Skip to main content
Loading...
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.

Czego może nas nauczyć incydent ransomware w ZOZ w Pajęcznie?

Czego może nas nauczyć incydent ransomware w ZOZ w Pajęcznie?

Analiza ryzyka to konieczność, a poleganie na jednej osobie w kwestii cyberbezpieczeństwa to błąd – do takich wniosków doszli eksperci z firm 2BeAware, Perceptus oraz Xopero Software po przeanalizowaniu przypadku ataku ransomware na ZOZ w Pajęcznie, opisanego przez UODO.

Inteligentna Energetyka

 Kara od UODO za niewłaściwe zabezpieczenie danych osobowych

Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył karę finansową w wysokości 40 tysięcy złotych na Samodzielny Publiczny Zespół Opieki Zdrowotnej (ZOZ) w Pajęcznie. Powodem było niewłaściwe zabezpieczenie danych osobowych pacjentów i pracowników, co doprowadziło do poważnych konsekwencji w wyniku ataku hakerskiego.

Do incydentu doszło w lutym 2022 roku, kiedy to złośliwe oprogramowanie typu „ransomware” zaszyfrowało dane osobowe 30 tysięcy pacjentów oraz ponad tysiąca pracowników placówki. Choć ZOZ zgłosił incydent do UODO i Policji, ocenił go jako niepoważny, argumentując, że dane nie wyciekły, lecz jedynie stały się niedostępne. Zewnętrzny ekspert wskazał, że odzyskanie dostępu do danych było uzależnione od zapłacenia okupu w kryptowalucie, co jednak nie zostało zrealizowane.

Mimo to, Prezes UODO w toku postępowania uznał, że incydent był istotny, a placówka nie podjęła odpowiednich działań zapobiegawczych przed atakiem, takich jak przeprowadzenie analizy ryzyka dotyczącej ochrony danych osobowych. Dopiero po ataku, jak twierdzi UODO, rozpoczęto działania naprawcze, co przyczyniło się do nałożenia kary.

„Na zagrożenie dla danych osobowych ZOZ zareagował dopiero po ataku. Wtedy wezwał ekspertów, którzy wskazali luki w zabezpieczeniach i zarekomendowali zmiany. Odbyły się też szkolenia dla pracowników dotyczące bezpieczeństwa systemów informatycznych i danych” – twierdzi UODO w zamieszczonym na swojej stronie komunikacie.

„ZOZ nie miał jednak – co jest kluczowe – dokumentów potwierdzających sporządzenie i aktualizowanie analizy ryzyka dla danych osobowych. Bezpieczeństwo danych powierzono informatykowi, który na bieżąco analizował m.in. podatności, zagrożenia, możliwe skutki naruszenia oraz środki bezpieczeństwa mające na celu zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych. To w żaden sposób nie mogło zapewnić należytej kontroli nad bezpieczeństwem danych” – dodaje UODO.

Zdaniem Urzędu, ZOZ popełnił błędy także po incydencie – zgłosił swój problem UODO i Policji, ale nie zauważył problemu osób, których dane dotyczyły. „Nie powiadomił ich, że stracił kontrolę nad danymi takimi jak: imię i nazwisko, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, nr PESEL, nazwę użytkownika i/lub hasło, dane dotyczące zarobków lub posiadanego majątku, nazwisko rodowe matki, serię i numer dowodu osobistego, numer telefonu oraz dane dotyczące zdrowia” – uważa UODO.

Modelowy przykład 

Powyższy przykład jest wręcz modelowy, jeśli chodzi o podejście do cyberbezpieczeństwa wciąż w wielu organizacjach. Zwykle, zamiast zapobiegać atakom, większość firm zaczyna myśleć o bezpieczeństwie, gdy mleko się już rozlało. Niepokoi również fakt, że w takiej instytucji jak ZOZ, która dysponuje tak dużą ilością wrażliwych informacji, bezpieczeństwo danych powierzono tylko jednej osobie. Dlatego postanowiliśmy porozmawiać z ekspertami i zapytać ich, dlaczego przeprowadzenie i regularne aktualizowanie analizy ryzyka dla danych osobowych jest ważne i jakie konsekwencje niesie za sobą brak takiej analizy. Czy powierzenie odpowiedzialności za bezpieczeństwo danych jednej osobie bez odpowiedniej struktury i dokumentacji jest wystarczające? Jakie są najlepsze praktyki dotyczące natychmiastowej reakcji na atak hakerski, w szczególności z użyciem oprogramowania typu ransomware?

