Ultimele atacuri ransomware au vizat spitale. De ce?

Persistă confuzia în privința numărului de spitale care au căzut victimă unor atacuri cibernetice ransomware. Ministrul Sănătății spune că-s 5, SRI zice că ar fi vorba de 4. De asemenea, Ministrul Sănătății și SRI se contrazic în privința orașelor în care s-au produs aceste atacuri – doar București, spune dna Pintea, București, Huși, Dorohoi și Alba Iulia, anunță SRI. Nu știm nici când s-au petrecut, de fapt, atacurile – Sorina Pintea a menționat spitalul din Huși printre unitățile vizate în acest atac care ar fi avut loc în ultimele 24 de ore, dar managerul spitalului din Huși a spus ulterior că serverele lor au fost criptate în urmă cu două luni și că datele au fost recuperate, dar nu în totalitate.

Comunicarea pe această temă reflectă, probabil, și coerența măsurilor de cybersecurity din domeniu.

Dar de ce spitale și de ce atât de multe?

Ei bine, nu știu dacă asta reprezintă o consolare, dar nu suntem noi, românii, mai fraieri ca alții. Spitalele sunt o țintă predilectă a atacurilor ransomware în toată lumea, nu doar în România. Zeci de astfel de incidente au fost raportate de spitalele din toată lumea în ultimii ani, iar specialiștii vorbesc despre o creștere exponențială a numărului de cazuri. De ce?

Din două motive:

Primul ține de “suprafața mare de atac”, adică de numărul mare de echipamente conectate care nu beneficiază de ultimele patchuri de securitate sau chiar folosesc sisteme de securitate care nici măcar nu mai sunt actualizate de producători.

Windows XP, de pildă, care nu mai beneficiază de suport Microsoft de mai bine de 5 ani, este folosit în continuare pe scară largă în echipamente medicale computerizate din sistemul sanitar – aparate de radiografii dentare, RMN-uri, unele CT-uri, sau orice alt sistem computerizat. Penetrarea unuia dintre aceste computere cu sistem de operare învechit, neactualizat, poate infecta apoi foarte simplu întreaga rețea.

De ce nu sunt actualizate aceste sisteme de operare? Simplu spus… pentru că nu-i atât de simplu. Nu știi ce se întâmplă dacă instalezi de capul tău un Windows 10 pe un RMN de 2 milioane de euro care funcționează acum cu Windows XP – o să dea erori? O să mai meargă? Actualizările ar trebui să fie făcute de producătorii echipamentului respectiv, dar cyberscuritatea nu e prioritatea lor și nici măcar specializarea lor. Vulnerabilitatea persistă.

Al doilea motiv are legătură cu statutul nu doar economic, ci și social al unei unități sanitare. În cazul unui utilizator privat, criptarea datelor din computerul propriu reprezintă o neplăcere semnificativă, dar foarte rar mai mult de-atât. Însă pentru o unitate sanitară care se trezește cu toate datele medicale despre pacienții săi criptate (plus ștatele de plată a salariilor și toată baza de date a personalului) presiunea de a achita răscumpărarea e mult mai mare. Familiile disperate cer medicilor să salveze viețile celor dragi, cum să le spui că n-o poți face din cauză că nu vrei să dai niște mii de euro pe niște date medicale cruciale? Deși specialiștii în cybersecurity insistă ca victimele să nu plătească, deoarece asta încurajează alte atacuri, e greu să reziști. De altfel, ministrul Pintea a citat cazul unui spital din Maramureș care a dat 10.000 de euro în 2017 ca să-și recupereze datele – și, încă o dată, se întâmplă și la case mai mari.

Ca atare, spitalele sunt atacate pentru că e ușor și profitabil.

Am vorbit pe îndelete cu Bogdan Botezatu, director de cercetare amenințări informatice la Bitdefender, despre atacurile împotriva unor spitale românești din aceste zile. E o anchetă în curs, deci nu toate informațiile pot fi făcute publice, dar iată câteva:

– nu e un ransomware nou, ci o versiune a unuia mai vechi, care a suferit câteva mutații/actualizări (SRI vorbește de BadRabbit)
– nu este decriptabil, datele criptate nu pot fi recuperate fără cheie
– orice soluție recentă de securitate Bitdefender ar identificat și ar fi oprit atacul.

Nu știm ce antiviruși foloseau, sau dacă foloseau, aceste spitale, dar e clar că apărarea, dacă a existat, a fost complet ineficientă.

Cum a fost capturată și criptată rețeaua fiecărui spital? “Probabil prin metoda obișnuită a unui atașament infectat, deschis în vreun departamennt HR, sau la front desk, sau cine știe în ce birou, după care virusul s-a propagat lateral, în rețea, fără dificultate”, spune Bogdan Botezatu.

E destul de dificil să închizi vulnerabilitățile față de atacurile ransomware, dar nu imposibil.

