Uoči FSEC-a u Varaždinu

Kad dugogodišnja medicinska sestra završi u svijetu cybersigurnosti

Sviđa vam se članak?

Preporučite ga prijateljima i kolegama putem društvenih mreža!

Kako se kaže – znatiželja je ubila mačku. Mene je moja dovela do svijeta online sigurnosti, infosecurityja ili kako je općepoznato u narodnom žargonu – cybersecurityja. No, kako sam kao medicinska sestra završila u svijetu sigurnosti i što sam putem naučila o propustima koji se svakodnevno rade?

Osim što sam medicinska sestra, bila sam agentica, a i prodavala sam cipele u veleprodaji. Samim time sam se i upoznala sa svijetom PR-a i marketinga, što mi je kasnije poprilično poslužilo u istraživanju vezanom uz očuvanje privatnosti i sigurnosti u zdravstvu. Samo pomislite na marketing vezan uz medicinske aparate, lijekove, inovacije, sve popularniji IoT, skupljanje podataka, čime se bolnice, a i pacijenti, nerijetko izlažu nepotrebnom riziku. Počevši od preprodaje njihovih medicinskih podataka u marketinške svrhe do pružanja mogućnosti da previše kriminalaca može ući u sigurnosni sustav bolnica, čime se može ugroziti i život pacijenata koji nemaju toliko veliko tehničko znanje na polju cybersigurnosti.

Jedan od još uvijek najpopularnijih načina hakiranja podataka je korištenje social engineeringa, jer su ljudske greške i nehajnost u njihovom ponašanju na internetu još uvijek jedan od najvećih uzroka curenja podataka. Sjetimo se samo eksperimenta o tome što se o jednoj osobi može doznati u samo nekoliko sati pretraživanja na internetu.

Sve je počelo ljudskim nehajem

Od toga je sve i počelo, ljudskog nehajnog ponašanja na internetu. Kao medicinska sestra radim već više od 20 godina na poziv po nizozemskim bolnicama. Digitaliziranjem bolnica i uvođenjem računala svima se omogućio pristup medicinskoj dokumentaciji – i internetu.

Naravno, svatko od osoblja dobio je svoj profil i lozinke, a time je mogao surfati po internetu koliko god želi. U početku (doista davno) bilo je moguće i preuzimanje filmova koristeći bolnička računala pa čak i medicinske aparate.

Kako sam radila na poziv, obišla sam puno bolnica i zdravstvenih ustanova i od gotovo svih kolega dobivala njihove lozinke kako bih se mogla ulogirati – ili su jednostavno po računalima lijepili na papiru ispisane podatke za prijavu. Vrlo sam brzo shvatila koliko je to u principu opasno, jer osim uvida u svu medicinsku dokumentaciju, imala sam uvid i u privatne informacije kolega kao što su platne liste, adresa, brojevi osiguranja… Kao i e-mail adrese svih zaposlenih u toj bolnici. Osim uvida, mogla sam i raditi pod profilom kolege te promijeniti razne informacije vezane uz pacijente te time ugroziti i pacijenta i kolegu.

U svemu sam ovome otkrila i koliko su lozinke smiješno lake za pogađanje/hakiranje koristeći social engineering.

Što je s medicinskim strojevima povezanima s internetom?

Pokušavajući pojasniti kolegama da ne trebaju olako davati svoje pristupne podatke, počela sam se sve više udubljivati u situaciju u zdravstvu vezanu uz privatnost i sigurnost, ne samo medicinskih podataka, već i sigurnosti strojeva. Naime, strojevi se redovno kontroliraju putem računala, odnosno iz raznih razloga povezani su s njima.
Poznavajući medicinsku stranu, teoriju i praksu, počela sam se zanimati oko toga što je sve moguće napraviti ako se računala i medicinski strojevi hakiraju. Uz pomoć dosta ljudi iz infosecurity zajednice, koji su mi pokazali što je sve moguće, kao i linkova koje su mi redovno slali, shvatila sam da je stanje zaista alarmantno.

Kao neko tko je uvijek bio tehnički nastrojen i uviđao mogućnosti tehnike u zdravstvu, zanimale su me i inovacije u ovoj grani, kao i IoT. Nažalost, tu sam primijetila ne samo nezainteresiranost za privatnost, već i opet nehajnost za sigurnosti i, uz sve to, loš marketing. Vrlo brzo mi je postalo jasno da je većina ovih proizvoda napravljena čisto za prodaju – ne samo da nam nisu bili potrebni, nego su i ugrožavali privatnost i sigurnost pacijenata (a i nas zaposlenih).

Kucanje na mnoga vrata… Dok netko nije otvorio

Kako baš i nisam šutljiva, pokušala sam obavijestiti o tome nadležne, uglavnom IT odjele, ali sam nailazila na zatvorena vrata. Vjerojatno su mislili da jedna sestra nema baš nekog znanja na polju sigurnosti i nisu shvaćali da je to netko s “terena” tko im može pomoći.  😊

Ni sve organizacije koje se bave sigurnošću nisu u početku uzimale za ozbiljno moje priče, dok slučajno nisam stupila u kontakt s Women in Cyber i dobila podršku da svoju priču ispričam na konferencijama.

