Nem nehéz elképzelni, hogy mi történik egy Covid-osztályon, ha a számítógépes hálózatba kötött lélegeztetőgépek felügyelete kicsúszik a személyzet kezéből, mert kiberbűnözők meghackelik a kórház informatikai rendszerét. De van ennél rosszabb is. Amikor néhány héttel ezelőtt egy zsarolóvírussal dolgozó orosz bűnbanda megbénította Írországban az egészségügyi rendszer nagy részét, az egész világ felkapta a fejét. Az ugyanis a legtöbb ember számára morálisan elfogadhatatlan, hogy egy egész országban számtalan beteg egészségét és életét veszélyeztessék némi pénzért. A bűnözők azonban máshonnan közelítik meg ezt a problémát. Szerintük nem is ők veszélyeztetnek, hanem azok, akik nem gondoskodnak róla, hogy a betegek adatai biztonságban legyenek, ők csak azt teszik, amit szoktak: kihasználják a lehetőséget.
Az egészségügy sokáig nyugodt területnek tűnt kiberbiztonsági szempontból, mert ugyan ki akarná megismerni vagy ellopni egy idegen ember kórtörténetének részleteit. Aztán amikor az alvilág rájött, hogy mit kezdhetnének ezekkel az adatokkal, minden megváltozott. Elkezdték több stratégia mentén kiaknázni ezt a virtuális aranybányát.
Több csapásirány is van
Az egyik csapásirány az úgynevezett "fullz" és "identity kit" néven ismert információcsomagok összeállítása. Ezek általában tartalmazzák egy adott személy kórtörténetének minden elemét az orvosi rendeléseken való megjelenésektől kezdve az elvégzett beavatkozásokon át (beleértve akár a vese ultrahang vagy a kolonoszkópia felvételeit) a kedvenc gyógyszertárig - írja a Hacked kiberbűnözés ellenes weboldal.
A hackerek az információkat beviszik az internet olyan sötét zugaiba, az úgynevezett mélyhálóba, ahol a keresőmotorok és más nyomkövető, azonosító eszközök nem működnek, és ahova közönséges felhasználóknak esélyük sincs eljutni. Az itt elbújtatott adatkészletek adják aztán a hamis útlevelek, személyi igazolványok és társadalombiztosítási kártyák alapját, amelyekért az amerikai piaci adatok szerint akár 2000 dollárt is elkérhetnek szintén a mélyhálós kereskedelemben. De egy-egy komplett készlet akár 20 ezer dollár hasznot is termelhet.
James Scott, a mélyháló kutatója, a washingtoni székhelyű Institute for Critical Infrastructure Technology nonprofit kiberbiztonsági agytröszt vezető munkatársa az Information Security Media Groupnak adott interjújában elmondta , hogy a bűnözői csoportok gyakran használják a mélyhálót egészségügyi és egyéb adatok megvásárlására és eladására. "Azok, akik megvásárolják ezeket a fullzokat, elmennek velük egy másik eladóhoz, aki a mélyhálón úgynevezett dox-ot árul: a szleng a dokumentációra utal, ahol útlevelet, jogosítványt, társadalombiztosítási kártyát szereznek be. A két csomag együtt nagyon hasonlít arra, ahogyan a valóságban a hamisítás áldozata a hivatalos adatbázisokban megjelenik. Tehát a hamis személyazonosságot kreálóknál van az elektronikus egészségügyi nyilvántartás, ami jellemzően 20 dollárba kerül darabonként, és elköltenek pár száz dollárt a doxokra, hogy alátámasszák ezt a személyazonosságot, majd az egészet eladhatják 1500-2000 dollárért ." Ezeket az azonosító készleteket aztán a legkülönfélébb bűncselekményekre használják fel, beleértve az illegális bevándorlást, a pedofíliát és további támadások indítását adathalászat segítségével - tette hozzá Scott.
A kiberbűnözők egy másik csoportja nem akar ennyit bajlódni az adatokkal, inkább egyszerre próbál nagy zsákmányra szert tenni. Erre kiváló példa az ír egészségügy rendszert megbénító zsarolóvírusos (ransomware) támadás, melynek következtében az összes járóbeteg-ellátási szolgáltatást törölték, a kolonoszkópiák akár 80 százalékkal, a kemoterápiás kezelések és az ütemezett, de halasztható eljárások pedig 50 százalékkal csökkentek.
Az esetnek volt egy váratlan fordulata is, ami azt mutatja, hogy még a web sötét oldalán is van betyárbecsület. A szentpétervári központú Conti zsarolóprogram-csoport a jelentések szerint 20 millió dollárt kért az egészségügyi szolgálattól a normális állapot helyreállítására a katasztrofális leállást okozó hackelés után. A támadók azonban váratlanul átadták az egészségügyi szakembereknek a rendszer helyreállításhoz szükséges eszközt.
