Ogłoszony w Polsce stan epidemii koronawirusa SARS-CoV-2 rodzi szereg wyzwań i zagrożeń w wielu obszarach codziennego życia. Nasza aktywność zawodowa w dużej mierze przeniosła się ze świata rzeczywistego do wirtualnego. Nie dla wszystkich jest to oczywiste, jednak zagrożenia w cyberprzestrzeni stały się jeszcze ważniejszym obszarem, który wymaga monitorowania i stosowania prewencji. Zwłaszcza, że COVID-19 jest często pretekstem do przełamania naturalnej podejrzliwości i kluczem dla cyber ataków.

Służba zdrowia na celowniku

Szczególnie szokujące są zdarzenia, które uderzają w działanie służby zdrowia. W minionym tygodniu szpital kliniczny w Brnie (Czechy), w którym przeprowadzano testy dla osób zarażonych koronawirusem SARS-CoV-2, padł ofiarą ataku hakerskiego. Placówka została sparaliżowana oraz pozbawiona dostępu do systemów informatycznych poprzez zainfekowanie szyfrującym oprogramowaniem (ransomware) tamtejszych komputerów. Przestępcy mieli jeden cel – wyłudzenie pieniędzy za odszyfrowanie urządzeń. Szpital wstrzymał przyjęcia, w wyniku czego nowi pacjenci musieli zostać przetransportowani do pobliskich szpitali, a same badania na obecność wirusa zostały przekierowane do szpitala w Ostrawie. Problem zaszyfrowanych urządzeń ograniczył działanie służb pogotowia ratunkowego. Przeciążenie szpitali związane z obecną sytuacją w połączeniu z atakiem w cyberprzestrzeni może doprowadzić do całkowitego paraliżu systemu opieki zdrowotnej, stanowiąc zagrożenie dla zdrowia i życia pacjentów.

Podobne cyberataki miały miejsce w Chinach, gdzie atak hakerski uderzył w placówki medyczne leczące osoby zarażone koronawirusem. Chińskie placówki medyczne doznały cyberataku typu APT czyli Advance Persistent Threat, w ramach którego nieautoryzowany użytkownik otrzymuje dostęp do systemu albo sieci i pozostaje tam przez dłuższy czas niewykryty. W wyniku ataku doszło do pozyskania wrażliwych danych dotyczących badań naukowych. Zaznaczyć należy, iż cyberataki na placówki medyczne nie są nowością związaną z pandemią. W minionych latach dochodziło do licznych cyberataków na takie placówki chociażby w USA. Grupa szpitalna DCH Health Systems z Alabamy musiała się mierzyć z atakiem ransomware na jej trzy szpitale. Skutkiem ataku było zamknięcie szpitala dla nowych pacjentów. Jednakże obecnie sytuacja uległa zmianie. W dobie pandemii takie działania mogą doprowadzić do utraty zdrowia lub śmierci dużej liczby pacjentów, a szpitalom, które są w na pierwszej linii frontu trudniej się przed nimi bronić.

Phishing, czyli podejrzane maile

Najczęściej cyberataki przybierają formę ransomware i mają na celu głównie wyłudzenie okupu za odzyskanie dostępu do systemów lub za nieujawnienie wykradzionych w wyniku ataku danych. Tego rodzaju ataku doświadczyła również polska klinika „Budzik” działająca w Centrum Zdrowia Dziecka w Warszawie, która została zaatakowana za pomocą fałszywych wiadomości z informacją o niezapłaconych fakturach. Maile zawierały linki prowadzące do stron, które infekowały system komputerowy. Celem było wyłudzenie środków, które w tym wypadku okazało się bezskuteczne ze względu na systematyczne wykonywanie kopii danych. Zyskującym na popularności środkiem rozsyłania szkodliwego oprogramowania jest wysyłanie fałszywych wiadomości mających zawierać pochodzące od uznanych podmiotów (jak na przykład WHO, CDC, Ministerstwo Zdrowia) informacje, porady i wskazówki jak na temat tego, jak uniknąć zakażenia koronawirusem SARS-CoV-2.

