Wraz z postępującą cyfryzacją ochrony zdrowia, personel medyczny staje się wektorem ataków socjotechnicznych przeprowadzanych przez cyberprzestępców. Powody ataków cyberprzestępców są różne, najczęściej mają motywację finansową, jednakże równie często związane są z osobistymi pobudkami hakera, wynikającymi z jego przekonań, np. politycznych lub religijnych. Ataki niejednokrotnie związane są z działaniami szpiegowskimi lub wynikają z chęci zemsty (niezadowolony pacjent, itd.).
Ataki realizowane są w celu uzyskania dostępu do wewnętrznych systemów IT podmiotu medycznego, co pozwala na dalsze działania cyberprzestępców prowadzące do:
- kradzieży danych osobowych i medycznych pacjentów oraz wykorzystanie ich do
dalszych celów przestępczych w tym ich sprzedaży na czarnych rynkach, - szantażowania placówki, np. blokada systemu i żądanie okupu (ataki typu ransomware),
- wykorzystania zdobytych informacji w celach szpiegowskich lub destabilizacji określonego sektora działalności państwa,
- dezinformacji lub manipulacji decyzjami personelu medycznego.
W kontekście działań wymierzonych w personel placówki medycznej, największym zagrożeniem są tzw. ataki socjotechniczne – czyli celowe manipulacje psychologiczne, wykorzystujące technologię i zaufanie, by skłonić ofiarę do działania na korzyść atakującego.
Czym są ataki socjotechniczne i jakie wyróżniamy ich rodzaje?
Kreatywność cyberprzestępców rośnie z dnia na dzień, a ataki obejmują coraz szerszą skalę pracowników podmiotów medycznych. Bardzo często osoba zaatakowana w ogóle nie jest świadoma, iż stała się obiektem ataku, a efekty ataku są widoczne dopiero po dłuższym czasie. Ataki socjotechniczne cyberprzestępców zwykle przyjmują następujące formy:
Phishing – podszywanie się pod znane firmy lub instytucje (np. ministerstwo, NFZ, Sanepid, operatora poczty, bank, portal społecznościowy, inny podmiot medyczny np. szpital) w e-mailach lub wiadomościach SMS, zwykle z linkiem prowadzącym do fałszywej strony logowania lub złośliwego pliku.
Vishing – oszustwo za pomocą kontaktu telefonicznego, np. poprzez podanie się za pracownika medycznego, pracownika urzędu, pracownika współpracującej firmy IT lub realizującej wsparcie prawne.
Deepfake – Zaawansowane nagrania audio/wideo wygenerowane przez AI, często przedstawiające znaną osobę (np. dyrektora placówki), proszącą o dostęp do danych lub logowanie do systemu.
Spoofing – podszywanie się pod numer telefonu lub adres e-mail znajomej instytucji lub osoby znanej ofierze. Atak wygląda na wiarygodny, bo pozornie pochodzi z zaufanego źródła.
Dlaczego personel medyczny jest na celowniku cyberprzestępców?
Placówki medyczne przetwarzają ogromne ilości danych, które mogą mieć znaczną wartość na czarnych rykach. Ponadto w dalszym ciągu sektor medyczny jest stosunkowo łatwym łupem dla cyberprzestępcy, z uwagi na fakt, iż postępująca cyfryzacja podmiotów medycznych niestety nie zawsze idzie w parze z kwestią odporności infrastruktury IT na cyberataki i wzrostem świadomości personelu. Nawet jednorazowy i krótkotrwały dostęp cyberprzestępcy do infrastruktury placówki może generować duży problem dla podmiotu, przy stosunkowo niewielkim nakładzie pracy cyberprzestępcy.
Jak rozpoznać zagrożenie?
