Na nemocnici v Brně zaútočil vyděračský virus, špitál povolal krizového IT manažera

Jan Horák Jan Horák
20. 3. 2020 17:15
Je to přesně týden, co provoz Fakultní nemocnice Brno ochromil kybernetický útok. Podle zjištění deníku Aktuálně.cz útočník vnikl do IT systému nemocnice prostřednictvím kryptoviru Defray, který je typický při požadování výkupného. Nemocnice kvůli obnově systému povolala specialistu ze Všeobecné fakultní nemocnice v Praze Vlastimila Černého, na místě zůstávají experti z NÚKIB a NCOZ.
Ilustrační snímek
Ilustrační snímek | Foto: Shutterstock

"Část systému je obnovena, pracuje se na tom ve dne v noci. Na plné obnovení to bude ještě nějaký týden trvat. Já doufám, že se v pátek přehoupneme přes polovinu," popsal Aktuálně.cz současný stav odstraňování následků útoku ředitel nemocnice Jaroslav Štěrba.

Ačkoliv se kvůli tomu odložily plánované operace, čemuž do značné míry přispěla i epidemie koronaviru, základní provoz nemocnice je zajištěný.

Útok se spustil ve dvě hodiny ráno, virus začal postupně vyřazovat jednotlivé složky IT systému nemocnice. Špitál reagoval nejjednodušším způsobem. "Bylo potřeba vypnout všechny počítače," popsal v den události ředitel Štěrba. V nemocnici se přitom provádí testy při podezření na koronovirus, této činnosti se ale útok nedotknul.

Podle zjištění deníku Aktuálně.cz ze dvou spolehlivých zdrojů provoz nemocnice ochromil kryptovirus Defray. Šlo o cílený phishingový útok. Podstata phishingu spočívá v podvodném vylákání citlivých informací, kdy se základní nástroj útoku, nejčastěji e-mail, tváří jako důvěrně známý. Po jeho otevření kryptovirus pronikne do systému, kde jeho klíčové složky zašifruje.

"Pro Defray je typické to, že se zaměřuje na zdravotnická zařízení. Je to čistě vyděračský ransomware (ransom je výkupné, pozn. aut.). Kam se dostane, to zašifruje," popsal Aktuálně.cz v obecné rovině podstatu zmíněného kryptoviru Aleš Špidla, prezident expertního spolku Český institut manažerů informační bezpečnosti.

Defray napadá v první linii správce systému

Smyslem útoku je donutit instituci zaplatit za to, že útočník jim napadené části systému odblokuje. Špidla upozorňuje, že pro dešifrování souborů se základní taxa pohybuje kolem pěti tisíc dolarů v bitcoinech. Zda je požadavek na výkupné součástí ataku na brněnskou nemocnici, není oficiálně jasné. Ale podle informací Aktuálně.cz špitál skutečně obdržel adresu, kam má výkupné poslat.

Cílený phishing v podání kryptoviru Defray vypadá obvykle tak, že jeho průvodní e-mail má náležitosti komunikace známého odesílatele. Jinými slovy vypadá ve všech ohledech tak, že ho poslal někdo, s kým je osoba, která ho otevře, v běžném kontaktu. Před zasláním takového mailu útočník tráví čas zjišťováním, s kým vybraný člověk komunikuje, jakou ochranu napadená instituce používá a v čem je tato ochrana zranitelná.

Foto: Fakultní nemocnice Brno

V první linii útoku si hacker vybere uživatele, respektive počítač s velkými právy, ideálně jde po správci systému. Další jeho cesta je pak snadná. "Když získá kontrolu nad správou sítě, má celou instituci na dlani. Může začít útočit dovnitř samotného systému," vysvětlil Aktuálně.cz další typický rozměr útoku kryptovirem Defray René Pospíšil, manažer české pobočky firmy Bitdefender, jež se zabývá kybernetickou ochranou.

