U větších firem, které mají vlastní IT oddělení, už je situace odlišná. Na podobné případy by počítačová síť, která je kritická pro provoz firmy nebo organizace, měla být připravená. A platí to i pro nemocnice, ve kterých může jít v případě úspěšného napadení počítačovými viry i o životy pacientů.

Když jsem před pár dny psal článek o ransomware , neměl jsem ani tušení, jakou reklamu mu udělá nemocnice v Benešově. Té vinou šifrovacího viru kompletně zkolabovala síť, podle dostupných zpráv se problém dotkl i medicínských přístrojů. To je selhání, které svědčí o zásadním pochybení při návrhu a zabezpečení IT infrastruktury celé nemocnice.

Nepřipravená nemocnice

Benešovská "Nemocnice Rudolfa a Stefanie, a.s., nemocnice Středočeského kraje", abychom ji nazvali plným jménem, není ani soukromý uživatel, ani úplně malá firma. Podle zveřejněných údajů pracuje letos s rozpočtem 857 milionů korun a má téměř 800 zaměstnanců (resp. tabulkových míst). Čtyři zaměstnanci přitom pracují pro IT oddělení, další tři patří do oddělení zdravotní techniky.

Navíc provoz jejího informačního systému je kritický. Nejde o běžnou firmu, která když na pár dnů zavře, nic moc se nestane, ale na její funkčnosti závisí zdraví a životy lidí. Výpadek má tedy dalekosáhlé dopady a je třeba aspirovat na vyšší cíle než jenom možnost obnovení dat ze zálohy. Ta zůstává samozřejmě nutnou součástí přípravy na podobné útoky, ale sama o sobě v žádném případě nestačí.

Abychom mohli navrhnout nějaká opatření zabraňující tomu, co se podle veřejně prezentovaných informací v benešovské nemocnici stalo, musíme pochopit dvě základní věci. Totiž jak se ransomware (nebo malware obecně) do sítě dostane a jak v ní působí a šíří se.

Související 12. 12. 2019 Za kyberútokem na nemocnici v Benešově je nejspíš snaha získat výkupné. V pondělí by se mohla vrátit do provozu 12. 12. 2019 aktualizováno Všechny přístroje krajské nemocnice v Benešově byly v úterý mimo provoz. Po druhé hodině ranní se nemocniční počítačovou sítí začal šířit...

Jak se ransomware dostane do sítě

Existují tři hlavní způsoby, jakými se ransomware dostává do sítě oběti: nezabezpečené servery, akce uživatele a paměťová média.

První možnost má nejsložitější popis, ale v praxi je častá, přitom je snadné se proti tomuto druhu útoků poměrně snadno chránit. Jako příklad můžeme vzít systém pro vzdálenou správu počítačů a serverů s Windows: Remote Desktop Protocol (RDP, česky Vzdálená plocha). V květnu 2019 byla objevena chyba v implementaci RDP ve starších verzích Windows, od Windows 2000 do Windows 7 a Windows 2008 R2. Tato chyba umožnila útočníkovi spustit svůj kód na serveru ještě před tím, než po něm server chtěl, aby se přihlásil. Chyba dostala název BlueKeep a Microsoft tenkrát vydal opravu, mimořádně i pro již nepodporované operační systémy. V srpnu pak byla objevena související chyba, která postihovala i všechny novější verze Windows.

Microsoft na obě chyby obratem vydal opravy. Tím v dobře spravovaných sítích story končí. Správci aktualizace nainstalovali a bylo hotovo. Ale ne všechny sítě jsou dobře spravované. Naprostá většina útoků nevyužívá takzvané "zero-day" zranitelnosti, na které neexistuje oprava. Úspěšné útoky nejčastěji zneužívají chyby, které jsou opravené týdny, měsíce nebo i roky před spuštěním útoků.

