systémov by pravdepodobne trvala minimálne desať dní.
Preto medzi inými opatreniami zaviedli v nemocnici aj „prísnejšie politiky pre IoT zariadenia, ktoré sú často prehliadané v bezpečnostných stratégiách.“
Skúška ohňom
Najčastejšie chyby pri riešení incidentu sú panika a chaos. V tom sa profesionáli zhodujú. Takmer likvidačné je, ak sa podcení systém zálohovania a neexistuje krízový plán. Takto stručne zhŕňa skúsenosti za dve dekády bezpečnostný architekt a konzultant Martin Fábry, ktorého už zavolali k nejednému incidentu.
Je to až neuveriteľné, ak ide o incident v chemickej továrni so stovkami zamestnancov. Prežitie firmy tu závisí od vysoko sofistikovaného systému na riadenie a monitorovanie chemických výrobných procesov, ktoré zaisťujú výrobu produktov pre mnoho krajín.
Piatok večer
V roku 2022 sa vo firme, nazvime ju Victim, odohral závažný kybernetický incident v kritickom riadiacom systéme. Kľúčoví pracovníci sa pobrali na víkend a ítečkár, ktorý mal pohotovosť, zaevidoval nefunkčnosť ekonomického systému.
Skupina nie veľmi šikovných kybernetických pirátov získala prístup k sieti prostredníctvom otvoreného portu do internetu. Bol „tajný“ a mal slúžiť vyvoleným administrátorom na pohodlnú vzdialenú správu IT systémov.
Cez tento nezabezpečený kanál útočníci odoslali škodlivý softvér k obeti a zašifrovali ním kritické IT systémy, ktoré nepriamo, ale okamžite ohrozili výrobné procesy.
Nebezpečenstvo výbuchu
Dôsledkom útoku bola séria výpadkov IT systémov a dočasné odstavenie výroby vo vysoko výbušnom prostredí. Interná reakcia na incident bola chaotická a firma povolala externých špecialistov. Kľúčovým pri minimalizovaní následkov sa stal až krízový tím a rýchla reakcia.
„Našťastie, útočníci nerozumeli prevádzkovým technológiám, aby mohli vykonať devastujúci útok,“ hodnotí incident Martin Fábry. V každom prípade Victim bola paralyzovaná na niekoľko týždňov, a to nielen ekonomicky, ale aj sociálne, pretože zamestnancov kybernetický útok značne fyzicky a mentálne vyčerpal.
Hrá sa o čas
Detekcia a analýza sú len prvými krokmi, aby sa zmenšili dosahy incidentu a odstránili zraniteľnosti alebo chyby. Tu je najdôležitejších prvých 48 hodín.
Skutočný boj, či už z pohľadu ľudských zdrojov, alebo financií, nastáva potom. Obnova systémov, zmeny konfigurácie a zabezpečenia infraštruktúry si môžu vyžiadať stovky hodín. „Zálohy sú mnohokrát fuč, poprípade poškodené útokom. Ide sa 24 hodín denne, nespí sa,“ hovorí skúsený odborník na kybernetickú bezpečnosť Roman Čupka.
Nezažiješ, neuveríš
Pokiaľ organizácia nemá k dispozícii kvalitný tím s „veliteľom“ riešenia incidentu, hrozí riziko kumulovania chýb. A nečudo. Veď do obnovy infraštruktúry a informačných systémov vstupuje množstvo dodávateľov a otázky zamestnancov, zákazníkov a médií neustávajú.
Tím kvalitných „incident responderov“ musí mať skúsenosti s riešením incidentov na pravidelnej báze, silné technické znalosti, zručnosti v komunikácii, projektovom riadení, znalosť s konfiguráciou IT systémov, forenznou analýzou, nasadzovaním nápravných opatrení, zabezpečenním nastavovania správnych politík a testovaním odolnosti infraštruktúry. A to všetko v hybridnom prostredí a počas riešenia incidentu.
Pripravujte sa posadnuto
Ak sa náprava po incidente neurobí dostatočne kvalitne a nechajú sa nezabezpečené zadné dvierka či konfiguračné chyby, o pár mesiacov sa môže čierny Peter ujsť organizácii znova. Nie je ani výnimkou, že pri nasledujúcom incidente väčšie organizácie vymenia celú IT infraštruktúru. Tie menšie zas ukončia činnosť. Proste ich to zruinuje.
Martin Fábry pripomína aj nevyhnutné kroky na zlepšenie celkovej kybernetickej bezpečnosti. Zahŕňa to revíziu a aktualizáciu bezpečnostných protokolov, zvýšenie povedomia o kybernetických hrozbách a investície do moderných technológií na prevenciu a detekciu útokov.
Pre zmiernenie dosahov potenciálnych incidentov Roman Čupka odporúča posúdenie odolnosti organizácie v rámci implementácie bezpečnostných opatrení. Táto investícia sa vyplatí, pretože ak nastane incident, rapídne sa znížia časové a finančné nároky na jeho riešenie.