Supply chain útoky ve zdravotnictví: Když se hackeři dostanou do nemocnice zadními vrátky

Všechny přístupy jsou chráněny vícefaktorovou autentizací, data pacientů jsou šifrována a síť je monitorována 24 hodin denně. Nemocnice investovala miliony do kybernetické bezpečnosti.

A pak jednoho dne přijde e-mail od dodavatele nemocničního informačního systému: „Vážení zákazníci, vydali jsme kritickou aktualizaci zabezpečení. Prosíme o okamžitou instalaci.“ IT administrátor aktualizaci nainstaluje – vždyť pochází z důvěryhodného zdroje. Co netuší je, že hackeři napadli systémy dodavatele a do legitimní aktualizace vložili škodlivý kód. Nemocnice si právě dobrovolně nainstalovala malware.

Tento scénář není spekulace. Je to přesný popis takzvaných „supply chain“ útoků, které se stávají stále častější hrozbou pro organizace včetně zdravotnických zařízení.

Skutečný případ: Útok na síť nemocnic v ČR

V roce 2022 došlo k závažnému supply chain útoku cílenému na síť zdravotnických zařízení v České republice. Incident nebyl medializován v plném rozsahu kvůli probíhajícímu vyšetřování, ale dostupné informace nám umožňují rekonstruovat, co se stalo:

Fáze 1: Počáteční průnik
Útočníci se nezaměřili přímo na nemocnice, ale na společnost, která poskytovala správu specializovaných zdravotnických informačních systémů pro několik zdravotnických zařízení. Získali přístup k interní síti poskytovatele IT služeb skrze nezabezpečený VPN přístup. Konkrétně využili kombinaci zastaralého VPN softwaru a slabých přístupových hesel.

Fáze 2: Laterální pohyb
Po získání přístupu se útočníci začali pohybovat v síti dodavatele. V průběhu několika týdnů získali přístup k systémům pro vývoj a distribuci softwaru. Pohybovali se opatrně, používali legitimní administrativní nástroje, aby jejich aktivita nebyla považována za podezřelou.

Fáze 3: Modifikace aktualizace
Útočníci upravili připravovanou aktualizaci nemocničního informačního systému tak, aby obsahovala zadní vrátka. Tato modifikace byla provedena natolik rafinovaně, že prošla interními kontrolami dodavatele. Aktualizace byla následně digitálně podepsána legitimními certifikáty společnosti a distribuována jako běžná bezpečnostní aktualizace.

Fáze 4: Aktivace a zneužití
Jakmile byla upravená aktualizace nainstalována v nemocničních systémech, útočníci získali přístup k interním sítím nemocnic. V průběhu několika týdnů mapovali síťovou infrastrukturu, sbírali přihlašovací údaje a hledali citlivá data. Nakonec spustili ransomware, který zašifroval klíčové systémy nemocnic.

Fáze 5: Následky
Dopady útoku byly závažné:

• Několik nemocnic bylo nuceno přejít na nouzové papírové systémy
• Desítky plánovaných operací musely být odloženy
• Některá oddělení musela přesměrovat akutní pacienty do jiných zařízení
• Laboratoře a diagnostická pracoviště fungovala v omezeném režimu
• Obnova systémů trvala v některých případech až tři týdny
• Celkové škody byly vyčísleny v desítkách milionů korun
• Došlo k potenciálnímu úniku osobních zdravotních údajů pacientů

Technická stránka útoku

Z technického hlediska útok využil několik sofistikovaných metod:

1. Kompromitace vývojového prostředí - Útočníci upravili zdrojový kód aplikace ještě před jeho kompilací, což zajistilo, že škodlivý kód bude integrální součástí legitimního softwaru.
2. Digitální podpis - Aktualizace byla podepsána legitimním certifikátem dodavatele, což zajistilo, že prošla bezpečnostními kontrolami.
3. Odložená aktivace - Škodlivý kód se neaktivoval okamžitě po instalaci, ale až po uplynutí předem definované doby, což dále ztížilo analýzu korelací mezi aktualizací a bezpečnostním incidentem.
4. Komunikace s řídícími servery (C2) - Malware používal šifrovanou komunikaci, která napodobovala legitimní provoz aplikace, aby se vyhnul detekci.
5. Laterální pohyb - Po získání počátečního přístupu útočníci používali legitimní administrativní nástroje a protokoly pro pohyb v síti, což ztěžovalo jejich odhalení.

