Cyberataki na ochronę zdrowia przybierają na sile, a szpitale i placówki medyczne stają się jednym z głównych celów hakerów. Pełnomocnik Rządu ds. Cyberbezpieczeństwa Krzysztof Gawkowski wskazuje konkretne wskaźniki kompromitacji oraz szczegółowe zalecenia, które mają ograniczyć ryzyko ataków ransomware i wycieku danych w podmiotach Krajowego Systemu Cyberbezpieczeństwa (KSC).
W związku z nasilającą się aktywnością grup hakerskich wymierzoną w sektor ochrony zdrowia, Krzysztof Gawkowski jako Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa opublikował komunikat zawierający konkretne wytyczne dla podmiotów krajowego systemu cyberbezpieczeństwa. Dokument powstał przy współpracy z Ministerstwem Cyfryzacji oraz zespołami reagowania na incydenty, w tym CSIRT NASK - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający w NASK (Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy), odpowiedzialny za poziom krajowy;
CSIRT GOV - Rządowy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, obsługujący administrację publiczną;
CSIRT CeZ - Sektorowy zespół cyberbezpieczeństwa działający w Centrum e-Zdrowia, dedykowany ochronie systemów w sektorze zdrowia.
Jak podkreślono w komunikacie, obecne cyberataki „cechują się podobnymi taktykami, technikami i procedurami (TTPs)”, co wskazuje na skoordynowane działania wyspecjalizowanych grup przestępczych.
Autorzy komunikatu zwracają uwagę, że jednym z kluczowych elementów ochrony jest szybka identyfikacja zagrożeń. Dlatego opublikowano szczegółowy zestaw wskaźników kompromitacji (IoCs), które pozwalają wykryć obecność cyberprzestępców w infrastrukturze IT.
W dokumencie wskazano znaczenie tego działania:
Dokonanie przeglądu zasobów teleinformatycznych pod kątem IoCs z załącznika nr 1 może pozwolić na wykrycie obecności cyberprzestępców w własnej infrastrukturze, a dzięki temu ustrzec się przed zaszyfrowaniem i kradzieżą danych w ramach ataku typu ransomware.
Warto wspomnieć, że ransomware to złośliwe oprogramowanie (malware), które szyfruje pliki użytkownika lub blokuje dostęp do systemu, żądając okupu (ang. ransom) w zamian za przywrócenie dostępu.
Eksperci podkreślają, że chodzi nie tylko o szpitale. Choć sektor ochrony zdrowia jest dziś głównym celem, to – jak wynika z komunikatu – „grupa hakerska, z którą wiązane są ostatnie cyberataki, atakowała także podmioty z innych sektorów”.
Drugim filarem komunikatu są szczegółowe zalecenia organizacyjne i techniczne, których wdrożenie ma realnie zwiększyć poziom bezpieczeństwa IT. Autorzy dokumentu podkreślają ich wagę, zaznaczając:
Realizacja nawet części z wymienionych działań pozwoli znacząco ograniczyć ryzyko wystąpienia incydentu oraz zminimalizować jego ewentualne skutki dla ciągłości działania podmiotu.
Reklama
Wśród najważniejszych obszarów wskazano ochronę dostępu zdalnego, zarządzanie uprawnieniami oraz monitoring sieci. Szczególny nacisk położono na eliminację ryzykownych praktyk, takich jak bezpośredni dostęp RDP z internetu czy brak uwierzytelniania wieloskładnikowego.
W komunikacie wyraźnie zaznaczono konieczność stosowania zasady minimalnych uprawnień oraz ograniczania ruchu sieciowego wyłącznie do niezbędnych operacji biznesowych.
Autorzy dokumentu zwracają uwagę na powtarzalne błędy organizacyjne, które ułatwiają przeprowadzenie skutecznego ataku. Szczególnie istotne są kwestie związane z zarządzaniem tożsamością i monitorowaniem systemów.
W jednym z najmocniejszych fragmentów komunikatu podkreślono znaczenie analizy alertów bezpieczeństwa:
Ignorowanie tych alertów jest najczęstszą przyczyną udanych ataków ransomware.
Wśród zaleceń znalazły się także regularne audyty kont, usuwanie nieaktywnych użytkowników oraz stosowanie silnych, unikalnych haseł dla kont administracyjnych. Istotne jest również wdrożenie narzędzi klasy SIEM i PAM, które automatyzują nadzór nad dostępami i zdarzeniami w systemie.
Komunikat mocno akcentuje znaczenie kopii zapasowych jako kluczowego elementu odporności na ransomware. Wskazano, że systemy backupu powinny być całkowicie odseparowane od środowiska produkcyjnego oraz zabezpieczone przed możliwością modyfikacji lub usunięcia.
Autorzy rekomendują m.in. stosowanie trybu WORM (z ang. Write Once, Read Many – zapisz raz, czytaj wiele razy) to technologia przechowywania danych, która gwarantuje, że raz zapisane informacje nie mogą zostać zmodyfikowane, usunięte ani nadpisane przez określony czas) oraz regularne testy odtwarzania danych, co ma zagwarantować ciągłość działania nawet w przypadku skutecznego ataku.
Opublikowany komunikat pokazuje wyraźnie, że cyberbezpieczeństwo w ochronie zdrowia staje się jednym z kluczowych obszarów polityki państwa. Skala zagrożeń oraz ich rosnąca złożoność wymuszają szybkie działania zarówno na poziomie centralnym, jak i w poszczególnych placówkach.
Administracja publiczna nie ogranicza się już do ostrzeżeń, lecz dostarcza konkretne narzędzia i procedury. Jak wynika z dokumentu, wdrożenie zaleceń może nie tylko ograniczyć ryzyko incydentu, ale przede wszystkim ochronić wrażliwe dane pacjentów oraz zapewnić ciągłość funkcjonowania systemu ochrony zdrowia.
Chcesz być na bieżąco z wieściami z naszego portalu? Obserwuj nas na Google News!
Twoje zdanie jest ważne jednak nie może ranić innych osób lub grup.
Komentarze