Większość z nas słyszała o wydarzeniach z 8 marca 2025 roku, które miały miejsce w Szpitalu MSWiA w Krakowie. Placówka padła ofiarą cyberataku, który spowodował paraliż kluczowych systemów IT. Na jednym z komputerów pojawił się komunikat ransomware, żądający okupu za przywrócenie dostępu do danych.
W wyniku ataku szpital tymczasowo wstrzymał przyjęcia pacjentów na oddział neurologii i przeszedł na tryb pracy oparty na dokumentacji papierowej. Sytuacja odbiła się szerokim echem i nadal nie ma pewności, czy nie doszło do wycieku danych. W ostatnich dniach rzecznik szpitala przyznał, że nie są w stanie określić, ile będzie kosztowało wdrożenie zabezpieczeń i naprawy, ale będą to na pewno poważne kwoty – być może nawet milionowe. Przyznaje również, że nie ma pewności czy sprawcy ataku nie pozostawili uszkodzeń lub ukrytych zagrożeń wymagających identyfikacji.
Takie incydenty mogą wynikać z kilku typowych luk w zabezpieczeniach, które często występują w podobnych przypadkach:
1. Brak aktualizacji oprogramowania
Jeśli oprogramowanie, systemy operacyjne lub aplikacje używane w szpitalu nie były na bieżąco aktualizowane, mogły zawierać znane luki bezpieczeństwa, które zostały wykorzystane przez hakerów.
Odpowiedź ITPunkt: Oferujemy usługi zarządzania IT, które obejmują regularne aktualizacje oprogramowania, systemów operacyjnych i aplikacji. Dzięki temu mamy pewność, że wszystkie systemy są na bieżąco zabezpieczane przed nowymi zagrożeniami. W ramach naszych usług monitorujemy również logi z urządzeń sieciowych, co pozwala szybko wykrywać i reagować na potencjalne luki w zabezpieczeniach. Dowiedz się więcej o Aurora FaaS.
2. Brak odpowiednich procedur zarządzania dostępem
W miejscach, gdzie dostęp do wrażliwych danych i systemów jest zbyt szeroki, mogą występować luki w kontrolach dostępu. Niewłaściwe zarządzanie hasłami, niestosowanie się do zasady ograniczonego dostępu oraz brak wielopoziomowej autoryzacji czy brak segmentacji sieci, umożliwiają atakującym dostęp do krytycznych systemów. Straty mogą być trudne do oszacowania.
Odpowiedź ITPunkt: Pomagamy w projektowaniu i wdrażaniu polityk zarządzania dostępem do systemów i informacji, w tym implementacji wielopoziomowej autoryzacji oraz ścisłego nadzoru nad uprawnieniami użytkowników. Dzięki tym rozwiązaniom, tylko upoważnieni pracownicy mają dostęp do krytycznych danych, co minimalizuje ryzyko, że nasze dane dostaną się w niepowołane ręce. Więcej informacji na ten temat znajdziesz w artykule o autentykacji MFA/2FA.
3. Brak regularnych kopii zapasowych danych
Brak skutecznej strategii tworzenia kopii zapasowych może sprawić, że w przypadku ataku ransomware, wystąpią poważne trudności z przywróceniem danych i działania systemów.
Odpowiedź ITPunkt: Oferujemy usługę, która zapewnia regularne tworzenie kopii zapasowych danych i systemów, w tym danych krytycznych, takich jak, np. dokumentacja medyczna. Dzięki tej usłudze, w przypadku ataku ransomware, można szybko przywrócić dane i uniknąć konieczności płacenia okupu. Dowiedz się więcej o Aurora BaaS.
4. Niska świadomość pracowników
Ataki takie jak phishing, które mogą być wstępem do ransomware, często wykorzystują błędy użytkowników, np. otwarcie złośliwego załącznika w e-mailu. W takich przypadkach brak szkoleń z zakresu cyberbezpieczeństwa może sprzyjać infekcjom.
Odpowiedź ITPunkt: Organizujemy szkolenia z zakresu cyberbezpieczeństwa dla pracowników, które pomagają zwiększyć ich świadomość na temat zagrożeń, takich jak phishing, oraz edukują w zakresie bezpiecznego korzystania z technologii i reagowania na podejrzane sytuacje. Dzięki tym szkoleniom pracownicy będą bardziej czujni i mniej podatni na ataki socjotechniczne. Więcej informacji na ten temat znajdziesz w artykule dotyczącym tego, jak chronić firmę przed phishingiem.
5. Brak monitorowania i detekcji ataków
W przypadku braku odpowiednich narzędzi do monitorowania sieci i systemów atak może pozostać niezauważony przez długi czas, co daje cyberprzestępcom więcej czasu na przeprowadzenie pełnej infekcji.
Odpowiedź ITPunkt: W naszej ofercie znajdują się usługi monitorowania systemów 24/7/365, które pozwalają na wczesne wykrywanie nieautoryzowanych działań w sieci oraz szybkie reagowanie na zagrożenia. Dzięki tym rozwiązaniom atak może zostać wykryty natychmiast, co umożliwi szybkie podjęcie działań ochronnych i ograniczenie skutków incydentu. Dowiedz się więcej o Aurora Infrastructure.
6. Wyciek danych w darknecie
Można też przypuszczać, że dane mogły być sprzedane w darknecie, ta ukryta część internetu zapewnia anonimowość i brak możliwości namierzenia. Handluje się tam skradzionymi danymi i hasłami.
Odpowiedź ITPunkt: Mamy rozwiązania monitorujące daknet w trybie ciągłym, analizując zdefiniowane alerty. Dzięki temu można wcześnie reagować, kiedy dojdzie do incydentu. Jeśli jesteś zainteresowany usługą, zachęcam do bezpośredniego kontaktu.
A jak wygląda to w Twojej organizacji? Które z wymienionych punktów zostały już zrealizowane? Chętnie omówię wyniki i doradzę w zakresie dalszych działań: dagmara.cieslik@itpunkt.pl
