W obliczu rosnącej liczby ataków cybernetycznych, coraz sprytniejszego oprogramowania ransomware, czy wyrafinowanych socjotechnik oraz ataków phishingowych, organizacje raz za razem boleśnie przekonują się, że posiadanie systemów mitygujących cyberzagrożenia to za mało, by czuć się w pełni bezpiecznie. Aby więc zwiększyć skuteczność i kompleksowo zabezpieczyć ciągłość działania, warto spojrzeć na problem szerzej i zamiast skupiać się na narzędziach, zająć się całościową cyberodpornością organizacji.

Firmy dziś, bardziej niż kiedykolwiek, potrzebują kompleksowej strategii odporności cybernetycznej. Pytanie jednak brzmi, czym właściwie jest cyberodporność, na czym polega i w jaki sposób wdrożyć jej zasady w organizacji? O tym właśnie jest najnowszy artykuł Veeam, na bazie którego stworzyliśmy krótki przewodnik dla tych, dla których klasyczne cyberbezpieczeństwo to już o wiele za mało.

Trochę teorii

Aby dobrze zrozumieć zjawisko, jakim jest cyberodporność, należy sięgnąć do źródła – czyli do definicji.

Idąc za zgrabną formułką Jackie Ostlie z Veeam, należy zaznaczyć, że u podstaw cyberodporności leży przede wszystkim zdolność organizacji do oceny zagrożeń i incydentów cybernetycznych, przygotowania się na nie, reagowania i odzyskiwania sprawności po nich.

Narodowy Instytut Standardów i Technologii (NIST) z kolei nieco rozwija tę myśl, definiując odporność cybernetyczną jako zdolność przewidywania, wytrzymywania, odzyskiwania i dostosowywania się do niesprzyjających warunków, napięć i ataków w systemach, które korzystają z zasobów cybernetycznych lub są przez nie obsługiwane. Cyberodporność ma umożliwić realizację celów strategicznych lub biznesowych, które zależą od dostępnych zasobów w środowisku cybernetycznym.

MITRE to organizacja non-profit, która, jako swoisty pioner zagadnień związanych z cyberodpornością, opracowała framework MITRE Attack, będący jedną z największych dostępnych baz wiedzy o cyberzagrożeniach i naruszeniach danych, a także badań nad nowymi technikami cyberataków. MITRE zatem ma swoją własną, krótką i konkretną definicję cyberodporności, wedle której jest to potrzeba, aby systemy informacyjno-komunikacyjne oraz osoby od nich zależne, były odporne na uporczywe, ukryte i wyrafinowane ataki skupiające się na zasobach cybernetycznych.

Niezależnie jednak od tego, jaką definicję zagadnienia przyjmiemy, kluczowe w tym przypadku nie jest tak naprawdę to, CZYM jest cyberodporność, ale to, w JAKI SPOSÓB wdrażać ją w organizacji. Nie chodzi przecież tylko o zapobieganie atakom, ale także o to, by sprawnie działać w trakcie ataku oraz po nim, minimalizując przestoje i ryzyko utraty danych oraz strat finansowych i wizerunkowych. Nie jest to proste, bo wymaga spójnej współpracy zespołów IT i cyberbezpieczeństwa, a także świadomości wszystkich członków organizacji, która pozwoli być o krok do przodu wobec mnożących się cyberzagrożeń.

Framework odporności cybernetycznej – najważniejsze elementy

Przechodząc jednak do konkretów, warto skupić się na tym, jakie działania kryją się pod definicją cyberodporności NIST oraz MITRE oraz jakie wskazówki w tym zakresie warto wdrożyć, budując cyberodporną organizację. Na bazie najlepszych praktyk powstał zatem swoisty framework, który obejmuje 4 najważniejsze zasady. Budując organizację opartą o strategię cyberodporności, przede wszystkim należy:

Przewidywać -regularnie identyfikuj swoje wewnętrzne i zewnętrzne słabe punkty oraz najcenniejsze zasoby. Wymaga to współpracy zespołów IT i cyberbezpieczeństwa, kompleksowego mapowania procesów oraz wysokopoziomowej integracji istniejących systemów.