Krzysztof Bryła z 2BeAware uważa, że zarządzanie ryzykiem, czyli przeprowadzanie analiz, monitorowanie, reagowanie, aktualizowanie jest kluczowym procesem i fundamentem zarówno procesów bezpieczeństwa informacji, cyberbezpieczeństwa, jak i ochrony danych osobowych. — Nacisk na to kładą nowe regulacje w Europie, takie jak DORA czy NIS2. Rzetelne przeprowadzenie pozwala na poznanie rzeczywistego stanu organizacji, jej słabości, realnych zagrożeń i zgodności z regulacjami. Na drugiej szali zaś firma ryzykuje wystąpienie naruszenia czy incydentu, straty finansowe lub reputacyjne, kary od regulatora – uważa Krzysztof Bryła.

Ponadto ekspert z 2BeAware twierdzi, że domena bezpieczeństwa danych wymaga szeregu kompetencji i umiejętności. — Powierzenie tak kluczowych funkcji jednej osobie, a nierzadko powiększone o zarządzanie infrastrukturą IT, jest niestety częstą praktyką w placówkach medycznych. Absolutnym minimum są zasoby niezbędne na zabezpieczenie ciągłości działania, monitorowanie, reagowanie na incydenty, szkolenia pracowników, dokumentacja procesów i środowiska – uważa Bryła.

 - Wspomniane powyżej regulacje (NIS2) nacisk kładą także na bezpieczeństwo łańcucha dostaw, zarządzanie podatnościami, regularne testy. Występowanie incydentów, jak również wymagania regulatorów, jasno pokazują niewydolność jednoosobowych jednostek odpowiedzialnych za te zadania – dodaje.

Krzysztof Bryła przy okazji incydentu w Pajęcznie przypomina o triadzie bezpieczeństwa – CIA – w której ostatnia litera AVAILABILITY oznacza dostępność. Oznacza to, że w sytuacji, kiedy wystąpi zdarzenie, w wyniku którego dane są niedostępne, użytkownik powinien być o tym poinformowany. — Należy pamiętać, że organizacja, która przetwarza dane użytkowników (osobowe), odpowiada za ich bezpieczeństwo przed nimi, więc powinna o ryzyku naruszenia informować, przedstawiając zarówno możliwe konsekwencje, jak i proponując działania, które warto podjąć w celu zmniejszenia tego ryzyka – uważa Krzysztof Bryła.

Analiza ryzyka dla danych osobowych jest kluczowa 

Łukasz Zajdel, dyrektor sprzedaży w firmie Perceptus, podobnie jak Bryła, uważa, że analiza ryzyka dla danych osobowych jest kluczowa dla zapewnienia bezpieczeństwa systemów informatycznych, pozwala na zidentyfikowanie potencjalnego zagrożenia, które może wpłynąć na bezpieczeństwo danych osobowych. Pozwala również na ocenę, jakie ryzyko niesie ze sobą każde z tych zagrożeń oraz pomaga odpowiednio priorytetyzować działania i skoncentrować się na najważniejszych obszarach.

- Na podstawie wyników analizy ryzyka można opracować plan działania, obejmujący zarówno techniczne środki bezpieczeństwa, jak i procedury operacyjne. Kiedy mamy do czynienia praktycznie codziennie z zaawansowanymi atakami, należy regularnie przeprowadzać analizę ryzyka, dostosowując środki ochrony do nowych zagrożeń – uważa Łukasz Zajdel.

