Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) dnes vydal varování před hrozbou v oblasti kybernetické bezpečnosti, spočívající v realizaci rozsáhlé kampaně závažných kybernetických útoků na informační a komunikační systémy v České republice, zejména pak na systémy zdravotnických zařízení. Tato kampaň může způsobit závažné dopady na dostupnost, důvěrnost či integritu informací u důležitých informačních a komunikačních systémů.
Cíli kybernetických útoků se v poslední době staly dvě české nemocnice, v Benešově a Fakultní nemocnice v Brně. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) dnes vydal varování před dalšími možnými hrozbami v oblasti kybernetické bezpečnosti. Ty by mohly spočívat v realizaci rozsáhlé kampaně závažných kybernetických útoků na informační a komunikační systémy v České republice, zejména pak na systémy zdravotnických zařízení.
„K vydání tohoto varování nás vedly naše poznatky včetně poznatků z činnosti našich partnerů. Informace, které máme k dispozici, vedou k důvodné obavě z reálné hrozby závažných kybernetických útoků na významné cíle v České republice, především ale na systémy zdravotnických zařízení,“ říká ředitel NÚKIB Karel Řehka.
NÚKIB tuto hrozbu hodnotí z dostupných informací na úrovni „vysoká“ – hrozba je pravděpodobná až velmi pravděpodobná. V souvislosti s touto hrozbou důrazně doporučuje provedení úkonů, které jsou detailně popsané ve VAROVÁNÍ.
Varování podle zákona o kybernetické bezpečnosti znamená, že správci systémů, které spadají do klasifikace kritické informační infrastruktury, významných informačních systémů, nebo provozovatelů základní služby, se popsanými hrozbami musí zabývat a musí přijmout adekvátní opatření. I osobám, které nepadají pod zákon o kybernetické bezpečnosti, doporučujeme varování zohlednit a zavést adekvátní opatření.
Pozor na přílohy!
Úřad v souvislosti s touto hrozbou důrazně doporučuje provedení následujících úkonů: Mimořádně upozornit uživatele o hrozbách spear-phishingu a připojit výzvu, aby se uživatelé, kteří v posledních dnech otevřeli podezřelé přílohy, obrátili na správce infrastruktury.
Úřad také doporučuje upozornit uživatele na možnost „maskování“ spustitelných souborů v phishingu, např. „obrazek.png.exe“, „text.txt.exe“, „dokument.pdf.exe“ apod.
Pokud je to možné, tak pomocí centrálního nastavení zabránit spouštění aktivního obsahu
a maker, zejména v .doc a .docx dokumentech a okamžitě zablokovat vzdálené přístupy do infrastruktury a zablokovat otevřené služby do veřejné sítě, vyjma těch nezbytně nutných (veřejné IP rozsahy lze zkontrolovat v dostupných vyhledávačích zařízení připojených do sítě a zjistit tak i historicky otevřené či zapomenuté porty, nebo služby dostupné z veřejné sítě).
NÚKIB také doporučuje okamžitě vytvořit offline zálohy a postupovat v zálohování dle důležitosti dat v organizaci. Zkontrolovat konzistenci již vytvořených záloh a okamžitě aktualizovat antivirové řešení v infrastruktuře.
Úřad dále pro možné prověření škodlivé činnosti uvádí hashe škodlivých souborů:
File type: Win32 EXE
MD5 28e1786bd652942f0be31080a9452389
SHA-1 44cb931ee16f1f6e3b408035efcd795d8aa0c9be
SHA-256 7aa996ff7551362f42ba31d4cd92d255a49735518b3f4dc33283fdd5c5a61b42
File type: Win32 EXE
MD5 e20ee9bbbd1ebe131f973fe3706ca799
SHA-1 4e92e5cbe9092f94b4f4951893b5d9ca304d292c
SHA-256 f632b6e822d69fb54b41f83a357ff65d8bfc67bc3e304e88bf4d9f0c4aedc224
File type: Win32 EXE
MD5 9dbbfa81fe433b24b3f3b7809be2cc7f
SHA-1 b87405ff26a1ab2a03f3803518f306cf906ab47f
SHA-256 dfbcce38214fdde0b8c80771cfdec499fc086735c8e7e25293e7292fc7993b4c
File type: Win32 EXE
MD5 7def1c942eea4c2024164cd5b7970ec8
SHA-1 b2f4288577bf8f8f06a487b17163d74ebe46ab43
SHA-256 c3f11936fe43d62982160a876cc000f906cb34bb589f4e76e54d0a5589b2fdb9
File type: Win32 EXE
MD5 e6ccc960ae38768664e8cf40c74a9902
SHA-1 d29cbc92744db7dc5bb8b7a8de6e3fa2c75b9dcd
SHA-256 b780e24e14885c6ab836aae84747aa0d975017f5fc5b7f031d51c7469793eabe
File type: Win32 EXE
MD5 b1349ca048b6b09f2b8224367fda4950
SHA-1 44fac7dd4b9b1ccc61af4859c8104dd507e82e2d
SHA-256 c46c3d2bea1e42b628d6988063d247918f3f8b69b5a1c376028a2a0cadd53986
File type: Win32 EXE
MD5 0d7dbda706e0048aca27f133d4fc7c51
SHA-1 1ed9dc8be0f925a5c23e6b516062744931697c78
SHA-256 ac6b3f9e0848590e1b933182f1b206c00f24c3aa0aa6c62ca57682eff044d079
Varování Interpolu i tajných služeb
Varování před možnými útoky přišlo od tajných služeb, zahraničních i českých. „Na základě skutečností zjištěných při výkonu své působnosti, stejně tak jako na základě skutečností, které se úřad dozvěděl od orgánů, které vykonávají působnost v oblasti kybernetické bezpečnosti v zahraničí, i tuzemských partnerů, dospěl úřad k zjištění hrozby v oblasti kybernetické bezpečnosti, spojené s aktuální kampaní závažných kybernetických útoků na informační a komunikační systémy v České republice, která se zaměřuje na větší množství cílů v České republice, zejména pak na zdravotnická zařízení,“ vysvětlil šéf NÚKIB Karel Řehka.