Egzekwować – wprowadź swój plan w życie i monitoruj procesy oraz systemy pod kątem nietypowej aktywności, która może wskazywać na złośliwy atak i/lub naruszenie. Uwzględnij w tym procesie korzystanie z narzędzi bezpieczeństwa, takich jak SIEM i XDR, upewnij się, że Twoja organizacja stosuje podejście Zero Trust oraz koniecznie zaimplementuj zasady zarządzania tożsamością i dostępem, wzmocnione uwierzytelnianiem wieloskładnikowym (MFA – Multi-Factor Authentication).

Mieć z czego odzyskiwać – kopia zapasowa to ostatnia linia obrony w przypadku cyberataku, nie można więc traktować jej po macoszemu, bo nierzadko ratuje organizacji ,,życie”. Upewnij się więc, że Twój backup jest nienaruszalny, wolny od wirusów oraz przechowywany poza siedzibą, zgodnie z zasadą 3-2-1-0 – w kryzysowej sytuacji pozwoli Ci to na skuteczne odzyskanie kluczowych dla organizacji danych.

Dostosowywać – poddawaj regularnej ewaluacji firmowe procesy, zasady i systemy oraz na bieżąco modyfikuj je w razie potrzeby, aby jak najlepiej dostosować je do zewnętrznych, wciąż ewoluujących i coraz bardziej wyrafinowanych cyberzagrożeń.

Budowanie cyberodporności – bariery i zagrożenia

Zrozumienie ryzyka związanego z zagrożeniami cybernetycznymi ma kluczowe znaczenie dla zbudowania odpowiedniej strategii. Według Veeam do najczęstszych zagrożeń, które stoją na drodze do stworzenia cyberodporności organizacji, należą m.in. poniższe bariery:

• Zespoły IT i cyberbezpieczeństwa dość często są od siebie funkcjonalnie i strukturalnie odizolowane, co utrudnia zrozumienie przepływu narzędzi, procesów i planów, w efekcie opóźniając szybką reakcję na incydent cyberbezpieczeństwa.
• Testowanie kopii zapasowych i próbne odzyskiwanie danych jest traktowane w kategoriach fanaberii, będąc jednocześnie procesem wyłączonym ze strategii odporności cybernetycznej organizacji.
• Organizacje nie przestrzegają podstawowych zasad higieny bezpieczeństwa i ochrony danych.
• Organizacje zaniedbują szkolenia pracowników na wszystkich szczeblach oraz we wszystkich obszarach biznesowych, co znacząco zwiększa ryzyko błędów ludzkich mogących prowadzić do incydentu.

Skutki powyższych zaniechań mogą być dla organizacji katastrofalne, zarówno pod względem finansowym, jak i reputacyjnym. Według najnowszych danych, średni koszt naruszenia bezpieczeństwa danych wynosi 3,86 mln dolarów, a zidentyfikowanie i powstrzymanie naruszenia zajmuje średnio 280 dni. Statystyki te podkreślają znaczenie solidnej strategii odporności cybernetycznej.

Wdrażanie dobrych, sprawdzonych praktyk, kluczem do sukcesu

Budowanie odporności cybernetycznej wymaga czegoś więcej niż tylko wdrażania narzędzi i zasobów bezpieczeństwa; wymaga holistycznego podejścia, obejmującego szereg najlepszych dostępnych i sprawdzonych praktyk, takich jak:

Współpraca na linii IT – zespół cybersecurity: tylko pełen, transparentny przepływ informacji oraz integracja procesów i systemów pozwala na zbudowanie kompleksowej bariery ochronnej przeciw cyberatakom oraz natychmiastową identyfikację słabych stron i obszarów wysokiego ryzyka w organizacji.

Dbałość o porządny, rzetelny backup: regularne tworzenie kopii zapasowych danych to tylko pierwszy krok do szybkiego powrotu do działania w przypadku incydentu cybernetycznego. Kompleksowy backup powinien być regularnie testowany, wolny od wirusów i uszkodzeń, nienaruszalny oraz powinien występować przynajmniej w trzech egzemplarzach, na dwóch różnych nośnikach, a jeden z nich powinien znajdować się poza siedzibą.

Opracowanie planu reagowania na incydenty: plan reagowania na incydenty to dokument obejmującywstępnie zdefiniowane kroki, które Twoja organizacja powinna zrealizować w przypadku wystąpienia incydentu cyberbezpieczeństwa. Jest nieodzowny, bo w sytuacji krytycznej porządkuje i systematyzuje działania, które należy podjąć, by zminimalizować straty w przypadku cyberataku.