 - Bez analizy ryzyka istnieje większe ryzyko utraty danych osobowych w wyniku awarii, ataku hakerskiego lub błędu ludzkiego, co niesie za sobą utratę reputacji organizacji, zaufania klientów oraz znaczne kary finansowe. Nie można również zapominać o tym, że brak analizy ryzyka może prowadzić do naruszenia przepisów o ochronie danych osobowych, takich jak RODO – dodaje.

Ponadto ekspert z firmy Perceptus zauważa, że duża ilość jednostek medycznych mierzy się z brakiem wykwalifikowanego personelu obsługującego sprawy związane z IT. — Jeden informatyk nie jest w stanie obsługiwać jednostki w sprawach obsługi bieżących użytkowników, dbać o sprawne działanie infrastruktury serwerowo-macierzowej oraz sieciowej, jednocześnie dbając o cyberbezpieczeństwo, a ponadto prowadzić analizę ryzyka oraz tworzyć procedury w Systemie Zarządzania Bezpieczeństwem Informacji – twierdzi Zajdel.

 - Praktyczne rozdzielenie ról w przedsiębiorstwie powinno rozbijać się na kilka obszarów, m.in. struktura i dokumentacja, tworzenie procesów przepływu informacji oraz analiz, podnoszenie kompetencji, posiadanie odpowiednich zasobów – narzędzi technicznych oraz wsparcia osób zarządzających placówką – dodaje.

Potrzeba izolowania 

W przypadku ataku typu ransomware ekspert z firmy Perceptus zaleca odizolowanie zainfekowanego zasobu lub całej sieci. — Należy pamiętać, że wyłączenie danego zasobu skutkuje wymazaniem pamięci podręcznej, która przy późniejszej analizie poincydentalnej może okazać się niezbędna – twierdzi Łukasz Zajdel.

Następnie, zdaniem Zajdla, natychmiastowo powinno się skontaktować z odpowiednimi służbami, takimi jak Computer Emergency Response Team (CERT) lub lokalną jednostką/partnerem ds. cyberbezpieczeństwa. — To pozwoli na szybszą reakcję i koordynację działań związanych z analizą incydentu – wykrycie źródła ataku, sposobu infekcji oraz jego przyczyny w celu odcięcia hakerom dostępu do naszej infrastruktury i dalszego rozprzestrzeniania się ransomware – uważa Zajdel.

O komentarz w sprawie ataku na ZOZ Pajęcznie poprosiliśmy także Łukasza Nowatkowskiego, cybersecurity advocate w Xopero Software. Oczywiście, podobnie jak poprzedni eksperci, nie ma on żadnych wątpliwości, że analiza ryzyka jest fundamentalnym procesem w ochronie danych osobowych, który obejmuje identyfikację zagrożeń, klasyfikację danych oraz wdrażanie środków zaradczych. Proces ten pozwala na dokładne określenie potencjalnych ryzyk związanych z przetwarzaniem danych, takich jak cyberataki, nieuprawniony dostęp czy utrata danych, a także na podjęcie działań minimalizujących te ryzyka.

 - W organizacjach, gdzie procesy ochrony danych są dobrze zorganizowane, odpowiedzialność za analizę ryzyka spoczywa najczęściej na Inspektorze Ochrony Danych (IOD) lub zespole ds. zgodności. Obejmuje ona zarówno Data Protection Risk Assessment, jak i Data Protection Impact Assessment (DPIA), szczególnie w przypadku nowych projektów lub zmian w systemach przetwarzania danych – uważa Łukasz Nowatkowski.

 - DPIA jest kluczowym procesem, który zgodnie z RODO, jest wymagany przy przetwarzaniu danych mogącym wiązać się z wysokim ryzykiem dla praw i wolności osób fizycznych. Obejmuje ona ocenę zasadności przetwarzania danych, identyfikację ryzyk, opracowanie środków zaradczych oraz monitorowanie skuteczności tych działań w celu zapewnienia zgodności z przepisami i ochrony danych na najwyższym poziomie – dodaje.