Brak aktualizacji i błędy w systemach

Innym popularnym sposobem ataku na takie placówki jest wykorzystanie braków w aktualizacji oprogramowania komputerów i innych urządzeń podłączonych do sieci. W dalszym ciągu wiele podmiotów nie jest świadomych zagrożenia związanego z nie wykonywaniem regularnych aktualizacji oprogramowania. Nieprawidłowy nadzór nad zabezpieczeniem urządzeń czy instalowaniem aktualizacji czyni je łatwym celem dla hakerów.

Należy również mieć na uwadze, iż na skutek postępującej digitalizacji dokumentacji, w tym również dokumentacji medycznej, zwiększyła się podatność podmiotów służby zdrowia na cyberataki. Placówki świadczące usługi medyczne przechowują wiele danych, w tym te szczególnej kategorii – o stanie zdrowia. W zbiorach szpitalnych często znajdują się informacje takie jak numery dokumentów tożsamości, historia chorób oraz inne dane osobowe pacjentów.

Aby zabezpieczyć się przed takimi atakami, placówki służby zdrowia jak i inne podmioty powinny być świadome zagrożeń, prowadzić regularne szkolenia dla pracowników oraz przeprowadzać audyty bezpieczeństwa celem ograniczenia podatności na cyberataki.

Fałszywe aplikacje mobilne

Kolejnym zagrożeniem są fałszywe aplikacje mobilne. Specjaliści z zespołu Domain Tools przeanalizowali w ubiegłym tygodniu aplikację „COVID19 Tracker” przeznaczoną dla telefonów z systemem operacyjnym Android. Darmowa aplikacja miała za zadanie dostarczać użytkownikowi informacji o zachorowaniach na koronawirusa oraz przedstawiać je na mapie. Jak się jednak okazało, aplikacja niezwłocznie po zainstalowaniu szyfrowała zawartość całego telefonu i wyświetlała żądanie zapłaty okupu w wysokości 100$ (płatne w Bitcoinach) w terminie 48 godzin.

Analiza tego konkretnego złośliwego oprogramowania prowadzi do wniosku, że mógł on zostać stworzony w pośpiechu – wykorzystywał bowiem lukę w zabezpieczeniach systemu Android usuniętą w aktualizacji Nougat, wprowadzonej w drugiej połowie 2016 roku i mógł prawidłowo zadziałać tylko wtedy, gdy dostęp do zaatakowanego telefonu nie był zabezpieczony hasłem. Nadto specjalistom z zakresu cyberbezpieczeństwa udało się – dzięki analizie złośliwego oprogramowania – uzyskać kod odblokowujący zaatakowane urządzenie.

Należy jednak liczyć się z tym, iż kolejne ataki wykorzystujące obawę przed nowym koronawirusem będą bez wątpienia udoskonalane. Z danych zgromadzonych przez firmę Recorded Future wynika, iż ilość odniesień do koronawirusa w cyberatakach oraz incydentach bezpieczeństwa gwałtownie wzrosła na przestrzeni ostatnich dwóch miesięcy. Nie należy zatem spodziewać się, że ataki hakerskie przestaną mieć miejsce, wręcz przeciwnie będzie ich coraz więcej.

Każdy pracownik ma wpływ na cyberbezpieczeństwo

Większość firm i organizacji pracuje obecnie w trybie zdalnym. Ułatwił to art. 3 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. z 2020 poz. 374), który pozwala pracodawcy wysłanie pracownika do domu, w celu wykonywania swoich obowiązków w trybie pracy zdalnej. Podejmując taką decyzję pracodawca musi mieć jednak na uwadze nie tylko bezpieczeństwo fizyczne, ale również higienę pracy on-line. Biznes jest narażony na kradzież danych, szantaż czy szpiegostwo przemysłowe nie mniej niż służba zdrowia i organy publiczne. Zwłaszcza, że każdy śledzi na bieżąco doniesienia dotyczące zachorować i koniecznej prewencji, a więc jest podatny na phishing czy fałszywe aplikacje. Jak niewielkim kosztem można się chronić przed tymi zagrożeniami?

Sytuacja jest względnie prosta, jeżeli jeszcze przed wejściem w życie omawianej ustawy pracodawca przewidywał taką możliwość, opracował stosowne procedury, przeszkolił pracowników, a stosowana u niego dokumentacja dotycząca ochrony informacji uwzględniała pracą zdalną. Wówczas pracownicy mają jasność, jak zabezpieczać firmowe dane i sprzęt pracując z domu, a działania jakie praktykowali wcześniej weszły im już częściowo w nawyk.

