Na nemocnici zaútočili zřejmě hackeři-vyděrači. Vir mohl do sítě vpustit i lékař

Radek Dragoun Radek Dragoun
11. 12. 2019 20:22
Počítače a přístroje v benešovské nemocnici zůstávají i nadále mimo provoz. Ve středu velmi brzy ráno se nemocnice stala obětí hackerského útoku, jehož následky se dosud nepodařilo odstranit. Podle zatím dostupných informací se jedná o takzvaný ransomware útok. Pachatelé v takovém případě zašifrují data a za jejich rozšifrování požadují vyplacení určité částky.
Nemocnice v Benešově
Nemocnice v Benešově | Foto: ČTK

V nemocnici v Benešově jsou už od rána policisté i čtyřčlenný tým odborníků z Národního úřadu pro kybernetickou a informační bezpečnost, kteří pomáhají nemocnici vypořádat se s následky útoku. "Naši lidé tam asi dokonce i přespí, budou to systematicky procházet společně s policií. Musí postupovat tak, aby nezničili stopy pro policii. Není to úplně jednoduché," vysvětluje mluvčí úřadu Radek Holý.

S největší pravděpodobností jde o takzvaný vyděračský útok, s úplnou jistotou to však úřad zatím potvrdit nechce. V takových případech pak napadené instituci přijde zpráva s tím, že útočníci za určitý obnos data odšifrují.

"Výše výkupného bývá různá, zpravidla požadují bitcoiny, takže i záleží na aktuálním kurzu. Každopádně se nedoporučuje výkupné platit, protože nikdy nevíte, jestli to skutečně odšifrují," říká Holý. V těchto případech bývá jedinou motivací útočníků získat peníze, k samotným datům se při typickém ransomware útoku totiž útočníci nedostanou, pouze je zašifrují.

Z toho důvodu je provést takový útok snazší než se pokusit data ukrást. Útočníky typicky nemusí být pouze profesionálové, ale i amatéři. Záleží také na tom, jak kvalitně má instituce své systémy zabezpečené. "Benešovská nemocnice měla nový firewall, nový výkonný antivirový systém, takže to spíše svědčí o tom, že šlo o poměrně sofistikovanější útok," odhaduje Holý.

Jako rychlá rakovina

Okolnosti, jak se vir do sítě dostal, zatím nejsou známé. Analýza útoku může trvat dny až týdny. Pro vyděračské viry je však typické, že je do sítě vpustí neopatrný uživatel, který si například v e-mailu otevře infikovanou přílohu nebo klikne na odkaz.

"Tím se to dostane do systému, kde je to pak něco jako 'rychlá rakovina', jede to fofrem," popisuje Holý. Kybernetický úřad proto opakovaně upozorňuje, že je potřeba zaměstnance podobných institucí pravidelně vzdělávat a varovat je před riziky. Lidé by neměli klikat na odkazy či otevírat přílohy, u kterých si nejsou jistí, co obsahují.

Někdy však útočníci v e-mailu dokážou předstírat, že jsou kolegy vytipovaného zaměstnance, a jejich zprávy působí důvěryhodně. Takovým útočníkům pak mohou naletět i proškolení lidé.

Vir se pak šíří celým systémem. V případě nemocnic pak může zašifrovat veškerý provoz včetně objednávkového systému na operace, evidence pacientů, vydávání léků či průběhu léčení jednotlivých pacientů. Nedostupné může být všechno, co běží v digitální formě, včetně například e-mailů.

Nemocnice zvládne ošetřit jen odřeniny

Výpadek sítě začal ve 2:17 na chirurgické ambulanci, kde zaměstnanci pozorovali, že se zpomalují počítače. Do půlhodiny pak už nebyly funkční IT systémy po celé nemocnici. Nefungovaly tak počítače, nešly spustit žádné laboratorní nebo jiné přístroje, rušily se operace.

Lékaři tak mohli provádět pouze ty úkony, ke kterým nepotřebují moderní techniku, jako je ošetření odřenin, šití řezných ran nebo běžné převazy. Některé i běžné úkony však byly neuskutečnitelné. "Když si třeba vykloubíte prst, tak nevíme, jestli máte kost ve správné pozici, protože rentgen a obrazový systém nemáme v provozu," popisoval pro ČTK ředitel nemocnice Roman Mrva.

Holý z kybernetického úřadu upozorňuje, že snížit dopady útoku lze pravidelným zálohováním. V takovém případě pak napadené instituce nemusí přijít o tolik dat. Ředitel nemocnice Mrva však oznámil, že útočníci se dostali i na zálohový server. Hrozí tak, že zdravotníci o některá data přijdou.

Podle kybernetického úřadu je tento typ útoků ve světě běžný. "Hodně jsou orientovány na zdravotní zařízení, obce a podobně," vysvětluje mluvčí Holý. Minulý rok se cílem podobného útoku stala nemocnice v Janově na Rokycansku. Útočníka se vypátrat nepodařilo.

Velké zisky za malé úsilí

Útoky na zdravotní zařízení zmiňuje i výroční zpráva úřadu. Ten v ní varuje nejen před vyděračskými útoky, ale také před odcizením informací o pacientech či jejich pozměnění nebo útoky na zdravotnické přístroje, které jsou připojené k internetové síti. "Kybernetické útoky proti zdravotním systémům mohou při nízkých nákladech a malém vynaloženém úsilí přinést relativně velké zisky," upozorňuje úřad.

A útoky na nemocniční zařízení nejsou v Česku ničím výjimečným, setkala se s nimi už řada nemocnic. "V minulosti jsme čelili útokům, ale jednalo se o uživatelská souborová data, nikoliv o data nemocničního informačního systému. Reagovali jsme na to obnovou dat ze záloh," říká mluvčí Fakultní nemocnice v Motole Pavlína Danková.

Mluvčí uvádí, že motolská nemocnice se před útoky chrání pomocí firewallů, segmentace sítě či monitorováním jejího provozu. Vzhledem k tomu, že jde o velkou nemocnici, tak na ni spadá zákon o kybernetické bezpečnosti. "Bohužel jako pražská nemocnice jsme nemohli čerpat dotace určené na implementaci zákona o kybernetické bezpečnosti, a tak jsou opatření na úrovni odpovídající finančním možnostem nemocnice," upozornila Danková.

Útočníci často nevědí, koho vlastně napadli. Útočí večer, protože je menší pravděpodobnost, že je někdo odhalí, říká odborník na zabezpečení sítí. | Video: Martin Veselovský
 

Právě se děje

Další zprávy