Názory k článku
Nemocnici na Rokycansku napadl ransomware, útočníci chtějí bitcoiny

Nojo ale oni žádnej skutečněj DR plán nemaj páč to je "státní" organizace a vono by to stálo peníze.

Naco DR plán, když nemáš ani zálohu...

Tak vždy nebo většinou?

Nakoniec tie odporné papierové zdravotné záznamy neznejú až tak strašne...

Řekněme si to na rovinu : všude starý, nezáplatovaný Windows XP a žádná komplikovaná hesla - bylo by přece moc složité si to pamatovat.... to má pak jakýkoliv útočník výrazně usnadněnou práci, jelikož tam bude pracovat "správce sítě" za pár korun - jeho znalosti a odborná erudice bude přímo úměrná platu a proto tohle nemá rozumné řešení - chudáci pacienti....

Nejde o zálohu, ale třeba o produkční prostředí. Pokud pro běžné výpadky stačí redundance N+1 (resp. N+x), tak tady najednou potřebujete 2N, protože na původním může probíhat nějaká post-mortem analýza. A to nemusí být věc, kterou vyřešíte za den.

No když jsem viděl balík zdravotních karet na zlicine ve křoví případně karty nahazene v popelnici... no starý dobrý trashing;)

Vzpomínám jak se kdysi v jedné nemocnici doktoři rozčilovali, když jsme chtěl aby pro přihlašování do pc/lan používali jméno a heslo.
Ale jinak máte pravdu .

To není tak jednoduché. Ve spoustě firem mají účetní povinnost otevírat každý email, který se tváří jako faktura.
To proto aby se firmy náhodou nezaplacením faktury nedostali do insolvence.
Takto byste mohl obvinit i pracovníka IT protože nezabránil příjmu emailu, který obsahuje virus, který nakonec způsobil takovou škodu. Je to přeci jeho práce, chránit síť ne?

Ani tohle nemusí stačit. Nedávno mi přistál do pošty nějaký reklamní mail od Acronisu, kde se odkazovali na test, ve kterém s přehledem vyhráli. V případě napadení ransomware měla být s jejími produkty šance cca. 80%, že se data povede obnovit. To zni děsivě a zároveň realisticky.

Už to není jako kdysi, že to po napadení počítače okamžitě začalo viditelně šifrovat všechno na disku. Jak se lidem "ztratily ikony z plochy", tak to nahlásili a problém se začal řešit. Dnes se to dostalo do stavu, že to transparentně soubory šifruje i dešifruje třeba měsíc a pak si to teprve řekne o výkupné. Za ten měsíc jsou nakažené i zálohy a obnova je značně problematická. V podstatě nad možnosti běžného admina.

Ono dost pomůže když na email serveru běží antivir od jiného výrobce než na stanici s email klientem. Ale jinak souhlasím.. tohle se řeší fakt blbě.

Tady asi moc nemají na výběr, některé systémy online být musí tak nějak z principu kvůli sdílení dat mezi zdravotnickými zařízeními, protože je trochu důvěryhodnější stáhnout si RTG snímky přímo z daného pracoviště přes DICOM, než věřit, že to CD, které pacient přinesl, neobsahuje nějaké překvapení navíc.
Pojišťovny výkazy přijímají takřka výhradně elektronicky. Ne, že by jiná možnost neexistovala, ale dle pár let starého vyjádření tuším VZP byl objem elektronických podání dost přes 99%.
Nesouhlas pacienta se zpracováním je v tomto případě irelevantní, i z pohledu GDPR to nemocnice uhraje na zákonný zájem. Problém je spis v přístupu k zabezpečení jako takovému, doktoři bohužel na poli IT často nepatří k nejschopnějším a málokdy to jsou schopni reflektovat.

Rika vam neco log?

Pokud vyhoří, tak došlo ke zničení majetku a protože musí organizace postupovat s péčí řádného hospodáře, tak v případě takovéto pohromy může nakoupit HW v rámci havárie. Nicméně je to na hraně.
Nakoupit ale servery jen tak na dublování těch které potřebuje k dispozici kriminálka je už o zvážení, jaká škoda vznikne pokud nemocnice nepojede x dní.

Snapshot pole není záloha. A opakuji ještě jednou. Snapshot pole není záloha. Je to jen berlicka na pruser.Snapshotovat poškozený fs nebo jiz z poloviny zasifrovana data není řešení. Navíc pokud ti odejde logika pole( neni výjimkou selhání celého pole nebo chyba fw) hodně štěstí z toho tahat jednotlivé soubory. Navíc Jses závislý na předchozím stavu pokud je to jen delta snapshot a ne celý snapshot. Ideální zálohovací systém ti má poskytnout možnost vytáhnout specifické soubory/ specifický stav db.

Ze "neznámý pachatel naboural do", vzdyt si to zavirovali sami, systemy s daty pacientu maji byt uplne odstrizeny od internetu (a nebo je vubec neukladat, osobne nechci aby o mne vedla pochybna nemocnice nejake lekarske zaznamy v elektronicke forme).

No hlavně je důležité úplně na začátku položit si otázku: která data hodlám Zálohovat a s jakou retenci a která data hodlám Archivovat a s jakou retenci.

O tom jak je důležité mi na sajte někoho procesne znaleho se člověk přesvědčí až v momentě kdy návod na obnovu pole že záloh - alias část DR plánu je ulozen ve wiki, která je na virtualce a virtualka má storage na tom poli co selhalo. U jéje bejby ajty můžeš být IT...

