Bezpieczny dostęp do danych medycznych. Jak ochronić aplikacje internetowe w służbie zdrowia?
Opieka zdrowotna stała się celem cyberprzestępców, co pokazały choćby ubiegłoroczne cyberataki na Centrum Zdrowia Matki Polki oraz Lotnicze Pogotowie Ratunkowe czy głośny w 2017 roku atak ransomware WannaCry na brytyjską służbę zdrowia i szpitale. Wrażliwe informacje gromadzone i przechowywane przez placówki medyczne mogą być niezwykle cenne i kosztować na czarnym rynku więcej niż dane z kart kredytowych.
Szpitale stoją przed szczególnymi wyzwaniami. Jak wiele organizacji polegają na aplikacjach i interfejsach API stron trzecich do obsługi swoich systemów i nie zawsze mają pełną wiedzę na temat tego, czy aplikacje te są odpowiednio zabezpieczone. Z drugiej strony – placówki medyczne przetwarzają i przechowują wiele bardzo wrażliwych danych i podlegają ścisłym regulacjom prawnym. Naruszenie bezpieczeństwa oznacza więc nie tylko poważne szkody dla reputacji, ale także prawdopodobne problemy natury prawnej.
Służba zdrowia pod presją
Od początku pandemii COVID-19 służba zdrowia działa pod ogromną presją. Dotyczy ona także działów IT, które od 2020 r. dokonały więcej zmian i wprowadziły więcej rozwiązań niż w ciągu kilku poprzednich lat. Pojawiły się między innymi nowe usługi dla pacjentów, które zwiększają potencjalną płaszczyznę ataku.
– Choć to poczta elektroniczna pozostaje najczęściej wykorzystywanym przez cyberprzestępców sposobem dostępu do organizacji, z naszych badań wynika, że prawie połowa (43 procent) włamań miała swoje źródło w ataku na aplikacje web. Po części wynika to z faktu, że dawniej nie łatwo było je zabezpieczyć, ale także z tego, że aplikacje internetowe odgrywają coraz większą rolę w infrastrukturze IT wielu organizacji. Wpływ na to miało między innymi przejście na pracę hybrydową i zdalną oraz coraz częstsze korzystanie z wideokonsultacji, także z lekarzami – mówi Mateusz Ossowski, CEE Channel Manager w Barracuda Networks.
Skala problemu może zaskakiwać – z ostatniego badania firmy Barracuda wynika, że 72 procent średnich i dużych organizacji doświadczyło naruszenia bezpieczeństwa aplikacji internetowych w ciągu 12 miesięcy poprzedzających ankietę. A prawie połowa z nich potwierdziła, że do takiego naruszenia doszło w tym czasie więcej niż raz.
Zabezpieczenie aplikacji internetowych może być trudnym i czasochłonnym zadaniem. Firewalle wymagają regularnej konfiguracji i setek reguł, aby działały poprawnie. W przypadku błędnej konfiguracji albo będą przeszkadzać w działaniu aplikacji i denerwować użytkowników – zmuszając ich do ciągłego wpisywania haseł i rozwiązywania CAPTCHA – albo pozostawią lukę, którą mogą wykorzystać cyberprzestępcy.
Niebezpieczne API
Aplikacje internetowe, a także różnego rodzaju urządzenia – od smartwatchy czy opasek sportowych, przez monitory poziomu glukozy, po telefony komórkowe – zazwyczaj wykorzystują interfejsy programowania aplikacji (API) do łączenia i komunikowania się między sobą. Niezależnie od tego, czy są to urządzenia konsumenckie, czy profesjonalny sprzęt w szpitalach, klinikach i gabinetach, każde API jest potencjalnym punktem wejścia dla atakującego.
Jeśli nie są one odpowiednio sprawdzone i zabezpieczone, cyberprzestępcy mogą wykorzystać je jako furtkę do sieci organizacji. Hakerom sprzyja też zmodyfikowany sposób pracy nad rozwojem oprogramowania, w którym aktualizacje wydawane raz na kilka miesięcy zostały zastąpione przez częste iteracyjne zmiany. Mogą one niezamierzenie stworzyć lukę bezpieczeństwa w firmie czy instytucji.
Innym potencjalnym zagrożeniem są ataki na łańcuch dostaw oprogramowania. Ponad połowa organizacji korzysta z gotowych skryptów stron trzecich dla aplikacji internetowych. Jest to szczególnie niebezpieczne, gdy kod jest dostarczany do przeglądarki bezpośrednio z platformy źródłowej. Doświadczył tego producent oprogramowania do zarządzania IT, firma Kaseya, która padła ofiarą ataku ransomware w 2021 r. Cyberprzestępcy wykorzystali lukę w oprogramowaniu i zainfekowali systemy przedsiębiorstw stosujących rozwiązanie firmy.
Problemem może też być tradycyjny łańcuch dostaw szpitala, obejmujący swoim zasięgiem agencje zatrudnienia i wykonawców różnych usług, np. sprzątania. Jeśli dostawcy ci mają dostęp do systemów szpitala, zainfekowanie ich sieci lub urządzeń mobilnych może stanowić punkt wyjścia dla cyberataku, który omija główne zabezpieczenia placówki medycznej. Pracownicy tych firm mogą być również obiektem ataków socjotechnicznych oraz phishingowych, których celem jest kradzież danych uwierzytelniających.
Lekarstwo na cyberataki
Bez wątpienia zabezpieczenie aplikacji internetowych stanowi ogromne wyzwanie, zwłaszcza w kontekście ilości czasu poświęcanego na ten proces. Cyberprzestępcy coraz częściej korzystają z botów, które bez nadzoru mogą nieustannie poszukiwać podatności w aplikacjach szpitali. Boty świetnie pozorują swoje działania, podszywając się pod typowy ruch – taki, jaki generują standardowe przeglądarki internetowe. W praktyce przekłada się to na potrzebę wykorzystania uczenia maszynowego do odróżniania botów od ludzi.
– Aby zapewnić, że tylko właściwi użytkownicy mają dostęp do ważnych aplikacji lub wrażliwych zbiorów danych, możemy skorzystać z prostych we wdrożeniu rozwiązań. Takie produkty jak np. Barracuda Web Application Firewall i Barracuda WAF-as-a-Service ułatwiają zaimplementowanie wieloskładnikowego uwierzytelniania – MFA (multi-factor authentication) – czy pojedynczego logowania – SSO (Single Sign-On). MFA to dodatkowa warstwa zabezpieczeń, która pozwala potwierdzić, że użytkownik jest tym, za kogo się podaje. SSO z kolei pozwala na korzystanie z jednego zestawu danych uwierzytelniających do logowania dającego dostęp do wielu aplikacji. Stosowanie MFA i SSO zwiększa bezpieczeństwo, zwłaszcza w dobie powszechnego użycia prostych loginów i haseł, nie obciążając nadmiernie użytkowników – dodaje Mateusz Ossowski.
Wiele instytucji zajmujących się opieką zdrowotną w związku z ograniczonymi zasobami IT decyduje się też na korzystanie z platform bezpieczeństwa dostarczanych w modelu SaaS.
Placówki opieki zdrowotnej, podobnie jak firmy i instytucje z innych sektorów, muszą zdawać sobie sprawę z tego, że każdy potrzebuje dziś planu awaryjnego. Pytanie brzmi bowiem nie „czy”, a „kiedy” organizacja padnie ofiarą naruszenia bezpieczeństwa. Oznacza to konieczność posiadania bezpiecznych i regularnie testowanych kopii zapasowych, dzięki którym w razie cyberataku można bezproblemowo przywrócić sprawność operacyjną organizacji.