Ataki socjotechniczne bardzo często wykorzystują element zaskoczenia, rutynę, stres, presję czasu i pozorną autentyczność wiadomości lub rozmówcy, aby nakłonić daną osobę do działania na korzyść cyberprzestępcy. Poniżej przedstawiono typowe scenariusze zagrożeń oraz wskazówki, jak je rozpoznać:
Phishing – Fałszywe wiadomości e-mail lub sms z informacją o pilnej potrzebie podjęcia konkretnego działania, np. potrzebie pilnej aktualizacji oprogramowania. Często wiadomości tego typu zawierają link prowadzący do fałszywej strony logowania lub link powodujący pobranie złośliwego oprogramowania (np. plików samorozpakowujących się) na urządzenie, które następnie działają bez jakiejkolwiek wiedzy użytkownika. Należy podkreślić, iż cyberprzestępcy potrafią być bardzo kreatywni i wymyślać przeróżne scenariusze, tak aby skłonić atakowaną osobę do kliknięcia w nieznany link. Wiele wiadomości phishingowych tworzonych jest schematycznie, masowo, często przy pomocy narzędzi AI – dlatego można w nich zauważyć typowe błędy i schematy..
Jak się bronić?
Zwracaj uwagę na błędy językowe, sprawdzaj dokładnie adres domeny nadawcy lub inne dziwne (niestandardowe) elementy wiadomości. Wątpliwości powinien budzić również nacisk nadawcy na natychmiastowe działanie. Używaj silnych haseł, zmieniaj je regularnie i loguj się tylko do znanych systemów.
Vishing – Rozmowa telefoniczna z osobą podszywającą się pod instytucję lub inne osoby, np. dostawcę usługi IT. Rozmówca może wzbudzać zaufanie fachowym językiem lub znajomością imion i nazwisk personelu podmiotu medycznego. Rozmówca może też dysponować innymi informacjami na temat placówki medycznej. Często w rozmowach taka osoba może prosić o dane dostępowe (logowania) to systemu IT, np. rzekomo w celu naprawy błędu.
Jak się bronić?
Zawsze weryfikuj tożsamość dzwoniącego poprzez oddzwonienie na oficjalny numer firmy lub kontaktowy do konkretnej osoby. Zadaj telefonującemu pytania po których zweryfikujesz jego tożsamość. Poproś o przesłanie wiadomości e-mail z domeny podmiotu, na który powołuje się telefonujący. Używaj silnych haseł, zmieniaj je regularnie i loguj się tylko do znanych systemów.
Deepfake – W ostatnich czasach ataki tego typu stają się coraz bardziej popularne, głównie z uwagi na ich skuteczność. Cyberprzestępca, uzbrojony w najnowszą technologię opartą o AI, może wygenerować realistyczne nagranie audio lub video. Takie nagranie może być dostosowane do konkretnego pracownika medycznego oraz bezpośrednio nawiązywać do zadań na danym stanowisku (np. wykonywanych w rejestracji placówki). Nagranie może zawierać spreparowane polecenia, np. nakaz przekazania danych pacjentów lub zalogowanie do systemu IT. W atakach typu Deepfake cyberprzestępcy wykorzystują też efekt manipulacji, presji czasu, chęci pomocy pacjentowi itd.
Jak się bronić?
Zwróć uwagę na nietypowe sformułowania, brak możliwości potwierdzenia tożsamości oraz naciskanie przez rozmówcę na natychmiastowe działanie. Skontaktuj się z instytucją za którą podaje się nadawca lub rozmówca. W przypadku wątpliwości – przerwij kontakt i skonsultuj sytuację z IOD lub działem IT.
Używaj silnych haseł, zmieniaj je regularnie i loguj się tylko do znanych systemów. Ataki socjotechniczne stają się coraz bardziej wyrafinowane i trudne do rozpoznania, zwłaszcza w placówkach ochrony zdrowia, gdzie personel skupia się na pacjentach, a nie zagrożeniach cyfrowych. Dlatego kluczowe jest łączenie świadomości zagrożeń z praktycznym przestrzeganiem zasad oraz wdrażaniem i przestrzeganiem polityk bezpieczeństwa informacji.
Pomimo wdrażania środków ochrony IT, w znacznym stopniu to nadal personel placówki pozostaje najważniejszym ogniwem ochrony danych przetwarzanych w podmiotach medycznych.
Autor: Grzegorz Procajło, prawnik i ekspert ochrony danych osobowych