Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Szpitale są celem ataków w 2016 roku

Dodany 31 marca 2016, 10:02 CEST

Rok 2016 rozpoczął się od sporej liczby incydentów naruszenia bezpieczeństwa związanych z włamaniami hakerskimi, których ofiarą padły szpitale i sprzęt medyczny. Obejmują one atak przy użyciu oprogramowania ransomware na szpital w Los Angeles, podobny atak odnotowany w dwóch niemieckich szpitalach, atak hakerski na monitor pacjenta i system wydawania leków przeprowadzony przez badaczy bezpieczeństwa, atak na szpital w Melbourne itd. – i to wszystko w ciągu zaledwie dwóch miesięcy 2016 r! To powinno stanowić rzeczywisty powód do niepokoju dla branży bezpieczeństwa. 

Właściwie ataki te nie stanowią żadnej niespodzianki. Branża Internetu Rzeczy rozwija się, a branża urządzeń medycznych stanowi jedno z największych zmartwień pod względem bezpieczeństwa. Współczesne urządzenia medyczne to w pełni funkcjonalne komputery z systemem operacyjnym oraz zainstalowanymi aplikacjami. Co więcej, większość z tych urządzeń posiada kanał komunikacji z internetem, sieci zewnętrzne oraz różnego rodzaju niestandardowe serwery oparte na chmurze. Urządzenia te są naszpikowane wyrafinowanymi, zaawansowanymi technologiami stworzonymi w jednym celu – aby pomóc lekarzom w leczeniu pacjentów na możliwie najwyższym poziomie. Jednak, podobnie jak wszystkie inne systemy przemysłowe, są one konstruowane ze szczególnym uwzględnieniem tych technologii – a dokładniej, aby służyć medycynie, spychając aspekty bezpieczeństwa na dalszy plan. Obecnie stanowi to dość poważny problem. Luki w zabezpieczeniach architektury projektowania programu, niezabezpieczone uwierzytelnienie, niezaszyfrowane kanały komunikacji czy krytyczne błędy w oprogramowaniu – wszystko to prowadzi do potencjalnych włamań.       

Nieautoryzowany dostęp do takich urządzeń może mieć poważne skutki: może doprowadzić nie tylko do kradzieży danych osobowych – co już samo w sobie brzmi poważnie – ale również mieć bezpośredni wpływ na zdrowie, a nawet życie, pacjentów. Niekiedy przerażenie budzi to, jak łatwo można włamać się do szpitala, kradnąc informacje osobowe z urządzenia medycznego lub uzyskując dostęp do takiego urządzenia, co otwiera dostęp do systemu plików, interfejsu użytkownika itd. Wyobraź sobie scenariusz – który można określić jako prawdziwie „ukierunkowany atak” – w którym cyberprzestępcy z pełnym dostępem do infrastruktury medycznej w określonym obiekcie mogą manipulować wynikami diagnozy lub systemami leczenia. Ponieważ w niektórych przypadkach lekarze są w dużym stopniu uzależnieni od tych wyrafinowanych systemów medycznych, na skutek tego rodzaju manipulacji pacjent może zostać poddany niewłaściwemu leczeniu, co pogorszy jego stan zdrowotny.   

W badaniu, które zaprezentowałem na Szczycie analityków bezpieczeństwa Kaspersky, pokazałem, jak łatwo można znaleźć szpital, uzyskać dostęp do jego sieci wewnętrznej i ostatecznie przejąć kontrolę nad urządzeniem MRI – lokalizując dane osobowe dotyczące pacjentów, ich prywatne informacje i procedury leczenia, by następnie uzyskać dostęp do systemu plików urządzenia MRI. Problem nie sprowadza się jedynie do słabej ochrony sprzętu medycznego, ale ma znacznie szerszy zakres – cała infrastruktura IT współczesnych szpitali nie jest odpowiednio zorganizowana ani chroniona, a problem występuje na całym świecie.  

Zobaczmy, w jaki sposób cyberprzestępcy mogą przeprowadzać swoje ataki. Zwróciłem uwagę na trzy główne błędy, które dostrzegam, kiedy mowa jest o odpowiedniej ochronie placówki medycznej:

Po pierwsze – połączenie z internetem przy słabym uwierzytelnieniu lub jego braku.

Istnieje wiele sposobów znalezienia podatnych na ataki urządzeń, np. wykorzystanie wyszukiwarki Shodan. Przy użyciu odpowiednich zapytań do wyszukiwarki Shodan można zidentyfikować tysiące urządzeń medycznych połączonych z internetem: haker może wykryć skanery MRI, sprzęt kardiologiczny jak również radioaktywny sprzęt medyczny i podobny. Wiele takich urządzeń nadal działa pod kontrolą systemu operacyjnego Windows XP i posiada dziesiątki starych, niezałatanych luk w zabezpieczeniach, które mogą zostać wykorzystane do całkowitej kompromitacji zdalnego systemu. Co więcej, w niektórych przypadkach urządzenia te mają niezmienione hasła domyślne, które można łatwo znaleźć w opublikowanych w internecie materiałach.    

hospitals_en_1_auto.jpg

Wyniki wyszukiwania przy użyciu wyszukiwarki Shodan

Podczas przeprowadzania badania oraz testów penetracyjnych na realnym szpitalu znalazłem kilka urządzeń połączonych z internetem, ale były one dobrze zabezpieczone: żadnych domyślnych haseł, żadnych luk w zabezpieczeniach interfejsów kontroli sieciowej itd. Jednak nawet jeśli placówka jest zabezpieczona od strony internetu, nie powstrzyma to cyberprzestępcy przed szukaniem innych metod włamania się, jeśli jego celem jest uzyskanie dostępu za wszelką cenę.  

