Ce facem după atacutile cibernetice asupra spitalelor româneşti? Nimic?

Spitalele sunt o ţintă a atacurilor ransomware în toată lumea, nu doar în România. Foarte multe astfel de incidente au fost raportate de spitale în ultimii ani şi specialiştii vorbesc despre o creştere exponenţială a numărului de cazuri.

Dar de ce sunt vizate spitale din România şi de mai ales de ce sunt aşa de multe incidente în domeniul sanitar? Şi poate cea mai importantă întrebare: putem evita să devenim ţinta unui atac cibernetic? Pentru a răspunde la toate aceste întrebări, în primul rând, trebuie să înţelegem mai bine ce s-a întâmplat şi mai ales ce este acest tip de atac.

Ransomware-ul este un virus sau mai bine spus un software maliţios care blochează accesul la fişierele stocate într-un sistem informatic, solicitând plata unei sume de bani în schimbul redobândirii accesului la acestea. De cele mai multe ori fişierele criptate de malware nu pot fi decriptate nici după efectuarea plăţii către atacatori. Acest tip de malware nu urmăreşte o vulnerabilitate a sistemului informatic ci o eroare umană, de cele mai multe ori fiind transmis ca ataşament al unui e-mail, sub forma unei facturi, a unei comenzi sau alt tip de document, păcălind astfel utilizatorii mai puţin conştienţi sau vigilenţi.

Interesant este faptul că acest tip de malware nu ar fi putut depăşi filtrele antivirusurilor existente pe piaţă, ceea ce subliniază o primă problemă din spatele acestui atac în spitalele din România: spitalele atacate nu avea sisteme antivirus actualizate, iar angajaţii acestora nu au fost instruiţi cu privire la identificarea unor asemenea atacuri.

„Aceste atacuri cibernetice nu sunt ceva nou. Ele se petrec de multă vreme. Se bazează pe neatenţia utilizatorilor, care primesc diferite mesaje pe email şi accesează ataşamentele acestor mesaje, care nu sunt ceea ce par a fi. De exemplu, ei cred că sunt documente word, PDF sau poze, dar în fapt ele sunt nişte elemente executabile care pot bloca accesul la calculator sau la alte resurse ale reţelei. Faptul că acest atac se întâmplă în spitale poate fi doar o coincidenţă sau poate fi în urma unei analize pe care atacatorul a făcut-o cu privire la vulnerabilităţi. Vulnerabilităţi vin din faptul că staţiile utilizatorilor nu sunt actualizate la zi, nu au ultimele versiuni de aplicaţii sau nu au antiviruşi instalaţi corespunzător. Poate că utilizatorii nu sunt instruiţi în domeniul securităţii cibernetice, astfel încât să nu acceseze şi să nu aibă încredere în resurse neautorizate. Această analiză o fac şi atacatorii. Ei pot să îşi aleagă victime pe care să le păcălească în acest mod mai uşor. Nu ştiu să spun cu certitudine de ce sunt vizate spitale, dar ştim foarte clar că acestea lucrează cu informaţii medicale care sunt date personale sensibile. Ştim că spitalele au servicii medicale pe care le prezintă şi online, au date medicale pe care le transmit pacienţilor online, fişe medicale, rezultate ale analizelor de laborator şi probabil că atacatorul s-a gândit să exploateze vulnerabilităţi pentru că datele sunt foarte importante şi sensibile“, declară Bogdan Savu, director de dezvoltare software la Tremend.

La o analiză mai atentă a infrastructurii din domeniul sanitar românesc identificăm încă un număr mare de echipamente conectate care nu beneficiază de ultimele patchuri de securitate sau chiar folosesc sisteme de securitate care nici măcar nu mai sunt actualizate de producători. De exemplu Windows XP, care nu mai beneficiază de suport şi actualizare din partea Microsoft şi este folosit în continuare pe scară largă în sistemul sanitar românesc, făcând posibila funcţionarea aparatelor de radiografii dentare, RMN-uri sau CT-uri. Prin infectarea unuia dintre aceste computere cu sistem de operare învechit se poate infecta apoi foarte simplu întreaga reţea.