Jeżeli decyzja o pracy zdalnej została wdrożona ad hoc bez wcześniejszego przygotowania, pozostaje szybka weryfikacja podstawowych kwestii dotyczących organizacji bezpieczeństwa on-line:

Do jakich danych, systemów i urządzeń ma posiadać zdalny dostęp pracownik?

  1. Czy pracownik w ramach pracy zdalnej będzie używał komputer służbowy, czy prywatny? Jeżeli jest to komputer prywatny (polityka BYOD, czyli Bring Your Own Device – „przynieś własne urządzenie”), to czy jest on odpowiednio zabezpieczony i kto ma to zrobić?
  2. Czy firmowe serwery są przygotowane i odpowiednio zabezpieczone do zdalnego dostępu?
  3. Czy infrastruktura IT pracodawcy będzie wystarczająca do utrzymania wzmożonego ruchu?
  4. Czy sieć WiFi w miejscu, z którego świadczona będzie praca jest odpowiednio zabezpieczona?
  5. Czy inne urządzenia podłączonej do tej sieci (prywatne komputery, urządzenia mobilne, konsole do gier, telewizory, itd.) są odpowiednio zabezpieczone i posiadają najnowsze wersje oprogramowania?
  6. Czy w miejscu, z którego świadczona będzie praca, możliwe jest odpowiednie ustawienie ekranu komputera czy zabezpieczenie sprzętu i dokumentacji po zakończeniu pracy?
  7. Czy dostęp odbywa się z wykorzystaniem VPN?
  8. Czy przetwarzanie danych osobowych w związku z pracą zdalną jest zgodne z wdrożoną dokumentacją dotyczącą przetwarzania danych?
  9. Czy przetwarzanie danych osobowych w związku z pracą zdalną wymaga przeprowadzenia oceny skutków dla ochrony danych (DPIA) zgodnie z przepisami RODO?

Higiena internetowa też jest ważna

Nawet mała luka w stosowanych zabezpieczeniach może skutkować naruszeniem poufności i integralności przetwarzanych danych i być furtką dla zagrożeń, które doprowadzą do poważnych incydentów. Najważniejsze są jasne, krótkie i precyzyjne wytyczne. Większość cyberataków wykorzystuje socjotechnikę, czyli brak świadomości zagrożenia w kontekście utrwalonego sposobu działania. Dlatego najlepszą prewencją jest świadomość i dobra organizacja pracy.

Skuteczną metodą ochrony nie jest spisanie polityki bezpieczeństwa informacji. Kluczowe jest, żeby była dostosowana do sposobu, w jaki zorganizowana jest praca – pod kątem rodzaju danych, wykorzystywanego oprogramowania i sprzętu oraz działań, jakie je wykorzystują. Poza tym, co bardzo ważne, a często o tym zapominamy – polityki, procedury i instrukcje, żeby były skuteczne muszą być w użyciu. Ciągle doskonalone i dostosowywane do zmieniających się okoliczności.

W obecnej sytuacji na pierwszy ogień powinien pójść phishing. Wiadomości e-mail oraz posty na portalach społecznościowych dotyczące koronawirusa, powinny być zawsze weryfikowane co do adresata i treści. Jeżeli są związane z podaniem danych, przelewem środków lub kliknięciem w link, warto wdrożyć drugi kanał kontaktu z nadawcą, żeby mieć pewność, że wiadomość jest prawdziwa. Dobrze jest ustalić listy wiarygodnych stron internetowych – w szczególności właściwych organów państwa – i łączenie się z nimi wyłącznie po samodzielnym wpisaniu do przeglądarki ich adresu internetowego. Nie wysyłamy maili do organów publicznych ani nie dzwonimy na infolinie alarmowe, jeżeli nie ma takiej potrzeby i weryfikujemy dane osoby, która do nas dzwoni – służby porządkowe nigdy nie pytają o dane kart kredytowych ani hasła do kont.

Jeżeli tempo pracy przejściowo spadło, warto zweryfikować zgodność przyjętych rozwiązań w obszarze pracy zdalnej z dobrymi praktykami cyberbezpieczeństwa oraz przepisami dotyczącymi ochrony danych osobowych. Pandemia kiedyś się skończy, więc dobrze jest wykorzystać obecny czas, żeby się do tego momentu odpowiednio przygotować.