Zločinci s patřičnými technickými znalostmi pak mohou vytvořit program, který bude skenovat internet a hledat počítače, které obsahují známé neopravené chyby. Jejich zneužitím pak nad takovými počítači může získat kontrolu a nakonec si s nimi může dělat, co chce – získávat citlivá data nebo nainstalovat ransomware. Vyhledávání potenciálních cílů přitom útočníkům usnadňují i veřejně dostupné služby jako Shodan, což je vyhledávač k zařízení připojenému k internetu, který dokáže najít například "chytré" semafory nebo webové kamery či tiskárny.

Druhý hlavní způsob, jak se vyděračský software šifrující soukromá data spustí, spočívá v nějaké chybě uživatelů. Typickým příkladem je stále ještě spuštění nakažené přílohy z e-mailu, ale třeba i stažení a spuštění nějakého programu, který obsahuje skrytý vir. Aby útočníci zvýšili své šance, používají podvodné e-maily, třeba s podvrženou adresou odesílatele, lákají uživatele ke stažení falešného antiviru nebo bezpečnostní záplaty a podobně. Malware se přitom může šířit i pomocí zdánlivě neškodných datových souborů, jako jsou PDF nebo DOCX soubory, i když to není tak přímočaré.

Třetí cestou, jak se šifrovací viry i jiné škodlivé programy dostanou do firemní sítě, je klasický způsob přenosu pomocí nakaženého paměťového média, dnes nejspíš USB disku. Dnes již platí, že prostým vložením nakaženého média se virus neaktivuje, uživatel musí spustit aplikaci nebo otevřít nakažený soubor, ale i to se stále děje.

Co ransomware v síti dělá

Jakmile se škodlivý software dostane do sítě, má dva hlavní úkoly: šířit se a škodit. Šíření probíhá různými cestami počínaje kopírováním přes sdílené síťové disky po využívání zranitelností v operačních systémech a dalších programech. Platí přitom, že jakmile se malware jednou dostane do sítě, má cestu k dalšímu šíření celkem snadnou, protože komunikaci počítačů uvnitř sítě bezpečnostní nástroje kontrolují a omezují s mnohem menším důrazem než komunikaci mezi podnikovou sítí a internetem.

Jakým způsobem malware škodí, záleží na záměrech jeho autora. U ransomwaru – šifrovacích virů – je to celkem jednoduché: virus zašifruje všechna data, na která dosáhne (v lokálním počítači i na síťových discích) a za jejich dešifrování žádá výkupné.

Obrana perimetru v první řadě

Prvním druhem obrany sítě před napadením šifrovacími i jinými viry je takzvaná obrana perimetru – tedy snaha zabránit tomu, aby se útočník dostal do sítě zvenčí. Základním nástrojem je zákaz většiny připojení dovnitř sítě s pomocí speciálního softwaru: firewallu. Obecně se uživatelé z internetu nemohou dostat do vnitřní sítě, mohou komunikovat pouze podle nastavených pravidel. To znamená například možnost připojit se odkudkoliv přes porty 80 (HTTP) a 443 (HTTPS) na webové stránky firmy, ale nikoliv na souborový server určený zaměstnancům.

Další vrstvou ochrany sítě před útoky zvenčí je správné nastavení e-mailového systému. Dobrou praxí je zprávy se spustitelnými soubory vůbec nepustit k uživatelům a ostatní přílohy podrobit přísnému antivirovému zkoumání.

Nota bene, pokud je v rámci společnosti provozována nějaká veřejná síť, v případě nemocnice například wi-fi pro pacienty, je na ni třeba hledět jako na potenciální zdroj útoků a komunikaci z této sítě kontrolovat stejně přísně, jako požadavky, které přicházejí z internetu.

V praxi nastává potřeba, aby bylo možné se v omezené míře zvenčí připojit i na některé vnitřní systémy, které nejsou veřejné. Například aby se pracovníci mohli připojit do vnitřního informačního systému, na souborový server, nebo aby se správce mohl dostat dříve zmíněným protokolem RDP na firemní server, aby vyřešil nějaký problém i mimo běžnou pracovní dobu. V takovém případě by měla být přijata taková opatření, aby se tam nedostal někdo jiný. Tradiční řešení spočívá v použití dostatečně zabezpečené virtuální privátní sítě (VPN).