Evident, ne întrebăm de ce nu sunt aşa de uşor de înlocuit aceste sisteme de operare învechite şi răspunsul ar trebui sa îl căutăm fie la producătorii de echipamente medicale care ar trebui să actualizeze gratuit softurile de interfaţă cu echipamentul astfel încât să funcţioneze în aceiaşi parametri şi pe sistemele de operare mai noi, fie la managementul unităţilor medicale care au amânat investiţiile în sisteme noi de operare din lipsă de fonduri sau pur şi simplu pentru ca echipamentele funcţionează normal chiar dacă sunt vulnerabile în faţa atacurilor cibernetice.

Ce tipuri de malware au infectat sistemele din spitalele româneşti?

Primul semnal de alarmă tras de CERT.RO ne anunţa că „alerta a fost dată în urma raportării acestor incidente, mai multe într-o perioadă scurtă de timp. Este vizat domeniul sănătăţii, au fost vizate spitale, dar ne gândim că atacul se poate extinde, tocmai de aceea considerăm utilă alertarea celor care pot fi vizaţi de aceste atacuri.Vectorul de răspândire al atacului până acum a fost pe mail, reprezentând fişiere care aveau ataşate facturi, care nu erau facturi, bilete de avion şi tot felul de pseudo fişiere necesare activităţii curente“, preciza Cătălin Aramă, directorul general CERT-RO.

„În legătură cu atacurile cibernetice de la spitale, Centrul Naţional Cyberint suspectează că atacatorii sunt de origine chineză. Au fost luate în calcul luând orele la care hackerii chinezi au fost activi şi indiciile lăsate în mesajele de răscumpărare“, informează SRI, prin purtătorul de cuvânt al instituţiei, Ovidiu Marincea.

În urma unei investigaţii derulate de specialişti în securitate cibernetică din cadrul CERT-RO, Cyberint şi Bitdefender, s-a constatat că formele de malware responsabile de atacurile cibernetice recente asupra unor spitale din România sunt Maoloa şi Phobos. Aceşti doi malware nu sunt o noutate absolută, Maoloa fiind prima dată descoperit în februarie 2019, iar Phobos era cunoscut încă din decembrie 2018, aşa cum reiese din articolul publicat de Playtech în ianuarie 2019.

Incidentele de securitate sunt o realitate zilnică

Asociaţia Specialiştilor în Confidenţialitate şi Protecţia Datelor (ASCPD) a tras un semnal de alarmă încă de la începutul anului 2019, în urma sondajului „GDPR in HEALTH România“ realizat în decembrie 2018 (link studiu).

Astfel, ASCPD a semnalat atunci faptul că 37,44% din instituţiile sanitare cuprinse în analiză s-au confruntat cu incidente de securitate şi, cu toate acestea, 73,85% din total nu au implementat un plan de reacţie la incidentele de securitate. 70,26% încă foloseau adrese de email @yahoo.com sau @gmail.com în interes profesional în interiorul reţelei, expunând astfel organizaţie unor riscuri care pot fi evitate. Mai mult, 11.28% nu aveau implementate sisteme tehnice de protecţie antivirus, cel mai des invocând lipsa fondurilor.

„Fiecare organizaţie, nu doar cele din domeniul sanitar, trebuie să implementeze un plan de răspuns la incidente de securitate prin care să identifice şi să descrie rolurile şi responsabilităţile echipei de răspuns în cazul unei breşe de securitate şi apoi să realizeze simulări practice pentru a testa modul de reacţie a angajaţilor în cazul unui atac cibernetic“, declara atunci Marius Dumitrescu, preşedintele Asociaţiei Specialiştilor în Confidenţialitate şi Protecţia Datelor din România.