Az ír kormány azt állítja, hogy teszteli a szoftvert, de nem fizetett és nem is fog fizetni a hackereknek. Micheál Martin miniszterelnök kijelentette, hogy a szoftvereszköz megszerzése jó dolog, de a rendszer teljes újjáépítéséhez még óriási munkára van szükség. A Conti viszont továbbra is fenyegetőzik.
A BBC tudósítása szerint a zsarolócsoport a következőket közölte darknetes weboldalán az ír egészségügyi rendszert működtető Health Service Executive (HSE) szervezettel: "Ingyenesen átadjuk a dekódoló eszközt a hálózatukhoz. De meg kell érteniük, hogy rengeteg magánadatot fogunk eladni vagy közzétenni, ha nem veszik fel velünk a kapcsolatot, és nem próbálják megoldani a helyzetet."
Az FBI is figyelmeztet a Conti miatt
Időközben az Egyesült Államokban az FBI figyelmeztetést adott ki, hogy a Conti az ottani hatóságokhoz tartozó hálózatokat veszi célba. Közölte, hogy legalább 16 Conti zsarolóvírusos támadást azonosított, amelyek amerikai egészségügyi és elsősegélynyújtó hálózatokat céloztak. Az FBI szerint világszerte több mint 400 szervezetet támadott meg a Conti, amelyek közül több mint 290 van az Egyesült Államokban. Az FBI szerint a közelmúltbeli váltságdíjkövetelések értéke eléri a 25 millió dollárt. Ebben persze nincsen benne, amit Írországban kértek.
Nem példa nélküli, hogy a zsarolóvírust használó bűnözők ingyen adják ki a dekódoló eszközeiket. Néhány ilyen banda egy laza "etikai kódex" alapján működik, amely szerint nem áll szándékukban életeket veszélyeztetni. Egy esetben a bűnözők például véletlenül offline állapotba hoztak egy kórházat, és amikor rájöttek a hibájukra, a jelentések szerint ingyen adtak az intézménynek egy dekódolót. A hackrek elég megosztottak a kórházak támadását illetően, vannak, akik ezt elfogadhatatlannak tartják.
Vannak viszont olyan zsarolóprogrammal garázdálkodók is, akiket nem érdekel mások szenvedése vagy nehéz helyzete, netán halála, és feltehetően örömmel nézik, ahogy a káosz kibontakozik, miközben pénzt zsarolnak ki az áldozataiktól - állapította meg a BBC .
A koronavírus-járvány rátett még egy lapáttal
Már 2020 első félében alaposan megnőtt az egészségügyet célzó kibertámadások száma. Márciusban például Csehországban a Covid-19 tesztek nagy részéért felelős intézmény, a Brnoi Egyetemi Kórház informatikai hálózata vált zsarolóvírusos támadás áldozatává. Néhány nappal később az amerikai egészségügyi minisztériumot érte túlterheléses (DDoS) támadás. Az Egészségügyi Világszervezet (WHO) pedig arról számolt be, hogy kétszer annyi kibertámadást tapasztalt a rendszereivel szemben, mint átlagosan. A Computer Weekly tavaly márciusban az adathalász támadások 15-szörös növekedéséről számolt be, a Bitdefender kiberbiztonsági cég pedig havi 60 százalékos növekedést jelentett a kórházi kibertámadások esetében.
A biztonsági szakértők már akkor megállapították, hogy a koronavírus-járvány kezdete óta jelentősen megnövekedett kibertámadások elsősorban azokat az egészségügyi szervezeteket érik, amelyek élen járnak a helyzet kezelésében, beleértve a kórházakat, kutatószervezeteket, gyógyszeripari vállalatokat és laboratóriumokat.
"A jelenlegi világjárvány súlyosbította a helyzetet, kibővítette a fenyegetések és a célpontok spektrumát, az egészségügyi szervezetek sokkal sebezhetőbbé váltak. Ez tökéletes forgatókönyv a nagy bűnszervezetek, terrorszervezetek és ellenséges országok által támogatott rosszindulatú és romboló tevékenységhez. Képzeljük el egy nagy egészségügyi központ, vagy egy városi, állami kórház vagy egészségügyi hálózat elfoglalását vagy leállítását. Ebben a forgatókönyvben az ellenség egyetlen golyó nélkül veszélyezteti a célország nemzetbiztonságát" - figyelmeztetett Steeve Huin, az Irdeto internetbiztonsági vállalat alelnöke.
