Dentysto uważaj na cyberatak!

en
17-10-2019, 08:13
W sektorze zdrowia, w ciągu ostatniego tygodnia CSIRT NASK odnotował w Polsce trzy skuteczne infekcje złośliwym oprogramowaniem szyfrującym. Spowodowało to całkowite lub częściowe przerwanie pracy zaatakowanej placówki. Niestety może to być dopiero początek szerszej kampanii wymierzonej w sektor zdrowia, ostrzega NFZ.

Atak zrealizowany w środowisku przetwarzania danych prowadzi do braku możliwości odczytu, edycji lub zapisu danych. Przekłada się to na poważne zagrożenie dla ciągłości usług realizowanych w placówkach, a tym samym rzutuje na bezpieczeństwo terapii pacjentów.

Świadczeniodawcy powinni zastosować się do wytycznych, których samodzielne wykonanie  znacząco zredukuje ryzyko infekcji złośliwym oprogramowaniem typu ransomware.

Do tej pory najwięcej szkód wyrządziło ono w gabinetach stomatologicznych na terenie Stanów Zjednoczonych, o czym informowaliśmy w tekście: Hakerzy zaatakowali dentystów.

Równocześnie istnieje możliwość bezpośredniej konsultacji, jeśli w trakcie realizacji technicznej części zaleceń pojawią się wątpliwości. W tym celu należy kierować pytania na adres cert@cert.pl.

Co zatem należy zrobić?

Weryfikacja procedur wykonywania kopii zapasowych istotnych systemów - mowa o wszystkich systemach zawierających informacje kluczowe dla funkcjonowania podmiotu, np. dane pacjentów, informacje o leczeniu, informacje o kontrahentach, dane kadrowo-płacowe.

W szczególności zbadanie ich pod kątem następujących zagadnień:
- Czy takie procedury istnieją, a ich treść jest aktualna?
- Czy wspomniane procedury działają i są cyklicznie realizowane?
- Czy wykonywana kopia zapasowa danych jest archiwizowana w sposób trwały i odporny? (w szczególności czy przestrzeń kopii zapasowych nie jest podłączona jako zasób sieciowy w sieci roboczej, ponieważ najczęściej również ona zostanie zaszyfrowana)?
- Czy faktycznie istnieje możliwość odtworzenia pracy, wykorzystując wyłącznie kopię zapasową?
- Czy przeprowadzane są testy utworzonych kopii zapasowych w regularnych odstępach czasu?

Identyfikacja zakresu publicznych adresów IP należących do podmiotów sektora zdrowia. W razie wątpliwości należy skontaktować się z obsługującym dany podmiot dostawcą usług internetowych w celu uzyskania takiej informacji.
Skanowanie sieci w poszukiwaniu dostępnych z internetu serwerów i stacji roboczych udostępniających usługę zdalnego dostępu - Remote Desktop Protocol/RDP. Jest to jeden z najpopularniejszych wektorów ataku ransomware celowanego w organizacje. W razie trudności CERT Polska może wykonać je samodzielnie po przekazaniu zakresu adresów IP.
- Jeśli z jakiegoś powodu zdalny dostęp jest konieczny, silnie sugerujemy wprowadzić dodatkowe środki bezpieczeństwa (np. wystawianie zdalnego pulpitu tylko przez firmowy VPN).
- Podjęcie działań zapobiegawczych, np. zmiana konfiguracji zapory sieciowej i blokada dostępu poprzez pulpit zdalny.
- Upewnienie się, że hasła dostępowe dla wszystkich użytkowników - w szczególności administratora - są odpowiednio mocne.

Mogą w tym pomóc liczne rekomendacje dotyczące wybierania silnych haseł, np. to od firmy Avast.

W przypadku wykrycia infekcji oprogramowaniem szyfrującym (zmiana rozszerzenia plików, pojawienie się notki z żądaniem okupu) prosimy o niezwłoczny kontakt z zespołem CERT Polska poprzez stronę https://incydent.cert.pl albo email cert@cert.pl).

Więcej: nfz-olsztyn.pl