Názory k článku Nemocnice jsou snadným cílem hackerů, útok je dokáže ochromit

Považuji za pravděpodobné, že jde o necílené útoky, někdo šíří obecný ransomware, a náhodou to dostala taky nemocnice. Co by asi dokázal cílený útok zaměřený na danou nemocnici? Dokáže takto útočník zabít víc pacientů (změnou údajů) než magor s pistolí předevčírem v Ostravě?

Ano, dokáže. U některých stačí výměna diety nebo vynechání důležitých léků.

Rozdíl je hlavně v motivaci. Ostravský střelec zjevně nevěděl, co dál s životem (není známo proč) a pro svůj odchod zvolil nejhnusnější cestu, kdy chtěl ublížit dalším. V tom šíleném činu je vidět hloubka pohnutí mysli. Vyděrač oproti tomu s životem nekončí, zcela chladnokrevně vybírá peníze a je mu jedno, že tu a tam zasáhne i nemocnici. Velmi pravděpodobně ani neví, že zasáhl nemocnici a asi ani vědět nechce.

První zmíněný potřeboval psychiatra, druhý pouze kriminál.

Cílený vs. necílený: vzniká překladem z angličtiny a novinářštinou.

Z pohledu bezpečností se jedná o zacílení: zaviruju stovky počítačů, ale mým cílem je získat výkupné jen ze zlomečku z nich. Z tohoto hlediska se jedná o zacílení (i) na nemocnice. Takto by to řekl sociolog, marketér, manažer, politik, ..., a není to chybně.

Druhý pohled je technický. Pro technika znamená zacílení to, že byl útok veden pouze na nemocnice a ostatní vynechal a vůbec ho nenapadne, že to slovo funguje i v jiném kontextu.

Neslovíčkařil bych.

Cíleným (targeted) útokem se obvykle myslí to, že se útočník na obět zaměřil. Finančně motivované útoky jsou často necílené – útočníkovi je celkem jedno, jestli danou částku dostane od nemocnice, od nějaké firmy, nebo od fyzických osob. Škody jsou jen vedlejším dopadem. Na necílené útoky může být zbytečně drahé používat nové zranitelnosti, když dostatečný počet lidí neaktualizuje a když uspěju i se starou zranitelností, jejíž popis mám k dispozici zdarma. Podstatné je s co nejmenšími náklady zasáhnout co nejvíce co nejhodnotnějších cílů.

Naproti tomu cílené útoky mohou být třeba politicky motivované. Nemusí být až tak důležité z toho vytřískat peníze (i když, pokud se to podaří, je to jen bonus), ale nějak poškodit konkrétního protivníka. Může to zahrnovat přesně mířené sociální inženýrství, analýzu konkrétního cíle, nebo i nákup veřejně neznámých zranitelností. Míří se typicky na jeden cíl (případně několik málo cílů).

Jde tedy o případy, kdy je odlišná motivace, prostředky boje i přizpůsobení útoku na míru.

Pokud se ten ransomware šířil již před útokem na nemocnici jinudy, velmi pravděpodobně jde o necílený útok, kde jde jen o výkupné. Pokud by šlo o ochromení nemocnice, pak by šlo o cílený útok – ransomware samozřejmě taky lze použít jako snadný a účinný nástroj, ale lze si představit i jiné, pokročilejší a zákeřnější prostředky boje, jako je změna diagnózy nebo diety.

Kloním se tak na základě zatím známých informací k necílenému útoku.

Co toto
https://zive.aktuality.sk/clanok/144209/odhalili-vydieracsky-virus-ktory-cieli-na-zdravotnicke-organizacie-v-europe-usa-a-v-kanade/

Takovou IT si lidé vybrali. Tohle chtěli. Tak rozhodl trh a slepý dav. V několika desetiletích lidé kupovali a žádali sw barevnější a hezčí, hledisko opravdové kvality a funkčnosti nikdo kromě IT specialistů neobhajoval a bezpečnost byla jen nežádoucí překážkou proti pohodlnému používání. To určilo směr vývoje a mnoho koncepcí následně nejen v IT. Snažit se vytvořit dobře propracovaný sw či hw, pracovat kvalitně atd. znamenalo postupovat pomaleji a v důsledku nechat se ušlapat těmi méně zodpovědnými a méně prozíravými. Vývoj oboru byl rychlý a lákavý ale šel často směrem který se mi nelíbil. Lidé nejen přijali nebezpečné technologie, ale nechtěli slyšet že to není dobře. Už na konci minulého století lidi kolem mě nedokázali chápat počítač jako deterministický stroj, přijali za samozřejmé že se chová nevypočitatelně. Nechali se přesvědčit těmi nejúspěšnějšími firmami že to je normální a jediné možné! Místo spolehlivých strojů máme už dávno spíš hračky a ani odborníkům to dnes nedochází. Směr určil trh, lid, tedy dav laiků a několik úspěšných podnikavých obchodníků. Lidi si nechají nacpat kdejaký líbivý šmejd a teď budou dlouho a hodně platit za nesčetné potíže způsobené špatnou koncepcí současné výpočetní techniky. Je to cena za volbu. Jen ať si zvykají že levné IT už není řešení.

(Jo, já to říkal, už tenkrát.)

Takhle to nemůžete brát. To by pak platilo ve všech oborech.