Abed Graham orvos és IT-biztonsági tanácsadó a BBC-nek azt mondta : "Ami igazán aggasztó, hogy a támadók ma már megértik a klinikai sürgősség fogalmát. Megértik, hogy ha olyan kockázatot hoznak létre, amely megzavarja a betegellátás képességét, akkor nagyobb eséllyel jutnak pénzhez." Amiatt is aggódik, hogy a járvány felgyorsította az egészségügy digitalizálását. Bár ez olyan előnyöket hozott, mint az online konzultációk és az internettel összekapcsolt egészségügyi rendszerek, de az eszközök biztonságának megőrzéséhez szükséges beruházások viszont már nem tartottak lépést ezekkel a fejlesztésekkel.
Mi a helyzet Magyarországon?
Habár kevés hír van arról, hogy Magyarországon zsarolóvírusos vagy másféle támadás ért volna egy egészségügyi intézményt, attól még a fenyegetés nálunk is megjelenik. Palicz Tamás kiberbiztonsági szakértő, a Semmelweis Egyetem Egészségügyi Menedzserképző Központ stratégiai igazgatóhelyettese több alkalommal is beszélt róla , hogy miért veszélyesek az egészségügyet érő kibertámadások.
A szakember szerint, ha egy orvos például nem fér hozzá egy beteg kórisméjéhez, korábban szedett gyógyszereinek listájához, vagy nem tudnak vizsgálatokat kérni (hiszen gyakran ezek is digitálisan zajlanak), akkor megbénul a gyógyítási tevékenység. Azaz a működéshez, a gyors döntéshozatalhoz szükséges adatok zárolása, titkosítása zavart okoz. Ez a koronavírus-járvány idején még fokozottabban érvényes.
Palicz Tamás az Inforádióban elmondta, hogy Magyarországon is voltak már zsarolóvírus-fertőzések kórházakban, egészségügyi telephelyeken, ezek közül néhányat dokumentáltak is. Ezek funkciózavarokat, átmeneti adatvesztést vagy hozzáférési problémát okoztak, ennél jelentősebb következmények nem ismertek. A támadásokat a Nemzetbiztonsági Szakszolgálat alatt működő Nemzeti Kibervédelmi Intézetben gyűjtik és elemzik. A kórházak onnan kapnak segítséget, hogy az incidenseket minél könnyebben és gyorsabban elhárítsák.
Az eddig legnagyobb figyelmet keltő hazai incidensről a Nemzeti Kibervédelmi Intézet is közleményt adott ki tavaly ősszel. Ebben a támadásban a koronavírus-járvánnyal kapcsolatos teendőkre hivatkozó levelekkel igyekeztek beférkőzni az egészségügyi intézmények infrastruktúráiba. A támadó szándékú e-mailek az Állami Egészségügyi Ellátó Központ, illetve a Szabolcs-Szatmár-Bereg Megyei Kórházak és Egyetemi Oktatókórház nevében érkeztek. A levelek tárgyában és a csatolmányokban jellemzően a COVID-19 járvánnyal kapcsolatos teendőkre hivatkoztak, és olyan valósághűek voltak, hogy elérték: megnyissák a levelek csatolmányait.
Az NKI szerint a kiberbűnözők az Emotet nevű malware-rel támadtak. Ez "egy fejlett, moduláris banki trójai, amely elsősorban a banki szektort célzó kártevők terjesztőjeként vált ismertté", banki adatok lopására szakosodott, ám az újabb változatai - a különböző letölthető modulok révén - szinte bármilyen más káros tevékenységre alkalmasak, így személyes adatok ellopására vagy zsarolóvírus telepítésére is. Azt azóta sem közölték, hogy hány intézmény kapott az e-mailekből, vagy hogy volt-e bármilyen következménye a támadásnak.
Emlékezetes az is, hogy a Pfizer vakcinára való regisztráció megnyitásakor a rendszer összeomlott. Ezt a kormány egy kibertámadás számlájára írta, amely érintette az oltási regisztrációnak és a konzultációnak otthon adó oldalt, a koronavírusról szóló tájékoztató oldalt, valamint a kormany.hu portált is. Dömötör Csaba, a Miniszterelnöki Kabinetiroda parlamenti államtitkára akkor azt is közölte, hogy a Nemzeti Infokommunikációs Szolgáltató (NISZ) Zrt. munkatársai megtették a szükséges informatikai lépéseket. A szakembereik dolgoznak a támadásokhoz tartozó IP-címek beazonosításán, és a gyors vizsgálatok lefolytatása után haladéktalanul büntetőfeljelentést tesznek. A kormányzati portálokat egyébként (a bejelentések szerint) a járvány kezdete óta hat alkalommal is zavart okozó támadás érte. Azt csak találgatni lehet, hogy e portálok védelme megfelelően erős volt-e.