Lepsza współpraca to większe cyberbezpieczeństwo | Centrum e-Zdrowia

Infolinia CeZ 24h/7   19 239

Tłumacz PJM

Unia Europejska Flaga Unii Europejskiej

uściśnięte ręce i dużo ikon białych kłódek

Lepsza współpraca to większe cyberbezpieczeństwo

W ostatnich tygodniach sektor ochrony zdrowia stał się częstszym celem działań cyberprzestępców. Ale doświadczenia ostatnich tygodni udowodniły też skuteczność współpracy pomiędzy instytucjami, dzięki której udaje się ograniczyć potencjalne zagrożenia oraz szybciej i lepiej reagować na pojawiające się incydenty. 

Atak na szpital w Szczecinie

Cyberatak na Samodzielny Publiczny Wojewódzki Szpital Zespolony w Szczecinie doprowadził do zaszyfrowania części zasobów informatycznych placówki i przejścia na tryb pracy awaryjnej, co wiązało się z ograniczonym dostępem do danych oraz wysokim ryzykiem naruszenia ich poufności.  

Bezpośrednio po cyberataku, którego ofiarą 8 marca padł Szpital Wojewódzki w Szczecinie, zwróciliśmy się o wsparcie m.in. do Centrum e-Zdrowia. W odpowiedzi otrzymaliśmy pomoc sektorowego CSIRT-u, WOT oraz CBZC. Eksperci przyjechali do szpitala i na miejscu, we współpracy z naszym zespołem, pracowali nad usuwaniem skutków incydentu. Atak co prawda całkowicie nie sparaliżował szpitala, ale boleśnie zachwiał naszą codzienną pracą, a powrót do pełnej równowagi potrwa na pewno długie tygodnie. Intensywna współpraca z CSIRT i specjalistyczne wsparcie w zakresie procedur i rekomendacji są dla nas w tym trudnym okresie znaczącym wsparciem – opowiada Tomasz Owsik-Kozłowski, rzecznik prasowy Samodzielnego Publicznego Szpitala Zespolonego w Szczecinie.

W odpowiedzi na zdarzenie zostały zaangażowane zespoły wspierające analizę incydentu, wymianę wskaźników kompromitacji oraz rekomendacje dla dalszych działań technicznych. Oprócz zespołu ze szpitala, zdalnie oraz na miejscu pracuje CSIRT CeZ, Zespół Działań Cyberprzestrzennych Dowództwa Wojsk Obrony Terytorialnej oraz Centralne Biuro Zwalczania Cyberprzestępczości w porozumieniu z CSIRT-ami poziomu krajowego. Zespoły te pomagają przywrócić działanie systemów IT, zweryfikować sieć oraz zabezpieczyć infrastrukturę przed kolejnymi próbami ataku, umożliwiając szpitalowi szybki powrót do stabilnego funkcjonowania.

Mając na uwadze ogólną misję WOT oraz rolę w systemie zarządzania kryzysowego, Dowódca WOT jako Szef CZK MON posiada w swojej podległości wyspecjalizowany pododdział, który może użyć do wsparcia podmiotów niemilitarnych w sytuacjach cyberzagrożenia, czego przykładem jest szpital w Szczecinie. Wniosek wojewody zachodniopomorskiego dotyczący incydentu cybernetycznego był pierwszym tego rodzaju, który pokazał, że w tej domenie WOT również posiada zdolności, a wykorzystana procedura aktywacji sił jest skuteczna - mjr Rafał RYLICH, p.o. Rzecznik Prasowy, Dowództwo Wojsk Obrony Terytorialnej.

Przestępczość ransomware, to poważny problem dotykający firmy i instytucje nie tylko w Polsce, ale i na całym świecie. Jak wynika z naszych informacji za tego typu atakami stoją zorganizowane międzynarodowe grupy przestępcze. Policjanci CBZC od kilku już lat uczestniczą w grupach roboczych zrzeszających śledczych z organów ścigania z wielu krajów. Tylko współpraca i szybka wymiana informacji dają szansę na dotarcie do osób stojących za atakami. Na szczeblu krajowym ta współpraca z zespołami reagującymi na ataki ransomware przebiega we właściwy i modelowy sposób - komisarz Marcin Zagórski, Rzecznik Prasowy Komendanta Centralnego Biura Zwalczania Cyberprzestępczości.

Wspólny cel: ciągłość działania szpitala

Zapewnienie ciągłości działania szpitali i ochrona ich infrastrukturę przed skutkami rosnącej liczby incydentów cyberbezpieczeństwa to priorytet. Dlatego współpraca nie ogranicza się jedynie do CSIRT CeZ, CBZC i WOT, lecz obejmuje także krajowe zespoły CSIRT, instytucje odpowiedzialne za analizę zagrożeń i wymianę informacji, a także podmioty utrzymujące strategiczne zdolności w ramach Krajowego Systemu Cyberbezpieczeństwa. Dzięki temu możliwe jest szybkie wykrywanie zagrożeń, koordynowanie reakcji, wspólne prowadzenie działań technicznych i operacyjnych oraz skuteczna odbudowa systemów po incydentach - wszystko w oparciu o skoordynowaną współpracę i przepływ informacji między wieloma instytucjami państwowymi i sektorowymi.