Osim toga, zajedno smo napravile istraživanje web stranica bolnica u Nizozemskoj, pokušale ih obavijestiti (ponovno negiranje medicinske sestre) i na kraju objavile istraživanje da bi se ukazalo na problem. Naravno, bez imenovanja bolnica, već samu statistiku.

Zaintrigirana ovim istraživanjem, istražila sam i 100 najboljih bolnica u Americi i poslala im izvještaje. U ovom je trenutku US-CERT zauzet daljim akcijama svih bolnica koje nisu reagirale.😊

U jednom je trenutku počela ozbiljnija komunikacija s dosta ljudi iz svijeta sigurnosti koji su podržavali ovu temu ili su se i sami bavili sigurnošću po bolnicama.

Problem je velik

Iz svih promatranja i istraživanja došla sam do zaključka da je problem ogroman:

  • Organizacije/bolnice redovno nemaju nikoga tko se bavi sigurnošću.
  • Ako i imaju, to je jedna do dvije osobe, koje nemaju mnogo utjecaja na politiku i same ne mogu postići puno.
  • Strojevi su stari, imaju star i nezaštićen softver, ne rade se nadogradnje i “krpanja” i, naravno, spojeni su na neki internet, najčešće javni.
  • Lakoća se stavlja ispred sigurnosti.
  • Postoji needuciranost po pitanju privatnosti i sigurnosti ne samo medicinskog osoblja, već i drugih specijalnosti u zdravstvu.
  • Bolnice su ugrožene, njihovi su zaposlenici ugroženi, a i pacijenti, na više načina.

Iz svega ovoga lako se može zaključiti da su napadi putem ransomwarea i phishing vrlo lako ostvarivi. Posljedice su velike, počevši od bolnice preko zaposlenih pa sve do pacijenta.

Dok kirurg sluša Spotify prilikom operacije, brine li se o sigurnosti podataka?

Mislili smo da stari strojevi nisu dobro zaštićeni jer su stari i ne mogu se dobro zaštititi, ali što kažete na nove aparate koji se povezuju s javnim internetom tako da kirurzi mogu slušati Spotify i čitati privatni e-mail dok operiraju? Primjer je to jednog jako lošeg marketinga pri čemu je ovo realnost – stroj jest povezan s javnim internetom i time se dovodi rad na njemu u opasnost, jer kriminalac može preuzeti ili obustaviti rad aparata.

Osim toga, sve se više medicinskih aparata nepotrebno povezuje na internet tijekom cijelog dana, čime se dodatno ugrožava njegova sigurnost. Savjet ICS-CERT-a je da medicinski aparati budu povezani na internet samo za nadogradnju i popravke na daljinu, ali ne i 24/7. Također, ustanove moraju osigurati financijska sredstva za održavanje i nadogradnju medicinskih aparata, a hoće li to raditi osoblje zaposleno u bolnici ili neka vanjska tvrtka, manje je važno.

Tri anegdote za kraj

Priča prva. Svojevremeno su na bolničkim računalima onemogućili pristup stranicama putem kojih su se mogli preuzimati filmovi. Naravno, jedna je sestra iskoristila medicinski aparat i putem njega preuzimala filmove, tako da ga je osoblje i dalje moglo gledati.

Priča druga. Jednom sam upitala kolegicu zašto mi daje svoje podatke za prijavu. Ona mi reče da ne dramim, da mi vjeruje i da mi je to potrebno kako bih mogla raditi, dajući mi papirić na kojemu su napisani njeno korisničko ime i lozinka. Naravno, iziritirana, ali s osmjehom, okrenula sam se prema računalu i otvorila link pod imenom My work. Podsjetila sam je da putem te poveznice imam uvid u sve njene osobne podatke.

Papirić je odjednom nestao. Pitah je uz osmijeh: “Što sklanjaš papirić? Pa ti mi vjeruješ, zar ne?”

Ona se samo nasmijala i rekla: “OK, OK, shvatila sam poantu”. Nas smo dvije inače u dobrim odnosima.

Poslije ovakvih situacija većina je prestala davati svoje podatke drugima.

Priča treća. Zaboravna kakva jesam, kad promijenim lozinku, dogodi mi se da je i zaboravim. Tako sam nekoliko puta zvala IT odjel (raznih bolnica u kojima sam radila) i objasnila im situaciju. Osim odgovora na pitanje o tome koje mi je korisničko ime, nisu radili nikakvu dodatnu provjeru. Djelatnik bi mi u pravilu dao lozinku na lijep glas, ne znajući zapravo tko sam. 😊

Jelena će u petak, 8. rujna, na konferenciji o informacijskoj sigurnosti u Varaždinu, FSec, održati predavanje na temu posljedica nedostatka sigurnosti u bolnicama.