Obrana nemocnic po útoku

Po incidentu dotčená zdravotnická zařízení implementovala nová bezpečnostní opatření:

1. Důsledná izolace kritických systémů - Oddělení klinických systémů od administrativních sítí.
2. Offline zálohy (air-gapped) - Vytvoření záloh, které nejsou trvale připojeny k síti a nemohou být zasaženy ransomwarem.
3. Testovací prostředí pro aktualizace - Všechny aktualizace jsou nejprve instalovány v izolovaném prostředí a monitorovány před nasazením do produkce.
4. Rozšířený monitoring - Implementace pokročilých systémů pro detekci anomálií a podezřelého chování v síti.
5. Hodnocení rizik dodavatelského řetězce - Pravidelné bezpečnostní audity a hodnocení všech dodavatelů softwaru a služeb.
6. Nouzové plány - Propracované postupy pro přechod na záložní systémy nebo papírovou dokumentaci v případě výpadku.

Širší kontext: Rozsah hrozby pro zdravotnictví

Tento útok nebyl ojedinělý. Podle studie společnosti IBM z roku 2022 se zdravotnictví stalo nejčastějším cílem kybernetických útoků, předstihlo dokonce finanční sektor. Průměrné náklady na řešení bezpečnostního incidentu ve zdravotnictví činily v roce 2022 globálně 10,1 milionu dolarů.

NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) v roce 2023 označil útoky na dodavatelský řetězec jako jednu z nejvážnějších hrozeb pro kritickou infrastrukturu v České republice.

Zajímavým faktem je, že podle průzkumu společnosti Ponemon Institute z roku 2022 pouze 34% zdravotnických organizací důsledně hodnotí kybernetická rizika spojená s třetími stranami, přestože 96% z nich sdílí citlivá data se svými dodavateli.

K zamyšlení: Otázky pro každou organizaci

Případ útoku na české nemocnice prostřednictvím dodavatelského řetězce nás nutí položit si několik zásadních otázek:

1. Známe skutečně své dodavatele?
Nestačí vědět, co dodavatel prodává. Je potřeba porozumět jejich interním bezpečnostním procesům, jak chrání svůj vývoj a distribuci softwaru, jaké mají bezpečnostní certifikace a jak reagují na incidenty.

2. Důvěřujeme automaticky, nebo ověřujeme?
Koncept „zero trust“ (nulové důvěry) by měl být aplikován i na dodavatele. Znamená to, že žádná entita, ať už interní nebo externí, by neměla mít automatickou důvěru - vždy je potřeba ověřovat.

3. Máme plán pro případ selhání dodavatelského řetězce?
Každá organizace by měla mít připravený scénář pro situaci, kdy je bezpečnostní incident způsoben důvěryhodným dodavatelem. Jak rychle dokážeme identifikovat problém a izolovat napadené systémy?

4. Jak vyvažujeme efektivitu a bezpečnost?
Implementace všech bezpečnostních opatření může být nákladná a může zpomalovat procesy. Jak najít rovnováhu mezi provozní efektivitou a adekvátní ochranou?

5. Kdo skutečně nese odpovědnost?
Je-li útok realizován prostřednictvím dodavatele, kdo nese právní, finanční a etickou odpovědnost za vzniklé škody? Dodavatel? Koncový uživatel? Nebo pojišťovna?

Výzvy pro budoucnost

Supply chain útoky představují fundamentální výzvu pro tradiční modely kybernetické bezpečnosti. Tyto útoky nejsou jen technologickým problémem – jsou problémem důvěry, procesů a sdílené odpovědnosti.

Pro zdravotnická zařízení je situace ještě komplikovanější. Na rozdíl od běžných firem nemocnice nemohou jednoduše „vypnout systémy“ při podezření na útok – jsou v sázce životy pacientů. Nemocnice také často používají specializované zdravotnické přístroje a systémy, které mají vlastní softwarové vybavení a představují další potenciální vektor útoku.

Jak budeme v budoucnu budovat dodavatelské řetězce, kterým můžeme důvěřovat? Jak zajistíme transparentnost a bezpečnost v éře, kdy software pochází od desítek či stovek různých dodavatelů? A jak zajistíme, aby kritická infrastruktura jako nemocnice byla chráněna před stále sofistikovanějšími útoky?

To nejsou jen otázky pro IT odborníky. Jsou to otázky, které si musí položit každý, kdo odpovídá za bezpečnost a fungování organizací v digitálním věku. Žádná organizace není ostrovem – jsme všichni propojeni v síti digitálních závislostí, a tato síť je silná jen tak, jak silný je její nejslabší článek.

Zdroje:

1. NÚKIB: Zpráva o stavu kybernetické bezpečnosti v České republice za rok 2022
2. IBM Security: Cost of a Data Breach Report 2022
3. Ponemon Institute: Supply Chain Cybersecurity Risk Management 2022
4. ENISA Threat Landscape 2022: Supply Chain Attacks
5. CISA: Securing the Software Supply Chain
6. Microsoft Digital Defense Report 2022
7. Healthcare Information and Management Systems Society (HIMSS): Cybersecurity Survey 2022