Aká by mala byť reakcia na kybernetický útok?

Stačí čo len trochu celosvetovo sledovať témy kybernetickej bezpečnosti a človek ľahko nadobudne dojem, že „kde pozrieš, tam prebieha(l) kybernetický útok“. Slovensko v tejto oblasti akosi nevie zaujať pozornosť médií a tak vlastne ani nevieme, či vôbec a do akej miery sú organizácie (nielen v štátnej a verejnej správe), ktoré vo veľkom rozsahu pracujú s našimi údajmi, pripravené reagovať na prípadný kybernetický útok. Inde však nie sú takí hanbliví, keď príde na informovanie, a to nám dáva možnosť pozrieť sa na praktickú ukážku jednej reakcie na kybernetický útok a zamyslieť sa nad tým, ako by to asi prebiehalo v našich podmienkach. Pekne zdokumentovaný je napríklad nedávny prípad kybernetického útoku v Singapure, ktorý sa počtom obyvateľov od Slovenska príliš neodlišuje.

Štvrtého júla 2018 po objavení neobvyklej aktivity na jednej z databáz SingHealth (najväčšieho zoskupenia poskytovateľov zdravotnej starostlivosti v Singapure) okrem okamžitých technických opatrení ako zmeny prístupových hesiel či zablokovanie vzdialeného prístupu nasledovalo forenzné vyšetrovanie, ktoré potvrdilo, že niekedy medzi 27. júnom a 4. júlom 2018 ktosi skopíroval osobné údaje asi 1,5 milióna pacientov SingHealth. Po potvrdení, že šlo o kybernetický útok, nasledovalo 10. júla informovanie ministerstva zdravotníctva a vládnej agentúry pre kybernetickú bezpečnosť (Cyber Security Agency – CSA), 12. júla začalo policajné vyšetrovanie a 20. júla na spoločnej tlačovej konferencii minister zdravotníctva a minister pre komunikácie a informácie (pod ktorého spadá aj oblasť kybernetickej bezpečnosti v Singapure) o prípade informovali médiá a verejnosť.

Unikli len „nezdravotné“ údaje pacientov (meno, identifikačné číslo, adresa, pohlavie, rasa, dátum narodenia), v prípade asi 160 000 pacientov (vrátane predsedu vlády a viacerých ministrov) aj údaje o predpísaných liekoch, k zmenám v údajoch nedošlo. Informovanie verejnosti sa pritom neobmedzilo len na tlačovú konferenciu ministrov.  Deň po nej SingHealth informoval, že vyše 700 000 pacientov, ktorí do 4. júla využili jeho služby, už boli prostredníctvom SMS informovaní o tom, či patria medzi tých, ktorých údaje unikli s tým, že zvyšní budú informovaní v priebehu ďalších 2 dní, pričom  asi 150 000 pacientov, ktorí neposkytli svoje telefónne číslo, dostanú v pribehu týždňa list s príslušnou informáciou. Túto informáciu mohli klienti SingHealth-u tiež získať prostredníctvom webstránky, mobilnej aplikácie aj e-mailom. Pacientom, ktorých sa týkal aj únik údajov o predpísaných liekoch, naviac ponúkli konzultácie na vyhradenej telefónnej linke. Krátko nato nasledovalo aj varovanie pred falošnými telefonátmi údajne od SingHealth, vrátane názorných ukážok ako vyzerajú pravé SMS od SingHealth.

Zaujímavé sú aj niektoré nie úplne bežné opatrenia, ktoré boli prijaté, a to nielen zo strany SingHealth. Napríklad, SingHealth okamžite dočasne zablokoval  Internet pre pracovné stanice všetkých svojich (28 000) zamestnancov, pričom podľa médií pacienti si nevšimli, že by to nejako ovplyvnilo ich registráciu či platby. Podobné opatrenie následne prijali aj ďalšie inštitúcie verejného zdravotníctva v Singapure.

Nezaháľali ani štátne orgány.  Dočasne boli pozastavené všetky nové projekty známej singapurskej iniciatívy Smart Nation s tým, že bezpečnostné opatrenia v každom navrhovanom systéme budú podrobené dôkladnému posúdeniu. Na vládnej webstránke bola publikovaná prehľadná a dostatočne vyčerpávajúca  informácia o celom prípade. Podpredseda vlády vyjadril názor, že oddelenie pracovných počítačov od Internetu by v sektore verejného zdravotníctva malo byť trvalým opatrením, podobným ako bolo prijaté pre počítače štátnej správy (tzv. Internet Surfing Separation Policy). Zdôraznil tiež, že je nevyhnutné ísť za hranice implementácie technických riešení a zaoberať sa transparentným informovaním a vysvetľovaním smerom k znepokojenej verejnosti.

Minister pre komunikácie a informácie vymenoval štvorčlenný vyšetrovací výbor, ktorý dostal presne definované zadanie  – do konca r.2018 objasniť udalosti a priťažujúce faktory, ktoré viedli k útoku na databázu SingHealth, zhodnotiť odpoveď SingHealth na útok, sformulovať odporúčania pre lepšiu ochranu systému proti podobným útokom i pre zlepšenie plánu reakcie na podobné incidenty, ako aj sformulovať odporúčania pre lepšiu ochranu IT systémov verejného zdravotníctva, ktoré obsahujú rozsiahle databázy. Prípad tiež začala prešetrovať aj  Komisia pre ochranu osobných údajov (Personal Data Protection Commission). Pridala sa aj singapurská centrálna banka (Monetary Authority of Singapore – MAS), ktorá nariadila všetkým finančným inštitúciam sprísniť procedúry overovania identity klientov tak, aby tieto nezáviseli len od údajov, ktoré unikli zo SingHealth, a tiež aby vykonali posúdenie dôsledkov útoku na SingHealth na ich bezpečnostné opatrenia pre finančné služby, poskytované klientom.

Ako by to asi prebiehalo u nás, teda sa keby niečo podobné stalo na Slovensku? Z pohľadu okamžitých technických opatrení prijatých postihnutou organizáciou zrejme podobne (až na to odpojenie všetkých pracovných staníc zamestnancov od Internetu). Ak však rozšírime záber úvah nad rámec čisto technických opatrení, márne sa usilujem povzbudiť svoju fantáziu, akosi sa jej nedarí prísť so scénárom, ktorý by čo i len čiastočne pokryl vyššie popísané aktivity, ktoré nasledovali po zistení kybernetického útoku.

Jozef

 

Leave a Reply

Your email address will not be published. Required fields are marked *