Stała ewaluacja strategii: świat cyberzagrożeń stale się rozwija, co oznacza, że ​​Twoja organizacja również musi to robić. Na bieżąco należy więc oceniać narzędzia, procesy, systemy i zasady, aby identyfikować wszelkie luki i słabe punkty w zabezpieczeniach Twojej organizacji.

Szkolenia pracowników: każdy pracownik, bez względu na stanowisko, odgrywa rolę w ochronie Twojej firmy, klientów i danych. Edukacja pracowników w zakresie rozpoznawania i reagowania na cyberzagrożenia może znacząco zmniejszyć ryzyko powodzenia ataku.

Podsumowanie

W czasach, gdy zagrożenia cybernetyczne są nieuniknione, odporność cybernetyczna stała się swoistym „must have” każdej organizacji, której celem jest ochrona swoich zasobów i utrzymanie ciągłości działania. W bezpieczeństwie cybernetycznym nie chodzi bowiem tylko o posiadanie odpowiednich narzędzi – bo to zdecydowanie zbyt mało – ale także o wdrażanie i egzekwowanie odpowiednich strategii, procedur i szkoleń, które wymaga partnerstwa między zespołami IT, zarządem oraz resztą organizacji.

Cyberodporność jako zagadnienie wciąż ewoluuje, w miarę, jak pojawiają się nowe zagrożenia – a jak wiadomo, dzieje się to w zastraszającym tempie. Tym ważniejsze jest zatem odejście od nastawienia reaktywnego, które obejmuje reagowanie w odpowiedzi na problem, a przejście na zdecydowanie proaktywny model działania – który, rzetelnie wdrożony, pozwala być krok do przodu wobec czyhających cyberzagrożeń oraz daje pewność, że Twoja organizacja jest zawsze przygotowana na to, co potencjalnie nadejdzie.

Pamiętaj, że celem organizacji nie jest jedynie przetrwanie cyberataku, ale także jak najdalej idące minimalizowanie szkód, zarówno operacyjnych, jak i reputacyjnych. W tym kontekście odporność cybernetyczna to odpowiedzialność nie tylko działu IT – to kwestia mindsetu całej organizacji.

*Artykuł powstał na podstawie materiału ,,What is cyber resilience?” Veeam Software: https://www.veeam.com/blog/what-is-cyber-resilience.html, dostęp na dzień 04.12.2023 r.

---

Artykuł został napisany przez człowieka, a nie algorytm sztucznej inteligencji.

Jak wynika z raportu Veeam 2023 Global Report on Ransomware Trends, ataki ransomware są bardziej niż powszechne – w ciągu ostatnich 12 miesięcy 85% organizacji doświadczyło co najmniej jednego cyberataku. Co więcej, choć aż 80% z nich zapłaciło okup, jedynie 75% odzyskało dostęp do swoich danych. W 3/4 przypadków celem hakerów były repozytoria kopii zapasowych.

Jak wskazuje Veeam, średnio co szóstej doświadczonej atakiem ransomware organizacji, udało się odzyskać w pełni swoje dane, bez płacenia żadnego okupu. Firmy te rzetelnie podchodziły do kwestii ochrony danych, dbając o niezmnienność i niezawodność tworzonych kopii zapasowych, oraz wdrażając kompleksową strategię reagowania na ransomware, która działała zgodnie z założeniami. Wniosek jest taki, że możliwe jest odzyskanie danych po ataku ransomware, jeśli masz na to konkretny i solidny plan.

Choć dla każdej z organizacji strategia radzenia sobie z atakiem ransomware będzie wyglądać trochę inaczej, z uwagi na specyfikę firmy, branży i danych, Veeam Software udało się opracować uniwersalne 6 elementów planu reagowania na ransomware, który znacząco zwiększa prawdopodobieństwo odzyskania danych po ataku.

W dużym skrócie krytyczne aspekty planu odzyskiwania danych po ataku ransomware powinny obejmować m.in. takie elementy, jak rekonfigurację systemów, wdrożenie szeregu rygorystycznych środków zapobiegawczych, uruchomienie systemów wczesnego wykrywania i reagowania, plan odzyskiwania danych i przywracania aplikacji oraz schemat komunikacji na wypadek wystąpienia incydentu bezpieczeństwa w organizacji. Nie można również zapominać o każdorazowym przeprowadzeniu kompleksowej analizy po incydencie, by zabezpieczyć elementy wysokiego ryzyka i zmniejszyć prawdopodobieństwo wystąpienia kolejnego ataku.