Dav by si nejraději vybral neplatit daně.
Dav by rád dostával bez předpisu antibiotika na nachlazení, efedrin na rýmu, opiáty na bolavá záda.
Dav by nepotřeboval ani řidičské průkazy.

Moderní stát musí v některých oborech stanovovat nějaká základní profesní minima, které musí odborník dodržovat. Soudce Vám nemůže radit ve sporu, který soudí. Lékař Vám nesmí napsat léky, ke kterým není důvod. Daňový poradce Vám nesmí poradit, jak fingovat doklady, abyste nemuseli platit daně. (Srovnejte to třeba s Afrikou, jak se tam musí vybírat daně s kalašnikovem v ruce, nebo s USA, kde lékaři bez skrupulí předepisují fentanyl na bolavý zub).

Jen ajťák může cokoliv a nemusí být brzděn odpovědností. Vymluví se, že "vedení to tak chtělo". Vedení se vymluví, že mu to nebylo řádně vysvětleno a rizika objektivizována (takže nemohl lépe, jako správný hospodář, rozhodnout o zbytečné investici).

Software je potřeba z obezřetnosti brát jako organismus a počítat i s jeho chybami i zastaráváním. Laik to nemá šanci posoudit, stejně jako nemá šanci dohlédnout, jaký vliv má na organismus i na společenskou rezistenci bezhlavé užívání antibiotik. Davu to nevyčítejte.

>Dav by si nejraději vybral neplatit daně.

ako kde.. Vo "Švajci" to nechceli...

Švajčiari odmietli blahobyt pre všetkých. Dobre spravili

13. jún 2016

Minulý víkend sa vo Švajčiarsku konalo referendum o tom, aby každý jeden občan mal štátom garantovanú mesačnú dávku vo výške 2 500 frankov
https://www.tyzden.sk/casopis/32680/svajciari-odmietli-blahobyt-pre-vsetkych-dobre-spravili/

Švajčiari odmietli zrušenie koncesionárskych poplatkov. Sú sedemkrát vyššie ako u nás

04.03.2018, 20:14 | ČTK

https://medialne.etrend.sk/televizia/svajciari-odmietli-zrusenie-koncesionarskych-poplatkov-su-sedemkrat-vyssie-ako-u-nas.html

Švajčiarski voliči v nedeľňajšom referende podporili prísnejšie pravidlá v oblasti vlastníctva zbraní, informovala agentúra AFP. Podľa konečných výsledkov 63.7 percenta voličov súhlasilo s prijatím smernice o držbe strelných zbraní, ktorú Európska únia schválila v apríli 2017.

a rozhodlo tiež, že nedostatočne financovaný dôchodkový systém by mal dostávať vyššie príspevky od zamestnancov, spoločností a štátu.
https://www.topky.sk/cl/11/1795281/Svajciari-hlasuju-v-referende--Sprisnili-zakony-o-zbraniach-aj-zrusenie-danovych-ulav

Švajčiari v referende odmietli najvyššiu minimálnu mzdu na svete

19. 5. 2014

https://euractiv.sk/section/vonkajsie-vztahy/news/svajciari-v-referende-odmietli-najvyssiu-minimalnu-mzdu-na-svete-022455/

Nepoznas kontext otazky. V skutocnosti slo o vyplacanie podpory u nepracujucich.

Je rozdíl v tom, jestli lidé vidí dopady. Pokud určujete daně, tak se můžete ptát: máme přidat učitelům (vašich dětí), nebo snížit daně. Snížit daně a zavést poplatek u lékaře? Apod.

U bezpečnosti se ptáte: mám koupit novou appliance, nový firewall? - Proč to potřebujeme? - Abychom byli chráněni. - A my nejsme chráněni? - Jsme, ale zastarává to. - Jak dlouho už to slouží? - Pět let. - Tak to naplánujeme na přespříští rok, dva roky to ještě vydrží. Když nastane aktutní problém, koupíme to dřív. (A zde končí argumentace, protože se nedá rozumně vysvětlit, že až nastane problém, bude pozdě, obzvlášť, když firma takový problém ještě nezažila).

Jesliže Švýcarsko jako stát, který nemá jakýkoliv důvod lézt EU do zadku, dobrovolně přijme eurounijní, principiálně chorou směrnici (i přes zcela zvláštní, „nenápadnou“ výjimku vytvořenou přímo pro ně), znamená to (přinejmenším pro mě) plíživý konec svobod a demokracie v asi poslední svobodné evropské zemi. Taky tam zvítězili marxisti (či co to je).

Svajciarsko a posledna slobodna europska zem? Skus si nieco nastudovat o Svajciarsku. Aj ja som si niedky myslel ake dobre je svajciarsko. Po zhliaduti par investigativnych dokumentov a dohladani si niektorych informacii si to uz nemyslim.
Skus si len pzoriet dokument napriklad koniec bankoveho tajomstva vo svajciarsku. Alebo dobry bol dokument o tom ako sa spravaju k "imigrantom".
Viac vyuzivaju referenda ale vdaka tomu prijatie zakonov moze trvat aj roky. Tiez ich politicky system nieje super. Chce si to poriadne nastudovat

Pracoval jsem na vývoji logistického systému u silového rezortu. A mohu jen konstatovat, že manažeři se chlubí co vše nezískají ze systému a UŠETŘÍ (což rádi slyší političtí ministři). Jen se nepochlubí, jak házeli a hází klacky pod nohy bezpečákům, když je potřeba do bezpečnosti investovat (nejen peníze). A bezpečnost tvoří téměř 50 procent nákladů celého IT. Jde o SW, HW a školení uživatelů (s prověřováním). 24/7 náhled na systém zkušenými osobami (lze outsourcovat). Klíčové izoplováno od internetu.

