Cílem kyberzločinců ze skupiny Conti bylo odcizení dat z centrálních serverů irského zdravotního systému Health System Executive (HSE). Prostřednictvím ransomwarového útoku došlo na dlouhé týdny k ochromení počítačového systému, což způsobilo rozsáhlé rušení nezbytných operací a zdravotních vyšetření.O sedm měsíců později HSE zveřejnila obsáhlou 157stránkovou zprávu (ke stažení na https://bit.ly/34lcg9c) pojednávající o celém incidentu. Forenzní zkoumání ukázala na celou řadu důležitých faktů, které stály za tímto případem.
Chyběla adekvátní reakce IT oddělení
Zatímco ransomwarový útok byl zahájen 14. května 2021, hackeři poprvé získali přístup do sítě HSE už 18. března infikováním pracovní stanice HSE malwarem – tím, že zaměstnanec na počítači se systémem Windows otevřel z phishingového e-mailu nástrahu v Excelu. Podle zprávy bezpečnostní systémy sice zahlásily několik varování o vážném narušení sítě, ale ty byly špatně identifikovány, a navíc nebyly dostatečně řešeny. To by se zřejmě nestalo, kdyby bylo zapojeno řešení pro centralizaci řízení bezpečnostních událostí a incidentů v jednom bodě (SOC). To minimalizuje reakční doby na incident a škody z něj plynoucí.
Jakmile hackeři získali přístup do sítě, kompromitovali značný počet serverů, exfiltrovali data a pohybovali se laterálně. Zločinci následně požadovali výkupné, HSE však odmítlo zaplatit. Přesto se stalo něco, co není obvyklé. Skupina Conti nakonec sama a bezplatně dešifrovací klíč uvolnila, pravděpodobně poté, co si uvědomila, že zasáhla vládní zdravotní agenturu, a v reakci na veřejné pobouření. I tak obnova zašifrovaných dat trvala více než čtyři měsíce. Počáteční odhady nákladů na obnovu činily neuvěřitelných 600 milionů dolarů včetně 120 milionů dolarů potřebných na upgrade a lepší zajištění zasažených systémů.
Zásadní chyby, které vedly k povedenému útoku
HSE obnovou dat (údajně šlo o 700 GB) pověřila členy irské armády. Snaha byla ukončena až 21. září, kdy HSE považovala všechna data v serverech za dešifrovaná. I tak některá z nich zůstala stále neobnovená. Zálohovací infrastruktura HSE byla přitom nastavena pouze na periodické zálohování prostřednictvím pásek. Problémem bylo i personální zajištění: HSE zaměstnávalo pouze 350 lidí na IT pozicích a pouze patnáct v rolích bezpečnosti. Těm přitom chyběly odborné znalosti v oblasti kybernetické bezpečnosti. Alarmující také bylo, že HSE mimo jiné neměla:
- žádné plány nebo příručky pro kybernetickou bezpečnost,
- bezpečnostní nástroje schopné prozkoumat a aktivovat bezpečnostní výstrahy,
- centralizovaný seznam kontaktních údajů pro všechny zaměstnance HSE nebo registr majetku,
- off-line kopie klíčového zabezpečení IT a dokumentace,
- předem stanovený prioritní seznam aplikací a systému pro obnovu.
Povinná četba pro firmy
Jak ukazuje tento příklad, v dobách, kdy na celém světě exponenciálně roste počet kyberútoků, mnoho institucí stále toto riziko nebere vážně. Nízká úroveň vyspělosti kybernetické bezpečnosti zaměstnanců v kombinaci s absencí nepřetržitého monitorování sítě na výskyt bezpečnostních incidentů a bezpečnostních expertů je přitom vražednou kombinací. Organizace po celém světě mohou být HSE vděčné za to, že je tak otevřená a transparentní a že zveřejnila, k čemu přesně došlo. Všichni se z tohoto incidentu mohou poučit. Dokument přibližující, co se stalo v HSE, bych vedení firem doporučil jako povinnou četbu.
PŘEDPLATNÉ
ČLÁNKY DO MAILU