Možnosť, že obeť útoku zverejní prípadovú štúdiu, je takmer žiadna. Tak sa na to pozrime cez aktuálnu udalosť vo svete.
Útok a obrana
Zdravotné stredisko Yuma Regional Medical Center (YRMC) v Arizone oznámilo, že sa stalo obeťou ransomvérového útoku, pri ktorom útočníci získali aj údaje približne 700-tisíc súčasných aj bývalých pacientov.
Len čo bol incident identifikovaný, systémy boli prepnuté do režimu offline, aby sa zabránilo ďalšiemu neoprávnenému prístupu. Stredisko okamžite informovalo aj orgány činné v trestnom konaní a na vyšetrovanie si najalo forenzných analytikov, aby určili povahu a rozsah útoku.
Vyšetrovanie však už v tejto fáze potvrdilo, že útočníci získali prístup k systémom medzi 21. a 25. aprílom a pred zašifrovaním súborov exfiltrovali rozsiahle súbory. Počas útoku fungovali systémy strediska s použitím záložných procesov a postupov, čo spôsobilo určité oneskorenie služieb, ale väčšina pokračovala podľa plánu.
Všetci dotknutí pacienti dostali oznámenia, kde ich zdravotné stredisko informovalo o rozsahu incidentu. Odcudzené údaje obsahovali mená pacientov, čísla sociálneho poistenia, informácie o zdravotnom poistení a čiastočné zdravotné informácie.
Postihnutým osobám zároveň stredisko ponúklo bezplatné služby monitorovania kreditu a ochrany pred krádežou identity.
V oznámeniach aj vyhláseniach Yuma Regional Medical Center zdôrazňuje, že do systému elektronických zdravotných záznamov sa útočníci nedostali. Súčasne však manažment potvrdil ďalšie bezpečnostné opatrenia, aby zabránil útokom.
Ak nie je zaplatené výkupné, ransomvérové útoky často vedú k zverejneniu ukradnutých údajov. V tomto prípade však zdravotné stredisko odmieta potvrdiť, či sa na platbe dohodlo.
Komentár
V súčasnosti si už prevádzkovatelia uvedomujú hodnotu dobrého mena na trhu a v prípade kybernetického incidentu sa obávajú aj straty reputácie.
Na druhej strane, ak nebudeme tieto udalosti a incidenty komunikovať, budeme žiť vo falošnej nádeji, že sme v bezpečí. Preto v prípade arizonskej nemocnice pacienti aj médiá ocenili otvorenosť a rýchlosť komunikácie. Z profesionálneho hľadiska to hodnotím ako učebnicový incident handling.
V čase incidentu sa totiž postihnuté zdravotné stredisko mohlo oprieť o bezpečné a kvalitné zálohovanie dát. Nespochybniteľný je kvalitný interný a externý tím a v neposlednom rade mali určite kvalitný záložný plán aj postup, ako sa vrátiť do prevádzky.
Ak by sa niečo takéto stalo na Slovensku, je tu zákonná povinnosť hlásiť incident Národnému bezpečnostnému úradu, a ak by išlo o únik údajov, aj Úradu na ochranu osobných údajov. Obe inštitúcie okamžite uvádzajú do pohotovosti mechanizmy na pomoc a varovanie ďalších potenciálne zasiahnutých subjektov.
Incident treba dôkladne vyšetriť a zdokumentovať a vytvoriť záložné kópie pre forenzných analytikov. Aby sme eliminovali škody, kontrola musí byť dôsledná a musí pamätať aj na „zadné dvierka“, ktoré útočníci často nechávajú v systéme. Útočné techniky sa vyvíjajú exponenciálnou rýchlosťou, a preto všetky zistenia musíme zapracovať do nasledovných opatrení, aby sme minimalizovali riziko.
Boli opísané tony papiera o dôležitosti prevencie v kybernetickej a informačnej bezpečnosti. Pravidelné školenia zamestnancov, tréningy a kontrola dodržiavania štandardov by dnes mali byť rovnako samozrejmé ako školenia bezpečnosti práce či preškoľovanie vodičov.
Miroslav Macko, analytik ALISON Slovakia