Tím že přidám do týmu lidi se zkušenostmi z daného prostredi více externích lidi kterým bych to musel nejdriv vysvětlovat tak tím nestoupne produktivita.
Dejte jim pokoj a nechte je pracovat. To staci.

Ransomware jsou často koncepované, aby se cílem staly i externí NAS. Hlavně pokud se jedná o ransomware šířící se po lokální síti. Často taky obsahují Hooky na systémové eventy, jako připojení USB jednotky, ketrou pak posléze také napadnou. U archivů se nemusi šifrovat celý obsah, tím jak jsou data komprimovaná stačí znevalidnit jen část a původní data už je pak prakticky nemožné dohledat

S těmi bankami si nedělej iluze. Něco jiného je co je na papíře a něco jiného co je ve skutecnosti. Není vyjimkou kdy audit logy databáze mají plně pristupne databazisti. Nebo že auditor neřeší už půl roku že se mu po upgrade db audit logy nesypou.

Možná jde I o výběr. Kdysi ještě jako mladší ucho jsem chtěl nastoupit jako admin do místní nemocnice. Za sebou už jsem měl nějakou slabší praxi. Pro nemocnici ale bylo důležité aby to byl inženýr a starší člověk. Inu ten inženýr je tam dodnes a já se profesně posunul daleko za hranice českého IT.

Co k tomu říci? Doména je fajn, ale musí se dodržovat určitá pravidla. Admini by měli pracovat na svém počítači s účtem běžného uživatele. Pak by měli mít odlišné přihlašovací údaje pro servery a ještě jiné pro správu domény. A úplně ideálně ještě jedny přihlašovací údaje, když leze na stanici uživatele, protože ty může odchytit třeba user, který dá na stanici keylogger.
Backup server by měl mít úložiště mimo doménu.
Dále by měli být samozřejmostí diskové pole které umožňuje dělat automatické snapshoty. A mít nastavené snapshoty i pro několik dní. My to máme třeba první 2 hodiny po patnácti minutách a pak po hodině se smazáním až po 3 dnech. Bohužel ve zdravotnictví je to doména jen velkých nemocnic. Ty malé na to nemají.

Tak backup máme samozřejmě taky. Tady jde o to, že žádný backup nedokáže zálohovat data ze všech serverů co 15 minut. Takže pokud bych htěl vybruslit z nějaké prekérní situace, tak mám na vybranou z několika technlologií.

WannaCry forever...

Tak to se dá zařídit, ne :)

Zajimave je, jak se reguluji a audituji banky. Regulatora i Auditora upplne vsechno. Treba jak stary je pouzivany software, jak je zajistena obnova za zalohy, jak je zajisteno, ze data muze cist nebo editovat jen clovek se spravnymi pravy.
A stat? Ten nemusi nic z tohohle dodrzovat. Neuveritelne.

Na to je jednoduché opatření - pravidelně kontrolovat offline zálohy na vyhrazeném offline počítači (zdůrazňuji - nezapojeného do sítě!) zda jsou čitelné a nepoškozené. Dá se to dělat ručně, což vyžaduje čas, ale dalo by se to jistě i zautomatizovat. Důležitý aspekt - je nutné zabránit případnému přenesení nákazy z média se zálohou na tento vyhrazený počítač. Čili inteligentní OS kde se dá vypnout autorun :-)

Tak to se jim ani nedivim, obdivuji lidi, kteri jsou ochotni se "logovat" (tzn. zadavat heslo, PIN a nebo otiskem prstu) do sveho pocitace, nebo mobilu, to je takova komplikace, ze bych to zarizeni radeji nepouzival.

Ten virus tam podle mě přišel v mejlu. Stačí vyhodit toho blbce co to otevřel a to je nejlepší IT řešení.

Už týden? ..
No aspoň tam IT do budoucna dostane víc peněz. Ono rozjet nouzový provoz z nějaké "starší" Veeam zálohy na záložním/novém HW trvá asi tak 1 hodinu. (nový hw se do 5 hodin přiveze z práglu z composu nebo abacusu třeba) A určitě nevěřim tomu, že by ten sw dokázal napadnou i vzdálený NAS na kterém jsou zálohy. A určitě by nenapadnul nějaký archiv uložený třeba na "obyčejném" usb NAS připojovaným do sítě jen na dobu nutnou k překopírování full zálohy. Ono se vlastně tahle možnost obnovit jakýkoli server do jedné hodiny dá pořídit cca do 100 000kč investice pro jakési low cost řešení. (esx esentiall 13kkč + veeam 20kkč + 10gbits NAS 50kkč + 2x usb NAS 10kkč )
Ale počkat. Že oni tam jedou na nevirtualizovaným prostředí? Tak to holt potrvá tak půlden pokud mají dobrý DR plán a nebo tak dva dny v případě, že mají data na něčem z čeho to leze pomalu. Nojo ale oni žádnej skutečněj DR plán nemaj páč to je "státní" organizace a vono by to stálo peníze.

Dobře jim tak!!! Starýho důchodce(ročník 64) si vzali na správu IT, co nadsazeně zná jen XP a AD. Už ze zpráv je jasno, že to ze záloh nedostanou. Moje firmy Ramsomware napadl kompletně za poslední rok už 2x a během chvilky bylo obnoveno. Jenomže to nejsou firmy co vysoutěží ajťáka za 30tis na IČ měsíčně. Žádná škoda, i když je to nemocnice.

Většinou se VŽDY dají najít klíče na dešifrování... Stačí jenom pořádně hledat... :)))