P RIMERI NAPADOV

V tem podpoglavju bodo predstavljeni glavni napadi uporabljeni s strani zlonamernih skupin ali pa posameznikov, ki so bili usmerjeni v zdravstveni sektor v zadnjih letih, ob tem pa bodo predstavljeni dejanski napadi, ki so prizadeli ta sektor.

4.1.1. Napad z izsiljevalsko programsko opremo

Napad z izsiljevalsko programsko opremo (angl. ransomware) je vrsta zlonamerne programske opreme, ki jo uporabljajo kibernetski kriminalci. Če se računalnik ali omrežje okuži z izsiljevalsko opremo, ta blokira dostop do sistema ali šifrira podatke. Kibernetski napadalci nato od svojih žrtev zahtevajo odkupnino v zameno za sprostitev podatkov. Med vsemi možnimi vrstami programske opreme se je v zadnjih letih najbolj razširila prav ta.

Zdravstveno varstvo je bilo že vrsto let resno prizadeto zaradi takšnih napadov [58].

Razlogov za to rast je več: enostavno se je naučiti, ni potrebe po dragi tehnologiji ali zapleteni nastavitvi in lahko je zelo donosno, ker večina organizacij raje plača odkupnino, kot da bi se uprle. Po podatkih svetovne raziskave, opravljene januarja in februarja 2021, je 34 % zdravstvenih organizacij plačalo odkupnino, da bi dobile nazaj svoje podatke. Le 65

% podatkov je bilo dejansko obnovljenih. Ista raziskava je pokazala, da akterji v zdravstvenem sektorju raje plačajo odkupnino, ker morajo zagotoviti neprekinjeno delovanje. Dolgoročni učinki takšne odločitve pa so lahko škodljivi [59].

Poznamo več vrst izsiljevalske programske opreme. Zelo priljubljena je izsiljevalska oprema Locker. Ta blokira osnovne funkcije računalnika. Onemogočen postane dostop do namizja računalnika, miška in tipkovnica pa sta delno onemogočeni, tako da lahko žrtev še

28 4. Napadi in dobre prakse obrambe

vedno izvede plačilo. Dobra stran tega napada je, da zlonamerna programska oprema ne cilja na ključne datoteke, temveč želi zakleniti le uporabnika. Delno ali pa celo popolno uničenje podatkov je zelo malo verjetno. Druga zelo priljubljena vrsta je Kripto-izsiljevalska programska oprema. Cilj te opreme je šifriranje pomembnih podatkov, kot so dokumenti, slike in videoposnetki, ne pa oviranje delovanja osnovnih funkcij računalnika. Ta izsiljevalska programska oprema ima lahko uničujoč vpliv, ker se večina ustanov ne zaveda pomembnosti varnostnih kopij v oblaku ali na zunanjih fizičnih napravah [60]. Med glavne primere izsiljevalske programske opreme sodijo tudi Reveton, CryptoLocker, WannaCry, Bad Rabbit, Ryuk in mnogi drugi [61].

Napadov, ki so se zgodili s to izsiljevalsko programsko opremo, je veliko. Oktobra 2020 je izsiljevalski program Ryuk v enem dnevu prizadel šest bolnišničnih sistemov v ZDA.

Ryuk je šifrirni trojanski konj, ki se je razširil avgusta 2018 in onemogočil funkcijo obnovitve operacijskih sistemov Windows. Tako je bilo brez zunanje varnostne kopije nemogoče obnoviti šifrirane podatke. Ryuk je šifriral tudi omrežne trde diske [62]. Julija 2021 je bila bolnišnica CF Witting v Bukarešti žrtev napada izsiljevalske programske opreme, ki je bila močno usmerjena v strežnike ustanove. Avgusta 2021 so napadalci napadli in blokirali platformo za načrtovanje cepljenja v Italiji ter zahtevali splošno odkupnino. Uporabniki niso mogli dostopati do sistema in rezervirati mesta za cepljenje.

Maja leta 2017 je bila ena od žrtev napada izsiljevalske programske opreme tudi Angleška državna zdravstvena služba (angl. National Health Service, NHS). Takrat je napad WannaCry prizadel skoraj 200.000 računalnikov v 16 zdravstvenih ustanovah. Posledice napada so prizadele na tisoče bolnikov, saj so se ustavile številne pomembne medicinske naprave. WannaCry je bil napad izsiljevalske programske opreme, ki se je leta 2017 razširil v več kot 150 državah. Zasnovan je bil za izkoriščanje varnostne ranljivosti v sistemu Windows [63].

