Spitalele din România, expuse atacurilor cibernetice. Expert: Majoritatea nu au nici cel mai elementar nivel de securitate a informațiilor, unele au servere de e-mail ținute prin Rusia
Spitalele din România, expuse atacurilor cibernetice. Expert: Majoritatea nu au nici cel mai elementar nivel de securitate a informațiilor, unele au servere de e-mail ținute prin Rusia
Radu Stănescu, fondatorul grupului de voluntari Cyber Volunteers 19, a explicat într-un interviu acordat News.ro cât de vulnerabile sunt spitalele din România în fața unor atacuri cibernetice.
Expertul spune că în martie anul trecut a început un proiect împreună cu CERT.RO ( Centrul Național de Răspuns la Incidente de Securitate Cibernetică), prin care datele informatice din cadrul spitalelor urmau să fie mai bine securizate, din punctul de vedere al atacurilor cibernetice de pe internet. Expertul în securitate cibernetică atrage atenția asupra faptului că majoritatea spitalelor din România nu au nici cel mai elementar nivel de securitate a informațiilor și că cei mai mulți dintre manageri nu au fost interesați să obțină sprijin prin acest program. Radu Stănescu afirmă că sunt trei riscuri majore, dintre care cel mai grav este legat de controlul funcționării echipamentelor medicale din spital. Pacienți uciși cu bună știință, istoric medical șters, blocarea activității unui spital - sunt scenarii posibile.
"Proiectul se numește Cyber Volunteer 19, este un proiect pe care l-am preluat ca idee după ce l-am văzut pornit și în alte țări, în Australia, în Marea Britanie, am preluat inițiativa de a face acest proiect pe România , cu voluntari din zona de cyber security , în care să ajutăm în mod gratuit spitalele din România care ne cer sprijinul. A fost un proiect făcut în parteneriat făcut în parteneriat cu cert.ro, l-am demarat anul trecut în martie, la început de pandemie. De atunci am monitorizat din informații publice, din surse de pe internet, undeva în jur de 370 de spitale, pentru diverse vulnerabilități pe care le puteam descoperi din surse publice, deoarece prin cadrul legal din România nu avem voie să testăm fără acordul spitalului, nu avem voie să intrăm în niște teste mai avansate. S-au făcut două sesiuni de comunicare și conștientizare cu spitalele în parteneriat cu CERT.RO, una în octombrie, una în decembrie, în care le-am explicat care este situația din ce am descoperit eu până acum. Să aibă o protecție mai bună la atacurile care vin dinspre internet, evident nu înseamnă că această protecție este o protecție totală a spitalului, pentru că și în partea de rețea internă trebuie făcute diferite proceduri instalate, software-uri și alte metode de protecție, dar măcar la atacuri din exterior , de pe internet să fie mai bine securizate, de a preveni sau măcar detecta atacurile care vin din internet", a precizat specialistul pentru News.ro.
Cele mai multe dintre spitalele din țară sunt descoperite în fața atacurilor cibernetice. Radu Stănescu spune că, din 370 de spitale doar o mică parte s-au arătat interesate să aibă o protecție mai bună a datelor. Ultimul atac cibernetic a avut loc săptămâna trecută, asupra bazelor de date de la Spitalul CF Witting din Capitală.
"Din 370 de spitale, s-au arătat interesate să facă acest lucru undeva la 8-9 spitale, ultimul dintre ele a făcut acest lucru chiar săptămâna trecută, ne-a cerut sprijinul, l-am oferit, astăzi tocmai am calibrat raportul cu recomandările pentru spital, și, ulterior, dacă ne vor cere sprijinul pentru implementarea acelor recomandări , o să-i ajutăm și în partea a doua, în pasul doi. Este vorba despre Spitalul Județean Craiova. Această cerere nu a venit în urma atacului de la Witting, s-a întâmplat înainte de asta, nu sunt corelate.