Útoky organizované skupiny

"Dnes se tyto útoky snaží zneužít situaci, která souvisí s nemocí Covid-19. V rámci nasazení bezpečnostních ochranných mechanismů jsou nemocnice velmi zranitelné, což útočníci dobře vědí. V případě takových kritických situací, jako je tato, instituce často sáhnou k tomu, že zaplatí," upozorňuje Pospíšil. 

Kryptovirus Defray je také zákeřný v tom, že zpravidla maže on-line zálohy dat napadeného systému. Jinými slovy on-line zálohy spojené s počítači, nad kterými útočník získal kontrolu, zničí. V takovém případě je pak nutná obnova části nebo, podle rozsahu zasažení, celé IT infrastruktury, což je finančně velmi nákladné. 

Za útoky kryptovirem Defray běžně stojí organizované skupiny s jasnou strukturou. Důvodem je, že jde v důsledku o výnosný vyděračský byznys. "To už nejsou šmudlíci s mikinou a bednou redbullu," říká prezident spolku manažerů kyberbezpečnosti Špidla. Problémem však bývá, že sami útočníci nejsou někdy schopni postižené soubory dešifrovat. Napadený si často musí pomoci sám prostřednictvím dekryptovacích programů.

Do Brna zamířil expert z pražské nemocnice

Podle zjištění deníku Aktuálně.cz požádala brněnská nemocnice v souvislosti s vypořádáváním se s následky útoku o pomoc náměstka pro informatiku a digitální transformace Všeobecné fakultní nemocnice v Praze Vlastimila Černého. Do Brna si s sebou vzal tým několika expertů, kolegů ze svého mateřského špitálu.  

"Je to krizový manažer, který u nás bude několik týdnů. Pomáhají nám s náběhem, protože ten náraz byl skutečně velký. Tuto pomoc jsme uvítali, navíc v době koronaviru. Pak se vrátí zpátky na své mateřské pracoviště," říká ředitel brněnské nemocnice Štěrba.

Ústřední orgán pro kybernetickou bezpečnost

Národní úřad pro kybernetickou a informační bezpečnost vznikl k 1. srpnu 2017, vydělil se z Národního bezpečnostního úřadu. Jeho vznik legislativně zastřešil zákon č. 181/2014 o kybernetické bezpečnosti. NÚKIB je ústředním správním orgánem pro kybernetickou bezpečnost včetně ochrany utajovaných informací v oblasti informačních a komunikačních systémů a kryptografické ochrany.
V praxi to znamená, že má chránit bezpečnost strategické kybernetické infrastruktury, detekovat případné útoky na tuto infrastrukturu a předcházet jim. V současnosti v něm pracuje zhruba 200 lidí, cílový stav je 400 pracovníků. 

Štěrbův špitál také poptává několik hardwarových multiduplikátorů pevných disků. Zařízení funguje tak, že je schopné rozkopírovat důležitá data ze zachovaného disku, nejčastěji zálohy, do postižených disků tak, aby fungovaly. "Potřebujeme je právě proto, abychom mohli obnovit činnost centrální informatiky," vysvětluje ředitel.

Vedle expertů z Národního úřadu pro kybernetickou a informační bezpečnost, kteří objasňují povahu útoku, jsou na místě i příslušníci Národní centrály proti organizovanému zločinu. Útok se prověřuje pro podezření z trestného činu. "Za dozoru Krajského státního zastupitelství v Brně byly zahájeny úkony trestního řízení, ke kvalifikaci se zatím vyjadřovat nebudeme," řekl Aktuálně.cz mluvčí brněnských žalobců Hynek Olma.

 

Právě se děje

před 19 minutami

ÚOHS zakázal uzavřít smlouvu na metro D, prověří vypsání tendru

Úřad pro ochranu hospodářské soutěže (ÚOHS) zakázal pražskému dopravnímu podniku předběžným opatřením uzavřít smlouvu s vítězem veřejné zakázky na vybudování prvního úseku metra D z Pankráce na Olbrachtovu. Zákaz platí, než úřad posoudí, zda byla veřejná zakázka vypsána v souladu se zákonem. Na předběžné opatření upozornil server Seznam Zprávy, vydání následně potvrdila mluvčí úřadu Milena Marešová.