“Echipele de IT trebuie să segrege (să izoleze) mașinile vulnerabile de restul rețelei spitalului, altfel acestea vor fi folosite de atacatori pe post de pivot”, recomandă specialistul Bitdefender.

Apoi, da, vechea poveste: educarea personalului. Practic, asta se face asimilând securitatea cibernetică securității muncii, de exemplu. “În companiile responsabile se fac traininguri periodice de securitate la incendiu, în care ești învățat ce să faci și ce să nu faci când observi foc în clădire – pe unde s-apuci, cum să te ferești de pericol, ce să nu faci, pe cine s-anunți etc. Tot așa, ar trebui să fie organizate traininguri periodice se cybersecurity, în care angajații să învețe cum să identifice o tentativă de phishing, de ce să nu dea click pe orice link, oriunde, ce să facă și pe cine să anunțe când ceva merge prost. Apoi, testări permanente, controlate, pe angajați, cărora le întinzi capcane de phishing, să zicem, după care vezi ce se întâmplă, evaluezi progresul și o corectezi ce e de corectat”, explică Botezatu.

Acum, că știm toate astea, putem să tragem linie, să adunăm, să scădem, și să ne întrebăm în cât timp va reuși administrația publică din țara noastră să reducă semnificativ riscul de cedare la atacuri ransomware.

13 comentarii Adaugă comentariu

  1. Problema nu este ca au fost compromise acele date, problema e ca, sistemul asta de rahat, romanesc, e condus de oameni cretini, care fac ceva doar cand au probleme, pe sistemul.. if it works, don’t fix it. Asa si cu informatica in institutii. Nu angajeaza IT-isti competenti, ca ce domne, nu-s bani la buget, dar sa dea bani pe o licenta sau unei firme competente, nu dau decat daca e in SEAP, si chiar si asa, nu-s fonduri.

    Thumb up 0
    • Cu toate astea, am vazut ca la anumite tipuri de achizitii directe primariile, consiliile judetene si diversele autoritati publice se descurca foarte bine, daca e firma lu’ nașu etc.

    • @Catalin
      Să nu exagerăm. Nu doar intreprinderile de stat sunt deficitare. Și în zona privată (ca să nu mai vorbesc de consumatorii … casnici) este răspândită … inocenta ignoranță.

      @Vlad
      Ai dreptate! cu mențiunea că „etc”-ul (după ce am aflat -cu toții!?- cine stabilea strategiile de dezvoltare în Teleormanul condus de Dragnea și în Slatina lui Vâlcov) este (cel mai) greu de cuprins.

      Thumb up 0
  2. Cel putin unul dintre spitalele atacate, daca nu cumva toate, nu aveau nici macar Windows legal sau antivirus, asa ca despre ce vorbim aici? Daca s-ar face un control in spitale ati descoperi cu groaza ca n-au absolut nicio securitate si folosesc software piratat. Back-up-uri zilnice, nici vorba. E uimitor ca nu se intampla mai des sau poate se intampla si cazurile sunt musamalizate.

    Thumb up 2
  3. Eu îi dau dreptate Sorinei Matei

    https://www.facebook.com/sorinaruxandra.matei/posts/2383380415320146
    https://www.facebook.com/sorinaruxandra.matei/posts/2383446671980187

    Citez:

    ”Ati auzit de judecătoarea Tatiana Rog de la ICCJ? Întru in-dependenta Justitiei, soțul de la SRI, domn general Rog de la Serviciul Roman de Interese aka SRI, are o marota acum ca tot SRI cu atacurile cibernetice. Statale, nenica. Le-a furat informații strategice. Atât de buni sunt. Așa o țin de câțiva ani, la fel ca si ceilalți de la Cyberint care tot la fel de praf erau. Normal, ca-s pe bani publici. Numai specialiști. Beton. Acum vor iar lege specială și bani, coco de la fraieri. Logic. Mai schimbați poezia talharilor ca sunteți plictisitori. Transparentizati fondurile operative, meleoanele de la fraieri pe care le tocati anual și nu dați nicio socoteala”

    ”Sorina Pintea de la Secu şi SRI o ţin de dimineaţă langa cu atentatul la siguranţa naţională. Când îi întrebi care-i atentatu’ ei nu ştiu ce s-a întâmplat. Practic, i-a atacat nişte hakeri. De smart şi profi ce sunt. Bine. P’ăştia îi plătiţi dvs. 👌😂 Io zic să-i chemaţi p’ăia de la IRA că am văzut că sunt smart asses. Nu, IRA nu este Armata Republicană Irlandeză ( că aşa mi-a scris un idiot probabil d’al vostru p’aci)”

    Thumb up 2
    • Numita Sorina Matei tine neaparat sa demonstreze pe orice subiect ca ce stie ea nu stie nimeni, si cum intelege ea, tot la fel nimeni..Din care cauza arunca tot felul de gulfe cu un debit de-ti ia toata linistea precum si cheful de a o (mai) citi.
      Am dubii ca respectiva mai scrie ceva de capul ei. Sau ca mai stie maine ce-a scris ieri.