4.1.2. Ribarjenje

Lažno predstavljanje oz. ribarjenje (angl. phishing) je vrsta napada socialnega inženiringa, ki se velikokrat uporablja za krajo podatkov. V večini primerov zlonamerni napadalci želijo prijavne podatke ali številke kreditnih kartic. Napadalec do podatkov pride, ker se izdaja za zaupanja vredno osebo in s tem zavede žrtev, da odpre e-pošto ali besedilno sporočilo. Prejemnik je nato prevaran, da klikne zlonamerno povezavo, kar lahko privede do namestitve zlonamerne programske opreme, zamrznitve sistema v okviru napada izsiljevalske programske opreme ali razkritja občutljivih podatkov. Napadi ribarjenja so vse bolj izpopolnjeni in pogosto pregledno zrcalijo ciljno spletno mesto, kar

29 napadalcu omogoča, da med brskanjem po spletnem mestu opazuje vse, kar počne žrtev, in skupaj z njo prestopi vse dodatne varnostne meje. Ti napadi imajo lahko zelo slabe posledice za posameznike, saj lahko napadalec s pridobljenimi podatki izvaja nepooblaščene nakupe, ukrade posameznikovo identiteto ali pa sredstva. Poleg tega se ribarjenje pogosto uporablja za utrditev v podjetniških ali vladnih omrežjih kot del večjega napada, na primer napredne trajne grožnje. Organizacija, ki je žrtev takega napada, običajno utrpi veliko finančno škodo, poleg tega pa se ji zmanjšajo tržni delež, ugled in zaupanje potrošnikov [64], [65].

Obstaja več tehnik goljufije. Najbolj pogosta je s pomočjo elektronske pošte.

Napadalec pošlje na tisoče zlonamernih sporočil. Pomembne podatke in denar lahko pridobi tudi, če mu uspe prevarati samo majhen odstotek prejemnikov. Druga pogosta oblika je ciljno ribarjenje (angl. spear-phishing), ta oblika je usmerjena na določeno osebo ali podjetje in ne na naključne uporabnike aplikacij. Ta oblika je zelo pogosta za napade na zdravstvene organizacije. Gre za bolj poglobljeno različico ribarjenja, ki zahteva posebno poznavanje organizacije, vključno z njeno strukturo upravljanja. Še ena znana oblika je t. i.

klonsko ribarjenje (angl. clone phishing) – to je vrsta napada, pri katerem se iz legitimnega in predhodno dostavljenega e-poštnega sporočila, ki vsebuje priponko ali povezavo, vzamejo vsebina in naslovi prejemnikov ter se uporabijo za ustvarjanje skoraj identičnega ali kloniranega e-poštnega sporočila. Priponka ali povezava v e-poštnem sporočilu je zamenjana z zlonamerno različico in nato poslana z e-poštnega naslova, ki se izkaže za izvirnega pošiljatelja. Poleg teh oblik obstajajo še mnoge druge, kot so na primer glasovno ribarjenje (angl. voice phishing), goljufanje prek SMS-sporočil (angl. SMS phishing), ugrabitev strani (angl. page hijacking) in goljufanje v koledarju (angl. calendar scam) [64]–

[66].

Lažno predstavljanje je že dolgo uveljavljena taktika socialnega inženiringa in je postala zelo popularen napad na zdravstvene sisteme. To je glavni kanal za prenos izsiljevalske programske opreme na te organizacije. Pandemija COVID-19 je še dodatno okrepila strahove in slabosti zdravstvenih sistemov po svetu. Zlonamerneži so izkoristili to priložnost, medtem ko so se bolnišnice spopadale z bremenom okuženih bolnikov. Številni napadi na zdravstveni sistem v letih 2020 in 2021 so se v veliki meri opirali na elektronsko pošto, saj je to glavni komunikacijski kanal med strokovnjaki [67]. Drugi način, kako je bila pandemija izkoriščena v tem smislu, so bili poskusi lažnega ribarjenja, povezani s COVID-19, od elektronskih sporočil, ki so zahtevala dokazilo o cepljenju, elektronskih sporočil zdravstvenih ustanov do lažnih popustov za teste na COVID-19 [68].

30 4. Napadi in dobre prakse obrambe

Zdravstvene organizacije so, kot je razvidno, bile prizadete že velikokrat. Večjih napadov s pomočjo opisane tehnike je ogromno. Leta 2019 je zaposleni v univerzitetnem medicinskem centru Montpellier nenamerno kliknil na zlonamerno povezavo v lažnem e-poštnem sporočilu. Tako je napadalec dobil dostop do računa in bolnišničnega omrežja. Ta kršitev varnosti podatkov je prizadela približno 600 računalnikov. Zdravstveni delavec je ugotovil, da so bili v prizadetem računu shranjeni občutljivi podatki [69]. Družba Anthem (prej WellPoint) je leta 2015 razkrila, da so napadalci s pomočjo lažnega elektronskega sporočila pridobili dostop do podatkovne zbirke podjetja in tako pridobili dostop do zaščitenih zdravstvenih podatkov organizacije. Hekerji so ukradli skoraj 79 milijonov zapisov s podatki o bolnikih in zaposlenih [70].

