Больницы стали новой легкой мишенью для кибератак
IT-специалисты предупреждают об опасности проникновения злоумышленников в компьютерные сети больниц. Как заявил «Известиям» антивирусный эксперт «Лаборатории Касперского» Сергей Ложкин, он провел исследование, в рамках которого без труда смог войти в систему одного из российских стационаров.
— С начала года участились атаки на госпитали в Соединенных Штатах и Европе, и я принял решение провести исследование и у нас, — рассказал он. — Начал с поиска в интернете. Есть специальный поисковик Shodun, позволяющий определить оборудование, подключенное к сети интернет. Там нашелся один из госпиталей. Со стороны интернета его система была защищена достаточно хорошо — там не было уязвимостей, которые бы позволяли подключиться хакеру, сидящему за тысячу километров. И я задался вопросом, можно ли подключиться другим способом.
Подъехав к госпиталю, я увидел, что у госпиталя есть Wi-Fi-сеть. У нее оказалась слабая архитектура защиты, пароль вычислялся. После того как было произведено подключение к Wi-Fi-сети, система расценивала мой компьютер как находящийся в локальной сети. А уже внутри локальной сети защита была минимальной. Почему-то администраторы, настраивавшие эту сеть, подумали, что раз ты из «локалки», ты по умолчанию доверенный. И уже оттуда удалось подключиться к самому устройству. Менеджмент учреждения, конечно же, был уведомлен об этом исследовании.
Если бы таким образом подключился злоумышленник, это бы открыло перед ним большие возможности: например, он бы увидел персональные данные пациентов и их истории болезни. Но самое страшное — он имел бы возможность захватить контроль над томографами и другим диагностическим оборудованием, поменять программное обеспечение этих устройств, подменить диагноз и т.д.
А если бы к локальной сети было подключено сложное и дорогостоящее оборудование, которое помогает врачам при операциях, последствия взлома могли бы оказаться фатальными.
О случаях взлома сетей лечебных учреждений в России пока не сообщалось, но это не значит, что их не было: возможно, сами клиники не захотели предавать эти истории огласке, а то и вовсе не знали о проникновениях.
В то же время за рубежом с начала года произошла уже серия нападений киберпреступников на госпитали. На прошлой неделе хакеры атаковали компьютерную сеть больницы в штате Кентукки. Вирус скопировал и зашифровал данные о пациентах, стерев оригиналы. За восстановление информации злоумышленники требуют денег.
Аналогичный случай произошел в феврале в Голливуде, причем операция прошла успешно для взломщиков — учреждение согласилось выплатить $17 тыс. за восстановление данных пациентов. Примерно в те же дни компьютерный вирус проник в систему больницы Арнсберга в Германии. Из-за этого на несколько дней пришлось отключать компьютерную сеть и заполнять всю документацию вручную, что едва не парализовало работу учреждения.
По мнению Ложкина, есть три ключевые проблемы, и главная заключается в том, что производители оборудования сконцентрированы на его основных функциях и уделяют недостаточно внимания вопросам безопасности. Кроме того, огромное количество устройств, находящихся в больницах, подключено к интернету и это требует огромных усилий по их защите. Наконец, когда системные администраторы создают надежную блокировку для проникновения извне, они зачастую забывают про защиту внутри локальной сети.
Больше всего экспертов сегодня беспокоит сохранность данных о состоянии здоровья пациентов — при слабой компьютерной защите сетей больниц не исключено, что скоро их будут продавать, как раньше продавали диски с паспортными данными на Савеловском рынке.
— В здравоохранении вопросы информационной безопасности более важны, чем в других учреждениях, потому что здесь мы имеем дело с медицинским оборудованием и гораздо чаще — с медицинской документацией, в первую очередь той, которая подпадает под понятие врачебной тайны и охраняется законом, — заявил «Известиям» руководитель «Центра безопасного интернета» в России Урван Парфентьев.
По его мнению, массовое оцифровывание личных данных граждан в некоторых сферах может принести больше вреда, чем пользы.
— С электронной документацией, связанной с конкретными гражданами, нужно притормозить, — считает Парфентьев. — В противном случае мы рискуем тем, что данные о состоянии здоровья граждан будут легко уходить на сторону и использоваться для различных преступных действий, в частности, для шантажа.
Главный врач клинической больницы № 1 Краснодарского края Владимир Порханов заявил, что безопасностью систем лечебных учреждений должны заниматься специалисты, подчеркнув при этом, что сегодня работать без компьютеров врачам просто невозможно.
— Я застал времена, когда нельзя было печатать на машинке. Главврач говорил: «Разве можно печатать на машинке? Вы же прокламации будете печатать». Мы ждем, когда у нас в палатах будет компьютер, чтобы врач пришел, нажал две кнопки и узнал все о состоянии пациента. Без компьютера работать невозможно.
Системный администратор этой больницы Сергей Сизов заявил «Известиям», что в систему, которую он построил, войти просто так не удастся.
— Если даже вы подключитесь к нашей Wi-Fi, у вас будет доступ только к интернету, а не к локальной сети. У нас разделенные сети. Во-вторых, к Wi-Fi, да и не только, могут подключаться только представители руководства, скажем так, высшего звена. И, в-третьих, все сети скрыты от сканирования, — сказал он.
Сергей Сизов отметил, что при желании специалист может взломать любую сеть.
— Если у меня будет задача, я доберусь любыми путями, найду, как подключиться. Если бы знали стопроцентный способ защититься, все банки бы им пользовались и не было бы утечки информации. Мы насколько могли максимально продумали алгоритм защиты нашей сети. Главное — она разделена, то есть если даже кто-то подключится к Wi-Fi нашей сети, то, кроме интернета, ничего не увидит, — сказал специалист.
Сергей Ложкин заявил по этому поводу, что такая система, несомненно, надежнее, чем та, которую ему с легкостью удалось взломать: чтобы проникнуть в нее, злоумышленнику пришлось бы ехать в больницу, подключаться к локальной сети и пытать счастья там.
— Тем не менее во многих случаях, даже если сеть защищена от сканирования извне, человек, обладающий навыками в области тестирования на проникновение, с помощью специального программного обеспечения всё равно увидит эти сети, адреса устройств, сможет идентифицироваться как доверенный пользователь, перехватить в момент соединения доверенного пользователи его сессию и попробовать взломать для извлечения из нее пароля — способов достаточно много, — подытожил он.