Nastavit obranu perimetru je conditio sine qua non – podmínka nezbytná, naprostý základ. Bohužel, mnoho firem a organizací u tohoto typu ochrany své IT infrastruktury také končí. Chybně předpokládají, že největší, nebo snad dokonce jediné nebezpečí hrozí zvenčí.

Vzdělání uživatelů

Kromě firewallu na hranicích sítě jsou první frontovou linií v boji s kybernetickými útoky uživatelé. Obecně platí, že technologickými prostředky se lze útoku bránit jenom do určité míry. Je extrémně důležité, aby uživatelé věděli, co činí, a chovali se zodpovědně. Je to také extrémně náročné a v některých případech prakticky nemožné. Jsou uživatelé, kteří nejsou schopní či ochotní bezpečnostní zásady dostat do hlavy a aplikovat je v praxi a nedonutilo by je k tomu nejspíše ani mechanické vložení zásad do mozku prostřednictvím chirurgického zákroku.

Většina útoků nějakým způsobem využívá zmatení nebo lhostejnosti uživatelů. Uživatele je nutné vzdělávat, aby věděli, jak se mají zachovat v nestandardních situacích, kdy se jejich systém nebo aplikace chová jinak, než jak jsou zvyklí. Měli by dokázat rozpoznat skutečná hlášení operačního systému a aplikací od falešných, které jim může předkládat útočník nebo malware. Měli by být vychováni k jisté míře nedůvěry ke sdělovaným informacím, pokud nepocházejí z důvěryhodného zdroje, a zároveň by měl být v organizaci zaveden nějaký mechanismus srozumitelné a důvěryhodné distribuce pokynů technického charakteru.

Řada phishingových útoků předstírá, že jde o zprávu od správce sítě, že je nutné, aby uživatel někam zadal své heslo, něco si stáhl a spustil a podobně. Je nutné zařídit, aby uživatel měl možnost ověřit si, že takové pokyny jsou správné a pravdivé. Měla by fungovat nějaká forma technické podpory uživatelů, kam se uživatel nebude bát ozvat nebo zatelefonovat, bude-li mít nějaké pochybnosti. Uživatelé se – často právem – obávají, že se za své "hloupé" dotazy dočkají od pracovníků IT oddělení posměšků. Je nutné, aby si personál poskytující technickou podporu uvědomil, že je lepší, když se uživatel desetkrát zbytečně zeptá, než aby jednou spustil zavirovanou přílohu.

Nedostatečné vzdělávání uživatelů je podle mého názoru největším problémem kybernetické bezpečnosti, a to celosvětově. Souvisí to s tím, že i většina IT profesionálů má o bezpečnostních aspektech své práce spíše představy než skutečné znalosti a dovednosti.

V důsledku toho jsou často uživatelé ve jménu bezpečnosti svévolně a zbytečně šikanováni nesmyslnými požadavky, které jim sice komplikují život, ale jejich vliv na bezpečnost je v praxi nulový nebo v horším případě záporný. Mezi takovou šikanu patří požadavky na pravidelnou preventivní změnu hesel, zákaz používání správců hesel (blokování možnosti heslo vložit ze schránky), ale i drobnosti jako je příliš krátká doba nečinnosti před automatickým zamknutím pracovní stanice.

Většina pracovníků používá počítače takříkajíc nedobrovolně. Jejich práce a smysl existence ve firmě spočívá v něčem jiném a počítač je pro ně v lepším případě pomocníkem, v horším případě nutným zlem. Historicky existují dvě profese, které se s počítači sžívají hodně špatně, a to jsou právníci a lékaři. Jeden známý pražský advokát dlouhá léta tvrdí, že kdyby většině jeho kolegů vyměnili na stole počítač za králíkárnu, rozdíl poznají pouze podle zápachu. A ačkoliv se v obou oborech situace mění s nástupem mladší krve, nedělám si iluze o vztahu "staré gardy" k počítačům. Hodnota služebně i věkově starších pracovníků tkví v něčem jiném než ve schopnosti ovládat aktuální informační systém.