4.1.3. Napad z zavrnitvijo storitve

Napad z zavrnitvijo storitve (angl. Denial-of-Service attack, DDoS) je velikokrat imenovan tudi napad iz porazdeljenega omrežja (angl. distributed network attacks). Z napadom želi storilec onemogočiti dostopnost naprave ali omrežnega vira predvidenim uporabnikom tako, da začasno ali za nedoločen čas prekine delovanje storitev gostitelja, ki je povezan z omrežjem. To naredi tako, da napadenemu spletnemu viru pošlje več zahtevkov, da bi se presegla zmogljivost spletnega mesta za obdelavo zahtevkov, s tem pa bi se preprečilo pravilno delovanje spletnega mesta. Da bi se žrtvi lahko poslalo izjemno število zahtevkov, storilec pogosto vzpostavi »zombi omrežje« (angl. zombie network) računalnikov, ki jih je okužil. Zaradi storilčeve možnosti nadzora nad dejanji okuženih računalnikov je lahko obseg napada zelo velik [71]. Čeprav skoraj vsi napadi DDoS vključujejo preobremenitev ciljne naprave ali omrežja s prometom, lahko napade razdelimo v tri kategorije. To so napadi na podlagi obsega (angl. volume-based attacks), napadi na protokole (angl. protocol attacks) in napadi na aplikacijski sloj (angl. application layer attack). Napadalec lahko uporabi enega ali več različnih vektorjev napada ali pa vektorje napada spreminja kot odziv na protiukrepe, ki jih je sprejela tarča.

Različne vrste napadov DDoS ciljajo na različne komponente omrežne povezave.

Napadi na aplikacijski sloj so tipično napadi sistema za odgovarjanje na zahteve HTTP (angl. Hypertext Transfer Protocol). Izvedba posamezne zahteve HTTP na strani odjemalca je računsko poceni, vendar je lahko odziv ciljnega strežnika drag, saj strežnik pogosto naloži več datotek in izvede poizvedbe po zbirki podatkov, da ustvari spletno stran. Primer takšnega napada prikazuje Slika 7. Protokolni napadi, znani tudi kot napadi z izčrpavanjem stanja, povzročijo prekinitev storitve s preveliko porabo strežniških virov in/ali virov omrežne opreme, kot so požarni zidovi in usmerjevalniki obremenitve. Poznamo tudi

31 volumetrične napade – ti poskušajo ustvariti zastoje, da porabijo vso razpoložljivo pasovno širino med ciljem in širšim internetom [72], [73].

Slika 7: Primer DDoS napada na aplikacijski sloj [72]

Ti napadi lahko predstavljajo resno težavo za izvajalce zdravstvenih storitev, ki potrebujejo dostop do omrežja za zagotavljanje ustrezne oskrbe pacientov ali dostop do interneta za pošiljanje ter prejemanje e-pošte, receptov, zapisov in informacij. Zdravstveni sektor je še posebej izpostavljen plačilu odkupnine, saj gre za življenja. Leta 2014 je bil eden najodmevnejših napadov DDoS usmerjen na bostonsko otroško bolnišnico.

Bolnišnični sistem je bil napaden z DDoS, ko je obravnaval primer odvzema starševstva 14-letni deklici. Bolnišnica je imela približno 300.000 dolarjev stroškov za odpravo škode, ki jo je povzročil kibernetski napad DDoS [74].

4.1.4. Napadi na spletne aplikacije in oblak v zdravstvu

Zaradi hitre digitalne transformacije, v kateri je svet že dalj časa, so tudi zdravstveni ponudniki bili primorani digitalno preobraziti svoje organizacije. Število spletnih aplikacij se zelo hitro povečuje. Žal pa je v zdravstvu še vedno veliko število spletnih aplikacij z varnostnimi napakami. Po poročilu podjetja Veracode ima 75 % aplikacij na področju zdravstva varnostne ranljivosti [75]. Dobra novica pa je, da je zdravstvena industrija na drugem mestu – takoj za finančno – po času, ki je potreben za odpravo pomanjkljivosti, povezanih z varnostjo. Da bi še dodatno povečali varnost, morajo

32 4. Napadi in dobre prakse obrambe

redno izvajati tudi teste prodora, s katerimi se preveri učinkovitost varnosti spletnih aplikacij in zmogljivosti za odkrivanje vdorov.

V povezavi z digitalno transformacijo vse več zdravstvenih ponudnikov uporablja storitve v oblaku. Varnost v oblaku je eden izmed največjih izzivov, s katerim se mora zdravstveni sektor soočiti v prihodnosti. Zdravstvene organizacije morajo razumeti, katere storitve v oblaku se izvajajo v njihovi organizaciji, kje se nahajajo njihovi podatki o pacientih in drugi kritični podatki, ter zagotoviti, da imajo ti tretji ponudniki sami razvite varnostne mehanizme. Zelo pomembno je upravljanje dostopa do virov [76].