IT Systems 3/2026
Veřejný sektor a zdravotnictví
IT Security
Dnes 9:00
Kybernetické útoky na zdravotnická zařízení
začínají phishingem a zneužitím zranitelností
Česká republika loni v červenci zažila další úspěšný kybernetický útok na nemocnici. Protože zdravotnická zařízení jsou jedním z nejčastějších cílů kybernetických útoků, je jen otázkou času, kdy se bude podobný případ opakovat. Pojďme se proto podívat na to, jak útoky na zdravotnická zařízení probíhají, co se při nich děje a jak je možné zmírnit rizika s tím spojená. Jako zdroj dat pro tuto analýzu nám poslouží veřejně přístupná databáze největších kybernetických útoků MITRE ATT&CK.
Základní modus operandi je u ramsomwarových útoků, což je dnes nejčastější druh kybernetického útoku, prakticky vždy stejný. Útočníci si o napadeném subjektu nejprve získávají informace, následně se dostanou do interních systémů, zde se nějakou dobu rozkoukávají a získávají další informace a privilegia a následně ve vhodnou chvíli přistoupí k samotnému zašifrování dat následované žádostí o výkupné.
Hlavním problémem je personalizovaný phishing
Před samotným útokem se jednotlivé organizované skupiny snaží získat o zdravotnickém zařízení co nejvíce informací, ať už na dark webu, nebo z veřejně dostupných zdrojů. Na jejich základě potom přizpůsobují svůj útok na míru dané organizaci. V této fázi je však prevence poměrně složitá a poměr vynaložených nákladů a jejich přínosů je většinou negativní. Obecně proto doporučujeme soustředit se na prevenci až v dalších fázích útoku, tedy na ztížení vstupu útočníků do interní sítě, omezení možného pohybu útočníků v síti a včasné odhalení případného útoku
Do sítě se útočníci dostávají přes samotné uživatele, a to formou spear phishingu, tedy personalizovaného phishingového útoku. Jejich nebezpečí spočívá v tom, že vypadají jako součást pracovní rutiny oběti, proto jsou účinné i u lidí s vyšší mírou kybernetické gramotnosti.
Personalizované phishingové útoky jsou účinné i u lidí s vyšší mírou kybernetické gramotnosti.
Neustále aktualizujte své programy, aplikace a operační systémy
Mezi další časté vstupní brány do interní sítě patří známé zranitelnosti, například neaktualizované verze operačních systémů či jednotlivých programů a používaných aplikací, případně napadení systémů dodavatele, který má přístup do některých částí sítě. Těmto rizikům lze do značné míry předcházet klasickým skenem zranitelností. Jde o poměrně jednoduchý automatizovaný test, který porovnává informace o existujících zranitelnostech se stavem interní sítě. Pokud srovnáme cenu a efektivitu takových testů, tak se řadí mezi ty účinnější nástroje, kterými lze riziko kybernetického útoku snížit. Samozřejmě, pokud se s nálezy adekvátně pracuje.
Doporučujeme soustředit se na prevenci v podobě ztížení vstupu útočníků do interní sítě, omezení možného pohybu útočníků v síti a včasné odhalení případného útoku.
Útočníky pomůže odhalit automatická analýza chování jednotlivých zařízení
Jakmile se útočník dostane do sítě, následuje spuštění škodlivého kódu a snaha o jeho zakotvení v interní síti a následnou úpravu tak, aby obešel jednotlivá opatření na její ochranu. Útočníci u zdravotnických zařízení využívají široké spektrum známých technik, které jim umožní dosáhnout tohoto cíle, z nichž každá má svá specifika. U každé z nich zároveň existují různé možnosti a techniky, jak se jim můžou zdravotnická zařízení interně bránit. Jedním z jednoduchých a cekem komplexních řešení jsou jím v tomto případě EDR/XDR (Endpoint Detection and Response) aplikace. Ty monitorují chování koncových bodů (nejčastěji počítačů, ale i mobilních zařízení, serverů apod.) a v případě, že se chovají nestandardně, samy reagují nebo upozorní správce sítě nebo dohledové centrum, kde můžou podezřelou aktivitu prozkoumat a případně proti ní zasáhnout.
EDR/XDR aplikace monitorují zařízení v síti a v případě, že se chovají nestandardně, samy reagují nebo upozorní správce sítě nebo dohledové centrum na podezřelou aktivitu.