Bezpečnost představuje víc než 50 %.
Jen samotné testování tvoří skoro 70 % času vývoje.
Bezpečnostní audity a následná opatření k tomu ještě přidají.

Nekvalifikovaní manažeři vědí, že když kupují auto, musí počítat s palivem, servisem, pojištěním a řešením nehod, které se tu a tam stanou.

Nevědí to u softwaru, kde berou, že cenovka je konečná, případně že VŠE řeší nějaká základní servisní smlouva dodavatele.

Dobry nazor, len ono to nieje take jednoduche a jednofarebne.
Ak by si ludia vybrali to kvalitne a bezpecne IT, tak by sme dnes boli niekde na urovni tak roku 2000-2005.
Otazka je, co je horsie/lepsie, lebo vdaka tomu prudkemu vyvoju a nekvalite sme niekam posunuli a malo to aj pozitivny prisnos.
Nesuhlasim, ze pocitac je determinsticky stroj. Snaha je a bola ho tak postavit ale v reale to je neuskutocnitelne. Pisat kod bez chyb alebo bez vedlajsich/ne­planovanych/nez­mapovanych efektov nejde. To iste aj HW a vdaka tomu sa neda povazovat PC za deterministicky stroj.
Osobne si myslim, ze najvecsi problem je v tom, ze zodpovedny neberu ohlad na limity/nedoko­nalosti IT. Tym by sa dali obmedzit rizika pouzivania IT. Uplne odstranit ich nejde, ani keby sme sa vybraliu cestou kvalitneho a bezpecneho IT.

Mícháte pojmy:
deterministický znamená, že pro stejný vstup běží stejným spůsobem a dává stejný výsledek. Nikoliv, že neobsahuje chyby. Naopak, i nedeterministický stroj (třeba využívající náhodná čísla) může být zcela bezchybný.

Obávám se, že ani kdyby si uživatel mohl vybrat jesti nainstalovat bezpečný nebo zranitelný software, často by vyhrál ten zranitelný. Proč? Je to jak v jiných oborech. Můžete si koupit pancéřovanou limuzínu a nebo jen obyčejnou Fabii. Proč si většina lidí kupuje tu zranitelnou (průstřelnou) Fabii? Inu proto, že to je dobrý kompromis mezi relativním rizikem a náklady na dokonalejší zabezpečení. Zatím to funguje a lidé kupují Fabie. Pokud by se situaci změnila a v pražských ulicích by se běžně střílelo, pak by asi pancéřované limuzíny šly na dračku.
Vždy se někdo musí napřed spálit, aby ostatní dav žádal bezpečnější řešení.

Zivim sa o.i. testovanim SW. Neexistuju v SW chyby, ze pri rovnakom vstupe dostanes rozny vysledok? Aj HW je nachylny na taketo chyby kvoli externym vplyvom alebo kvoli chybe v navrhu. Pozri len na taku RAM? Preco sa v serveroch pouziva ECC RAM? A co dalsie mechanizmy kontrolujuce integritu a opravu dat? Preco sa pouzivaju v HW?
Neexistuje dokonaly system(HW+SW) u ktoreho by si vedel zarucit jeho spolahlive opakovane rovnake chovanie, tym padom sa PC neda povazovat za determisticky stroj.

Ten tvoj priklad s Fabiou je presne o tom, co som pisal na konci. Uvedomovat si rizika a limity.
Ak by sa v prahe strielalo, tak by stupol predaj pancierovanych aut ale nie nijako dramticky z pohladu celkoveho poctu aut. Bolo by to drahe riesiene a vecsina by si vybrala ine riesenie ako nakup pancierovaneho auta. Najskor by sa odstahovali niekam inam.
Popaleniu nikdy nerpedides. Aj to je vec, s ktorou je potrebne ratat.

Nevěděl by někdo, jaký antivir (některé zdroje hovoří dokonce o 2 antivirech současně?) v Benešovské nemocnici používají? ;)

Antivirus vám ale vůbec nemusí pomoct, když máte XP se SMBv1, která navíc ani nemůžete nebo nesmíte aktualizovat, protože by software pro příslušné zařízení přestal fungovat.
Dále, SMBv1 vás může donutit používat i (rovněž neaktualizovatelný) Linux v nějakém zařízení (často multifunkční tiskárny), protože Samba až donedávna vynucovala SMBv1 (resp. zakazovala vyšší verze).
A to je jenom jedna z cest pro šíření malware, nikoliv jediná.

SMBv1 vyžadují i aplikace využívající FoxPro, ...
Je to prasárna, takové aplikace by se měly zvirtualizovat a oddělit do jiného segmentu.

IT oddělení selhávají. Často jsou ajťáci pouze juniorní technici - sice se spoustou schopností, ale bez manažerského nadhledu. Vedoucí IT musí dbát na vedení dokumentace a vyhodnocování požadavků a musí zavčas navrhovat řešení. Setkávám se ale spíš s tím, že ajťák jen fňuká, jak má špatné podmínky pro práci, ale řešení nenavrhne. Vedení pak nemá o čem rozhodovat.

