Ma már nem az a kérdés, hogy vajon ér-e hekkertámadás egy szervezetet, hanem az, hogy ez az akció mikor következik be. Mindenekelőtt ezt a tényt kell tudatosítani, és vészforgatókönyvvel készülni a működés fenntartására akkor is, ha például egy zsarolóvírus bénítja meg a rendszert, vagy bármilyen más kibertámadás éri – magyarázta dr. Palicz Tamás, kiberbiztonsági szakértő, az Egészségügyi Menedzserképző Központ (EMK) stratégiai igazgatóhelyettese.
Az egészségüggyel kapcsolatos információk mindig is érzékeny adatoknak számítottak, sérülékenységük fokozódott a digitalizálással. A virtuális tér is kinyílt, a távmunka mellett a távdiagnosztika és -ellátás során tömegesen kerültek adatok a kibertérbe, miközben a rendszereket nem vértezték föl igazán a védelmükre, ezzel pedig vissza lehet élni. Jobb esetben csupán teszteli valaki a rendszerek sérülékenységét, vagy „csak” a jegyét szeretné átírni a Neptunban, a másik véglet viszont, amikor a teljes kórházi működést bénítják meg egy zsarolóvírus-támadással – fejtette ki dr. Palicz Tamás.
Sokkal sérülékenyebbé váltak a rendszerek
Az adatok csaknem teljes körű digitalizálása miatt sokkal sérülékenyebbé váltak a rendszerek, a digitális adatokat, információkat ugyanis nagyon könnyű megszerezni, és akár ipari, tudományos kémkedésre használni. A védekezés pedig ma már nem egyszerűen kiberbiztonsági, hanem egészség- és betegbiztonsági kérdés, hiszen a betegekkel kapcsolatos döntések is ezeken az adatokon alapulnak. Ezért nyugodtan kijelenthetjük, hogy ahogy Semmelweis Ignác korában a kézmosás, most az adatok biztonsága kell, hogy az egészségügy fókuszába kerüljön – hangsúlyozta a kiberbiztonsági szakértő.
Információbiztonsági szempontból az egyetemen használt MedSol integrált egészségügyi informatikai rendszer a tárolt érzékeny adatok nagy száma miatt kiemelt védelmet igényel – mutatott rá Csaba László, a Semmelweis Egyetem Informatikai Főigazgatóságának információbiztonsági felelőse, aki a poszt 2019. január 1-jei létrehozása óta látja el ezt a feladatkört. A szakmai megközelítés során fontos felismerni az adatvédelem és az információbiztonság szoros kapcsolatát. A 2018 óta hatályos GDPR szabályozás a személyes adatok védelméről szól, az információbiztonság pedig alapvetően az informatikai rendszerekhez kapcsolódó irányítási rendszert érinti, amire az egyetemnek is szüksége van, és nem múlhat egyetlen emberen – mutatott rá az információbiztonsági felelős.
Az EMK-ban rengeteg tudás halmozódott fel az információbiztonság terén, így adatszivárgás vagy más kiberbiztonsági incidens esetén rendszeresek a konzultációink, illetve az információbiztonsági felelős is gyakran tart előadásokat az egyetem különböző szervezeti egységeinél, hogy felhívja a figyelmet a kockázatokra. Ezek akár olyan látszólag jelentéktelen tevékenységből is adódhatnak, mint hogy valaki a magán email-címéről továbbít betegadatot, hivatalos levelet, ami alapvetően nem megengedett – fűzte hozzá dr. Palicz Tamás.
A kockázatok tudatosítása az első lépés
Természetesen a cél az incidensek megelőzése, ennek első lépése a kockázatok tudatosítása, és legalább ilyen fajsúlyú a vezetők elkötelezettsége, ami nélkül csak döcögősen lehet érvényesíteni az információbiztonságot – jegyezte meg Csaba László. Ha mégis bekövetkezik valamilyen nem kívánatos esemény, szükségszerű elemezni a folyamatot.
Az informatikai vagy akár orvosi eszközök hálózatba kötött működésének eredményeként ez már nemcsak azzal jár, hogy vírusos lesz egy számítógép és lelassul, hanem az összekapcsolódás miatt sérülhetnek a betegadatok, és előfordulhat, hogy hiába tolják be a beteget a műtőbe, a monitoron nem jelenik meg semmilyen adat, vagy nem a korrekt információ. Teljes kórházi rendszerek állhatnak le akár hetekre egy zsarolóvírus bejutása miatt – tette hozzá a kiberbiztonsági szakértő, kiemelve, hogy tudatosítani kell a rendszerhasználókban – orvosokban, szakdolgozókban, adminisztratív munkatársakban – hogy nem az a kérdés, ér-e támadás egy rendszert, hanem az, hogy mikor kerül rá sor, és a szervezetnek erre készen kell állni egy olyan vészforgatókönyvvel, amivel fenntartható a működés.
Bárkit bármikor érhet támadás
Volt már példa olyan incidensre az egyik klinikán, hogy egy adattároló rendszer fejlesztésénél véletlenül nyitva hagyott portra találtak rá a támadó robotok – idézte fel Csaba László.
