Od kilku lat obserwuję wyraźny trend – sektor medyczny staje się jednym z najczęściej atakowanych w Europie i w Polsce. W mediach głośno było o sparaliżowanych szpitalach w Niemczech, Francji czy USA, ale u nas też mieliśmy incydenty, o których oficjalnie mówi się niewiele. Prawda jest taka, że szpitale, kliniki prywatne i gabinety lekarskie stały się wygodnym celem dla grup ransomware. I nie chodzi tylko o „duże ryby”. Małe placówki też trafiają na listę celów. Prowadzenie praktyki lekarskiej wymaga skupienia na pacjencie, ale dzisiejsza rzeczywistość zmusza nas, ekspertów IT i właścicieli firm, do spojrzenia prawdzie w oczy: sektor zdrowia stał się ulubionym celem grup przestępczych, zwłaszcza tych stojących za atakami ransomware.
Dlaczego właśnie medycyna?
Powodów jest kilka i każdy z nich sprawia, że to atrakcyjniejszy cel niż np. handel detaliczny czy mała firma produkcyjna.
Wartość danych pacjentów
Dane medyczne są warte wielokrotnie więcej niż zwykłe dane osobowe. Wyciek imienia i nazwiska czy adresu e-mail nie robi na nikim wrażenia, ale historia chorób, wyniki badań, numery PESEL to już coś, co na czarnym rynku sprzedaje się świetnie. Z takich informacji można tworzyć fałszywe dokumenty, wyłudzać leki, kredyty, a nawet szantażować pacjentów. I to za dane, które w gabinecie czy klinice leżą często w niezaszyfrowanych plikach, na komputerach podłączonych do sieci.
Presja czasu i brak tolerancji na przestój
W firmie handlowej czy produkcyjnej atak ransomware jest dramatem, ale firma może działać przez dzień czy dwa w ograniczonym trybie. W klinice, gdzie na wizytę czeka kilkudziesięciu czy kilkuset pacjentów dziennie, a lekarz potrzebuje dostępu do historii chorób, wyników badań czy zdjęć RTG tu i teraz, każda godzina przestoju to katastrofa. To sprawia, że zarząd kliniki szybciej rozważy zapłatę okupu, zamiast prowadzić długie negocjacje albo odbudowywać systemy z kopii. Atakujący o tym wiedzą i właśnie dlatego wybierają medycynę.
Słaba infrastruktura IT
Mniejsze placówki medyczne rzadko mają rozbudowane działy IT. Często jest jeden informatyk „od wszystkiego”, który na co dzień gasi pożary i instaluje drukarki, zamiast prowadzić poważne projekty bezpieczeństwa. Aktualizacje systemów medycznych bywają problematyczne, bo dostawca oprogramowania ma swoje terminy i ograniczenia. Efekt? Systemy stoją na Windowsie 7, serwery są niełatane od lat, a backup leży na dysku USB w szafie. Środki są kierowane na nowy sprzęt medyczny, nie na zaawansowane systemy EDR/XDR, regularne audyty penetracyjne, czy szkolenia. Dla grup ransomware to gotowy scenariusz: włamanie przez dziurawy RDP, szyfrowanie danych, a kopii nie ma albo nie działa.
Brak świadomości wśród personelu
Lekarze i pielęgniarki są świetni w tym, co robią, ale nie są specjalistami od cyberbezpieczeństwa. Wystarczy dobrze przygotowany e-mail, podszywający się pod laboratorium albo NFZ, żeby ktoś kliknął w załącznik. I wtedy już wystarczy jedno nieuważne otwarcie pliku, żeby ransomware rozlało się po całej sieci. Widziałem to w praktyce – klinika średniej wielkości, kilkadziesiąt komputerów, w tym kilka z systemami do obsługi sprzętu diagnostycznego. Jeden klik i wszystkie stacje zostały zaszyfrowane w ciągu kilku godzin.
Jak wygląda atak w praktyce
Schemat jest zwykle podobny. Zaczyna się od włamania przez RDP, phishing lub wykorzystanie dziurawego systemu. Napastnicy cicho rozpoznają sieć, zbierają informacje o serwerach, użytkownikach i backupach. Kiedy są gotowi, odpalają szyfrowanie w nocy z piątku na sobotę. W poniedziałek rano lekarze i rejestratorki odpalają komputery i widzą komunikat z żądaniem okupu. Zwykle w bitcoinach, często kilkadziesiąt czy kilkaset tysięcy złotych. Dla prywatnej kliniki to ogromny cios, ale brak dostępu do danych pacjentów bywa jeszcze gorszy niż utrata pieniędzy.
Co można zrobić
Nie ma złotej recepty, ale są rzeczy, które naprawdę zmieniają sytuację. Dobrze przygotowane kopie zapasowe, które są odseparowane od sieci, dają szansę na szybkie odtworzenie systemu. Regularne aktualizacje systemów, nawet jeśli dostawca oprogramowania marudzi, to konieczność. Ważne jest też szkolenie personelu, żeby wiedzieli, jak wygląda podejrzany e-mail i że nie otwiera się wszystkiego, co przychodzi. Warto też przemyśleć segmentację sieci, żeby sprzęt diagnostyczny, rejestracja i system księgowy nie działały na jednej płaszczyźnie. To nie jest rocket science, ale wymaga świadomej decyzji i inwestycji.
Kliniki i gabinety są dziś na celowniku, bo są łatwe do złamania i zdesperowane, by wrócić do pracy. Atakujący to cynicznie wykorzystują. Jako ktoś, kto widział skutki takich incydentów na żywo, powiem jedno – ta inwestycja w bezpieczeństwo zawsze wychodzi taniej niż okup i chaos po ataku.
Co robić, żeby nie być następnym?
- Kopie zapasowe odseparowane od sieci
- Aktualizacje systemów i aplikacji
- Szkolenia personelu z rozpoznawania ataków
- Segmentacja sieci, aby infekcja nie sparaliżowała wszystkiego naraz
Wspieramy placówki medyczne w budowie realnych zabezpieczeń IT.
Jeśli prowadzisz klinikę lub gabinet i chcesz wiedzieć, jak chronić dane pacjentów i ciągłość pracy – skontaktuj się z nami.
