Názory k článku
České nemocnice mají v kyberbezpečnosti nedostatky v IT a manažerech
-
V principu je potřeba tohle:
1. Mít zálohu.
2. Mít možnost odstřihnout úplně všechna zařízení v síti a všechna zkontrolovat. Připojovat zpět až po kontrole a případném odvirování.
3. Mít možnost obnovit zálohu a pokračovat.Body 2 a 3 jsou ten největší problém. Bod 1 má splněno kde kdo.
Bod 2 je horší a obvykle to dopadá tak, že se vám viry množí rychleji, než to stíháte odstraňovat. Takže nakonec vypnete komplet síť, pár dní to s DVD v ruce obcházíte a čistíte a pak zase zapnete síť a modlíte se, aby vám někde ve sklepě neležel třebas soukromý notebook uklízečky, o kterém jste nevěděli.
Bod 3 je pak problém exponenciálně narůstající s časem a procesem. Obnovit z 10 minut staré zálohy nebývá problém, ale obnovit z 10 dní staré zálohy (třebas proto, že jste 10 dní řešili problém z bodu 2) už bývá fuška, protože do toho musíte "dohrát" věci, co se staly za těch 10 dnů. Což v případě nemocnice bude dost ruční práce a obrovské riziko, že někdo něco zadá špatně. Proto je docela časté, že se s IT odstavují i veškeré další provozy a procesy. I tak to ale po obnovení ze zálohy znamená zadat do systému znova netriviálním množství dokumentů a transakcí. A nedej bože, aby tam byly nějaké automaticky zapisované věci, které nelze doplnit dodatečně ručně (například denní kurzy ČNB).
Bod 1 je podmínka nutná, ale bohužel ne postačující. Bod 2 je to, co lidi obvykle zaskočí nejvíc. A pokud nejsou dost rychlí, tak i bod 3 začne bolet mnohem více, než jak to při pravidelném testu obnovy systému ze zálohy vypadalo.
-
Stačit nemusí cokoli, má to dvě roviny, % jak byla odfláknutá aktivní ochrana a způsob designu sítě ve smyslu jaké škody to udělá. Už asi ve všech firmách na "to někdo klikl", je rozdíl když pak přijde někdo v pantoflích a přesmahne jeden stroj a bába přijde o fotky na ploše a objednávku poličky do kuchyně co si psala na firemním počítači kontra "nefungujeme měsíc a o všechno jsme přišli". Mraky firem mají na perimetru Mikrotika a vsichni projektanti ukládají DWG na "Zetko" a to jednou tydne nekdo prehrne na NASku.
Zkusenost teda ale nemam s modelem, ze ten utok nekdo aktivni ridi a treba se na co pul roku pripravuje. To z principu veci nejde asi uhlidat, coz snad byl tento pripad. Byl jsem i u firmy, ktera se hodne snazila, mela tam kde co, i dve Probe sondy od Flowmonu a ti to taky pouzivali az zpetne, aby zjistili co se vlastne stalo.
Ja doporucuji kvalitní notýsek z papíren v Losinách. -
Dva antiviry klidně mohly být "Windows Defender + něco", to bych bral trochu s rezervou.
A myslím, že i hodně dobřé zabezpečení na vstupní staně sítě nemusí stačit - tyhle šifrovací útoky poměrně často začínají "zevnitř", kupříkladu makrem v příloze s nějakou dokumentací, poslanou v zaheslovaném zipu e-mailem... -
To, že si paní doktorová s dcerou přečtou o mých problémech s prostatou mne osobně tolik netíží - ostatně i sedmdesátiletý pan doktor si nechá vysvětlit a pochopí termíny "služební e-mail" a "soukromý e-mail".
Horší je, že tu dokumentaci si cestou doktor-Seznam-Seznam-doktor posílají prostě proto, že každý má jiný program a jedinou další rozumně jednoduchou možností je papírová obálka pro papírovou kopii.
Pak následují bezpečnostní perly typu komunikace se zdravotní pojišťovnou, která pošle seznam ošetřených pacientů zazipovaný-zašifrovaný, a v e-mailu napíše: "heslem je vaše číslo smlouvy" - a aby to bylo složitější, je to číslo jménem zipového souboru.
Přihlašování do portálu certifikátem, z čehož stanoví diagnózu "tohle spáchal ajťák" každý doktor, snad s výjimkou psychiatrů, kteří to schovají do škatulky obyčejných paranoidních stavů.
Sbírání a udržování databáze telefonních čísel pacientů, aby mohli dostat svůj elektronický recept.
Každoroční vyplňování, opisování či scanování certifikátů kvality ke všem přístrojům, posílané na portál z Internet Exploreru na Windows 8.1, protože ten počítač se přeci kupoval před pěti lety, takže je vlastně "skoro nový".
Pacientům v čekárně je potřeba zpřístupnit internet a protože to zabezpečení je fakt důležité, nainstluje se extra router se "sítí pro hosty", která nemá přístup do vnitřní sítě - pomineme-li to, že "WAN rozhraní" je v běžné síti s IP o jedna větší, než doktorův počítač...
...
Je toho hodně, co by se dalo zlepšit, ale po pravdě: doktor je tu od toho, aby léčil - a k tomu by mu měl někdo připravit vhodné podmínky, včetně "ICT zázemí". On sám si to neudělá - a když, tak blbě. -
Známý se stará o jednu nejmenovanou nemocnici. V loni stejnej problém. Komplet nemocnice zašifrovaná. Za dva dny jela. Měli pásku a na ní (offline) zálohu... z toho plyne:
- mám pochybnosti o zálohování
- profík zálohuje, ale expert i obnovuje... :)Jinak je mi jich vlastně líto a rozhodně je neodsuzuju. To, že třeba něco neví nebo nemají nemusí být chyba ajťáků.
-
Dva antiviry je moc pruhů adidas, ale jestli měli "normální" antivir, něco na perimetru, co není jenom FW/IPS (my mám ASA, MIKROTIK, komunitní FW na Linuxu), ale co jim řeší inspekci SSL a segmentovanou síť, tak čistě formálně toho měli "více" než většina jiných nemocnic. Takže spíš pochybení provozní než designu, což tedy není lichotivé pro toho představitele vizuálního vzoru "ajtíků" od dvou brad přes copánek po kravatu, protože nejlepší situace pro něj by byla "chtěl jsem všechno toto a nic mi nekoupili" než "všechno jsem dostal, ale neuměl jsem to používat". Nicméně držel bych odstup někoho soudit, je možné, že pro to udělal víc než 99% všech ostatních ve stejné pozici a prostě měl jenom smůlu. Jestli se na ně někdo zaměřil konkrétně, tak je to bez šance. Ale dva antiviry to srážejí na mimibazar.
-
...a posílá zdravotnickou dokumentaci nešifrovaným mailem ze svého účtu na Seznamu na kolegův účet na Seznamu, přičemž oba mají Seznam trvale přihlášený na svém domácím počítači, který používá celá rodina včetně dětí. Dělá to často proto, že přenos oficiální cestou je pro něj příliš komplikovaný a třeba mu ani nikdo nevysvětlil, jaké jsou správné postupy a proč se používají.
ČLÁNKY DO MAILU