A támadások jelentős része ugyanis véletlenszerű, robotok által vezérelt, ezért sem megalapozott az a vélekedés, mely szerint ha egy rendszer kicsi és kevésbé jelentős, nem tárol érzékeny adatokat, akkor nincs kitéve ilyen eseménynek. Bárkinél, bármikor fennállhat a kockázat – hangsúlyozta az információbiztonsági felelős.
A sérülékenységet kereső robotok mögött persze már megjelenik a személyes háttér, amely veszi a robotok jelzését, és célzott támadást indíthat – fejtette ki Csaba László. A támadás telefonon, sms-en keresztül is érkezhet, a rosszindulatú információszerzésnek számos módja van, amivel mind foglalkozni kell – emelte ki. Csaba László álláspontja megegyezik a Nemzeti Kibervédelmi Intézetével, azaz a zsarolóvírusnak nincs értelme engedni, nagyon kis százalékban kapják vissza adataikat azok, akik fizetnek.
Menteni, menteni, tesztelni!
Az egyetlen érdemi védekezés az adatok folyamatos, rendszerszintű mentése. Meg kell határozni a kritikus adatköröket, a backup és tárolási rendszereket, amelyekből visszatölthetők az adatok, továbbá elengedhetetlen ezek folyamatos tesztelése. Enélkül ugyanis könnyen előfordulhat, hogy éles helyzetben derül ki: problémás a visszaállítás, vagy a már vírusos adatokat mentették. Ezeket a rendszereket minősíteni kell, összességük adja az egyetem információbiztonsági minősítését – magyarázta az egyetem információbiztonsági felelőse.
Az orvosi eszközök – monitorok, érzékelők, pumpák stb. – alapvetően hálózatban működnek, ez hatalmas támadási felületet jelent, ezért mind az eszközök, mind a hálózat bővítése csak az információbiztonsági feladatok ellátását is biztosító Informatikai Főigazgatóság munkatársainak felügyeletével és irányításával történhet. Az utóbbi időben a tudományos kutatás intézményei, így az egyetem is kiemelt célponttá váltak a korai kutatási eredmények megszerzése érdekében, ezért ezek védettségének biztosítására a jövőben nagyobb figyelmet kell fordítani.
Az információbiztonsági felelős elmondta: megtörtént az egyetem biztonsági besorolása, a szükséges adatokat elküldték a Nemzeti Kibervédelmi Intézetbe. Idén felmérték a hiányosságokat, amit jelentettek a hatóságnak. A biztonsági osztályba sorolás után az adott szintnek megfelelő intézkedésekre lesz szükség, ennek első lépése volt, hogy az Informatikai Főigazgatóságon belül szakmailag önálló területté vált az információbiztonság, összhangban a kapcsolódó jó gyakorlatokkal. A következő szakaszban cselekvési terv készül határidőkkel és felelősökkel, majd a végrehajtása után mondható ki, hogy az egyetemen az adatok biztonságban vannak – fogalmazott az információbiztonsági felelős, aki szerint ez vezetői elköteleződés, humán és anyagi erőforrás kérdése is.
Új kiadvány segíti a tájékozódást
A szakemberek nem győzték kiemelni az információ- és kiberbiztonság kapcsán a tudatosítás fontosságát, amiben az Informatikai Főigazgatósággal együttműködve az EMK jelentős szerepet vállal. Szakértői csoportjuk nemzetközi és hazai projektekben dolgozik az egészségügyi adatok, rendszerek biztonsági problémáin, az EMK részvételével kiberbiztonsági tematikájú kurzust is szerveztek az ECHO projekt keretében az egészségügyi és az energetikai ágazatban dolgozó IT-szakemberek részére. Emellett tavasszal, a Nemzeti Kibervédelmi Intézettel közösen Egészségügyi Kiberbiztonsági Szemlét indítottak. A kéthetente, hírlevél formájában megjelenő, feliratkozással elérhető kiadvánnyal az egészségügyben dolgozó laikus rendszerhasználókat tájékoztatják a legújabb incidensekről, fejlesztésekről, ősszel pedig, az októberi kiberbiztonsági hónaphoz kapcsolódóan e témában kampányt terveznek – hívta fel a figyelmet dr. Palicz Tamás.
Százszázalékos védelem nem létezik az incidensek ellen, de a kockázatok ismerete, a megfelelő és tesztelt vészforgatókönyv és a rendellenességekről a terület felelősének, az információbiztonsági felelősnek, szakértőnek küldött gyors jelzés mind a károk minimalizálását, a hibák gyors elhárítását támogatják. Baj esetén nem a büntetés, a felelősök keresése a cél, hanem a feltárás, az elemzés és a működőképesség fenntartása, gyors visszaszerzése, ezért ijedtében senki ne maga próbálja egy észlelt támadás következményeit, egy vírus okozta károkozást „megbütykölni”, hanem haladéktalanul értesítse az erre hivatott szakértőket – hangsúlyozták egybehangzóan az egyetem szakértői.
Szepesi Anita
Fotó: Barta Bálint – Semmelweis Egyetem, Envato
A cikket a Semmelweis Egyetem Kommunikációs Igazgatósága tette közzé.