Nastavte si pravidla pro to, kdo má z jakého počítače přístup do jaké části sítě
Další fází ransomwarového útoku je Credential Access neboli sběr jakýchkoli přístupů, Dicovery (prozkoumání sítě) a Lateral Movement, tedy přechod na další klíčové prvky jako servery apod. Z naší zkušenosti bohužel vyplývá, že jakmile se u zdravotnických zařízení útočníci dostanou až ke kompromitaci privilegovaných účtů tedy účtů, které mají v síti výrazně vyšší pravomoci než běžní uživatelé, jejich další cesta už je poměrně jednoduchá. Řada interních sítí totiž bývá poměrně plochá, to znamená, že jednotlivá zařízení spolu mohou jakkoli komunikovat. Útočníkovi tak stačí získat kontrolu nad jedním zařízením a má v zásadě vyhráno.
Proto je důležité, aby interní síť byla vhodně segmentovaná a aby existovala jasná pravidla pro to, jaké segmenty spolu jakým způsobem mohu interagovat a případně, jestli jde o jednosměrnou či obousměrnou komunikaci. Součástí tohoto kroku by mělo být i definování toho, jací uživatelé se mohou přihlásit k jakým částem sítě. Speciálním případem je potom oddělení zastaralých koncových bodů, například počítačů se starými operačními systémy. Ty by měly být od zbytku sítě pokud možno odděleny co nejvíce. Podobné počítače přitom nacházíme ve zdravotnických zařízeních zcela běžně.
Je důležité, aby interní síť byla vhodně segmentovaná a zranitelné koncové body co nejvíce oddělené.
Data ze zdravotnických zařízení útočníci stahují přes Dropbox
Jakmile se útočníci natrvalo a bez odhalení zabydlí v napadené síti, přichází finální část útoku. Tou je často sběr veškerých dat z provozu zdravotnického zařízení, jejich následné stažení (exfiltrace) a finální útok pomocí programu, který zašifruje veškerá data v síti. Zajímavé je, že u zdravotnických zařízení existují až překvapivě jednoduché metody, jakým způsobem útočníci data stáhnou k sobě. U útoků vedených v databázi MITRE ATT&CK probíhala exfiltrace často přes Dropbox. Proto by stálo za úvahu, zda používání obdobných úložišť v pracovním prostředí zakázat a nabídnout uživatelům bezpečnou alternativu.
Když vše selže, je potřeba mít neprůstřelnou a kvalitní zálohu
Pokud všechna opatření selžou a útočníci přesto data zašifrují, je důležité mít dobře nastavené zálohování dat. „Toto je jeden z klíčových bodů a je potřeba, aby na to všechny organizace kladly opravdu velký důraz. Všechna výše zmíněná opatření sice snižují riziko úspěšného útoku, ale nikdy ho zcela neeliminují. Dobrá a odolná záloha dat tak nakonec může rozhodnout o tom, jestli a jak rychle se podaří opět zprovoznit všechny systémy a kolik to bude nakonec všechno stát.
Ochrana před kybernetickými útoky je komplexní a nikdy nekončící proces.
Funkční záloha proti ransomwaru musí splňovat celou řadu pravidel. Tradiční pravidlo 3-2-1 (3 různé kopie dat na 2 různých typech úložišť, přičemž 1 je v jiné lokalitě) je třeba nejen dodržovat, ale také rozšířit zejména o požadavek, aby alespoň jedna záloha nešla technicky nijak pozměnit. Naštěstí jak v datových centrech, tak v cloudu již existují technologie, jak tuto neporušitelnost záloh zajistit. Základem je ukládání záloh na denní bázi – každý den samostatná záloha. Protože útočníci se mohou v síti pohybovat klidně i rok, je třeba myslet na to, že obnova systému z týden staré zálohy ho obnoví včetně kompromitovaných součástí. Útočník potom může svoji akci kdykoli zopakovat. Proto je třeba, aby bylo možné se vrátit do stavu před samotným napadením systému.
Každé opatření má smysl, důležitá je vůle a odhodlání
Ochrana před kybernetickými útoky je komplexní a nikdy nekončící proces. Ve světě omezených zdrojů (jak lidských, tak finančních) je však důležité každé opatření, které útočníkům ztíží jejich snahu. Ať již jde o účinné vzdělávání uživatelů a skenování zranitelností ve fázi před samotným útokem, či o vhodné řízení privilegovaných účtů a nastavení bezpečnostních politik, tedy procesů, jak má síť fungovat, co v ní jednotliví uživatelé a zařízení smějí či nesmějí dělat. Nezbytná je segmentace sítě, silná ochrana koncových počítačů a kvalitní bezpečnostní monitoring. Když přesto všechno selže, je zásadní kvalitní záloha odolná vůči ransomware.
 |
Michal Trtil Autor článku působí na pozici Head of Security Operation Center ve společnosti ANECT. |
