Útok na nemocnici začal v pátek 13. března 2020 ve dvě hodiny ráno den po vyhlášení nouzového stavu kvůli počínající epidemii koronaviru. Atak postupně vyřadil několik IT systémů nemocnice. Vedení špitálu nechalo bezprostředně vypnout všechny počítače. Musely se odložit některé plánované operace, základní provoz zařízení ovšem zůstal zachovaný včetně poskytování akutní péče.
Deník Aktuálně.cz zjišťoval, jak se po roce posunulo objasňování případu a jak vypadá provoz nemocnice dnes. Národní centrála proti organizovanému zločinu vede trestní řízení pro podezření ze tří deliktů. "Pro zločin vydírání, obecné ohrožení a neoprávněný přístup k počítačovému systému a nosiči informací," řekl Aktuálně.cz Hynek Olma, mluvčí Krajského státního zastupitelství v Brně, jež práci policie dozoruje.
Kvalifikace vydírání potvrzuje zjištění redakce Aktuálně.cz, která týden po kybernetickém incidentu upozornila na nástroj útoku. Hacker pronikl do systému nemocnice prostřednictvím kryptoviru Defray, jenž je typický pro požadování výkupného. Virus zašifruje napadená data, za jejichž odblokování požaduje útočník výkupné. Základní taxou v obdobných případech je pět tisíc dolarů v bitcoinech.
Útočníkovi hrozí až 15 let
Masivní útok za sebou nechal výraznou škodu, jež svým rozsahem několikanásobně překročila náklady do té doby největšího kybernetického incidentu v rámci českých nemocnic. Po ataku na špitál ve středočeském Benešově v prosince 2019 zůstala škoda 50 milionů korun. "Předběžně vyčíslená škoda činí 150 milionů korun," řekl k následkům incidentu v brněnské nemocnici mluvčí Olma.
Kriminalisté dosud nikoho neobvinili. Z vyjádření mluvčího brněnských žalobců plyne, že útok pocházel ze zahraničí. "Případný posun v předmětné věci je odvislý od faktické realizace právních pomocí adresovaných zahraničním subjektům trestního řízení," řekl. Jaké instituce se na rozkrývání podílí, není jasné. Podle informací Aktuálně.cz jde o orgány z členských zemí NATO.
"Věcí se zabývá sekce kybernetické kriminality Národní centrály proti organizovanému zločinu," sdělil Aktuálně.cz mluvčí útvaru Jaroslav Ibehej, kdo je klíčovou složkou prověřování na domácí půdě. Pokud se policii podaří původce útoku obvinit, hrozí mu až 15 let za mřížemi. Sazba vyplývá z kvalifikace obecného ohrožení, protože útok na zdravotnické zařízení je z povahy způsobilý ohrozit životy pacientů.
I rok po útoku jsou znatelné následky
Nemocnice i rok po útoku cítí jeho následky znatelně. Zjednodušeně řečeno některé sítě využívané třeba laboratorními přístroji nejsou z důvodů finančních, technických či obchodních stále vyčištěné. "Potenciálně špinavé sítě jsou odizolované, data z nich využíváme a zpracováváme přes určitý firewall. Nicméně ta špinavá část se postupně redukuje," řekl Aktuálně.cz ředitel nemocnice Jaroslav Štěrba.
Ve špitále se dodnes obnovují napadená data. Už v tuto chvíli je přitom jasné, že některá zanikla definitivně. "Přišli jsme o spoustu organizačních dat, smlouvy, právnické dokumenty či vědecká data. Náš sharepoint (zdroj sdílení informací, pozn. aut.) je podle sdělení IT techniků po smrti," popsal ředitel Štěrba. Informace o pacientech, radiologická data či laboratorní data se ovšem podařilo zachránit všechny.
Centrální počítačový systém nemocnice fungoval dva měsíce v provizorním režimu. Na samém počátku ho špitál restartoval, aby bylo možné zprovoznit intranet a elektronickou poštu. Následně se musely znovu propojit jednotlivé složky sítě, jako byl radiologický či laboratorní systém. V prozatímním režimu bylo také složitější vyhodnocovat některá vyšetření.
"Například po vyšetření cévní mozkové příhody na angiografu je třeba, aby ho vyhodnotil neurochirurg, zda je nutné provést zákrok. Běžně se na snímky dívali z domova, ale po útoku se z domova nemohli připojit. Museli kvůli tomu přijet, čímž se ztrácel čas," přiblížil Štěrba. V té době bylo rovněž riziko, kdyby přivezli více případů mnohačetného zranění. Vyšetření na CT a jeho výsledky by trvaly znatelně déle.
Kryptovirus Defray
Jako krizového IT manažera pro vypořádání se s bezprostředními následky útoku požádala brněnská nemocnice o spolupráci náměstka pro informatiku a digitální transformace Všeobecné fakultní nemocnice v Praze Vlastimila Černého. S sebou si do Brna vzal ze svého mateřského zařízení tým expertů, v moravské metropoli zůstali dva měsíce.
"Pro Defray je typické to, že se zaměřuje na zdravotnická zařízení. Je to čistě vyděračský ransomware (ransom je výkupné, pozn. aut.). Kam se dostane, to zašifruje," popsal už dříve Aktuálně.cz v obecné rovině podstatu kryptoviru, jenž pronikl do systému brněnské nemocnice, Aleš Špidla, prezident expertního spolku Český institut manažerů informační bezpečnosti.
Útok byl cílený. V podání viru Defray spočívá v tom, že jeho nosičem je průvodní e-mail s náležitostmi známého uživatele. Vypadá jako odeslaný od někoho, s kým je osoba, která ho otevře, v pravidelném kontaktu. Než ho útočník zašle, zjišťuje, s kým je cílový příjemce v pravidelném spojení, jakou ochranu napadená instituce používá či jak je zranitelná.
Celá instituce jako na dlani
Hacker si zpravidla vybere uživatele, jenž má v rámci systému velká práva. Ideálně míří na správce systému. Jakmile dotyčný e-mail otevře, Defray má volnou cestu. Začne šifrovat data, v některých případech rovnou maže i jejich zálohy. "Když získá kontrolu nad správou sítě, má celou instituci na dlani. Může začít útočit dovnitř samotného systému," vysvětlil už dříve Aktuálně.cz René Pospíšil, manažer české pobočky firmy Bitdefender, jež se zabývá kybernetickou ochranou.
Původci útoku kryptovirem Defray jsou zpravidla organizované skupiny s jasnou hierarchií. Organizace se v takových případech vyplatí, protože jde o výnosný byznys. Nemocnice v krizovém období bývají cílem z důvodu obecně nízkého zabezpečení. Proto opatření brněnského špitálu po útoku vedla i tímto směrem včetně proškolení zaměstnanců.