FoxPro virtualizovat jde, ale problem je s pristroji. Ridici software nemusi byt vzdy virtualizovatelny, a embedded systemy se zastaralym OS jsou nestesti samo o sobe. Oddelit taky vsechno nejde, doktor nebude behat par pater dolu aby se podival na snimky, nebo soustavne tahat vsechno pres usb disk.

doktor nebude behat par pater dolu aby se podival na snimky, nebo soustavne tahat vsechno pres usb disk

Tady jste přesně popsal, jakou formou musí IT oddělení vysvětlit situaci managementu:
a) buďto se koupí nový přístroj s aktuálním SW, nebo
c) pořídí se vedle přístroje prohlížecí stanice (někdy se musí přestěhovat i do větší místnosti),
b) lékař bude běhat prohlížet snímky jinam.

Z takovéhoto výběru už si vedení dokáže spočítat, která z variant mu vyhovuje - jestli investice a) nebo b), nebo zmařený čas lékaře c). Ajťák odvede svoji práci dobře a vedení už pracuje jen s čísly, nikoliv s nehmatatelným strašákem bezpečnosti.

Ou jeee, to mi nieco pripomina :-)
Pracoval som pre firmu vyvijajuci soft pre medicinsky segment.
Instalacia v domene nehrozila, ked prislo SMB2, nastal prepad vykonu, a tyzden sme vysledkami testov presviedcali, ze problem je naozaj u nas ...

Miesto nejakeho rozumneho zalohovania, bol lekarom ponuknuty Eset ako riesenie proti ransomware.
(samozrejme to bolo vyhradne kvoli marzi, nejaka bezpecnost vo firme nikho nezaujimala).

Fungovalo to over share, takze problemy na seba nenechali dlho cakat ...

Ano z té zjednodušené novinářské právy o viru ....který překoval firewall a dva antiviry sem měl málem vyrážku....

Aktuálně mi není známo jestli je oficiální zpráva co se opravdu stalo. a na čem.

To že ...nefungovalo nic... je možné že bylo preventivně odstavení všech systémů bez ohledu na zasažení, aby se to nešířilo dál.

Spousta lékařských systémů nemá v TCP\IP přístup k SMB. Takže by tam "cryptovir" nenadělal takovou paseku. Protože share tam není a výstup nemusí být tradiční formáty na které to útočí.

Při zmínce o vysoké zátěži mě napadlo jestli jim to spíše nenapadlo něčím co chtělo těžit kryptoměnu....

Bohužel nemocnice jsou rozpočtové organizace a tam je s financováním problém. Známý dělá v nemocnici údržbáře. Má asi už 20x repasovanou aku-vrtačku. Repase vrtačky - OK, koupě nové vrtačky - děsný problém.
Důvody:
1. Na novou vrtačku jdou peníze z jiné hromádky v rozpočtu, o které vedoucí dílny nerozhoduje, ale musí žádat na vyšších místech a čekat, než to úřední šiml přežvýká, zatímco o opravě vrtačky rozhoduje mistr. Vůbec nevadí, že do repasí se nacpe víc peněz, než kolik by stála nová.
2. V dřívějších dobách se dalo domluvit se servisem, že se koupila nová vrtačka a vyfakturovalo se to jako repase. Dnes v době všemožného dozoru a e-dozoru to už nejde. Vůbec nejde o to, že by se ušetřilo, ale o to, aby se údržbář nemohl "obohatit" tím, že si starou vrtačku odnese domů a tam si ji spraví.

Ano, tohle je obecný problém nakládání s veřejnými penězi. Kvůli pár podvodníkům, kteří se nestydí okrádat erár, vznikne sada drakonických předpisů, které jednak stejně okrádání nezamezí a navíc v podstatě znemožní spoustu legitimních činností.

Jinak jak jsem vyposlechl od jednoho ředitele IT jedné velké nemocnice, trápí je zejména to, že zatímco síť pracovních stanic personálu mají jakž-takž pod kontrolou, velké problémy jim dělá právě tzv. zdravotechnika, tedy lékařské přístroje. Přesně jak se píše v článku, o jejich nákupu rozhodují úplně jiná oddělení, k IT se to dostane jako hotová věc se slovy: „Tohle potřebujeme připojit do interní sítě, aby to mělo přístup ke všem datům pacientů.“ A ředitel IT je bohužel malý pán na to, aby řekl, že něco, co má v sobě Windows XP a nikdy to nedostalo aktualizace do sítě prostě nepřipojí.

Ředitel IT musí mít zákonnou oporu, aby to nemusel udělat.
Jedinou praktickou možností je, aby to udělat ani nesměl.

Daňový poradce Vám dokáže říct, co stát neumí zkontrolovat, a kde se můžete pokusit o podvod. Přesto to neudělá, protože má zákonem zostřenou odpovědnost odborníka, který nejen vědět mohl, ale i měl. Státní zastupitelství v posledních letech takovou odpovědnost dovozuje i u účetních, kteří nejsou daňovými poradci.

Odpovědnost je ale potřeba poměřovat s nějakým minimem; u účetních a daňových poradců je minimum stanovené Zákonem o účetnictví, Českým účetním standardem (podzákonný předpis) a stanovisky Komory daňových poradců. Pokud požadavky z těchto zdrojů odborník naplní, nemusí se víceméně obávat odpovědnosti.