Jak działa „mur współpracy”

Model 3 faz

  1. prewencja i zwiększanie odporności
  2. wczesne wykrywanie i szybka reakcja
  3. odbudowa i wnioski po incydencie

W CSIRT CeZ każdego dnia pracujemy nad tym, aby incydenty cyberbezpieczeństwa nie zakłócały funkcjonowania placówek medycznych. Naszym priorytetem jest ochrona ciągłości działania systemów, które wspierają lekarzy i pielęgniarki w opiece nad pacjentami. Każde wykryte zagrożenie i każda udzielona placówce pomoc to realny wkład w bezpieczeństwo pacjentów, bo w zdrowiu liczy się nie tylko szybka reakcja personelu, lecz także cyfrowa odporność całego systemu – Tomasz Jeruzalski, Dyrektor Pionu Eksploatacji Systemów Teleinformatycznych w Centrum e-Zdrowia, Pełnomocnik ds. CSIRT CeZ.

Odpowiedź pełnomocnika Rządu ds. Cyberbezpieczeństwa

Pełnomocnik Rządu ds. Cyberbezpieczeństwa opublikował pakiet zaleceń i wskaźników kompromitacji (IoC) skierowanych przede wszystkim do podmiotów KSC, ze szczególnym uwzględnieniem szpitali. Dokument powstał we współpracy Ministerstwa Cyfryzacji, sektorowego zespołu CSIRT CeZ oraz krajowych CSIRT-ów (NASK i GOV). Realizacja choćby części wskazanych działań ma istotnie ograniczyć ryzyko incydentu i zminimalizować jego skutki dla ciągłości działania placówek.  

Komunikat można znaleźć na stronie Ministerstwa Cyfryzacji oraz poniżej w dokumentach do pobrania.

Wdrożenie jak najszerszego zestawu powyższych działań jest bardzo zalecane, ponieważ realizacja nawet części znacząco ogranicza ryzyko incydentu i jego skutki.  

Najważniejsze działania “na już”

  1. Zabezpieczenie danych (backup odmiejscowiony)
    • wykonaj i zweryfikuj kopie zapasowe w formie odmiejscowionej offline/air-gapped - odciętej od sieci tak, aby dane w spoczynku nie były dostępne z sieci lub w taki sposób, aby dane nie były możliwe do modyfikacji. Przykładowo dane można zgrać na odłączane nośniki.
  2. Higiena poświadczeń  
    • weryfikuj czy w infrastrukturze nie ma nieautoryzowanych konta uprzywilejowanych, np. na Active Directory (AD),
    • weryfikuj czy na urządzeniach Firewall nie ma nieautoryzowanych konta uprzywilejowanych,
    • profilaktycznie zmień hasła dla wszystkich kont administracyjnych.

Co w razie incydentu?

Dobre procedury i szybkie zgłaszanie incydentów to jeden z kluczowych elementów skutecznej reakcji na cyberatak. Im wcześniej informacja trafi do właściwych zespołów, tym szybciej można ograniczyć skalę zagrożenia i rozpocząć działania naprawcze. W przypadku ataku na szpital w Szczecinie placówka niezwłocznie powiadomiła odpowiednie instytucje, uruchamiając procedury i pozostając w stałym kontakcie ze służbami oraz podmiotami odpowiedzialnymi za cyberbezpieczeństwo. To właśnie ta szybka reakcja umożliwiła natychmiastowe zaangażowanie zespołów wsparcia, w tym działań technicznych i operacyjnych na miejscu oraz równoległych analiz prowadzonych przez wyspecjalizowane jednostki.  

Jak zgłosić incydent?

Aby zgłosić incydent do CSIRT CeZ, wystarczy otworzyć formularz dostępny na stronie Centrum e‑Zdrowia i przesłać krótką informację o zaobserwowanym zdarzeniu. W zgłoszeniu warto podać jak najwięcej szczegółów oraz wskazać osobę do kontaktu, aby działania CSIRT CeZ mogły być jak najszybsze i najbardziej efektywne.

Wspólnie wzmacniamy cyberbezpieczeństwo w sektorze ochrony zdrowia

Współpraca CSIRT CeZ, CBZC i WOT tworzy realną tarczę dla szpitali. Łączy kompetencje techniczne, operacyjne i organizacyjne, pozwalając szybciej wykrywać zagrożenia, ograniczać skalę incydentów i sprawniej wracać do normalnego funkcjonowania po ataku. Skoordynowane wdrożenie zaleceń z komunikatu Pełnomocnika oraz gotowość do współdziałania z partnerami państwowymi to dziś najkrótsza droga do podniesienia cyberodporności całego sektora ochrony zdrowia.