Írsky Úrad pre zdravotné služby (HSE) sa v piatok stal obeťou závažného ransomvéru. Útok obmedzil aj činnosť niektorých nemocníc. Štátne orgány deklarujú, že požadované výkupné nezaplatia.
Vládna agentúra pôsobiaca v oblasti zdravotnej a sociálnej starostlivosti HSE informovala verejnosť o závažnom kybernetickom incidente prostredníctvom platformy Twitter.
Výkonný riaditeľ HSE Paul Reid uviedol, že záškodníci sa v rámci významného a sofistikovaného útoku, sústredili na získanie dát, ktoré sú umiestnené na centrálnych serveroch.
Štátny tajomník na ministerstve pre verejné výdavky a reformu, súčasne zodpovedný za verejné obstarávanie a elektronickú verejnú správu, Ossian Smyth, potvrdil, že útok je veľmi rozsiahly.
„Je to veľmi významný a možno aj najvýznamnejší kyberzločinecný útok na Írsky štát.“
Smyth súčasne zdôraznil, že ide o „neustále bombardovanie“ systémov, pričom práve tento pokus dospel k zdarnému koncu.
Nemocnice rušia úkony
Paralyzovaných má byť niekoľko nemocníc, pričom u niektorých sú dopady vážnejšie. Viaceré nedokážu získať prístup k databázam predchádzajúcich scanov či krvných výsledkov.
Časť nemocníc sa uchýlila ku zrušeniu ambulantných vyšetrení. Lekári fungujú na tradičnom princípe „pero a papier“, čím predlžujú aj niektoré úkony.
Na margo vzniknutej situácie sa vyjadril aj minister zdravotníctva Stephen Donnelly, ktorý zdôraznil závažný dopad útoku na služby zdravotnej a sociálnej starostlivosti.
Prevádzková riaditeľka HSE Anne O’Connor pre národnú vysielaciu stanicu RTÉ podotkla, že väčšina služieb je funkčných.
„Ak to však bude pokračovať do pondelka, budeme vo veľmi vážnej situácii a zrušíme veľa služieb.“
Pohotovostné služby naďalej zostávajú v prevádzke. Vakcinačný program proti koronavírusu taktiež pokračuje.
Hackeri klopali na dvere
Útočníci na HSE zneužili predtým neznámu zraniteľnosť nultého dňa, tzv. zero day, v kombinácii so úplne novým variantom ransomvéru Conti.
To v praxi znamená, že pre zasiahnuté orgány ide o bezprecedentnú skúsenosť, ku ktorej neexistuje odskúšaný postup reakcie.
Deň pred samotným útokom HSE zaznamenal „dva či tri“ útoky typu distribuované odoprenie služby na niektoré časti systému, ktoré spočiatku vyhodnotil ako rutinné. Nateraz však existuje podozrenie, že išlo o akúsi predprípravu na kľúčový scenár.
„Prijali sme preventívne opatrenia v podobe vypnutia všetkých našich systémov IT, aby sme ich ochránili pred týmto útokom.“
Portál Irish Times približuje, že hlavný útok začal v piatok už okolo 4:30 ráno. IT personál v nadväznosti vypol všetky systémy v snahe ochrániť dáta a vytvoriť dostatočný priestor pre preskúmanie situácie.
Nešlo o špionáž
Príslušné orgány aktuálne vyšetrujú, či a do akej miery boli odcudzené lekárske záznamy pacientov a vo všeobecnosti ku kompromitácii akých dát došlo.
Smyth ale bezprostredne vylúčil scenár, ktorý by akýmkoľvek spôsobom v danom kontexte skloňoval výraz špionáž.
„Máme ľudí na mieste, máme kapacity a máme zavedené systémy, ktoré sa týmto zaoberajú, a od začiatku to riešime metodicky.“
Metodický postup je podľa premiéra Micheála Martina nevyhnutný kvôli komplexnosti celého systému. Zhodnotenie následkov útoku bude trvať niekoľko dní.
S atribúciou si počkáme
S HSE a Národným centrom kybernetickej bezpečnosti (NCSC) spolupracuje aj národná polícia, v Írsku známa ako Garda Síochána, v preklade Strážca mieru. Vyšetrovatelia paralelne zdieľajú informácie s Europolom.
Príslušné orgány už údajne identifikovali hackerskú skupinu za útokom. Dostupné informácie zatiaľ vo všeobecnosti hovoria o „kriminálnom gangu, ktorý operuje v inej krajine“.
Nakoľko ide o operáciu nad rámec bežných útokov na štátne agentúry, išlo s veľkou pravdepodobnosťou o vysoko-kvalifikovaných profesionálov.
Podozriví sú záškodníci zapletení do útokov notorického ransomvéru Ryuk, pričom ide pravdepodobne o tých, ktorí z neho vyvinuli samotný ransomvér Conti.
Bezpečnostné zdroje portálu Irish Times sú však zatiaľ v kontexte atribúcie zdržanlivé, nakoľko ide o veľmi komplexný proces, ktorý nie vždy končí úspešne.
Platiť sa nebude
Záškodníci od HSE za odšifrovanie napadnutých systémov požadujú výkupné vo forme digitálnej meny Bitcoin. Informáciu potvrdil nielen štátny tajomník Smyth, ale aj hovorca vládnej agentúry HSE.
Člen vlády súčasne dodal, že požiadavku preskúmavajú odborníci v snahe zistiť, či totožnosť jej autorov korešponduje s identitou útočníkov.
Premiér Martin, jeden z najvyšších ústavných činiteľov, voči požiadavke o výkupné deklaroval jasný odmietavý postoj. Drží sa tak odporúčaného postupu kyberbezpečnostných expertov.
„Myslím si, že máme veľmi jasno v tom, že nebudeme platiť nijaké výkupné.“
Informáciu o neplatení výkupného v súlade so štátnou politikou potvrdil aj hovorca HSE.
Zlatá éra ransomvéru
Práca z domu sa pre väčšinu zamestnancov za uplynulý rok stala každodennou realitou. Táto skutočnosť zároveň znamená aj zvýšenú aktivitu hackerov.
Podľa štúdie KPMG sa v uplynulom roku s pokusom o ransomvérový útok stretla až polovica organizácií. Ceny výkupného sa pritom od roku 2019 zvýšili až dvojnásobne.
Minulý týždeň tento typ útoku zaznamenala aj opačná strana oceánu. Obeťou sa stal najdôležitejší dodávateľ rafinovanej ropy na východnom pobreží USA Colonial Pipeline. Výkupné vo výške 5 miliónov dolárov spoločnosť napokon zaplatila.
Slovensko má s ransomvérovými kampaňami taktiež svoje skúsenosti. Národné centrum kybernetickej bezpečnosti SK-CERT vydalo minulý mesiac v tejto oblasti aj varovanie.
KPMG radí, aby organizácie mali jasný plán reakcie na podobné incidenty. Najdôležitejších je prvých 72 hodín po útoku – je preto potrebné venovať pozornosť uchovaniu prioritnej prevádzky.
Klára Kaničárová