6-etapowy plan reagowania na ransomware w organizacji według Veeam obejmuje:

Etap 1: Działania prewencyjne/ zapobiegawcze

Etap 1 to szereg działań przygotowujących organizację na potencjalny atak ransomware jeszcze przed jego wystąpieniem. Obejmują one edukację pracowników, ocenę ryzyka, wzmacnianie rozwiązań sprzętowych i aplikacyjnych, segmentację sieci oraz tworzenie bezpiecznych kopii zapasowych danych.

1. Edukacja pracowników

Pracownicy są pierwszą linią obrony przed atakami złośliwego oprogramowania, należy więc bezwzględnie przeszkolić ich więc powinieneś przeszkolić ich w zakresie rozpoznawania próby ataków (zwłaszcza phishingowych), potencjalnych zagrożeń oraz sposobów wykrywania oznak zainfekowanych systemów i danych.

2. Ocena ryzyka

Regularnie przeprowadzana ocena ryzyka pozwala zidentyfikować słabe punkty w zabezpieczeniach przed złośliwym oprogramowaniem i ransomware oraz antycypować prawdopodobieństwo wystąpienia cyberataku przy uwzględnieniu aktualnych zabezpieczeń i specyfiki firmowej infrastruktury IT.

3. Zabezpieczenie portów i urządzeń końcowych (endpointów)

W tym celu należy uporządkować kwestie zdalnego dostępu w organizacji: wyłączyć nieużywane porty pulpitu zdalnego, ograniczyć pozostałe protokoły zdalnego dostępu do zaufanych hostów oraz zabezpieczyć urządzenia końcowe za pomocą indywidualnych ustawień konfiguracyjnych.

4. Segmentacja sieci i kontrola dostępu

Segmentowanie dostępu do sieci oraz zasobów może odbywać się z wykorzystaniem VPN oraz narzędzi fizycznych. Warto oddzielić zasoby skierowane do klientów od zasobów wewnętrznych organizacji, stosując również zasadę ograniczonego zaufania przy udzielaniu dostępu do danych. 

5. Wdrażanie aktualizacji systemów i poprawek (patchy) oprogramowania firmowego

Regularne i skrupulatne dbanie o zgodność z najbardziej aktualnymi wersjami oprogramowania i bieżące wdrażanie poprawek w aplikacjach może znacząco ograniczyć ryzyko włamania oraz cyberataku.

6. Wdrożenie zasad bezpiecznego tworzenia kopii zapasowych i redundancji danych

Dobra i staranna strategia tworzenia kopii zapasowych nierzadko stanowi ostatnią linię obrony przed utratą danych po cyberataku. Dlatego regularne tworzenie kopii zapasowych z uwzględnieniem reguły 3-2-1-0, nienaruszalności backupu oraz integralności danych jest podstawowym i bardzo ważnym działaniem prewencyjnym.

Etap 2: Wykrywanie i reagowanie

Bardzo ważne jest, aby szybko reagować na wszelkie incydenty związane z ransomware. Dzięki odpowiednim narzędziom monitorującymczęsto możliwe jest przerwanie ataku jeszcze w trakcie jego trwania. Do tego celu należy wykorzystać narzędzia monitoringu aplikacji i systemów, np. AppDynamics oraz całodobowe systemy alertów. Po wykryciu naruszenia kluczowe jest, by podjąć właściwe kroki i odpowiednie działania, co najprawdopodobniej znacząco zminimalizuje konsekwencje ataku.   

1. Określenie zagrożonych systemów

Ustalenie, które systemy zostały zaatakowane i natychmiastowe odizolowanie ich od reszty sieci jest pierwszym koniecznym krokiem, który należy wykonać. Jeśli atak dotknął kilka systemów i nie jest możliwe wstępne zweryfikowanie jego zasięgu, należy wyłączyć całą sieć  izolując galwanicznie i elektromagnetycznie (LAN w tym WiFi) środowiska przetwarzania danych.

2. Wyłączenie urządzeń

Jeśli nie jest możliwe odłączenie urządzeń od sieci, należy wyłączyć zasilanie zainfekowanego sprzętu. Uwaga! Należy pamiętać, że ten krok może usunąć dowody przechowywane w pamięci podręcznej.

