Больницы в хакерском прицеле

Хакерская атака на больницу в Германии 10 сентября привела к смерти пациентки. Это первый случай в истории, когда кибервзлом спровоцировал летальный исход. 78-летнюю женщину, у которой было подозрение на разрыв аорты, не приняли в госпиталь Дюссельдорфа из-за нападения на компьютерные системы и отправили за 30 километров в соседний город Вупперталь. Время для спасения было упущено, и пациентка скончалась.

Следователи обнаружили, что преступники воспользовались уязвимостью в «широко используемом коммерческом программном обеспечении». В результате компьютерные системы больницы выходили из строя одна за другой, из-за чего тяжелых пациентов направляли в другие госпитали, а все плановые операции были отменены.

 

Коронавирус провоцирует киберпреступников

Как следует из отчета министра юстиции Северного Рейна — Вестфалии, злоумышленникам удалось заблокировать 30 серверов больницы, на одном из которых они оставили послание с требованием с ними связаться. При этом не была указана сумма, необходимая для расшифровки серверов. Послание было адресовано Дюссельдорфскому университету имени Генриха Гейне, к которому относится больница.

Как выяснилось в дальнейшем, хакеры не знали, что из-за их действий пострадал госпиталь, а не университет. Когда полиция связалась с преступниками и сообщила им, что пациенты в опасности, они предоставили правоохранительным органам цифровой ключ для разблокировки серверов. После этого контакт с хакерами был потерян. Немецкая прокуратура ведет расследование против неизвестных лиц по факту непредумышленного убийства.

А в августе хакеры совершили нападение на российскую больницу. Жертв, по счастью, не было. Атаке подвергся Свердловский областной онкологический центр. Злоумышленники обрушили базу данных патологоанатомического отделения — без результатов биопсии остались сотни больных.

Врачам стали недоступны, в частности, результаты гистологического исследования, которое оценивает состояние и структуру клеток, что позволяет поставить точный диагноз и проконтролировать эффективность терапии. Пропали результаты жизненно важных анализов за десять операционных дней. За восстановление базы с руководства центра потребовали 80 тысяч рублей.

Но деньги решили не платить. Буквально через десять минут после нападения отдел автоматизированных систем диспансера начал восстанавливать данные. Одновременно с восстановлением лабораторной информационной системы медики собирали результаты исследований, которые дублировались на бумажных носителях — в операционном журнале и на сопроводительных направлениях. Чтобы устранить последствия взлома, потребовалось несколько дней.

По данным ООН, число фишинговых сайтов в мире в первом квартале нынешнего года возросло на 350%, и многие из атак во время пандемии коронавируса были направлены на больницы и системы здравоохранения. Об этом заявил заместитель генсека ООН, глава контртеррористического управления Владимир Воронков.

 

Главное — заранее подготовиться

По данным компании — национального чемпиона «Лаборатория Касперского», в России дела с защитой медицинских организаций обстоят неплохо. «У нас достаточно хорошо развита информатизация и в частных, и в государственных медучреждениях, особенно если сравнивать с другими странами СНГ, — рассказал “Стимулу” антивирусный эксперт “Лаборатории Касперского” Дмитрий Галов. — Наши компании задаются вопросами кибербезопасности, меры по защите принимаются, но на Западе эта индустрия более развита. И это играет нам на руку, потому что мы можем учитывать их опыт и ошибки и знаем, к чему готовиться. Например, в западных странах растет количество случаев мошенничества с медицинскими страховками и рецептами на медикаменты, из клиник крадутся данные для этого, и они очень хорошо торгуются на черном рынке. Стоит такая информация даже дороже кредитной. Пока в России подобных историй мало, и, зная об этой угрозе, к ней можно подготовиться».

Стоит отметить, что в развитых медицинских учреждениях инфраструктура практически ничем не отличается от небольшого производства: в них есть большой периметр, в который включены и хранилища данных, и обычная офисная сеть, и технологическая сеть (все подключенное медицинское оборудование). Поэтому с точки зрения информационной безопасности (ИБ) такие объекты правильно рассматривать как индустриальные и относить к критической инфраструктуре с соответствующими требованиями к их защите, считает Дмитрий Галов.

По его словам, специфическая сложность защиты медучреждений в том, что в них до сих пор используется много протоколов и подключенного к сети оборудования с низким уровнем безопасности. Если, например, сравнивать с другими социально значимыми объектами, например с энергетикой, то там политика ИБ проработана давно и намного лучше. Но здесь мы видим хорошую тенденцию: за последние три года доля атакованных устройств в медицинских учреждениях снизилась с 30% в 2017 году до 19% в 2019-м (данные Kaspersky Security Network).

«Что касается видов угроз, с которыми сталкиваются клиники, — поясняет эксперт, — то это в первую очередь угрозы вида ransomware — вымогатели и шифровальщики, такие как WannaCry или ExPetr. Из громких атак на медицинские организации у нас можно отметить как раз заражение шифровальщиками в 2017 году — тогда пострадали крупные медицинские лаборатории. Собственно, смерть пациентки в Германии тоже связана с программой-вымогателем: клиника была заражена шифровальщиком».

Гораздо реже медицинские учреждения могут сталкиваться с атаками на умные устройства. Например, злоумышленники могут попытаться получить снимки с томографов, были прецеденты нападений на протоколы передачи данных. Но в этих угрозах у преступников пока нет возможности монетизации, поэтому они интересны скорее для исследователей ИБ и не носят массового характера.

Есть еще одна сфера угроз, которые, скорее, относятся к безопасности не строго медицинских, а персональных данных вообще. В России еще несколько лет назад было много случаев мошенничества, связанного с информацией о посещении больниц и поликлиник. Тогда преступники получали данные о пациенте и вымогали деньги, сообщая о вымышленных тяжелых болезнях или предлагая дорогостоящее альтернативное лечение.

«Что же касается защиты от инцидентов, подобных тому, что случился в Германии, с нашей точки зрения, их можно предотвратить, если действовать заранее, — отмечают специалисты “Лаборатории Касперского”. — Конечно, невозможно на сто процентов себя обезопасить, но тут, скорее, стоит задача минимизировать последствия атаки и сделать ее максимально дорогой, невыгодной для киберпреступников».

Для этого надо принимать комплексные меры: защита периметра учреждения, как в индустриальной организации, обучение сотрудников основам ИБ, грамотная работа с персональными данными пациентов, обязательное резервное копирование (как раз на случай атаки шифровальщиками), жесткое разграничение прав доступа, разработка политики ИБ и реагирования на инциденты. Кроме того, в «Лаборатории Касперского» советуют организовать сегментирование и изолирование сетей и ИТ-систем, чтобы в случае заражения какого-либо сегмента остальные оставались работоспособными и могли принять на себя нагрузку с зараженного сегмента.