Toate spitalele din România sunt sub directiva NIS care cere un set minim de măsuri de securitate implementate, este o directivă europeană, transpusă în România prin Legea 362/2018, și care prevede un anumit set de acțiuni, de măsuri, de tot felul de procese care trebuie implementate în fiecare spital sau clinică și în această idee, cei de la Spitalul Județean din Craiova ne-au cerut sprijinul.
Atacul de la Witting a fost unul de tip ransomware, este practic ultimul pas al atacului, în momentul în care deja se are deja acces în infrastructura spitalului, în serverele spitalului, și atunci se pornește acest atac ransomware care criptează, codează toate datele , ele nemaiputând fi folosite de către cei din spital, și se cere o răscumpărare în vederea furnizării unei key de decriptare pentru a putea avea acces din nou la aceste date. Evident, absolut nimic nu garantează faptul că dacă se plătește acea răscumpărare se va primi acea cheie și dacă acea cheie chiar va decripta datele sau va cripta și mai tare, nu se știe niciodată acest lucru.
Din punctul nostru de vedere, este o lipsă acută de conștientizare a fenomenului securității cibernetice. De aici derivă niște acțiuni care ajung să se concretizeze printr-un atac. La nivelul managementului este lipsa unei acțiuni de implementare a unui program de securitate cibernetică. Întotdeauna, ei (n.red managerii de spitale) vor găsi altceva mult mai important, merg pe ideea că ”nu mi se întâmplă mie”, sau merg pe ideea greșit înțeleasă că anumitor instituții sau autorități din România le cade în responsabilitate implementarea acestui program, însă este un program care trebuie implementat la nivelul fiecărui spital, evident că există niște instituții care pot ajuta cu recomandări în cazul unui incident, dar ideal este să nu se ajungă la acel punct și să se ceară în avans unor instituții un sprijin sau către noi să vină cu o cerere de sprijin prin care să le dăm niște recomandări, să le spunem ce trebuie să implementeze, să bugeteze, evident, pentru că nu se poate rezolva absolut tot fără niciun fel de buget alocat. Nu există această conștientizare, nu resimt asupra lor ceea ce se poate întâmpla în cazul unui atac", spune Radu Stănescu.
Cum anume poate avea loc un atac cibernetic și ce înseamnă accesul la datele unui spital? Radu Stănescu spune că sunt trei riscuri majore, dintre care cel mai grav este legat de controlul funcționării echipamentelor medicale din spital. Pacienți uciși cu bună știință, istoric medical șters, blocarea activității unui spital - sunt scenarii posibile.
"Se dă un mesaj un mesaj cu un format foarte veridic în care i se spune ori că a câștigat ceva, ori că i-a venit o notificare de la un curier, ori de la bancă a venit ceva, care seamănă foarte bine cu un mesaj oficial din partea acelei entități, și îi roagă să acceseze un anumit link. În momentul acela în care s-a accesat acel link se declanșează atacul.
Ce înseamnă de fapt un atac la datele dintr-o unitate sanitară?
Sunt trei riscuri majore. Primul risc major este cel legat nu neapărat de datele pacienților, aceasta ar fi un al doilea nivel de risc, primul și cel mai important este faptul că anumite echipamente din spital sunt conectate direct la rețeaua informatică. De exemplu, există injectomate, care împing printr-o branulă către pacient o anumită cantitate de medicament. În momentul în care cineva preia controlul acestor echipamente, fiind în interfața spitalului, atunci poate foarte ușor să-l omoare. Vine la un moment dat o supradoză, l-a omorât instant. Acesta este cel mai mare risc care se poate întâmpla.
În general, interesul este unul financiar al unui atacator, mai rar se întâmplă să își dorească să îl ucidă pe un pacient.
Al doilea risc este cel de a cripta datele și de a se pierde cu totul istoricul unui pacient, ce alergii are, ce a mai pățit înainte, și atunci iar se pot administra niște medicamente care să pericliteze viața pacientului. Mai departe este elementul în care se merge pe obținerea unor date sensibile și confidențiale despre pacienți în vederea șantajului lor. Au fost cazuri în alte țări.
În ultimă instanță, este blocarea activității unui spital, prin prisma faptului că nu se mai poate accesa niciun sistem și trebuie să se facă totul offline, pe hârtie, cum s-a întâmplat la Spitalul Witting. În cazul de la Witting, fiind un atac cunoscut, s-a putut decripta fără a plăti acea răscumpărare, pentru că, dacă era ceva necunoscut, nu se puteau recupera datele și era o problemă mult mai mare", spune expertul.
Un program de management al vulnerabilităților din punctul de vedere al securității datelor pacienților, esențial în România. Radu Stănescu spune că marea majoritate a spitalelor nu au nici măcar cel mai elementar nivel de securitate a informațiilor. Stănescu: "Am găsit spitale care aveau serverele de e-mail ținute prin Rusia". Spitalele care nu se pun la punct din acest punct de vedere pot fi amendate cu 5% din bugetul pe care îl au.
"Trebuie să existe un program de management al vulnerabilităților. Există spitale care au o infrastructură mult mai bine pusă la punct și există și un personal calificat în această direcție, în general spitalele mai mari, cele municipale, cele județene, și există marea majoritate a spitalelor care nu au nici cel mai elementar nivel de securitate a informațiilor, am găsit la momentul evaluării noastre inițiale spitale care aveau serverele de e-mail, pe care cu toții știm că se duc și rețete, și tot felul de alte date ale pacienților, ținute prin Rusia. Situația este din punctul nostru de vedere la limita criticului, cred că pot să număr pe degetele de la o mână spitalele care au cât de cât o situație decentă în momentul de față. În București, Cluj, Mureș sunt cel mai bine întreținute.
Este o situație care nu are cum să se mai amâne, există și legislație care îi obligă în momentul de față, amenda fiind de 5% din bugetul spitalului, în cazul unor incidente repetate, ceea ce din bugetul unui spital este enorm, și cu toate acestea foarte puține spitale apelează la noi ca un prim pas.
Este o lipsă foarte mare de conștientizare a cadrului legal. O spune oficial Uniunea Europeană printr-o directivă transpusă printr-o lege în România și pe care ei nu o respectă, este de doi ani și jumătate.
Cert.ro are atribuția de a verifica și chiar și de a amenda, dar nu acesta este țelul CERT.RO ci acela de a securiza spitale, ne și sprijină pe noi cu grupul de voluntari în vederea securizării acestor spitale. Încercăm să ridicăm nivelul de conștientizare la nivelul Ministerului Sănătății, pentru că din partea aceea se pot transmite niște semnale mai puternice, cu o rezonanță mai bună în cadrul managementului din spitale. Suntem în discuții prin intermediul cert.ro și Ministerul Sănătății. Din păcate, acum prioritatea pe care toată lumea din Ministerul Sănătății o are este către zona de COVID și atunci asta trece în planul 2, 3, 4, sau Dumnezeu știe cât. Genul de evenimente cum a fost acum la Spitalul Witting ridică un pic prioritatea, pentru că este clar că ceea ce s-a întâmplat acolo se poate întâmpla la Spitalul de Urgență Floreasca, de exemplu. Nu cred că în momentul de față există în România măcar un spital care să aibă un grad de securitate decent", a explicat Radu Stănescu.
Cel mai recent atac cibernetic asupra unei unități sanitare a fost la Spitalul CF Witting din Capitală, în urmă cu o săptămână. SRI a anunțat joia trecută că s-a înregistrat un atac cibernetic cu aplicația ransomware Phobos la acest spital. Datele din sistemul informatic au fost criptate, iar atacatorii au cerut răscumpărare pentru acestea. Unitatea sanitară nu a plătit vreo sumă de bani, iar în acest caz activitatea spitalului nu a fost întreruptă, aceasta fiind continuată pe hârtie, în registre offline. SRI a explicat și că atacul de la CF Witting este asemănător celui din vara anului trecut, când alte patru spitale au fost atacate cu ajutorul aplicației Phobos. Unitățile sanitare respective nu aveau soluții antivirus.