Úřad v rámci své činnosti monitoruje a analyzuje hrozby a rizika v oblasti kybernetické bezpečnosti, zároveň v souladu se zákonem o kybernetické bezpečnosti přijímá hlášení kybernetických bezpečnostních incidentů od povinných osob ze zákona o kybernetické bezpečnosti. Stejně tak jako i od dalších osob, které nemají povinnosti podle zákona o kybernetické bezpečnosti, jakožto i od dalších partnerů. „V rámci této činnosti získal úřad indicie o tom, že přípravná fáze těchto útoků již probíhá, a to zejména pomocí spear-phishingové kampaně,“ konstatoval Řehka.
Úřad podle něj v současné době pozoruje zvýšené množství kybernetických útoků, jejichž dopady jsou zvláště nebezpečné v kontextu aktuální situace spojené s výskytem koronaviru (označovaného jako SARS CoV-2) na území České republiky, vyhlášeného nouzovému stavu a nezbytnosti zajistit fungování důležitých informačních a komunikačních systémů a jimi podporovaných služeb.
„Tyto skutečnosti ve svém souhrnu vedou k důvodné obavě z hrozby realizace závažných
kybernetických útoků na významné cíle v České republice, a proto úřad podle § 12 odst. 1
zákona o kybernetické bezpečnosti vydává toto varování,“ doplnil Řehka.
Řehka také upozornil , že orgány nebo osoby, které jsou povinny zavést bezpečnostní opatření podle zákona o kybernetické bezpečnosti, jsou povinny toto aktuální varování zohlednit v rámci řízení rizik. „Na základě výše uvedeného úřad považuje hrozbu spojenou s kybernetickými útoky zmíněnými ve výroku tohoto varování za pravděpodobnou až velmi pravděpodobnou. Orgány a osoby, které jsou povinny zavést bezpečnostní opatření podle zákona o kybernetické bezpečnosti, jsou proto povinny tuto hrozbu hodnotit na odpovídající úrovni, tedy na úrovni vysoká,“ varoval šéf Národního úřad pro kybernetickou a informační bezpečnost.
Ekonomický deník se podrobněji věnoval útokům na nemocnice zde a zde.
Před kyberútoky na nemocnice varoval před pár dny i Interpol. Mezinárodní policejní organizace zaznamenala zvýšený počet takzvaných vyděračských programů, kterými hackeři při pandemii koronaviru požadují výkupné. Jde o podobný způsob, jakým byla v polovině března napadena i Fakultní nemocnice Brno. „Výsledkem bylo, že naléhavé chirurgické zákroky musely být odložené, pacienty přemístili do jiných nemocnic a celý IT systém byl vypnutý,“ popsal důsledky útoku na brněnskou fakultní nemocnici generální tajemník Interpolu Jurgen Stock. Podle něj stávající pandemie koronaviru není jen zdravotnickou krizí ale představuje taky významnou kyberbezpečnostní hrozbu. Interpol proto varoval všech svých 194 členů.
„Vyděračské programy se šíří hlavně přes e-mail, ve kterém se objevují informace a doporučení ke koronaviru od vlády, agentur nebo dokonce Světové zdravotnické organizace. To vede příjemce, že klikne na zavirovaný odkaz nebo přílohu,“ upozornil Stock. Hackeři tímto způsobem podle něj žádají o výkupné nebo se pokouší ukrást data pacientů.
To, že nemocnice jsou nyní nejlepší možný cíl pro všechny typy útočníků, si myslí i náměstek ředitele Nemocnice Na Bulovce a poradce ministra zdravotnictví Martin Koníř: „Je na ně v souvislosti s covid-19 velmi vidět. Současně se jedná o relativně měkký cíl, který lze zasáhnout s menší vydanou energií než jiné sektory.“ Podle něj takový útok musel přijít, dříve či později, nicméně neděje se nic, na co by nebyli v nemocnici připraveni. „Přichází krize, o které víme nyní jen to, že přichází. Musíme tak sáhnout ke krokům, které zabrání škodám a současně co nejméně poškodí chod nemocnice,“ řekl Koníř Zdravotnickému deníku. „Činíme konkrétní opatření, jsme velmi opatrní a současně krátkodobě omezujeme uživatele i v oblastech, kde to obvykle neděláme. Například jsme dočasně zakázali používat makra, která jsou jedním z typických vektorů, skrze které se šíří viry.“
Podle Koníře však bohužel pro silnější ochranu nejsou ve zdravotnictví a obecně ve státním sektoru vhodné podmínky. „Dlouhodobě tato oblast není v žádné z IT oblastí na špičce, ať už se jedná o architekturu nebo zabezpečení,“ dodává náměstek ředitele Nemocnice na Bulovce na závěr. (více o tématu IT v sektoru zdravotnictví psal Zdravotnický deník například zde.)
-nik, hrb, sed-
