Ukliknutí „stálo“špitál 40 milionů
PRAHA Kyberútok, který na konci minulého roku ochromil krajskou nemocnici v Benešově, začal docela nevinně. Když však Dušan Chvojka, tamní pověřenec pro ochranu osobních údajů nemocnice, cestoval 11. prosince brzy ráno do práce, už věděl, že je zle. Hackerům se podařilo prolomit dokonce hesla IT administrátorů, správců počítačové sítě. První odhady škod hovoří o provozní ztrátě nemocnice za prosinec ve výši 40 milionů korun. „Je to jako ve válce, když se snipeři snaží odstřelit jako první generály. V kybernetické válce se útočník pokouší získat účty administrátora,“vysvětluje Chvojka, který je zároveň náměstkem pro ICT (informační a komunikační technologie – pozn. red.) v pražské Nemocnici Na Homolce.
LN Je už benešovská nemocnice v plném provozu?
Dle mých informací probíhá implementace jednotlivých systémů ICT tak, jak nám je Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) pomáhá prověřit a po vzájemných konzultacích schvaluje k nasazení do provozu. Pravidelně o tom informuji Úřad pro ochranu osobních údajů, aby věděli, jak se dostupnost a integrita dat a osobních údajů v klíčových ICT systémech obnovuje.
LN Co ještě zbývá?
Šedesát až sedmdesát procent ICT systémů je v tomto čase (rozhovor vznikl v pondělí – pozn. red.) již plně funkčních. Nemocnice je opět v provozu. Ještě zbývají obnovit některé systémy, například krevní banka a stravování. Doháníme výpadek v odběrech krve, nyní ji musíme nakupovat.
LN Kdo útočil?
Podle informací od NÚKIB a Policie ČR je nyní velmi předčasné se vyjadřovat, z jaké strany byl vektor útoku veden. Je to předmětem vyšetřování.
LN Šlo o profesionální akci, nebo o čin amatérů?
Útoků v jednu chvíli probíhalo paralelně několik a na větší počet subjektů v Česku i ve světě. Koneckonců viděli jsme, že byla postižena i těžební společnost OKD. Byla to stejná kombinace malwaru (škodlivý software) a ransomwaru (vyděračský software).
LN Spolupracujete i s ostatními subjekty?
Spolupracuji s pověřenci pro ochranu osobních údajů v ostatních přímo řízených nemocnicích, jež spadají pod ministerstvo zdravotnictví, a v krajských nemocnicích. Začali jsem synergií plynoucí ze spolupráce s pražským IKEM, fakultními nemocnicemi v Olomouci a Hradci Králové a s nemocnicí Na Bulovce. Sdílíme zkušenosti a osvědčené postupy nejen v oblasti kyberochrany, ale i v ICT podpoře. Tím také optimalizujeme finanční náklady na zajištění bezpečnosti. Po zmíněném kybernetickém útoku mi volali desítky kolegů z jiných nemocnic. Každého zajímalo, co se stalo, co mají dělat, jak mají reagovat, aby případnému podobnému útoku zabránili.
LN Byly v rámci útoku na benešovskou nemocnici napadeny i jiné špitály?
Nemám o tom zprávy. Avšak útoky na nemocnice coby strategické aktivum státu jsou velice frekventované.
LN Kdy jste se dozvěděl o incidentu v Benešově?
Bylo to časně ráno, když jsem jel autem do práce.
LN Kudy se útočníci dostali do nemocničního IT systému?
Podle dosavadních informací, které máme od policie a od NÚKIB, se dá s vysokou pravděpodobností předpokládat, že se jednalo o infiltrování ransomwaru do sítě nemocnice. V první fázi se jednalo o masivní spamovou a phishingovou kampaň. V podvrženém e-mailu byla příloha s falešnou fakturou. Při kliknutí na fakturu, která se tvářila jako od důvěryhodného odesilatele, se spustil virus zvaný Emotet.
LN Co to je?
Je to typ malwaru, který po infiltrovaní do sítě zmapoval běžící procesy všech ICT systémů nemocnice. Přes cloud (vzdálené úložiště dat – pozn. red.) se pak nahlásil zpátky útočníkovi, že je uvnitř a má prostředí pod kontrolou.