3. Selekcja dotkniętych naruszeniem systemów

Bardzo ważnym etapem jest identyfikacja systemów krytycznych dla ciągłości działania i uszeregowanie ich według ważności pod względem priorytetów organizacji. Zwykle jest to zapisane w Planach Ciągłości Działania lub Procedurach związanych z Disaster Recovery.

4. Analiza logów

Przejrzenie dzienników systemowych pozwala zidentyfikować potencjalne powody naruszenia danych i prawdopodobną ścieżkę włamania.

5. Ustalenie prawdopodobnego scenariusza cyberataku

Ustalenie sekwencji zdarzeń prowadzących do ataku pozwoli odkryć sposób, w jaki złośliwe oprogramowanie czy malware były w stanie przeniknąć do Twojej sieci.

6. Identyfikacja zagrożenia

Zwieńczeniem tego etapu jest identyfikacja oprogramowania ransomware, jego wariantu/ rodzaju oraz pozostałych typów złośliwego oprogramowanie w systemach (jeśli wystąpią).

Etap 3: Komunikacja i raportowanie

Po wystąpieniu naruszenia kluczowe jest jak najszybsze zgłoszenie incydentu oraz dokładne poinformowanie poszkodowanych stron (np. klientów) o tym, co się stało. Szybka i transparentna komunikacja pomoże złagodzić krótko- i długoterminowe konsekwencje, takie jak utrata wiarygodności, straty finansowe wynikające z przestoju, czy kar umownych.

1. Komunikacja wewnętrzna

Natychmiast po wystąpieniu incydentów należy poinformować wszystkich pracowników i strony, których dotyczą konsekwencje naruszenia o jego przebiegu i krokach podjętych w celu zminimalizowania szkód. Bardzo ważne jest, aby pamiętać o regularnych aktualizacjach. Od formy i jakości tej komunikacji zależeć będzie także spójność komunikacji z otoczeniem zewnętrznym.

2. Powiadomienie odpowiednich władz

Zgłoszenie incydentu lokalnym lub krajowym organom porządku publicznego wynika z lokalnych rozporządzeń oraz legislacji obejmującej specyfikę danej branży. Po wystąpieniu naruszenia należy zatem niezwłocznie spełnić wszystkie zobowiązania prawne w zakresie powiadomienia regulatorów i podmiotów nadzorujących.

3. Komunikacja zewnętrzna

Powiadomienie klientów i partnerów biznesowych o incydencie oraz opublikowanie odpowiednich informacji dotyczących zakresu szkód jest bardzo ważnym krokiem zaradczym, gdyż należy pamiętać, że przestępcy często grożą ujawnieniem poufnych informacji, aby zmusić ofiary do zapłacenia okupu.

4. Zachowanie transparentności

Chociaż naturalnym jest, że w pierwszym odruchu firmy chcą ukryć szkodliwe informacje, wiadomości o cyberatakach i naruszeniach zazwyczaj nieuchronnie przedostają się na zewnątrz. Transparentność i szczera, otwarta komunikacja minimalizują szkody dla reputacji organizacji i daje poszkodowanym stronom możliwość podjęcia kroków w celu ochrony swoich wrażliwych danych.

Krok 4: Strategie ograniczania szkód

Przed podjęciem kroków mających na celu usunięcie oprogramowania ransomware z systemu, należy przechwycić i zabezpieczyć obrazy, migawki oraz zawartość pamięci podręcznej wszystkich zainfekowanych urządzeń. Informacje te są pomocne w procesie ustalenia, w jaki sposób systemy zostały naruszone. Ważne jest także, aby zachować informacje przechowywane w pamięci systemowej, logach i metrykach firewalla.

1. Konsultacje z organami nadzoru bezpieczeństwa

Rozmowa z organem nadzoru bezpieczeństwa właściwym dla Twojej organizacji oraz dostawcą zabezpieczeń pomoże zebrać ważne rekomendacje w zakresie minimalizowania szkód po cyberataku oraz dobrych praktyk dotyczących odzyskiwania danych z kopii zapasowych.

2. Identyfikacja dotkniętych cyberatakiem systemów
3. Wyłączenie urządzeń i punktów końcowych VPN, opartych na chmurze publicznej.
4. Wyłączenie szyfrowania danych po stronie serwera.
5. Identyfikacja wewnętrznych i zewnętrznych mechanizmów utrzymania.

Krok 5: Strategie eliminacji

Głównym celem strategii eliminacji jest usunięcie wszystkich śladów oprogramowania ransomware i złośliwego oprogramowania z systemów.