Zabezpečení pracovních stanic

Zabezpečení uživatelských počítačů – pracovních stanic – je dalším důležitým aspektem boje proti kybernetickým útokům. Je třeba dodržovat princip minimalismu, zásadu least privilege. Tedy že uživatel musí mít dostatečná oprávnění a možnosti k tomu, aby mohl udělat přesně to, co udělat potřebuje, ale nic jiného. Běžní uživatelé by měli mít maximálně omezená práva, pouze na konkrétní aplikace, potřebná data a nic víc.

I zde je ale potřeba postupovat s rozumem a s ohledem na potřeby konkrétních zaměstnanců na konkrétních pozicích. Pravidla nelze nastavit otrocky stejně pro všechny. Někomu stačí možnost pracovat s jednou konkrétní aplikací a nikam jinam mít přístup nemusí. Někdo jiný potřebuje větší volnost, protože jeho práce je méně rutinní, potřebuje používat různé aplikace a přistupovat k různým zdrojům i mimo vnitřní síť.

Je nutné počítat i s "lidskými" potřebami zaměstnanců. Ačkoliv je formálně pravda, že zaměstnanec má v pracovní době pracovat, a ne poslouchat muziku nebo se třeba dívat na filmy či psát na Facebook, je realisticky nutné počítat s tím, že to zaměstnanci dělat budou. Je bezpečnější jim na počítače rovnou nainstalovat hudební a videopřehrávač – a udržovat ho bezpečný a aktuální. Je to menší zlo, než aby si sami hledali a instalovali obskurní kodeky pro přehrávání upirátěných filmů, v čemž jim stejně nezabráníte.

V případě kritických sítí, jako je třeba ta v nemocnici, může být dobrou alternativou na kritických místech mít počítače dva, zapojené do dvou různých sítí. Jeden pro práci, napojený na kritické systémy, a druhý na internet a na hraní, který bude připojen do internetu, ale nebude mít přístup do vnitřní sítě, a prostě se automaticky jednou za čas přeinstaluje a vyčistí.

Segregace v síti

Z hlediska zabezpečení je ideální zavést v síti segregaci a perzekuci. Jednotlivé druhy systémů by neměly být zapojeny všechny do jedné sítě, měly by být odděleny do různých VLAN (virtuálních sítí), mezi kterými bude omezená a kontrolovaná možnost komunikace. Totéž se týká oprávnění uživatelů, každý by měl mít jenom taková oprávnění, jaká nezbytně nutně potřebuje ke své práci. To se týká i pracovníků IT, kteří by neměli běžně pracovat pod administrátorskými oprávněními, protože i oni se mohou stát terčem útoku.

Zrovna ve zdravotnictví je tento přístup extrémně důležitý, protože dnes má v sobě počítač a napojení do sítě snad každý přístroj složitější než stetoskop. Přičemž častěji než ne platí, že onen vestavěný počítač je patrně zastaralý, s historicky cenným softwarovým vybavením, pro které nejspíš neexistuje aktualizace nebo není z toho či onoho důvodu dostupná. Mnoho jednoúčelových systémů v sobě má firmware založené na Windows XP nebo stejně obstarožních distribucích Linuxu.

Rada "zahoďte je a kupte si nové, s aktuálním softwarem" je dost nepraktická. Alternativy často neexistují nebo jsou prostě příliš drahé. Drahý léčebný nebo diagnostický přístroj nelze dost dobře vyhodit jenom proto, že jeho řídící software funguje jenom na Windows XP. Nutnost používat takové zařízení i nadále je logická, ale nelze takové zařízení bez dalších opatření připojit do hlavní sítě. Patří do sítě samostatné, omezené, kde kromě něj bude jenom další specializovaný počítač s hodně omezenými možnostmi, který bude sloužit jako překladiště pro předávání dat ze zařízení do zbytku sítě a naopak.

Jestliže se benešovská nemocnice dostala do stavu, kdy – a teď cituji z jejího vyjádření na webu – "nelze spustit žádný laboratorní ani žádný jiný přístroj včetně počítačové sítě", je to fatální selhání snad až kriminálního rozsahu. Jestliže jediný útok sejme celou síť včetně k němu připojené zdravotnické techniky, znamená to školáckou chybu v jejím návrhu.