În contextul atacului derulat în prezent asupra spitalelor din România, Marius Dumitrescu a transmis faptul că „Asociaţia ASCPD a primit o solicitare de a sprijini un spital care a fost afectat de atacurile din ultimele zile şi a oferit consultanţă gratuită responsabilului cu protecţia datelor pentru a gestiona cat mai eficient acest incident de securitate. Încurajăm operatorii să ne ceara sfaturi care sa-i ajute să prevină astfel de incidente înainte de a ne cere ajutorul în urma unui incident de securitate“.

Masurile întreprinse de Ministerul Sănătăţii

Sorina Pintea, ministrul Sănătăţii, a atras imediat atenţia asupra repercursiunilor pe care astfel de incidente le pot avea asupra pacienţilor spitalelor afectate.

„În primul rând, toate documentele care sunt eliberate de către un spital sunt eliberate dintr-un sistem informatic care dacă este blocat bineînţeles că îngreunează foarte mult activitatea de internare de exemplu, de eliberare a reţetelor. Până la urmă pierderea datelor ar fi o problemă majoră, de neconceput“, a declarat Sorina Pintea pentru Digi24.

Alte declaraţii apaţinând Ministrului Sănătăţii:

• „Incidente izolate au mai existat, incidente în care spitalele şi-au pierdut datele şi care au fost recuperate, după caz, de informaticieni sau contra cost. Ultimul exemplu este spitalul din Huşi, care şi-a pierdut toate documentele referitoare la pacienţii care au fost internaţi în spital.“ (datele încă nu au fost recuperate)
• „În 2017 a avut loc un atac informatic la un spital din Maramureş, Sighetu Marmaţiei, s-au identificat hackerii respectivi, erau din altă ţară, s-a plătit suma de 10.000 de euro.“
• „Este sigur că voi face plângere la DIICOT.“
• Întrebată dacă există o modalitate legală de a plăti sumele solicitate de atacatori, ministrul Sănătăţii a spus: „Există modalităţi legale. S-a luat legătura cu Curtea de Conturi. 10.000 de euro sunt nimic faţă de datele stocate acolo“.

Accesarea datelor pacienţilor este cruciala pentru îndeplinirea actului medical. Astfel, în urma atacului, sute de pacienţi nu au putut beneficia de serviciile medicale în spitalele afectate, fiind invitaţi sa revină ulterior sau încurajaţi sa apeleze la serviciile altui spital. Recunoaşterea valorii acestor date de către Ministrul Sănătăţii este un cuţit cu două tăişuri. Deşi semnalul era orientat spre mobilizarea instituţiilor medicale în vederea prevenii altor atacuri, atunci când afirmi că „10.000 de euro sunt nimic faţă de datele stocate acolo“, recunoscând că în trecut s-a optat pentru plata recompenselor solicitate de atacatori pentru decriptarea datelor, acest mesaj poate fi perceput de atacatori drept o încurajare de a continua atacurile şi de a solicita recompense mult mai mari.

Dacă recunoştem importanţa datelor pacienţilor, oare de ce nu au fost luate obligatoriu în fiecare spital măsuri pentru a le proteja, având în vedere că nu este prima dată când întâmpina acest tip de atacuri? Recuperarea datelor, fie că este realizată de specialişti în IT sau prin achitarea recompensei solicitate de atacatori, este mult mai costisitoare decât adoptarea măsurilor de securitate necesare prevenirii unor asemenea atacuri.

În totală contradicţie cu mesajul Ministrului Sîănătăţii, instituţiile şi companii cu competenţe în domeniul securităţii cibernetice, printre care CERT-RO, Cyberint şi Bitdefender, sfătuiesc utilizatorii infectaţi „să nu plătească atacatorilor taxele de decriptare solicitate“. Plata recompensei nu reprezintă o garanţie că infractorii îşi vor onora promisiunea şi le vor reda accesul la date şi, în plus, ar putea fi ţintite din nou de aceeaşi grupare, întrucât au deja un istoric de bun platnici“.