LN To se opravdu stalo jedním kliknutím na přílohu?
Bohužel ano. Takto je tento virus postavený. Je to takový vojenský průzkumník, který se dostane přes skript do všech ostatních počítačů, serverů a zařízení v síti.
LN Jak pak útok pokračoval?
Virus si z cloudu stáhl druhého pomocníka, který se jmenuje TrickBot. To už je silnější vir. Má za úkol mapovat veškerá hesla. Dostane se až k privilegovaným účtům administrátorů. Přitom to jsou lidé, kteří mají nejsilnější oprávnění k nastavování IT systémů. Je to jak ve válce, když se snipeři snaží odstřelit generály jako první. V kybernetické válce se útočník snaží získat účty administrátora. TrickBot analyzoval, kde se hesla nacházejí, a následně je zlomil. Připravil tak půdu pro ransomware Ryuk. Ten začal kódovat všechna data, v tu chvíli se zpomalila síť. Uživatelé volali na horkou linku IT, které rychle zasáhlo. Přesně podle interních pravidel okamžitě informovali příslušné pracovníky managementu a odpojili všechny počítače.
LN Co je zač zmíněný ransomware Ryuk?
Je to velmi vyspělý virus, jehož úkolem je zašifrování dat, na což potřebuje obrovský výkon. Po zašifrování všech dat následně nastaví výkupné, jež napadenému zobrazí prostřednictvím finální zprávy.
LN Všemu rozumím, jen nechápu, jak mohli zlomit hesla k účtům administrátorů, ti přece nemohli mít heslo typu 123456?
To je předmětem šetření. Administrátoři ICT v nemocnici ale určitě neměli vámi zmíněné heslo. Jde o odborníky ve svém oboru.
LN Složitost útoku naznačuje, že šlo o práci profesionálů. Máte nějaké podezření, že by za ním mohl stát například cizí stát?
Nejsem kompetentní se k tomu vyjadřovat. Musíme počkat na závěrečnou zprávu expertního týmu z NÚKIB a od policie, které získaly veškerá data. V jejich laboratořích nyní provádějí forenzní analýzu útoku. Mě zajímá, zda byla ohrožena data pacientů. V tuto chvíli mohu říci, že o ničem takovém nemáme indicie. Nemáme žádné důkazy, že by data byla odcizena či zneužita.
LN Myslíte si, že policejní vyšetřování přinese odpověď na otázku, kdo útočil?
Když jsem viděl kvalitu odborníků, kteří do nemocnice dorazili z NÚKIB a z policie, tak věřím, že vyšetřování přinese nové podrobnosti. Nepřísluší mi to však jakkoli komentovat.
LN Jaká je vlastně role pověřence pro ochranu osobních údajů?
Každá nemocnice je správcem osobních údajů pacientů. Jedná se o data zvláštní kategorie, jejichž zneužití může významně ohrozit práva a soukromí pacientů. Úkolem pověřence je jejich ochrana. Jsme konzultanty top managementu. Ve své práci musíme být nezávislí. Odpovídáme přímo řediteli nemocnice.
LN Poroste význam kybernetické bezpečnosti v nemocnicích?
Výkon digitálních technologií dnes narůstá exponenciálním tempem. Každý druhý rok se zdvojnásobí počet tranzistorů na stejné ploše čipu. Vidím, že máte na ruce hodinky, jež vám přes senzory změří tep, tlak či vaši tělesnou teplotu. Nejenom hodinky, ale i další „nositelná elektronika“, bude v budoucnu intenzivně komunikovat s vaším lékařem, který vás bude monitorovat na dálku. Telemedicína a její trendy ženou zdravotnictví kupředu tak výrazně, že pojítko mezi vámi a lékařem budou tvořit převážně digitální informace. Ty bude potřeba chránit – a tím poroste i význam kybernetické bezpečnosti. Moderní medicínu už nelze dělat bez moderních léků, vysoce vzdělaných lékařů, ale ani bez moderních lékařských přístrojů propojených a navzájem komunikujících přes kybernetické prostředí.