Zsarolóvírusokkal támadják már a kórházakat is

2019 szeptemberében az USA középső részén 20 kórház vált működésképtelenné egy zsarolóvírus-támadás miatt. A számítógép-monitorokon a következő üzenet jelent meg: „A fájlok elérhetetlenné váltak. Amennyiben hozzájuk akarsz férni, fizess!” A kórház működéséhez szükséges informatikai háttér teljes helyreállítása 17 napot vett igénybe – ezzel a felütéssel kezdik a téma szakértő szerzői az Orvosi Hetilap szeptemberi számában megjelent cikküket, amellyel arra igyekeznek felhívni a figyelmet, milyen komoly problémát jelenthetnek a zsarolóvírusok az egészségügyben, ahol érzékeny és értékes adatok mellett az idő tényleg életet jelent.

Mi is a zsarolóvírus?

Zsarolóprogramok azok, amelyek bejutva a felhasználó gépébe megakadályozzák a hozzáférést az ott található adatokhoz. Alapvetően két típusuk ismert: a’crypto’ vírusok jellemzően az adatokat, főként a dokumentumfájlokat kódolják, titkosítják, és hagynak egy üzenetet, amelyből kiderül, hogy mennyi pénzért hajlandó a vírus alkalmazója a dekódoló kulcsot odaadni a felhasználónak, aki így visszaállíthatja adatait. A másik típus esetén a hozzáférést gátolják meg a ’locker’ vírusok, így teszik elérhetetlenné a felhasználó számára a működés szempontjából kritikusan fontos fájlokat. Ebben az esetben is a díj megfizetését követően kapja meg a felhasználó a megfelelő kulcsot a fájlokhoz történő hozzáféréshez.

2019 decemberében hívták fel a figyelmet egy új zsarolóvírusra, amely kifejezetten az egészségügyben jelent meg: a Zeppelin orosz vagy szovjet utódállami eredetű, hatásosan okoz kárt a hálózatokban, mert a biztonságimásolat-fájlokat is képes törölni. Szintén újgenerációs zsarolóvírus a Maze ransomware, amelynek az a sajátossága, hogy a zsarolási szándékot adatlopás előzi meg. Így az adat felhasználóját vagy tulajdonosát nemcsak a saját rendszerben levő fájlok visszaállítása kapcsán bírhatják fizetésre, hanem az ellopott adatok megsemmisítéséért is kérhetnek pénzt.

Mint a tanulmány rámutat: az elmúlt években a kiberbűnözés egyik leggyakoribb formája a zsarolóvírusokon keresztüli támadás lett, ez ugyanis viszonylag egyszerű eszközökkel végrehajtható, miközben gyors és magas pénzügyi megtérüléssel jár. Szakértői anyagok szerint a zsarolóvírusok esetén a befektetés-arányos megtérülés 1425 százalék is lehet.
Szintén szerepet játszik a terjedésben – és ez különösen az egészségügyre jellemző világszerte –, hogy az informatikai infrastruktúra és az információbiztonsági tudatosság sokkal fejletlenebb, mint például a pénzügyi szektorban. Az informatika nem tartozott a prioritások közé, operálni úgy is lehet, hogy nincs semmilyen informatikai támogatás. Emellett az egészségügyön belül a gyógyító folyamatokra nem volt jellemző az ipari kémkedés: amíg a betegadatok papíron gyűltek, nehéz volt nagy tömegben és könnyen feldolgozhatóan előállítani azokat az adatokat, amelyek a kutatás-fejlesztés-innovációs tevékenységhez megfelelő alapot jelentettek.

Az elmúlt években bekövetkezett változások, elsősorban a diagnosztika (például laboratórium, képalkotás) területén végbement fejlődés miatt azonban az egészségügyi szervezetek informatikai és információbiztonsági szempontból kiszolgáltatottabbá, sérülékenyebbé váltak. A betegek gyógyítására használt technológiáknak a fejlődését nem kísérte az információbiztonságra fordított erőforrások növekedése és ahhoz kapcsolódóan a humántényező fejlesztése.