"Úřad vydal předběžné opatření včera (ve čtvrtek), dnes bylo doručeno účastníkům řízení. Správní řízení jsme zahájili na návrh společnosti Eurovia, která podala návrh na přezkoumání postupu zadavatele. Předběžné opatření zakazuje uzavřít smlouvu s vybraným dodavatelem do doby, než správní řízení skončí. V opačném případě by nebylo možné uložit nápravné opatření v případě, že úřad zjistí pochybení," uvedla Marešová.

Zakázku na výstavbu prvního úseku metra D z Pankráce na Olbrachtovu vyhlásil pražský dopravní podnik a její hodnota přesahuje deset miliard korun.

před 21 minutami

Hokejový obránce Šulák posílil Kärpät Oulu

Český hokejový obránce Libor Šulák se stěhuje z celku KooKoo Kouvola do Kärpätu Oulu. Šestadvacetiletý odchovanec Pelhřimova uzavřel s nejlepším týmem uplynulého ročníku finské nejvyšší soutěže, nedohraného kvůli pandemii koronaviru, roční smlouvu.

Šulák by měl pomoci nahradit v Oulu mezeru po odchodu krajana Jakuba Krejčíka, který byl s 30 body z 44 utkání nejproduktivnějším obráncem Kärpätu. Přestoupil do Jokeritu Helsinky do Kontinentální ligy.

Ve Finsku Šulák obleče dres třetího klubu. V ročníku 2017/18 byl zapůjčen z Detroitu do Pelicans Lahti a v druhé polovině loňského roku zamířil po konci angažmá v Čerepovci v KHL do Kouvoly. V jejím dresu si připsal v 31 duelech 16 bodů za sedm branek a devět asistencí.

před 41 minutami

Sparta prodloužila smlouvu s brankářem Hečou do roku 2023

Fotbalová Sparta si pojistila služby brankářské jedničky Milana Heči. Devětadvacetiletý gólman prodloužil s Pražany smlouvu až do roku 2023, původní kontrakt mu měl vypršet příští léto. Letenští o tom informovali na svém webu.

"Přišel jsem s tím, abych něco odchytal a pomohl nějak týmu. To se mi zatím daří. Vyvíjí se to z mého osobního pohledu tak, jak jsem si představoval," uvedl Heča.

Do Sparty přestoupil předloni v létě ze Slovácka. V první sezoně na Letné plnil roli náhradníka za Florinem Nitou, v tomto ročníku se stal týmovou jedničkou. Ve středu se Spartou vyhrál domácí pohár MOL Cup po finálovém vítězství 2:1 v Liberci. V lize má na kontě 162 zápasů.

před 1 hodinou

Potřebujeme evropské peníze hlavně na infrastrukturu, shodli se lídři Visegrádu

Premiéři zemí visegrádské skupiny (Česko, Slovensko, Polsko, Maďarsko) se shodují, že čerpání peněz z evropského fondu obnovy musí být flexibilní a spravedlivé. Nemůžeme být trestáni za úspěchy, řekl polský premiér Mateusz Morawiecki na tiskové konferenci po jednání předsedů vlád ve Varšavě.

Státy jižní Evropy podle Morawieckého potřebují peníze na boj s nezaměstnaností, jiné, například ty ze střední Evropy, na rozvoj infrastruktury. "Musíme mít prostředky na infrastrukturu, výstavbu silnic, železnic, mostů, energetickou a internetovou infrastrukturu, digitalizaci. Proto je flexibilita pro nás velmi důležitá. To je to, o čem jsme mluvili a na co budeme mít stejný názor v Bruselu," řekl.

Prezidenti a premiéři zemí Evropské unie se tam 17. července poprvé po pěti měsících protikoronavirových opatření osobně setkají, aby jednali o unijním rozpočtu na léta 2021-27 a fondu obnovy ekonomik.

Zdroj: ČTK
Další zprávy