V IT oboru neexistuje žádná zákonná delegace, zavinění tím pádem nelze objektivizovat a tím pádem ani soudit. Takže když se IT pracovník vzepře, je vyměněn a na jeho místo nastoupí někdo "pružnější".

Dokud nevznikne právní opora, situace se nezlepší.

Zcela souhlasím, že je zhovadilé zostřovat obecné předpisy jen kvůli tomu, že stát a jeho orgány rezignovaly na chytání a trestání toho zlomku lumpů. Poctivé to zasáhne, ale lump zůstane lumpem dál. Často se i z poctivých pak stanou lumpíci, protože dodržet všechny předpisy prakticky nejde - a když už "musí" podvádět, tak proč by nepodváděl ještě o něco víc?

Ve zdravotnictví musí být každý přístroj schválený pro provoz. Zcela selhává stát v tom, že u přístroje hodnotí pouze jeho biologickou bezpečnost, ale nebere v potaz nutnost vyspecifikovat podmínky provozu a digitální bezpečnosti. Zatímco přístroje se i následně v provozu kontrolují, jestli nevyzařují víc, neničí víc tkáně apod., jestli jsou "aktualizované" (vyměňované) spotřební komponenty, tak jejich softwarová bezpečnost se v čase nehodnotí.

Jenomže tady asi narazíte na realitu. Lékařské přístroje se pochopitelně vybírají podle "lékařských" kritérií, tedy co umí. Pokud by se ještě zavedly přísné požadavky na digitální bezpečnost, nemuselo by se najít nic vyhovujícího, anebo za šílené peníze. Přitom by ona digitální bezpečnost klidně mohla být jen věcí deklarace; zákazník je ochoten platit, tak to holt riskneme.

Před 25 lety se takhle choval rezidentní virus OneHalf. Po zapnutí PC na pozadí se pomalu šifroval disk. Poznalo se to jen když se nabootoval nenakaženou disketou s MS-DOSem. Známé adresáře změnily název stejně jako zašifrované soubory. Dešifrování pomocí AVG pak trvalo hodiny ...

"Před 25 lety se takhle choval rezidentní virus OneHalf"

Co jsem se s tim tenkrat natrapil, do dneska mam pred ocima tu DOSovou obrazovku s napisem "Dis is onehalf"

Jednou jsem pomáhal v jednom nemocničním zařízení s počítačem napadeným virem. Jejich Ajťák to nechtěl řešit a protože tam pracuje příbuzná tak jsem se nabídl že se na to podívám. Nakonec celý ten "virus" bylo že bylo nastaveno aby se prohlížeč spouštěl po startu a domovská stránka vedla na reklamy. Ale co mě nejvíc šokovalo bylo když jsem viděl na jakých počítačích tam pracují. Protože program pro evidenci diagnoz pacientů je dělaný pro dos a do té doby se neměnil tak řadoví pracovníci mají ještě pořád WinXP a v něm dosbox. To oddělení má 2 notebooky s Vistou a Win7 a vedoucí má na počítači win10. Jak se píše v článku - takovou variabilitu počítačů nejde spravovat. A to ani nezmiňuji to že aktualizace byly samozřejmě vyplé.

Navíc licenci na Microsoft Office má jen vedoucí a ostatní mají Libre office vedoucí má na počítači lístek s heslem aby si tam ostatní mohli něco vytisknout co se jim na počítači zobrazí blbě. A na ostatních počítačích lístek není protože heslo je název města. V takovém případě budete těžko školit zaměstnance aby používali bezpečná hesla nebo nějaké autentikační tokeny když jsou zvyklí že heslo má být jednoduché a nebo nepsané na počítači.

Ještě větší problem bude s aktualizací OS, protože zaměstnanci nechtějí žádné změny. Navrhoval jsem že místo na počítači s XP budou moci pracovat na notebooku s win7 který je mnohem svižnější ale nechtějí protože je tam jiné rozhraní.

Takže současný stav všem vyhovuje - zaměstnanec se nemusí učit nic nového a manažer je pochválen jaký má nízké náklady na IT a ono to nějak funguje.

Tenhle příspěvek je jen takové povzdechnutí jak je to s IT ve zdravotnictví špatné a jak těžko se z toho bude hledat cesta ven.

V podstatě jste udělal chybu. Převzal jste odpovědnost za zásah do prostředí, do kterého nevidíte.
Mohlo by být prospěšnější do toho nesahat a počkat, až odpovědný ajťák najde řešení.
Takto jste zdánlivě vyřešil místní problém rychle, ale oddálil jste systematické řešení. (Přesně tak blbým způsobem, jak to dělá IT oddělení, které kritizujete).

12. 12. 2019, 10:11 editováno autorem komentáře

Předpokládáte, že onen místní ajťák by na rozdíl od pana Rokka našel systematické řešení, když nebyl schopen udělat ani o**bávku. Předpokládáte špatně.

Z dlouhodobého hlediska by to fungovalo. Pokud je ajťák neschopný, pomůže situaci víc ho v tom nechat utopit a rychleji dosáhnout změny. Takhle se jen prodlužuje agonie.

A uvědomuje si to vedení té nemocnice? A půjde vaše řešení použít i pro další nemocnice? A pro EU?

Nejbezpečnější je počítač odpojený od sítě. Pokud už musí být připojen do sítě, tak fakt pouze k zadanému účelu, nějaké široké sdílení disků je naprosto nepřijatelné. Vsadím se, že polovina úspěchu útoku je založena právě na tom, že celá síti je sdílena bez nastavení patřičných práv - včetně backup serverů.