1. Wyczyszczenie wszystkich zainfekowanych systemów.
2. Odbudowa systemów korporacyjnych, zaczynając od systemów krytycznych.
3. Zresetowanie wszystkich haseł.
4. Usuwanie i blokowanie zidentyfikowanych luk w zabezpieczeniach, podejrzanych stron internetowych i złośliwego oprogramowania.
5. Wydanie oświadczenia przez wyznaczony organ IT po usunięciu wszystkich śladów oprogramowania ransomware i odbudowie systemów w celu potwierdzenia, że incydent związany z oprogramowaniem ransomware został zakończony.

Krok 6: Odzyskiwanie i przywracanie

W tym momencie można już przywrócić dane i wrócić do pracy. Jest to kluczowy moment, w którym następuje weryfikacja skuteczności strategii przechowywania kopii zapasowych.

1. Do przywracania systemów należy używać bezpiecznych kopii zapasowych.
2. Konieczne jest upewnienie się, że kopie zapasowe są wolne od niebezpiecznego kodu w tym ransomware, aby podczas odzyskiwania nie doszło do ponownego zainfekowania odtworzonych systemów.
3. Opisanie i wdrożenie dobrych praktyk wysnutych na bazie wniosków z cyberataku w celu wzmocnienia środków bezpieczeństwa.
4. Wdrożenie rozwiązań do ciągłego monitorowania ransomware.
5. Przeprowadzenie oceny po incydencie.

Najlepsze praktyki reagowania na incydenty związane z oprogramowaniem ransomware

Częstotliwość występowania ataków ransomware jest tak duża, że należy je traktować w tej samej kategorii, co inne plany zarządzania ciągłością działania. Obejmują one strategie radzenia sobie z poważnymi incydentami, klęskami żywiołowymi i odzyskiwaniem po awarii.

Punktem wyjścia dla planu reagowania na incydenty ransomware jest dokładnie zbadany i udokumentowany plan odzyskiwania danych. Zazwyczaj plan ten obejmuje wszystkich interesariuszy, jasne określenie celów odzyskiwania i strategie komunikacji. Plan identyfikuje odpowiedzialne strony i jasno określa działania, które należy podjąć w przypadku ataku ransomware.

Punkty do rozważenia obejmują:

1. Zespół reagowania: Zidentyfikuj wszystkich członków zespołu reagowania, ich obowiązki i funkcje. Wyznacz lidera odpowiedzialnego za koordynację działań.
2. Inwentaryzacja: Przygotuj pełną listę wszystkich fizycznych i chmurowych zasobów sprzętowych i programowych, wraz ze schematami ich wzajemnych połączeń, w tym specjalnych, takich jak VPN, wirtualne chmury prywatne, sieci WAN i interfejsy API.
3. Zasoby krytyczne: Stwórz listę i priorytetyzuj krytyczne funkcje biznesowe, aplikacje, zbiory danych i kopie zapasowe.
4. Lista kontaktów awaryjnych: Uwzględnij wszystkich pracowników, usługodawców, dostawców i klientów, na których może mieć wpływ incydent ransomware, by w razie potrzeby móc się z nimi natychmiast skontaktować.
5. Szkolenie: Przeszkol członków zespołu w zakresie ich ról i obowiązków oraz przeprowadź symulację incydentu, aby upewnić się, że każda osoba jest zaznajomiona ze swoją rolą i czuje się w niej komfortowo.
6. Plan działania na ransomware: Przygotuj szczegółowy plan działania w odpowiedzi na ransomware.
7. Wnioski i rekomendacje: Dokumentuj wnioski wyciągnięte podczas symulacji szkoleniowych i rzeczywistych ataków.

Sformalizowanie i wdrożenie powyższych praktyk w zakresie ochrony przed oprogramowaniem ransomware pomoże Twojej organizacji szybko i skutecznie zareagować w przypadku ataku oraz wykorzystać kopie zapasowe w celu przywrócenia i ponownego uruchomienia usług. Wykorzystaj więc przygotowany materiał do tego, by na jego bazie stworzyć własną checklistę działań koniecznych do podjęcia w przypadku ataku ransomware w Twojej organizacji.

Artykuł powstał na bazie https://www.veeam.com/blog/ransomware-response-plan.html, dostęp z dnia 27.09.2023

Artykuł został napisany przez człowieka, a nie algorytm sztucznej inteligencji.

Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) opublikowała raport ENISA Threat Landscape: Health Sector, dotyczący cyberzagrożeń dla sektora zdrowia.

Raport to analiza około 215 incydentów cyberbezpieczeństwa, które miały miejsce w obszarze ochrony zdrowia w okresie ostatnich dwóch lat. Identyfikuje on główne zagrożenia, podmioty, skutki i trendy w obszarze cyberbezpieczeństwa branży medycznej w Europie. Materiał obejmuje szczegółową analizę, która dostarcza odpowiedzi na niektóre ważne pytania, takie jak sposób przeprowadzania ataków, rodzaje systemów będących celem ataków oraz typ organizacji opieki zdrowotnej najbardziej dotkniętych wyciekami danych. Analizy te posłużyły jako podstawa do zidentyfikowania listy głównych cyberzagrożeń dla sektora zdrowia.

Liczba cyberataków na sektor medyczny wciąż rośnie

W ciągu ostatnich dwóch lat europejski sektor opieki zdrowotnej stanął w obliczu znacznej liczby incydentów. Szczególnie ucierpieli dostawcy opieki zdrowotnej (53% wszystkich incydentów), a zwłaszcza szpitale (42%). Zaobserwować można również ataki wymierzone w władze, organy i agencje służby zdrowia (14%) oraz ataki na przemysł farmaceutyczny (9%). Co niezwykle ważne, autorzy raportu dostrzegają tendencję wzrostową w zakresie liczby cyberataków – w pierwszym kwartale 2023 roku zarejestrowano ok. 40 incydentów, w porównaniu do średnio około 22 incydentów na kwartał obserwowanych w latach 2021 i 2022. Wśród krajów europejskich, które są najbardziej narażone na cyberataki w okresie ostatnich trzech lat, przoduje Francja (42 przypadki), Hiszpania (25) oraz Niemcy (23). Polska z 6 incydentami znajduje się w dolnej połowie stawki.

Ransomware a pozostałe cyberzagrożenia

Ransomware jest jednym z głównych zagrożeń w sektorze ochrony zdrowia (54%), zarówno pod względem liczby incydentów, jak i wpływu na organizacje służby zdrowia i przewiduje się, iż trend ten się utrzyma. Co więcej, aż 43% incydentów związanych z atakami ransomware łączy się z naruszeniem lub kradzieżą danych. Prawie połowa wszystkich incydentów (99 incydentów, 46%) stanowi zagrożenie dla danych organizacji zdrowotnych (naruszenia, wycieki). Zagrożenia związane z danymi nadal stanowią jedno z głównych zagrożeń w sektorze, nie tylko w Europie, ale także na całym świecie.

Pandemia wzmocniła wartość danych medycznych

Warto również zauważyć, że na niepokojące wyniki raportu ma z pewnością wpływ fakt, iż dane pochodzą głównie z okresu pandemii, kiedy obszar opieki zdrowotnej był jednym z najbardziej narażonych na cyberataki sektorów. Jest to związane z ogólnym wzrostem liczby ataków ransomware, ale także ze wzrostem wartości danych pacjentów, w tym elektronicznej dokumentacji medycznej. W rzeczywistości dane pacjentów były najczęściej atakowanymi zasobami (30%) w okresie ostatnich dwóch lat, ponadto, jak wynika z danych, ponad połowa ataków oparta była o motyw finansowy (53%).

Incydenty bezpieczeństwa spowodowane głównie lukami w zabezpieczeniach

Eksperci oceniają, że ataki na łańcuchy dostaw i dostawców usług opieki zdrowotnej, w połączeniu z zagrożeniami stwarzanymi przez luki w systemach opieki zdrowotnej i urządzeniach medycznych są jednymi z kluczowych problemów w zakresie bezpieczeństwa danych i systemów. W niedawnym badaniu ENISA opieka zdrowotna była sektorem, który zgłosił najwięcej incydentów bezpieczeństwa związanych z lukami w oprogramowaniu lub sprzęcie, co potwierdzają dane z tegorocznego raportu, w którym 80% ankietowanych organizacji opieki zdrowotnej zadeklarowało, że ponad 61% ich incydentów bezpieczeństwa było spowodowanych lukami w zabezpieczeniach.