Raportarea incidentelor de securitate

Echipa CERT-RO îndeamnă fiecare operator să raporteze astfel de incidentele de securitate la numărul de telefon 1911 sau pe mail (alerts@cert.ro), cu includerea a două fişiere infectate (criptate) pentru analiză. Se recomandă să ataşaţi acele fişiere într-o arhivă, protejate cu o parolă, pe care să o specificaţi în textul mesajului.

Mai mult, Art. 4 alin. (12) din Regulamentul UE 2016/679 defineşte „încălcarea securităţii datelor cu caracter personal“ ca o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea. Regulamentul UE 2016/679 care a intrat in vigoare la 25 mai 2016 şi se aplică în toate statele membre din 25 mai 2018 prevede că „în cazul în care are loc o încălcare a securităţii datelor cu caracter personal, operatorul notifică acest lucru autorităţii de supraveghere competente (...), fără întârzieri nejustificate şi, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoştinţă de aceasta, cu excepţia cazului în care este susceptibilă să genereze un risc pentru drepturile şi libertăţile persoanelor fizice“.

În acest sens, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal a emis Decizia nr. 128/2018 privind aprobarea formularului tipizat al notificării de încălcare a securităţii datelor cu caracter personal în conformitate cu Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE precum şi Decizia nr. 161 din 9 Octombrie 2018 privind aprobarea Procedurii de efectuare a investigaţiilor. Formularul online de raportare a incidentelor de securitate este accesibil AICI.

Recomandări din partea specialiştilor

Conform surselor noastre, Ministerul Sănătăţii a transmis o adresa în data de 19.06.2019 prin care a informat unităţile spitaliceşti din subordinea sa cu privire la măsurile pe care acestea trebuie sa le implementeze pentru a preveni atacurile cibernetice, recomandări iniţial emise de Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică CERT-RO (CERT-RO)

CERT-RO, Cyberint şi Bitdefender, precum şi instituţiile cu competenţe în domeniul securităţii cibernetice sfătuiesc utilizatorii infectaţi să nu plătească atacatorilor taxele de decriptare solicitate, ci să creeze copii ale datelor compromise şi să se adreseze organelor de poliţie. Odată ce plătesc recompensa, victimele nu au nicio garanţie că infractorii îşi vor onora promisiunea şi le vor reda accesul la date şi, în plus, ar putea fi ţintite din nou de aceeaşi grupare, întrucât au deja un istoric de bun platnici. Nu în ultimul rând, încasările îi vor ajuta pe atacatori să dezvolte ameninţări informatice din ce în ce mai sofisticate, ceea ce va duce pe termen lung la şi mai multe victime infectate.

Pentru a preveni infectarea cu ransomware, utilizatorilor li se recomandă să păstreze copii ale datelor importante, să folosească o soluţie de securitate performantă şi să evite să acceseze linkuri sau fişiere din email-uri nesolicitate.

CERT-RO atrage atenţia, atât utilizatorilor, cât şi personalului care se ocupa de serviciile IT, asupra următoarelor măsuri imediate ce pot fi luate pentru a preveni infectarea cu aceste tipuri de aplicaţii maliţioase:

• nu deschideţi fişierele primite prin e-mail decât în situaţia în care cunoaşteţi expeditorul, iar în cazul unei suspiciuni adresaţi-vă personalului de specialitate;
• evitaţi accesarea „ofertelor “ irezistibile din mediul online, indiferent de forma prin care le primiţi (email, whatsapp, messenger, facebook etc.);
• asiguraţi-vă că aveţi un backup al fişierelor pe un dispozitiv care nu este conectat la reţea;
• asiguraţi-vă că dispozitivele pe care le utilizaţi atunci când navigaţi online sunt updatate şi au instalate soluţii de securitate (firewall, antivirus, antimalware etc.);
• apelaţi numărul unic 1911 pentru raportarea acestor incidente;
• accesaţi ghidurile puse la dispoziţie pe site-ul CERT-RO.