Bohužel, v dnešní době, kdy všichni mají WinXP je možná tohle nerealizovatelné, protože děravost starých OS možná umožňuje všechny dostupná zabezpečení obejít. Microsoft je v tomhle směru tragický a ještě tragičtější je, že instituce jsou vendorlocknutý k microsoftu, který takové věci neřeší. Zato se chlubí tím, že ve svém novém OS překreslil ikonky

Tak to prr.

Windows doménu s podporovanými verzemi (cca 6-10 let zpět) lze velmi dobře zabezpečit, nasadit DFS, zálohovat přes Shadow Volume Copy nebo na úrovni VPS. Jednotlivé aplikace jdou virtualizovat a tím spouštět v naprosto odděleném kontextu. Banky to tak dělají, také provozují prehistorické verze a nesrovnatelně bezpečněji.

Jen to musí někdo udělat a nevytahovat oblíbeného bubáka, že za šlendrián IT oddělení může Microsoft.

Jelikož nejsem IT administrátor ani MS specialista, ale hodnotím to jen podle zkušenosti s těmi pár institucemi, kde jsem se pohyboval a kde to tak bylo (a to i komerční), a kde bylo běžné, že většina sítě složena s Windows počítačů byla všem dostupná pro čtení i zápis.

Nevím jak je to dnes se bezpečností nastavení takových stanic, jen mě štve, že Microsoft se vůbec neohlíží na potřeby svých zákazníků, ale tlačí to z pozice silného hráče s tím, že nabídka určuje poptávku.

12. 12. 2019, 10:17 editováno autorem komentáře

Nevím jak je to dnes se bezpečností nastavení takových stanic, jen mě štve, že Microsoft se vůbec neohlíží na potřeby svých zákazníků, ale tlačí to z pozice silného hráče s tím, že nabídka určuje poptávku.

Tak to se právě snažím vysvětlit, že naopak Microsoft dává k dispozici komplexní sadu nástrojů, jak síť zabezpečit. Není to ani tak moc pracné. Nainstalujete Windows Server, k němu připojíte stanice (dá se udělat jednoduše automatický deployment s instalací a nastavením po síti). Uživatel nemá práva k ničemu, co nechcete (v praxi se omezuje i nastavení pozadí plochy, aby uživatelé nezlobili). Komunikaci vynutíte přes proxy, certifikát proxy se deployuje do počítače při přihlášení uživatele.

Staré aplikace nasadíte na do služeb vzdálené plochy jako virtualizovanou aplikaci. Uživatel má ikonu na ploše a vůbec netuší, že běží vzdáleně.

Na switchích nastavíte IEEE 802.1X, takže LAN se připojí jen ověřený uživatel. Switch ověří přihlášení proti Radius serveru na Windows Serveru - známé stanice připojí do LAN, neznáme do sítě pro hosty (izolovaná od zbytku sítě).

Tiskárny mají frontu na Windows Serveru, který se stará o oprávnění k tisku, accounting, omezení barevného tisku apod.

Kostru pro toto nastavení má ajťák nakonfigurovanou za den, možná za dva dny. Když toto udělá, novou stanic má po síti nainstalovanou za dvě hodiny se založenýma rukama.

Když přijde požadavek na speciální systém, vyhodnotí, jak ho bude provozovat. Pokud je možné jej zabezpečit, tak ho nasadí do hlavní sítě. Pokud se nedá zabezpečit dobře, buďto ho zvirtualizuje ve službách vzdálených aplikací, nebo stanici přiřadí do nezávislého segmentu.

Není to žádná atomová věda, jen musí mít základní znalosti pro takovou práci. Bohužel, dnes se za ajťáka považuje ten, který pochopí proklikání instalátorů, nastavení IPv4 a zhruba ví, že DHCP umí (mimo jiné) nastavit IP vzdáleně.

Podle mého názoru je velký rozdíl mezi příkladem bankovní aplikace výrobním zařízením, ať už se jedná o CNC v továrně nebo Magnetickou rezonanci v nemocnici. Tam výrobce dodává konkrétní HW s konkrétním SW a nastavením a jakýkoli pokus o omezování práv, rekonfigurace, aktualizace apod. je problém.
Jak jsem psal výše, chránit lze všechno, ale 1) musí se chtít, 2) musí být peníze ve správné "škatulce".
PS. za pár let nás velmi pravděpodobně čeká podobný problém s cloudem. Vývojář vyvine, otestuje, nejde, problém v právech, povolí všechno. Při přesunu do produkce se tlačí na čas, business manager to protlačí a jede se dál. IT ztrácí páky a možnosti odmítnutí takovýchto šíleností.

V reálném světě je spousta počítačů které do sítě být připojeny musí a výrobce daného zařízení je neaktualizuje. Nejde jen o nemocnice, jde o spoustu výrobních zařízení. V továrnách se nachází stále ještě WindowsNT. Všechno jde chránit, máme na to špičkové řešení. Problém mezi nemocnicí a továrnou je v penězích, které se investují. Když se zastaví výrobní linka, manažer moc dobře ví, kolik to firmu bude stát peněz.
Ani bych neřekl, že je problém v objemu, ale v případě nemocnic v rozškatulkování peněz to různých "zásuvek", jak výše už jeden z diskutujících uváděl. Kupit přístroj za desítky milionů problém není, ale platit 10k CZK ročně za licenci za bezpečnostní software k ochraně toho stroje je problém.