Ważnym aspektem jest również wzrost liczby ataków DDoS. Rozwój sytuacji geopolitycznej i aktywność haktywistów zwiększyły liczbę ataków DDoS na szpitale i organy służby zdrowia na początku 2023 r., generując 9% wszystkich incydentów. Wynika to według ekspertów z gwałtownego wzrostu liczby ataków DDoS przeprowadzanych przez prorosyjskie grupy haktywistów, których celem było zakłócenie ciągłości działania podmiotów świadczących opiekę zdrowotną i organów służby zdrowia w UE.

Konsekwencje cyberataków

Opisane w raporcie incydenty spowodowały głównie naruszenia lub kradzież danych (43%), zakłócenia w świadczeniu usług opieki zdrowotnej (22%) i innych usług niezwiązanych z opieką zdrowotną (26%). Naruszenia danych dotknęły podmioty opieki zdrowotnej w 40% całkowitej liczby incydentów, a w szczególności szpitale (27%) i podstawową opiekę zdrowotną (8%). Zakłócenia w świadczeniu usług opieki zdrowotnej miały miejsce w przypadku podmiotów opieki zdrowotnej (82%) i organów służby zdrowia (12%).

Do istotnych skutków incydentów naruszenia danych należą również te finansowe. Jak wynika z badania ENISA NIS Investment 2022 mediana kosztów poważnego incydentu bezpieczeństwa w sektorze opieki zdrowotnej wynosi 300 000 euro. Pośredni wpływ na finanse atakowanych organizacji mają również sankcje nałożone przez organy ochrony danych, a także uszczerbek na reputacji podmiotów świadczących opiekę zdrowotną po poważnych naruszeniach danych.

Jak organizacje są przygotowane na cyberataki? Rekomendacje ENISA dla sektora zdrowia

Według niedawnego badania przeprowadzonego przez ENISA, tylko 27% ankietowanych organizacji w sektorze opieki zdrowotnej ma dedykowane programy ochrony przed ransomware, a 40% ankietowanych operatorów usług podstawowych nie ma żadnego programu budowania świadomości w zakresie bezpieczeństwa dla personelu spoza IT. W innym niedawnym badaniu przeprowadzonym przez grupę NIS, 95% ankietowanych organizacji zdrowotnych napotyka wyzwania podczas przeprowadzania oceny ryzyka, a 46% nigdy nie przeprowadziło takiej analizy. Ustalenia te podkreślają pilną potrzebę stosowania przez organizacje opieki zdrowotnej dobrych praktyk dotyczących cyberbezpieczeństwa. W związku z tym autorzy raportu przygotowali kilka najważniejszych rekomendacji w zakresie ochrony danych, które organizacje w sektorze opieki zdrowotnej powinny bezwzględnie wdrożyć.

Do rekomendowanych dobrych praktyk należą:

1. Szyfrowanie kopii zapasowych – szyfrowane kopie zapasowe krytycznych danych znacząco zmniejszają ryzyko ich utraty.
2. Edukacja i budowanie świadomości – podnoszenie świadomości i programy szkoleniowe dla pracowników służby zdrowia mogą odegrać istotną rolę w zapobieganiu cyberatakom opartym o socjotechniki i wpływają na poprawę praktyk bezpieczeństwa wśród użytkowników.
3. Identyfikacja luk w zabezpieczeniach – w celu ograniczenia wektorów ataków należy przeprowadzać regularne skanowanie pod kątem luk w zabezpieczeniach, zwłaszcza tych na urządzeniach mających dostęp do Internetu.
4. Aktualizacja oprogramowania – należy regularnie aktualizować oprogramowanie i systemy operacyjne do najnowszych dostępnych wersji.
5. Dobre praktyki – należy przestrzegać najlepszych praktyk w zakresie metod uwierzytelniania dostępu zdalnego, takich jak dwuetapowe uwierzytelnianie (2FA) z wykorzystaniem klucza U2F, długie, niesłownikowe hasła, managery haseł, korzystanie z VPN, itd.
6. Plan reagowania na incydenty – tworzenie, utrzymywanie i weryfikacja podstawowych planów reagowania na incydenty ma na celu zapewnienie ciągłości opieki nad pacjentami.
7. Zaangażowanie kierownictwa wyższego szczebla w działania operacyjne – świadomość wyższej kadry managerskiej w zakresie cyberbezpieczeństwa ma kluczowe znaczenie w skutecznym i kompleksowym wdrażaniu działań mających na celu ochronę danych i systemów.

Cały raport do pobrania tutaj: https://www.enisa.europa.eu/publications/health-threat-landscape