Apreciem ca foarte importante aceste recomandări, însă atragem atenţia ca prevenirea atacurilor cibernetice nu ar trebui sa se limite doar la acestea, motiv pentru care am mai sublinia câteva măsuri importante:

• auditarea sistemelor IT în vederea identificării vulnerabilităţilor;
• implementarea unor politici clare privind prelucrarea datelor personale;
• criptare datelor stocate pe dispozitivele mobile (laptop, tableta, memorii USB) pentru a împiedica accesarea datelor in caz de pierdere sau furt;
• criptarea datelor personale transmise prin e-mail;
• interzicerea accesării datelor de pe CD, DVD, stick-uri USB sau altele asemenea, dacă provin din surse nesigure;
• echipamentele de lucru care stochează date personale vor fi parolate vor fi blocate atunci când nu vor fi utilizare (ctrl+alt+del → lock this computer);
• asigurarea unui sistem de management al accesului, astfel încât fiecare utilizator să se logheze la echipamentul de lucru cu user şi parolă proprii.

Unul din cele mai importante aspecte pe care nu am regăsit-o în adresa Ministerului este necesitatea instruirii personalului. Un personal instruit va fi mult mai vigilent, va identifica eventuale pericole şi va cunoaşte procedurile pe care trebuie sa le urmeze pentru a identifica, semnala sau limita efectele unui atac cibernetic.

„În multe cazuri de ransomware, succesul acestora se bazează pe 4 mari tipuri de probleme: nu pe toate sistemele din reţea rulează un antivirus; sistemele de operare sunt vechi şi neactualizate; parolele folosite de administrator şi utilizatori sunt slabe; utilizatorii deschid fişiere anexate la e-mail fără să verifice sursa lor“, precizează reprezentanţii Kaspersky.

Recomandările Kaspersky pentru protejarea clinicilor de accesul neautorizat, care poate avea consecinţe grave sunt:folosirea de parole complexe pentru a proteja toate punctele externe ale conexiunii; protejarea aplicaţiilor echipamentului medical din reţeaua locală cu parole, în cazul în care o persoană neautorizată ar avea acces în zonele considerate de încredere; protejarea infrastructurii de ameninţări cum sunt programele malware şi atacurile hackerilor, cu o soluţie de securitate complexă; actualizarea politicilor de securitate IT, dezvoltare unui management al patch-urilor, în timp real, şi realizarea de evaluări ale vulnerabilităţilor, dar şi a unui backup la informaţiile critice, cu regularitate, şi păstrarea unei copii a backup-ului offline.

Eroarea umană şi lipsa de instruire este adevărata problemă

Conştientizarea pericolelor în domeniul securităţii este o parte esenţială a formării angajaţilor şi este cel mai eficient mod de a menţine companiile în siguranţă de la intruşi şi hackeri.

Atacurile cibernetice prejudiciază anual economia globală cu 400 miliarde de euro. Mai mult, impactul economic al criminalităţii cibernetice a crescut de cinci ori din 2013 până în prezent şi este considerată o provocare pentru securitatea internă a Uniunii Europene (UE). Totodată, în Europa, peste 50% din cetăţeni se consideră neinformaţi privind ameninţările cibernetice astfel că educaţia digitală, în domeniul securităţii cibernetice, este încă deficitară. În Europa peste 50% din cetăţeni se consideră neinformaţi privind ameninţările cibernetice, iar 70% din interprinderi au cunoştinţe minime despre aceste riscuri. În România educaţia digitală în domeniul securităţii informaţiilor continuă să fie deficitară. În anul 2018, România a fost atât generatoare de incidente de securitate cibernetică, cât şi ţintă, riscul fiind evaluat la nivel mediu, iar tendinţa fiind crescătoare.

Fiecare operator de date este obligat să protejeze în mod corespunzător toate informaţiile referitoare la angajaţii săi, precum şi să protejeze informaţiile comerciale confidenţiale (inclusiv informaţii referitoare la clienţi, angajaţi, afiliaţi). Pentru a atinge acest obiectiv şi pentru a  minimiza riscul pierderii, furtului sau compromiterii informaţiilor legate de afaceri sau de clienţi, sistemele, procedurile operaţionale şi politicile corespunzătoare care sunt în vigoare trebuie revizuite şi actualizate în mod regulat. Problemele de securitate sunt inregistrate zilnic, in absolut toate domeniile de activitate.