Mint írják, az USA-ban, ahol évek óta gyűjtik az egészségügyi rendszerhez kapcsolódó adatvisszaéléseket, azok folyamatos növekedését tapasztalják. Míg 2010-ben még a másfél százat sem érte el az érintett intézmények száma, 2019-ben már megközelítette a 350-et.

Egy céges jelentés szerint pedig, szintén az Egyesült Államokban, tavaly a zsarolóvírus-támadásokkal leginkább érintett szektor az egészségügy volt: 764 egészségügyi szolgáltatót ért ilyen támadás, miközben 113 állami vagy helyi önkormányzati szervet és hivatalt, és 89 oktatási intézményt.

Egy másik elemzés 2019-re globálisan 11,5 milliárd USD-re becsülte a zsarolóvírusok által okozott károk költségét. Ugyanezen becslés 2021-re 20 milliárd USD-re teszi az okozott károkat. Ez azt is jelenti, hogy a becslés szerint 2021 végére minden 11. másodpercben történik majd egy zsarolóvírus-támadás. Ebből egyértelműen megállapítható, hogy az egészségügy lesz az a szektor, amely a zsarolóvírus-támadásoknak a leginkább ki lesz téve.

A jelenlegi magyar jogszabályi környezetben a Nemzetbiztonsági Szakszolgálat szervezeti keretei között működő NKI gyűjti azokat a rosszindulatú információbiztonsági eseményeket, amelyek az egészségügyi intézményeket érik. Az NKI adatai nem tekinthetők reprezentatívnak, azonban 2020. első negyedévi adatok alapján elmondható, hogy a magyar egészségügyi intézményekben a zsarolóvírusok okozta támadások a harmadik leggyakoribb típusú támadást jelentik a kiberbiztonságra.

Súlyosan sérülhet az egészségügyi ellátás

A zsarolóvírusok által okozott legfontosabb egészségügyi funkciózavarokat az eddig bekövetkezett zsarolóvírus-támadások tapasztalatai alapján a következőkben határozták meg.

1. A sürgősségi szolgáltatást fel kell függeszteni, és emiatt a sürgősségi ellátást igénylő betegeket más, akár távol lévő ellátóhelyre kell irányítani.
2. A betegek egészségügyi rekordjai átmenetileg vagy tartósan nem érhetők el. Előfordulhat végleges adatvesztés is, ami az orvosi döntést (diagnózis megállapítása, terápiás döntések) és ez által a betegek sorsát jelentősen befolyásolja.
3. Szolgáltatások felfüggesztésére, elhalasztására lehet szükség: elsősorban tervezett műtéteket, vizsgálatokat kell áttenni, illetve emiatt a kórházi felvételeket szüneteltetni kell a nem sürgős ellátások esetében is.
4. A fenti diszfunkciók következtében egy támadás jelentős pénzügyi hatással is jár: egy 2019-es retrospektív elemzés adatai alapján az Angliában 600 egészségügyi szervezetre kiterjedő 2017-es WannaCry-támadás körülbelül 35 millió font kárt okozott.

A támadások azonban kivédhetők, és a szerzők fel is hívják a figyelmet, hogy az NKI a honlapján részletes iránymutatást ad a teendőkkel kapcsolatban. Ezek nem egészségügy-specifikusak, hiszen a rosszindulatú támadás sem szektorspecifikus. Ha már megtörtént a támadás - az FBI-hoz hasonlóan - az NKI sem ajánlja, hogy bárki fizessen a zsarolónak. Nincs garancia ugyanis arra, hogy megadják a kódot a rendszer visszaállításra, és hogy az működőképes is lesz. Sok esetben szándékosan – vagy programozói hibából kifolyólag – eleve lehetetlenné teszik a visszafejtést.

A tanulmány szerzői megjegyzik: az egészségügyi szolgáltatók információbiztonsági helyzete nagyon vegyes képet mutat, és nehéz is „belőni” a helyes arányt. De muszáj, mert az itt tárolt adatok, illetve az egészségügyi intézmények, mint létfontosságú infrastruktúrák miatt az információbiztonság ebben a szektorban különleges jelentőségű.