Cyberzagrożenia w hiszpańskim systemie opieki zdrowotnej w dobie epidemii COVID-19

Na skutek panującej obecnie sytuacji w Hiszpanii nasiliły się kampanie phishingowe, w szczególności te związane z pandemią COVID-19. Hiszpański system opieki zdrowotnej jest bardzo atrakcyjny dla cyberprzestępców. Dostawcy usług zdrowotnych, firmy farmaceutyczne i ubezpieczeniowe, ośrodki zdrowia itp. dysponują dużymi zbiorami danych dotyczących stanu zdrowia ludności, jak również przechowują informacje na temat prac nad nowymi lekami – ewentualne przejęcie tych zasobów mogłoby bezpośrednio wpłynąć na kwestie opieki nad pacjentami, prywatności osób uczestniczących w badaniach klinicznych, własności przemysłowej czy też choćby umożliwić wyciek informacji dotyczących lekarzy przepisujących leki.

Juan Ramón Gutiérrez, Kierownik Zespołu Rozpoznawania i Analizy Cyberzagrożeń w GMV, który stale monitoruje złośliwą działalność w sieci, ostrzega hiszpańską służbę zdrowia: „Od 60% do 70% cyberataków stosuje inżynierię społeczną jako wektor ataku, wykorzystując ludzką słabość, potrzebę informacji, ciekawość, strach lub altruizm w kontekście COVID-19”.

Przypomina również, że według danych firmy Trend Micro z tego roku „Hiszpania zajmuje 9. miejsce pod względem liczby złośliwych adresów URL związanych z COVID-19, wykorzystywanych do celów kampanii phishingowych i cyberprzestępczości”. Monitoring prowadzony przez Zespół ds. Rozpoznawania i Analizy Cyberzagrożeń w GMV wskazuje – jak widać na poniższym wykresie – że „phishing jest najczęściej stosowanym sposobem ataku, wykorzystującym wiadomości mailowe, SMS-y czy wiadomości wysyłane przez WhatsApp”. Wynika to z tego, że głównym celem ataków jest „kradzież danych pacjentów lub personelu medycznego”.

Analizując aktualny stan cyberbezpieczeństwa w hiszpańskim systemie opieki zdrowotnej, eksperci GMV zauważają, że: 1) przestarzałe wyposażenie technologiczne pozostawia otwarte drzwi dla ataków, które wykorzystują luki w zabezpieczeniach wynikające z braku wsparcia; 2) aktualna struktura sieci informatycznych systemów opieki zdrowotnej nie jest dostosowana do nowego scenariusza funkcjonowania technologii informacyjno-komunikacyjnych, w związku z czym aktywa krytyczne (cyfrowe urządzenia diagnostyczne i monitorujące, systemy przechowywania danych i historii pacjentów, serwisy do zarządzania terminami wizyt, harmonogramy sal operacyjnych, przeszczepów itp.) stanowią otwarte drzwi dla cyberprzestępców; 3) w niektórych placówkach publiczne sieci dostępu do Internetu (Wi-fi) współistnieją z prywatnymi urządzeniami personelu medycznego, co umożliwia funkcjonowanie pośrednich punktów połączeń, poprzez które cyberprzestępcy mogą uzyskiwać dane do nielegalnych celów; 4) hakerzy mogą przeniknąć przez którykolwiek z węzłów do sieci służby zdrowia za pomocą złośliwego oprogramowania, które może całkowicie lub częściowo zakłócić normalną działalność danej placówki (np. uniemożliwiając dostęp do dokumentacji medycznej, dekonfigurując lub odłączając sprzęt elektromedyczny lub po prostu modyfikując system zapisów na konsultacje zewnętrzne w szpitalu.

Aby uniknąć takich sytuacji, Zespół ds. Rozpoznawania i Analizy Cyberzagrożeń w GMV podkreśla, że na szczeblu korporacyjnym należy „skoncentrować się na zapobieganiu atakom, a nie tylko na ich wykrywaniu, poprzez: wzmocnienie środków cyberochrony telepracy, takich jak bezpieczne VPN czy filtrowanie stron internetowych; zabezpieczenie zarządzania poprawkami i aktualizacjami programów informatycznych; monitorowanie własnych luk w zabezpieczeniach oraz luk w zabezpieczeniach serwisów podmiotów trzecich; jak również wdrożenie wielostopniowego uwierzytelniania za pomocą wiadomości SMS, Google Authenticator lub innej podobnej metody”.

Z myślą o przeciwdziałaniu ewentualnym cyberzagrożeniom firma GMV stworzyła zespół CERT (Computer Emergency Response Team – zespół reagowania na zagrożenia komputerowe), za pośrednictwem którego oferuje swoim klientom usługi monitorowania infrastruktury, audytu, analizy kodu w celu walidacji bezpieczeństwa w całym cyklu życia aplikacji; usługi z zakresu rozpoznawania i analizy cyberzagrożeń, pozwalające na identyfikację zagrożeń, zanim się one pojawią; usługi analityczne, polegające na przeprowadzaniu analizy po ataku; a także usługi z zakresu compliance i doradztwa.