Neochota, nedostatek odvahy a neschopnost

Všechny výše uvedené scénáře pracují se situací, kdy počítačová síť v rámci firmy nebo organizace čelí standardním, víceméně náhodným útokům, které hledají nejslabší místo k zásahu. To je i případ typického ransomware, který nemá jiné cíle než získat peníze za výkupné, a je jedno, zda jde o soukromého uživatele, který je potenciálně ochoten zaplatit za to, že získá zpět přístup k rodinným fotografiím, nebo o firmu. Až když se majitel napadeného systému ozve útočníkovi, může útočník zjistit, že narazil na zlatý důl. Nedávno například město Riviera Beach na Floridě zaplatilo útočníkům za opětovný přístup ke svým datům 600 tisíc dolarů, další milion pak městská rada vydá na nákup nové techniky a její zabezpečení.

V případě cíleného útoku je obrana i detekce mnohem náročnější. Záměrný, přesně směrovaný útok (spearphishing) je šit na míru konkrétnímu cíli a obětem. Snahy zmást uživatele jsou mnohem přesvědčivější a nebezpečí, že jim oběť podlehne, je řádově větší. Cíle takového útoku nemusí být finanční. Může jít o součást kybernetické a psychologické války a záměrem útočníka bude ochromit nemocnici, způsobit ekonomické ztráty a třeba i ztráty na životech. V současném případě je ochromení funkčnosti nemocnice vedlejším efektem a ke škodám na zdraví či životech nedošlo, zátěž na sebe převzaly nemocnice v okolí.

Co kdyby byl záměrný útok koordinovaně veden na všech pět nemocnic Středočeského kraje? Co kdyby útok data nezašifroval, ale prostě je jenom drobně modifikoval a poškozoval? Co kdyby postupoval natolik pomalu, že by v síti byl po dlouhé měsíce (jako třeba na českém ministerstvu zahraničí), takže by návrat do stavu "před útokem" byl prakticky nemožný? To jsou nepříjemné otázky, které si musí začít klást nejen samy nemocnice, ale také ministerstva i meziresortní orgány, jako je Národní úřad pro kybernetickou bezpečnost. Ten do Benešova poslal své lidi a potvrdil, že jde o útok ransomware.

Tři hlavní problémy českého veřejného sektoru v oblasti kybernetické bezpečnosti jsou neochota, nedostatek odvahy a neschopnost. Neochota problémy skutečně řešit, nedostatek odvahy činit rozhodnutí, která jsou sice drahá a nepopulární, ale nezbytná, a především neschopnost státních zaměstnanců v oboru informačních technologií. Nejenom finančním ohodnocením, ale zejména pracovními podmínkami a zadáními nemůže veřejný sektor konkurovat soukromým firmám. Naprosto nevyhnutelně pak dochází k tomu, že pro něj v naprosté většině případů pracuje v lepším případě béčková, v horším céčková třída lidí. Takoví, kteří se v soukromém sektoru neuplatní nebo kterým vyhovují nižší nároky a tomu odpovídající nižší míra osobní zodpovědnosti.

Den předtím, kdy ransomware vyřadil z provozu nemocnici v Benešově, zastřelil šílený střelec v nemocnici ostravské několik lidí. Média byla plná živých přenosů, na místo si osobně jel dělat PR premiér, ministr vnitra i prezident republiky. Útok aktivního střelce je něco jako přírodní pohroma – nedá se mu realisticky vzato zabránit, nedá se s ním nic dělat, lze jenom řešit následky a doufat, že brzo přestane a nebude se opakovat. Ačkoliv jde o obrovskou osobní tragédii zúčastněných a jejich blízkých, je to problém osobní, malého rozsahu a objektivního významu. Problém benešovské nemocnice je efektem mnohem většího problému, který je potenciálně mnohem horší a který bude v budoucnu stát mnohem více lidských životů. Jenom se na něm mnohem hůř dělá osobní PR.