Ekspert z Xopero Software twierdzi też, że w kontekście biznesowym analiza ryzyka przyczynia się do zwiększenia zaufania klientów poprzez transparentność działań związanych z ochroną danych oraz minimalizację kosztów operacyjnych dzięki efektywniejszemu zarządzaniu danymi. — Kluczowe wyzwania, takie jak ograniczenia budżetowe, brak formalnych metodologii czy trudności w modelowaniu ryzyk, muszą być uwzględnione w procesie, aby ocena była adekwatna do rzeczywistych zagrożeń – twierdzi Nowatkowski.

- Ponadto, dokumentacja procesów związanych z oceną ryzyka jest niezbędna, aby zapewnić przejrzystość, wykazać zgodność z regulacjami oraz umożliwić szybką reakcję w przypadku incydentów. Współczesne organizacje muszą dążyć do ciągłego doskonalenia tych procesów, aby sprostać rosnącym wymaganiom prawnym oraz dynamicznie zmieniającemu się środowisku zagrożeń – dodaje.

 Nowatkowski, podobnie jak pozostali eksperci, również uważa, że stawianie na jednego „pana informatyka” w firmie to błąd. Jego zdaniem zarządzanie bezpieczeństwem danych w placówce medycznej wymaga wielodyscyplinarnego podejścia, które obejmuje odpowiednie kompetencje i zasoby, takie jak: Inspektor Ochrony Danych (IOD), zespoły ds. zgodności i bezpieczeństwa IT – do wdrożenia i monitorowania procedur oraz ich bieżącej modyfikacji i testowania, dokumentacja – obejmująca polityki ochrony danych, plany reagowania na incydenty oraz oceny ryzyka, ciągłe szkolenia dla pracowników oraz budżet, zapewniający odpowiednie zasoby na narzędzia i technologie zabezpieczające, który w celowy sposób zaplanowany umożliwi testy urządzeń, konfiguracji i certyfikacji administratora.

Jak prawidłowo reagować na ransomware? 

W kontekście infekcji oprogramowania typu ransomware Łukasz Nowatkowski zwraca uwagę na to, że dane potrafią wyciekać bez konieczności infekowania systemów. „Mogą to być luki w zabezpieczeniach systemu operacyjnego (zero-day), błędy oprogramowania zainstalowanego w systemach operacyjnych oraz zwyczajne błędy w konfiguracji, np.: wystawione niezabezpieczone API do systemów przetwarzania danych – wykorzystywane przez dostawców trzecich do komunikacji, np.: z aplikacją mobilną” – wyjaśnia ekspert Xopero Software.

 Jak zatem reagować szybko i prawidłowo na ataki typu ransomware? „Przepis” Łukasza Nowatkowskiego na tego typu zagrożenia wygląda następująco:

1. Izolacja zainfekowanych systemów – natychmiastowe odłączenie od sieci, aby zapobiec dalszemu rozprzestrzenianiu się zagrożenia.

2. Ocena szkód – szybka analiza, aby zrozumieć zakres ataku.

3. Przywracanie danych z kopii zapasowych – jeśli dostępne, unikając płacenia okupu (zaplanowane szybkie przywrócenie bądź uruchomienie systemów z kopii tylko do odczytu umożliwia szybki dostęp do danych — również do odczytu).

4. Zgłoszenie incydentu odpowiednim organom – jak najszybsze powiadomienie – tutaj nie ma co zwlekać. Chyba nikt, tak jak ZOZ, nie chce dowiedzieć się o wycieku z mediów — internetu, maila informującego!

5. Transparentna komunikacja – informowanie osób, których dane zostały zaszyfrowane, jest kluczowe, a ZOZ popełnił błąd, nie informując ich o incydencie.

 - Trywialną sytuacją jest nawet taka, że dane osób znajdujących się w bazie mogą posłużyć jako dane weryfikacyjne w innych systemach, w których użytkownik posiada potencjalne konto — to robią automaty — one mają czas na weryfikację i sprawdzanie! – twierdzi Łukasz Nowatkowski.

- Prawidłowa procedura reakcji powinna obejmować powiadomienie wszystkich zainteresowanych stron, uruchomienie planu odzyskiwania danych oraz przeprowadzenie analizy post-incydentowej w celu wzmocnienia przyszłych zabezpieczeń – dodaje.

Total Security bilety

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa