Kai ligoninė tampa taikiniu
Sveikatos priežiūros įstaigos visada buvo jautrios vietos – čia saugomi žmonių gyvybės, čia saugomi jų intymiausi duomenys. Tačiau pastaraisiais metais Lietuvos ligoninės susidūrė su grėsme, kurios prieš dešimtmetį niekas rimtai nesvarstė: kibernetinėmis atakomis. Ir tai nėra kažkoks tolimas teorinis scenarijus – tai realūs incidentai, realios pasekmės, realūs pacientai, kurių duomenys atsidūrė netinkamose rankose arba kurių gydymas buvo sutrikdytas.
Situacija yra rimtesnė nei daugelis įsivaizduoja. Ligoninės nėra tiesiog biurai su kompiuteriais – jos yra sudėtingos infrastruktūros mazgai, kur skaitmeninės sistemos tiesiogiai susijusios su medicinine įranga, pacientų stebėjimo prietaisais, vaistų dozavimo sistemomis. Kai tokia sistema sutrinka, pasekmės gali būti ne tik duomenų praradimas, bet ir tiesioginė grėsmė žmogaus gyvybei.
Kokie incidentai jau nutiko Lietuvoje
Kalbėti apie konkrečius incidentus Lietuvoje nėra taip paprasta – sveikatos priežiūros įstaigos, suprantama, nenori viešinti savo pažeidžiamumų. Tačiau tam tikra informacija vis tiek prasiskverbia į viešumą, o Nacionalinis kibernetinio saugumo centras (NKSC) periodiškai skelbia ataskaitas, iš kurių galima susidaryti vaizdą.
Vienas žinomiausių atvejų – 2021 metais įvykusi ataka prieš Vilniaus universitetinę ligoninę Santaros klinikos, kai buvo bandoma įsilaužti į sistemas ir gauti prieigą prie pacientų duomenų. Incidentas buvo laiku pastebėtas ir žala apribota, tačiau tai buvo aiškus signalas, kad Lietuvos sveikatos sistema yra taikinyje. Vėlesniais metais panašūs bandymai buvo fiksuojami ir kitose įstaigose – tiek regioninėse ligoninėse, tiek specializuotuose centruose.
NKSC 2023 metų ataskaitoje sveikatos sektorius buvo išskirtas kaip vienas labiausiai pažeidžiamų, kartu su energetika ir finansais. Tai nėra atsitiktinumas – sveikatos priežiūros įstaigos dažnai turi pasenusią infrastruktūrą, ribotus IT biudžetus ir personalą, kuris nėra specialiai apmokytas kibernetiniam saugumui.
Kodėl ligoninės yra toks patrauklus taikinys
Norėdami suprasti, kodėl ligoninės sulaukia tiek daug dėmesio iš kibernetinių nusikaltėlių, turime pagalvoti kaip jie patys. Ligoninė yra ideali auka dėl kelių priežasčių.
Pirma, duomenų vertė. Medicininiai duomenys juodojoje rinkoje kainuoja žymiai daugiau nei, pavyzdžiui, kredito kortelių duomenys. Kodėl? Nes jie apima visą žmogaus istoriją – diagnozės, vaistai, psichologinė būklė, genetinė informacija. Tokie duomenys gali būti naudojami šantažui, draudimo sukčiavimui, tapatybės vagystei. Vieno paciento išsami medicininė byla gali kainuoti nuo keliasdešimt iki kelių šimtų dolerių – palyginimui, kredito kortelės duomenys dažnai parduodami už kelis dolerius.
Antra, spaudimo efektas. Kai ligoninė yra užpulta ransomware (išpirkos reikalaujančia programa), ji negali sau leisti ilgai laukti. Biuras gali veikti kelias dienas be kompiuterių – ligoninė negali. Tai reiškia, kad tikimybė, jog auka sumokės išpirką, yra žymiai didesnė. Pasaulinė statistika rodo, kad sveikatos priežiūros organizacijos moka išpirkas dažniau nei bet kuris kitas sektorius.
Trečia, silpna gynyba. Daugelyje Lietuvos ligoninių IT departamentai yra maži – kartais tai vienas ar du žmonės, atsakingi už visą infrastruktūrą. Jie neturi nei laiko, nei resursų nuolat stebėti grėsmes, atnaujinti sistemas, mokyti personalą. Tai nėra kritika – tai tiesiog realybė, su kuria susiduriama.
Ketvirta, pasenusi infrastruktūra. Kai kuriose Lietuvos ligoninėse vis dar veikia sistemos, pagrįstos Windows 7 ar net Windows XP. Šios operacinės sistemos nebegauna saugumo atnaujinimų, o tai reiškia, kad žinomos saugumo spragos niekada nebus užtaisytos. Medicininė įranga dažnai turi integruotus kompiuterius su labai senomis sistemomis, kurių gamintojų jau nebėra arba kurie nebeteikia atnaujinimų.
Ransomware – modernaus laikų epidemija
Jei kibernetinės atakos prieš ligonines turėtų vieną „veido” tipą, tai būtų ransomware. Šis atakos tipas paskutinius kelerius metus dominuoja sveikatos sektoriuje visame pasaulyje, ir Lietuva nėra išimtis.
Kaip tai veikia praktiškai? Dažniausiai viskas prasideda nuo phishing el. laiško – kažkas iš personalo gauna laišką, kuris atrodo kaip oficiali žinutė iš tiekėjo, draudimo bendrovės ar net iš paties ligoninės administracijos. Paspaudžia nuorodą, atsisiunčia failą, ir tiek. Kenkėjiška programa tyliai įsidiegia sistemoje, kartais laukia savaites ar mėnesius, kol plinta po tinklą, o tada vienu metu užšifruoja viską – pacientų duomenis, operacinių salių grafikus, vaistų atsargas, darbuotojų bylas.
Ekranuose pasirodo pranešimas: „Jūsų failai užšifruoti. Sumokėkite X bitkoino per 72 valandas, arba duomenys bus ištrinti / paskelbti viešai.” Suma dažnai svyruoja nuo keliasdešimt tūkstančių iki kelių milijonų eurų, priklausomai nuo taikinio dydžio.
Ką daryti tokioje situacijoje? Teoriškai – nemokėti ir atkurti duomenis iš atsarginių kopijų. Praktiškai – tai žymiai sudėtingiau. Pirma, ne visos ligoninės turi reguliariai atnaujinamas atsargines kopijas. Antra, net jei kopijos yra, sistemos atkūrimas gali užtrukti dienas, o per tą laiką ligoninė dirba iš popieriaus – ranka rašydama receptus, telefonu koordinuodama operacijas. Trečia, kai kurie užpuolikai ne tik užšifruoja, bet ir išveda duomenis prieš tai – ir tada gresia ne tik sistemos sutrikimas, bet ir duomenų nutekėjimas.
Geopolitinis kontekstas – Rusija ir hibridiniai karai
Negalima kalbėti apie kibernetines atakas prieš Lietuvos ligonines, neužsimenant apie geopolitinį kontekstą. Lietuva, kaip NATO narė, ribojanti Kaliningrado eksklavą ir aktyviai remianti Ukrainą, yra aiškiame Rusijos kibernetinių operacijų taikinyje.
Rusijos valstybės remiamos grupuotės – tokios kaip Sandworm, APT28 (Fancy Bear) ar Killnet – yra dokumentuotai atakavusios sveikatos priežiūros infrastruktūrą Ukrainoje, Lenkijoje, Baltijos šalyse. 2022 metais, prasidėjus plataus masto invazijai į Ukrainą, Killnet paskelbė „karą” NATO šalims ir surengė DDoS atakas prieš Lietuvos vyriausybines svetaines bei kai kurias infrastruktūros įstaigas.
Svarbu suprasti skirtumą tarp kriminalinių ir valstybės remiamų atakų. Kriminaliniai grupuotės siekia pinigų – jie nori išpirkos ir, gavę ją, dažniausiai atkuria prieigą. Valstybės remiamos grupuotės gali turėti kitų tikslų: destabilizuoti, rinkti žvalgybinę informaciją, pasiruošti didesniam sabotažui karo atveju. Tokios atakos gali būti žymiai pavojingesnės, nes jų tikslas nėra pelnas, o žala.
NKSC ir Lietuvos kariuomenės Kibernetinių operacijų pajėgos nuolat stebi šias grėsmes ir bendradarbiauja su NATO partneriais, tačiau apsaugoti visą sveikatos infrastruktūrą nuo tokio lygio grėsmių yra milžiniškas iššūkis.
Kaip ligoninės turėtų gintis – praktinis žvilgsnis
Gerai, grėsmės aiškios. Bet ką realiai galima padaryti? Čia norisi kalbėti ne apie abstrakčias rekomendacijas, o apie konkrečius žingsnius, kuriuos ligoninės gali ir turėtų imtis.
Segmentacija – pirmasis ir svarbiausias žingsnis. Ligoninės tinklas neturėtų būti vienas didelis „baseinas”, kuriame visi kompiuteriai mato vienas kitą. Medicininė įranga, administraciniai kompiuteriai, pacientų Wi-Fi ir kritinės sistemos turėtų būti atskiruose segmentuose. Tai reiškia, kad net jei vienas segmentas yra kompromituotas, kiti išlieka saugūs. Tai nėra brangu ir nereikalauja naujos įrangos – dažnai pakanka tinkamos tinklo konfigūracijos.
Atsarginės kopijos pagal 3-2-1 taisyklę. Trys kopijos, dviejuose skirtinguose medijų tipuose, viena iš kurių yra offsite (ne tame pačiame pastate). Ir svarbiausia – reguliariai testuoti, ar kopijos veikia. Nėra nieko blogiau nei atakos metu sužinoti, kad atsarginės kopijos buvo daromos, bet niekas niekada netikslino, ar jas galima atkurti.
Personalo mokymai – ne vienkartinis renginys. Phishing simuliacijos turėtų vykti reguliariai – bent kelis kartus per metus. Darbuotojai turi matyti, kaip atrodo apgaulingi laiškai, ir žinoti, ką daryti, kai juos gauna. Statistika rodo, kad po reguliarių mokymų phishing atakų sėkmingumas krenta dramatiškai.
Dviejų faktorių autentifikacija visur, kur įmanoma. Ypač prie nuotolinės prieigos sistemų, el. pašto, administracinių paskyrų. Tai vienas paprasčiausių, pigiausių ir efektyviausių saugumo priemonių.
Atnaujinimai – reguliariai ir be išimčių. Žinoma, medicininė įranga su sena programine įranga yra sudėtinga problema – gamintojų sertifikatai, reguliaciniai reikalavimai. Tačiau administraciniai kompiuteriai, serveriai, tinklo įranga – visa tai turi būti nuolat atnaujinama. Daugelis sėkmingiausių atakų išnaudoja spragas, kurioms pataisymai jau buvo išleisti mėnesiais anksčiau.
Incidentų reagavimo planas. Kiekviena ligoninė turėtų turėti aiškų planą – kas ką daro, kai ataka įvyksta. Kas skambina NKSC? Kas informuoja vadovybę? Kas sprendžia, ar reikia išjungti sistemas? Šis planas turi būti parašytas, išbandytas ir žinomas visiems atsakingiems asmenims.
Reguliacinė aplinka ir atsakomybė
Lietuva, kaip ES narė, privalo laikytis NIS2 direktyvos (Network and Information Security), kuri 2023 metais buvo atnaujinta ir žymiai išplėsta. Sveikatos priežiūros sektorius yra aiškiai įtrauktas kaip „esminis sektorius”, kuriam taikomi griežtesni reikalavimai.
Ką tai reiškia praktiškai? Ligoninės privalo:
- Įdiegti rizikos valdymo priemones ir reguliariai jas vertinti
- Pranešti apie incidentus NKSC per 24 valandas nuo jų aptikimo
- Užtikrinti tiekimo grandinės saugumą – tai reiškia, kad ir jų IT tiekėjai turi atitikti saugumo reikalavimus
- Turėti aiškią atsakomybės struktūrą kibernetinio saugumo klausimais
Baudos už NIS2 pažeidimus gali siekti iki 10 milijonų eurų arba 2% metinės apyvartos – priklausomai, kas daugiau. Tai rimtos sumos, kurios turėtų motyvuoti vadovybę skirti daugiau dėmesio kibernetiniam saugumui.
Tačiau čia iškyla praktinė problema: daugelis Lietuvos ligoninių yra biudžetinės įstaigos, finansuojamos iš valstybės. Jų IT biudžetai yra griežtai riboti, o kibernetinio saugumo specialistai rinkoje kainuoja brangiai. Tai sukuria paradoksą – reikalavimai auga, bet resursai ne. Sprendimas turėtų ateiti iš valstybės lygio – centralizuotos paramos, bendrų paslaugų, subsidijuojamų mokymų.
Kai skaitmeninė sauga tampa gyvybės klausimu
Grįžkime prie esminio klausimo – kodėl visa tai svarbu ne tik IT specialistams, bet kiekvienam iš mūsų. 2020 metais Vokietijoje, Diuseldorfo universitetinėje ligoninėje, ransomware ataka sutrikdė sistemas tiek, kad priimamasis negalėjo priimti naujų pacientų. Moteris, kuriai reikėjo skubios pagalbos, buvo nukreipta į kitą ligoninę – ir mirė pakeliui. Tai pirmasis dokumentuotas atvejis, kai kibernetinė ataka tiesiogiai prisidėjo prie žmogaus mirties.
Tai nėra kažkas, kas nutinka tik kitur. Lietuvos ligoninės yra toje pačioje rizikos zonoje. Ir kol mes diskutuojame apie biudžetus, reguliavimą ir techninius sprendimus, kažkur yra pacientas, kurio gyvybė gali priklausyti nuo to, ar ligoninės sistema veikia.
Kibernetinis saugumas sveikatos priežiūroje nėra IT departamento problema. Tai vadovybės problema, valstybės problema, visuomenės problema. Reikia sisteminio požiūrio – centralizuoto finansavimo, bendrų kompetencijų centrų, privalomų standartų ir, svarbiausia, kultūros pokyčio, kai saugumas yra ne papildoma funkcija, o neatsiejama veiklos dalis.
Lietuvos sveikatos sistema padarė didelę pažangą skaitmenizacijos srityje – e. sveikatos sistema, elektroniniai receptai, pacientų portalai. Tai puiku. Tačiau kiekvienas žingsnis į priekį skaitmenizacijos kelyje turi būti lydimas atitinkamo žingsnio kibernetinio saugumo srityje. Priešingu atveju mes tiesiog kuriame didesnes, patogesnes ir labiau pažeidžiamas sistemas. O to tikrai nenorime.