A oto drugi błąd – urządzenia nie są chronione przed dostępem uzyskanym z sieci lokalnych.

Ja po prostu pojechałem do szpitala i wykryłem kilka należących do niego punktów dostępowych sieci Wi-Fi. Jeden z nich miał słabe hasło Wi-Fi, które zdołałem złamać w ciągu dwóch godzin. Przy jego pomocy udało mi się uzyskać dostęp do wewnętrznej sieci szpitala; a tam znalazłem ten sam sprzęt medyczny, który wykryłem wcześniej w internecie, z jedną istotną różnicą – teraz mogłem się z nim połączyć, ponieważ sieć lokalna stanowiła dla niego sieć zaufaną. Podczas tworzenia całego systemu producenci urządzeń medycznych chronią je przed dostępem z zewnątrz. Jednak z jakiegoś powodu uznali, że jeśli ktoś spróbuje uzyskać do nich dostęp od wewnątrz – będzie domyślnie traktowany jako zaufany. A to poważny błąd – nie należy polegać na lokalnych administratorach systemów oraz ich sposobie organizacji ochrony sieci wewnętrznej szpitala.   

I tu dochodzimy do trzeciego błędu – luki w zabezpieczeniach architektury oprogramowania.

Gdy połączyłem się z urządzeniem i przebrnąłem przez domyślny ekran logowania, od razu uzyskałem dostęp do interfejsu kontroli oraz danych osobowych i informacji dotyczących diagnozy pacjentów szpitala. Jednak nie to zwróciło moją uwagę. W interfejsie programu zaimplementowana została powłoka poleceń, która zapewniła mi dostęp do systemu plików na urządzeniu.

hospitals_en_2_auto.png

Wynik rezonansu magnetycznego pacjenta

Według mnie, jest to poważna luka w zabezpieczeniu w projekcie aplikacji – nawet jeśli nie było żadnego dostępu zdalnego, dlaczego inżynierowie oprogramowania skorzystali z okazji zapewnienia dostępu do interfejsu lekarza przez powłokę poleceń? Z pewnością nie powinien istnieć domyślnie. Właśnie o tym pisałem na początku. Można zapewnić dobrą ochronę z jednej strony, ale całkowicie zaniedbać inne; a ktoś, kto planuje atak, z pewnością to wykryje i skompromituje całe urządzenie. 

Inna obawa dotycząca luk w zabezpieczeniach aplikacji naturalnie odnosi się do przestarzałych wersji systemów operacyjnych i trudności z zarządzaniem łatami. Jest to całkowicie inne środowisko niż standardowa infrastruktura IT dla komputerów PC lub urządzeń mobilnych; nie da się po prostu opublikować łaty na lukę w zabezpieczeniach, a następnie zastosować jej w urządzeniach medycznych. Jest to złożony proces ręczny i w wielu przypadkach potrzebny jest wykwalifikowany inżynier na miejscu, w szpitalu, aby uaktualnić system do nowszej wersji i sprawdzić, czy urządzenia działają poprawnie po aktualizacji. To wymaga czasu i pieniędzy, dlatego niezwykle ważne jest, aby od początku – już na etapie rozwoju – stworzyć bezpieczny system posiadający możliwie najmniej luk w zabezpieczeniach aplikacji. 

Producenci sprzętu medycznego oraz zespoły IT w szpitalu powinni zwracać szczególną uwagę na kwestię cyberbezpieczeństwa medycznego; obecnie urządzenia te znajdują się na liście podatnych na ataki celów cyberprzestępczych. W następnym roku spodziewamy się coraz większej liczby ataków na placówki medyczne, łącznie z atakami ukierunkowanymi, infekcją oprogramowaniem ransomware, atakami DDoS, a nawet atakami w celu fizycznego uszkodzenia urządzeń medycznych. W końcu branża zaczęła zwracać uwagę na podjętą tu kwestię – np. Amerykański urząd Food and Drug Administration (FDA) opublikował wytyczne określające istotne działania, jakie powinni podjąć producenci urządzeń medycznych, aby zwalczać zagrożenia dla cyberbezpieczeństwa i zapewnić pacjentom bezpieczeństwo i lepszą ochronę zdrowia publicznego.         

klp_infografika_podatnosci_szpitali_auto

Poniżej kilka zaleceń dla lokalnego personelu IT pracującego w szpitalach:

  • Należy mieć świadomość, że na celowniku cyberprzestępców znajdują się obecnie placówki medyczne, czytać o takich incydentach i sprawdzać, czy tego rodzaju metody ataków mogą powieść się w przypadku własnej infrastruktury.  
  • Należy trzymać się stosowanej polityki bezpieczeństwa IT, a także opracować polityki zarządzania łatami i oceny luk w zabezpieczeniach.
  • Trzeba skupić się nie tylko na ochronie własnej infrastruktury przed zagrożeniami zewnętrznymi, takimi jak szkodliwe oprogramowanie i ataki hakerskie, ale również na ścisłej kontroli tego, co się dzieje wewnątrz sieci lokalnej, kto ma dostęp do czego oraz wszelkich innych rzeczach, które mogą prowadzić do włamań do systemów lokalnych.