Ví už někdo, co tam chytli ?

Tak nevím, v redakci root.cz je to samý odborník a kamarád s nukib a nic.cz a nevím co ještě, ale inside informace žádné. I obecné weby jako aktualne, novinky apod publikují víc detailů a dřív. Jsem zklamaný.
Jestli to neprojde redakčním schválením , budu zklamaný úplně.

13. 12. 2019, 22:44 editováno autorem komentáře

Mám obavu, že to tady schytám, ale přesto ....
Jak znám tyhle malé organizace, spousta věcí by se dala vyřešit zdarma - organizačně, osvětou a podobně.
Jeden příklad: proč musí někdo chodit v práci soukromě na web a tahat soukromou poštu? Dříve to byl neodolatelný bonus, ale teď má snad internet každý doma ne?
Vím, že přeháním, děláme to všichni, ale asi ne v Temelíně, že...
Strkat domácí USB stick nebo disk s fotkama do pracovního PC ? Běžné...
Tahat si cracky na oblíbený program na editaci fotek .. taktéž.
Edukovat jednoduše a zdarma uživatele a nemotivované IT pomocí veřejně dostupných zdrojů nebo je negativně motivovat nic nestojí.
Kolikrát lidi nejsou hovada, jen je to nenapadne, že dělají něco špatného, natož aby si uvědomili, že záloha permanentně připojená jako usb nebo síťový disk je jim v těchto případech naprd, nebo že vira dnes můžou chytit i z webu jejich oblíbené restaurace a nemusí nutně na péčka.

Jak znám tyhle malé organizace, spousta věcí by se dala vyřešit zdarma - organizačně, osvětou a podobně.

To právě není zdarma. Pokud 20 lidí školíte jednou za půl roku 4 hodiny, je to 160 hodin ročně. To je zhruba 1 člověkoměsíc jen na proškolovaných.

V praxi musíte školení uspořádat ve dvou termínech, protože s matematickou jistotou bude někdo na neschopence, na dovolené, ošetřovat člena rodiny, u zákazníka, na služební cestě. Takže čas školitele můžete znásobit ještě dvěma.

Jakékoliv organizační opatření nemá smysl zavádět, pokud nenastavíte zároveň systém kontroly (namátkové, průběžné, hloubkové). To je další čas.

Během těchto časů nejenže platíte čas lidí, ale zároveň netvoříte hodnoty - takže započtete cenu ušlé příležitosti.

Přičtěte navíc relativní neefektivitu tohoto opatření - stejně situace budou vznikat - možná méně často, ale budou stejně závažné.

A ejhle, najednou máte ze zadarmo docela drahý špás.

12. 12. 2019, 12:32 editováno autorem komentáře

Osvětou zdarma myslím třeba oběžník s jednoduchými pravidly. Divil byste se, kolik i velmi chytrých lidí mimo obor IT nemá triviální znalosti těchto záležitostí, resp. si je neuvědomuje, dokud je lehce nepošťouchnete. A je pak pěkné pozorovat, jak to zabralo.

Jako učitel informatiky na snad kvalitním gymnáziu vám zodpovědně říkám, že navrhovaný "oběžník" je dražší a přitom méně užitečný než útržek toaletního papíru... Ten oběžník musí někdo vytvořit a především ho udělat kvalitně a atraktivně.

I tak s naprostou jistotou a vlastní zkušeností říkám, že to téměř nikdo nebude ani číst, natož se tím řídit. Pokud ho dodáte "levněji" v elektronické podobě, tak to poletí do smazané pošty rychleji, než hoax o polském pivu (opět reálná zkušenost). Pokud ho dodáte papírově, tak krom kopií nepřečtených a ihned založených najdete zbytek v koši. No a co se týče školení, tak pokud ho nenařídí zaměstnavatel, tak tam u nás z cca 80 kantorů přijde 5, přitom se jedná o školení na typografii a to i v situaci, kdy už si studenti dělají otevřeně z kantorů srandu a otevřeně se ptají, jak je možné, že někdo studentům rozdává typograficky tak nekvalitní materiály...

14. 12. 2019, 22:00 editováno autorem komentáře

No vidíte a mně se to osvědčilo. Lidé, kteří potřebují PC nebo notebook k práci (rozuměj, k výdělku) tyto oběžníky či emaily do koše neházejí. To není nic proti učitelskejm :-) , ale po prvním průseru taky pochopí. Samozřejmě študákům, těm je to .. toaleťák.
Mmch, myslím, že medializace tohoto případu udělala zdarma víc, než milion “oběžníků”

15. 12. 2019, 17:17 editováno autorem komentáře

A je to tady ! Oběžník :-) Credits to joshik
https://www.mzcr.cz/Soubor.ashx?souborID=39596&typ=application/pdf&nazev=Pokyn%20Ministerstva%20zdravotnictv%C3%AD%20ve%20věci%20kybernetické%20hrozby.pdf

Proč oběžník? Jako „osvětu“ si představuju jednu A4, kterou dostane zaměstnanec při podpisu pracovní smlouvy k přečtení a podepsání, jednoduchá pravidla se tam vejdou.

'Proč oběžník? Jako „osvětu“ si představuju jednu A4, kterou dostane zaměstnanec při podpisu pracovní smlouvy k přečtení a podepsání, jednoduchá pravidla se tam vejdou.'