      Thumb up 0
  4. Asta-i beleaua cand se intersectează lumea ingineriei cu lumea businessului :) Toti vor acum tot felul de kkturi interconectate wireless, deși habar nu au care sunt riscurile la care se expun (e.g. Video baby monitor via wifi…Doh!).
    Anumite sisteme sunt proiectate sa lucreze dupa un anumit proces repetitiv o căruța de ani, fără intervenție din exterior. Insa, uneori, vine jiji de la “analiza business” si spune ca ar vrea totuși sa faci o soluție mai flexibila, sa o poti vinde la inca o mie de alți clienți, dar cu o alta poleiala. Apoi, dintr-o gălăgie de parametri îmbârligati (sa le oferi cuptorul care gătește pizza, in timp ce-ți descarca de pe torrent si iti citește horoscopul cu voce tare), iti poti închipui ce iese.
    In exemplul tau cu masina de RMN, chiar nu înteleg ce importantă are sistemul de operare cu vulnerabilitatea discutata? Ce inginer cu minte-n 4 colțuri ar oferi acces din exterior catre o astfel de masina?! Evident ca proiectezi o astfel de masina sa funcționeze in izolare, într-un circuit închis, in care toti actorii cooperează într-un ecosistem propriu.
    Daca totuși vrei ceva acces remote, exista soluții, evident…Insa trebuie apelat la specialiști si trebuie asumată răspunderea de a plăti o mentenanța pe viața. Dar…asta sa fie ultima grija in Romania 🚀

    Thumb up 1
  5. „kkturile interconectate wireless” nu doar în rețele locale ci cu marele internet – numite generic unități IoT (Internet of Things), au depasit de câțiva ani la număr oamenii care se conectează … „tradițional” prin calculatoare, telefoane, tablete etc.

    Și ritmul anual de creștere (ca număr de unități, cifră de afaceri și servicii aferente) este de peste 20% și se pare că nu va fi încetinit nici în deceniul următor.

    Așa că kkaturile (sic!) trebuie privite cu mai mult respect, fiindcă practic am început deja să bălăcim între/ printre ele.

    —-

    Revin la exemplul tău. După cum intuiești, un RMN e o sculă foarte scumpă, pe care cine o are, o vrea funcțională cât mai mult timp. Motivele pentru care ar trebui să aibă o conectivitate avansată o astfel de sculă pot fi sugerate de întrebările următoare:

    Dacă rezultatele produse de RMN sunt informații, de ce să nu le transmita … (și) informatic (într-un sistem, sau într-un cloud, acolo unde poate fi salvată/ arhivată/ regăsită)?

    Dacă are un „creier” de ce să nu se conecteze singur pentru a-și face (fără a apela la „Dorel”) actualizările care îi sporesc fucționalitatea si siguranța?

    Dacă se poate, de ce să nu alerteze pe cine știe el mai bine dacă are o problemă sau dacă chiar/ doar anticipează că va avea (pe care nu și-o poate remedia singur!)?

    Thumb up 1
    • @de facto: nu doream chiar sa intru in tehnicalitati, insa mulțumesc pentru clarificări.
      Maine, cand voi scoate capul din peștera, cu siguranța ca voi fi de aceeasi părere 👾

      Thumb up 0
  6. De la WIn8 in sus deja avem antivirus integrat in sistemul de operare… Si daca e sa ne gandim am avut upgrade gratuit ptr. WIn7 la WIn10. Adica nu te costa nimic sa pui solutia de securitate Mcirosoft. Daca inca mergem cu Win XP ghinion :)

    Thumb up 0
  7. Lipsa de informatie este la fel de daunatoare ca si prostia celor ce conduc institutiile statului.Autorul da viata unui articol in care analiza situatiei incepe din start cu stangul!Autorul se intreaba cum sa FACEM DIN WINDOWS XP-WINDOWS 10!!! Apoi discuta cu reprezentantul Bitdefender! Sa mori de ras! Orice copil stie ca in administratie cel mai indicat sistem de operare este pe o platforma Linux! Urmeaza sistemul de servere al spitalelor.Ele au datoria sa filtreze si sa limiteze categoria de adrese accesibile utilizatorilor!Asa se intampla in multe spitale din tara,spitale care nu au intampinat astfel de situatii!

    Thumb up 1

Adaugă un comentariu

Câmpurile marcate cu * sunt obligatorii! Adresa de email nu va fi publicată.
Acest blog folosește serviciul Gravatar pentru afișarea pozei de profil a comentatorilor. Pentru setarea unui avatar, accesați acest link.