Od wakacji do naszej redakcji zgłaszali się pacjenci ośrodków zdrowia w Chotomowie i Jabłonnie, którzy twierdzili, że w placówkach jest ogromy problem z komputerami. Przez to miała wydłużać się obsługa pacjentów.
Problem nie ustawał przez dłuższy czas. W końcu naszej redakcji udało się ustalić, że komputery ZOZ w Jabłonnie i Chotomowie najprawdopodobniej zostały zainfekowane przez szkodliwe oprogramowanie (typu malware). Zaczęliśmy wysyłać pytania do policji i prokuratury.
Atak zgłoszony przez dyrektora
Nasze obawy potwierdziły się. Okazało się, że 23 czerwca policjanci z Komisariatu Policji w Jabłonnie zostali powiadomieni przez dyrektora ZOZ Jabłonna Jacka Jakimiaka o zawirusowaniu systemu informatycznego w ZOZ Jabłonna i Chotomów. Wirus miał spowodować wykasowanie danych pacjentów, zapisków lekarzy. – Na podstawie analizy zgromadzonego materiału wydano postanowienie o odmowie wszczęcia dochodzenia z uwagi na brak ustawowych znamion czynu zabronionego – informuje Emilia Kuligowska z KPP w Legionowie.
Prokuratura zatwierdziła odmowę
Prokuratura Rejonowa w Legionowie 5 lipca zatwierdziła postanowienie o odmowie wszczęcia dochodzenia, wydane przez komisariat w Jabłonnie. Z prokuratury jednak dowiadujemy się, że do uszkodzenia danych w komputerach przychodni doszło pomiędzy 19 a 20 czerwca 2016r. Infrastruktura informatyczna SZPZOZ w Jabłonnie została zainfekowana przez wirusa CRYSIS, który, jak informują źródła, po zaatakowaniu komputera szyfruje dane blokując do nich całkowicie dostęp. Ewentualne rozszyfrowanie danych możliwe jest po dokonaniu wpłaty na rzecz internetowych przestępców. Odczytanie danych w inny sposób jest niezwykle trudne a w wielu przypadkach niemożliwe.
Okiem eksperta
– Ataki tego typu realizowane są w większości przypadków poprzez wysłanie wiadomości mail. Wiadomość ta zazwyczaj zachęca użytkownika do otworzenia załącznika lub do kliknięcia w link do złośliwej strony. Otworzenie załącznika lub uruchomienie strony powoduje, że szkodnik zostaje zainstalowany na komputerze ofiary i rozpoczyna szyfrowanie plików, które odnajdzie na wszystkich dyskach komputera i udziałach sieciowych. – mówi Łukasz Adamczyk, specjalista z branży zabezpieczeń IT. Jakie uszkodzenia mogła wywołać ta infekcja ? – Na podstawie informacji, jakie ustaliła Gazeta Powiatowa, wynika że przychodniom nie udało się odzyskać przynajmniej części danych. Taki stan może w skrajnych przypadkach prowadzić do zagrożenia zdrowia pacjentów (gdyby utracono historię leczenia, informacje od specjalistów, notatki lekarskie, etc.), w szczególności tych przewlekle chorych. Na pewno ten incydent będzie uciążliwy dla pacjentów z powodu konieczności ponownego dostarczenia danych dla lekarzy, np. wyniki badań, dokumenty z poradni specjalistycznych, karty szczepień), w zależności co dokładnie utracono i ilu pacjentów braki dotyczą. Ze względu na fakt, że współczesne złośliwe oprogramowanie bardzo często łączy w sobie różne metody pozwalające atakującemu zarobić, nie można wykluczyć że oprogramowanie np. wkradało dane przychodni (np. dane pacjentów). Jest to o tyle możliwe, że specjaliści ds. bezpieczeństwa ostrzegali przed ukierunkowanymi atakami na placówki ochrony zdrowia przeprowadzane z wykorzystaniem, między innymi, szkodnika pod kodową nazwą CrySIS. Co dokładnie (prócz zaszyfrowania danych) wydarzyło się w obu przychodniach wymagałoby to dokładnego zbadania wszystkich komputerów w obu przychodniach oraz zweryfikowania danych zapisanych w logach sieciowych.– komentuje dla naszego tygodnika Adamczyk. – Nie jest zatem wykluczone, że ten incydent będzie miał jeszcze jakieś reperkusje dla pacjentów i/lub przychodni – dodaje Adamczyk.
Pytania w sprawie skali uszkodzeń, jakie spowodował „wirus” Crysis w SZPZOZ w Jabłonnie wysłaliśmy także do przychodni. Przekażemy ją, gdy tylko otrzymamy odpowiedź.
Jak bronić się przed podobnymi atakami?
Tego typu ataki przeprowadzają specjaliści, którzy wiedzą „jak dobrać się do ofiary”. Obrona przed nimi wymaga prowadzenia monitoringu nietypowych zdarzeń w organizacji. Monitoring powinien odbywać się per użytkownik i per maszyna i powinien obejmować wszystkie niestandardowe działania. np. jeśli użytkownik dotychczas pracował z maksymalnie 30 plikami w ciągu dnia, to dobry system powinien zaalarmować administratora, gdy użytkownik nagle żąda dostępu do 100 plików, a odciąć użytkownika, gdy dostęp przekroczy 200 plików. Wszyscy użytkownicy powinni pracować z minimalnymi uprawnieniami jakich potrzebują do normalnej pracy. Żaden z użytkowników nie powinien mieć dostępu do wszystkich dokumentów w trybie do zapisu i prawdopodobnie do odczytu. Należy separować stanowiska pracy mające kontakt z siecią publiczną, a prywatną (np. stanowisko rejestracji, stanowisko gdzie czytana jest zewnętrzna poczta, nigdy nie powinny mieć dostępu do danych poufnych). Powinna być wdrożona odpowiednia polityka tworzenia i zarządzania kopiami bezpieczeństwa. W Jabłonnie tego zabrakło lub polityka była nieprawidłowa, ponieważ dane są teraz odtwarzane.
W systemach Windows począwszy od wersji Vista wbudowane są bezpłatne narzędzia, które pozwalają na ograniczenie szkód po tego typu atakach. W praktyce sprowadza się do utraty danych z ostaniach godzin. W typ przypadku prawdopodobnie nikt nie zadał sobie trudu skonfigurowania tych narzędzie. W systemach Windows należy też wyłączać wszystkie zbędne usługi oraz odinstalowywać nieużywane programu. Sam system i oprogramowanie muszą być systematycznie aktualizowane.
W ramach zabezpieczania należy też przeprowadzać okresowe audyty bezpieczeństwa, ale przede wszystkim należy szkolić użytkowników, tak by bezmyślnie nie otwierali wszystkiego co ewentualnie „padanie” na firmową skrzynkę mailową. Skoro jesteśmy przy skrzynce – polityka bezpieczeństwa to również odpowiednie zabezpieczenie serwera pocztowego.
Przede wszystkim należy zrozumieć, że bezpieczeństwo systemu informatycznego nie polega na zainstalowaniu programu antywirusowego. Antywirus doskonale chroni przed znanymi zagrożeniami (tak jak szczepionki przeciwko wirusom). Zanim szczepionka zostanie opracowana, wirus musi uderzyć, zainfekować swoje ofiary, tak by specjaliści od bezpieczeństwa mogli go poznać, przeanalizować i przygotować szczepionki antywirusowe. Dlatego prócz programu antywirusowego konieczne są działania opisane powyżej.