Czescy pacjenci zagrożeni cyberatakiem. Producent Novicom w obliczu ataku ransomware na szpital Benesov

Szpital Benesov, jedna z największych placówek medycznych w regionie środkowoczeskim został sparaliżowany na 2 tygodnie w wyniku cyberataku z użyciem oprogramowania szyfrującego dla okupu.

Firmy tracą coraz więcej z powodu ataków złośliwym oprogramowaniem. Znaczne powody do obaw ma branża medyczna. Firmy inwestują ogromne środki w zabezpieczenie IT, w szczególności w obawie przed zaawansowanymi atakami ukierunkowanymi oraz kradzieżą danych.

Dotychczas do najczęściej atakowanych branż należała finansowa oraz przemysłowa, jednak coraz częściej dochodzi do ataków na branżę medyczną. Wciąż swieżą sprawą pozostaje cyberatak na szpital Rudolfa i Stefana Benesov w Czechach.

W nocy z 10 na 11 grudnia doszło do zmasowanego ataku na infrastrukturę sieciową szpitala Benesov. Środowisko sieciowe placówki dochodzi do 2000 urządzeń sieciowych, w tym poza komputerami, serwerami itp., również zawiera urządzenia medyczne, istotne dla utrzymania życia i diagnozowania stanu pacjentów. Hakerzy mieli za zadanie wykraść dane i je spieniężyć.

Konsekwencje ataku
Cyberatak kosztował szpital około 40 mln czeskich koron (ok. 3 mln czk dziennie). Ponadto na 2 tygodnie wstrzymano przyjmowanie pilnych przypadków oraz ograniczono działalność personelu do udzielania pomocy pacjentom w podstawowym zakresie.

Atak wstrzymał funkcjonowanie większości urządzeń medycznych, komputerów oraz centrum uruchomienia aplikacji. Dane przechowywane na zaszyfrowanych komputerach nie były dostępne ani dla aplikacji, ani dla użytkowników.

Wznowienie pracy szpitala i rozwiązanie AddNet Novicom
Szpital w ramach swoich możliwości rozpoczął inwestycje w cyberbezpieczeństwo. Jeszcze w drugiej połowie 2019 r. otrzymał dofinansowanie z funduszu europejskiego i rozpoczął od odnowy technologii sieciowej, serwerów i znacznej części aplikacji. Jednocześnie nie stanowiło to wystarczającej ochrony wobec wspomnianego ataku.

Placówka wznowiła pracę przy wsparciu czeskiego Biurem Bezpieczeństwa Cybernetycznego i Informacji (úřad pro kybernetickou a informační bezpečnost (NÚKIB)) oraz policji Republiki Czeskiej.
Przywrócenie środowiska sieciowego szpitala w pierwszej kolejności oznaczało skonfigurowanie podstawowych ustawień sieci VLAN, które oddzieliły grupę komputerów, serwerów i urządzeń medycznych.

Po przywróceniu operacji stopniowo wdrażano kolejne środki, aby zapobiec podobnej sytuacji i umożliwić szybką reakcję. Znaczna część działań naprawczych  zastosowanych podczas przywracania środowiska IT szpitala opiera się na systemie AddNet czeskiego producenta Novicom, specjalizującego się w rozwiązaniach do zarządzania i zabezpieczania sieci.

W ramach tego rozwiązania podjęto następujące kroki, w celu przeciwdziałania rozprzestrzenianiu się złośliwego oprogramowania w sieci szpitalnej. Wdrożono kontrolę dostępu do sieci tzw. NAC, dokonano podstawowej segmentacji w oparciu o VLANy, oraz wprowadzono mikrosegmentację opartą na DACL. Produkty Novicom są gotowe do współpracy z zewnętrznym SOC, dla którego mogą zaoferować następujące funkcje i pomoc

  • Standardyzowane zdalne zbieranie informacji dla SOC
    • Monitorowanie L2, działanie DHCP/DNS/Radius, alternatywnie także Syslog i IPFIX/Netflow
  • Widoczność zasobów IT i ich połączenie z obsługiwanymi usługami biznesowymi (BVS)
    • W tym skanowanie w poszukiwaniu luk
  • Reakcja na incydent
    • Dzielenie się narzędziami zarządzania operacyjnego i przydzielanie obowiązków w celu wdrożenia działań naprawczych (izolacja / odłączenie zainfekowanych urządzeń) – AddNet
    • Wykwalifikowana ocena wpływu odłączenia sprzętu na działanie krytycznych aplikacji, technologii i usług biznesowych – BVS

Produkty Novicom (AddNet i BVS) wyraźnie potwierdzają swoje miejsce w kompleksowym podejściu do tworzenia aktywnej ochrony cybernetycznej na podstawie obecnych trendów – profesjonalnych zewnętrznych usług nadzoru bezpieczeństwa.

Wszystkie zastosowane środki zostały dobrane w celu zapewnienia najwyższego nadzoru bezpieczeństwa przy możliwości aktywnej reakcji na incydent w dowolnym momencie. Zarząd szpitala rozważa użycie produktu BVS firmy Novicom do płynnego połączenia z zewnętrznym nadzorem bezpieczeństwa SOC.

Z kim współpracujemy

Partnerzy