Procesul de digitalizare atrage după el şi metode tehnice avansate de securitate, care cresc gradul de protecţie al vieţii private, dar trebuie să conştientizăm în primul rând că cea mai mare vulnerabilitate în cadrul unei organizaţii este chiar resursa umană. Este nevoie de educaţie a personalului mai mult decât investiţii mari în soluţii tehnice de securitate.

„În ultimele zile am avut ocazia să vorbesc cu mai mulţi manageri de spital despre efectul atacurilor cibernetice şi despre recomandările Ministerului Sănătăţii şi ale CERT.RO transmise în ultima perioadă. Cu dezamăgire pot spune că efectul acestor întâmplări nefericite este unul redus, nu am semnalat nici o stare de alertă la nici un spital şi nu am auzit să fie luate masuri de reevaluare sau testare a soluţiilor implementate, ci mai degrabă am auzit «nouă nu ni se poate întâmpla acest lucru» şi că «vem băieţi tineri care sunt pregătiţi». Nimeni nu contestă pregătirea angajaţilor, spun doar că este nevoie de o implicare mult mai mare a managementului şi implementarea unui plan de răspuns la incidente de securitate care nu implică doar informaticienii. Mai mult decât investiţii mari în soluţii tehnice de securitate este nevoie de educaţie a personalului. Sa nu uitam ca aceştia de cele mai multe ori semnează formal documente prin care sunt informaţi ce măsuri trebuie luate şi nu sunt verificaţi ulterior şi mai ales nu sunt luate hotărâri drastice precum interzicerea utilizării emailurilor personale pe echipamentele de la serviciu, de teama unor reacţii negative din partea angajaţilor la astfel de măsuri nepopulare. Cursurile de specialitate şi simulările de atacuri cibernetice ar trebui făcute periodic pentru a implementa în mod real proceduri de prevenire a incidentelor şi proceduri de lucru pentru diminuarea pierderilor şi efectelor în aceste cazuri. Cred că trebuie sa învăţăm din aceste cazuri şi să luăm măsurile necesare pentru a preîntâmpina pierderea de date cu caracter personal ale pacienţilor şi angajaţilor, renunţând totodată să credem că nouă nu ni se poate întâmpla“, a declarat Marius Dumitrescu, Preşedintele Asociaţiei Specialiştilor în Confidenţialitate şi Protecţia Datelor din România.

„În companiile responsabile se fac traininguri periodice de securitate la incendiu, în care eşti învăţat ce să faci şi ce să nu faci când observi foc în clădire – pe unde s-apuci, cum să te fereşti de pericol, ce să nu faci, pe cine s-anunţi etc. Tot aşa, ar trebui să fie organizate traininguri periodice se cybersecurity, în care angajaţii să înveţe cum să identifice o tentativă de phishing, de ce să nu dea click pe orice link, oriunde, ce să facă şi pe cine să anunţe când ceva merge prost. Apoi, testări permanente, controlate, pe angajaţi, cărora le întinzi capcane de phishing, să zicem, după care vezi ce se întâmplă, evaluezi progresul şi o corectezi ce e de corectat“, explică Bogdan Botezatu, director de cercetare ameninţări informatice la Bitdefender

În concluzie, spitalele din România sunt atacate pentru că sunt vulnerabile şi este profitabil având în vedere valoarea informaţiilor şi caracterul sensibil şi mai ales  precedentele create prin plata răscumpărării accesului la date. Putem evita aceste incidente dacă în primul rând renunţăm la mentalitatea ca „mie nu mi se poate întâmpla“ şi investim în instruirea resurselor umane, implementând planuri şi proceduri de lucru în caz de atac cibernetic şi alocând fonduri pentru a impune măsuri adecvate de protecţie tehnică şi organizatorică.