To je přinejmenším naivní. Podívej se na BOZP nebo věci, co člověk skutečně při nástupu podpisuje. Jaká je reálná úroveň znalostí?

Nemluvě o tom, že při podpisu smlouvy máš milion jiných starostí...

Když je to tak jednoduché, tak navrhuji vytisknout na A4 přehled syntaxe C/C#/Java/Pyt­hon/BASH/... a dát to při nástupu přečíst jakémukoliv člověku, co umí číst a podepsat se a rázem máte armádu programátorů. A ti, co nebudou chtít, si můžou přečíst A4 přehled pravidel řezání do lidí a budou z nich po podpisu vyškolení chirurgové.

stare a/alebo nezaplatane Win nie su problemom starych zariadeni. sam som bol svedkom, ze do nemocnice dodavatel dodaval "najmodernejsiu" techniku s windowsXP. samozrejme schopnost integrovat to do solidnej infrastruktury je stazena, chybaju features modernych systemov.

ps: skusal si niekto z vas prejst db s leakmi a vyhladat tam ich domenu? co ak boli dvere zosiroka otvorene?

Díky za velmi střízlivě napsaný článek.

Ten článek je napsaný střízlivě. Já dělám počítačovou bezpečnost profesionálně a dlouho. Můžu říct, že to není žádná legrace, je to náročné na čas a peníze. Pokud má být bezpečnost prováděna komplexně, nedá se dělat na kolenou. V mnoha případech je bezpečnost složitá a náročná. Není to jen o aktivních opatřeních, ale hlavně o dostatečné dávce koncepce a rozmyslu, znalosti rizik, rozumné dávce jejich akceptace. Protože budovat jakoukoliv velkou síť bez primárního bezpečnostního povědomí je nebezpečné a taky docela amatérské. Víte, je vlastně jedno, co, kde jede. Je důležité, zda IT tým dokáže udržet vše pod správou v rámci jakési kontroly a povědomosti. Zda dokáže aspoň jednoduše monitorovat, co se v síti děje a dokáže případný problém včas detekovat a izolovat

Ransomware je běžný počítačový virus. Pochybuji, že někdo cílil zrovna na nemocnici - to by musela být zrůda a proč to dělat když je spousta firem co ráda zaplatí a nebude kolem toho dělat humbuk.

Bude to spíš tak, že nemocnice nepoužívala dostateční zabezpečení a IT oddělení bylo pár "ajťáků" co tam sedí od školy. A teď kolem sebe kopou a víří se voda aby nebylo vidět kde je vlatně problém.

Problém, neni že existuje Ransomware. Problém je, že oni na něj nebyly připravení.

Nejsem specialist na IT, jsem jen obyčejný uživatel ale nechápu proč musí být zařízení v nemocnicích napojeno na veřejně přístupný internet, nestačilo by mít jen uzavřenou síť, která bude zvenčí nepřístupná, druhý problém vidím v tom, že dnes je každý "expertem" na počítače a každý si do pracovního počítače strčí jakoukoliv flešku nebo HD jen aby mohl sledovat filmy

Ale no tak. E-recept, e-neschopenky, v brzku i EET (i když je ještě snad šance, že to Ústavní Soud zařízne). Kromě toho si některá zařízení vyměňují třeba rtg. snímky. Ten špitál dělá s počítači spoustu věcí a proto je to obtížně uhlídatelné. Navíc ten ransomware nebo cokoliv se tam může dostat přes BYOD.

Myslím, že v nemocnici je na místě veškerý provoz hnát přes proxy, na které se dá filtrovat na sedmé vrstvě. Povolí se e-recept, e-neschipenky, EET a výměna dat. Pošta se nastaví centrálně a nastaví se politiky pro přílohy, antivir a DLP. Cokoliv, co se do sítě připojí, zůstane poměrně bezpečné.

Pokud by bylo potřeba umožnit přístup k širokému internetu - a i to je možná potřeba, i lékař potřebuje číst nejen noviny, ale i odborné zdroje, pak se jako projekt spočítá virtuální aplikace přes služby vzdálené plochy, která poběží v odděleném segmentu. Vedení pak má jasnou cenu, co bude stát přístup na internet. Proti tomu může zkalkukovat např. pořízení laptopů pro internet, ale mimo interní síť. Čím víc služeb na vzdálených aplikacích IT dokáže postavit, tím víc se rozpustí cena za CAL. Na IT oddělení je, aby připravilo podklady.

Není to zas až tak složité, jen v čele IT musí stát manažer, který dokáže vše zdokumentovat, vyhodnotit a představit vedení i zaměstnancům. Nastavit servery, switche, radius, 802.1X atd., to už dokáže juniorní (avšak vzdělaný) technik.

Ale jo, celkem souhlas - i když ty vzdálené plochy jsou sci-fi.
Ohrožen ovšem budete i tak, protože nemůžete zakázat BYOD (nebo naopak, někteří zaměstnanci mají služební notebook, který připojují v práci i doma i jinde) a nějaký pěkný malware můžete dostat do sítě takto.

Naopak BYOD musíte v takovém prostředí striktně zakázat, resp. na switchi je připojit (s pomocí 802.1X) jen do veřejné sítě a ideálně izolovat komunikaci mezi porty. Bez toho bezpečnost na úrovni očekávané (nejen) v nemocnicích nevybudujete.

16. 12. 2019, 17:34 editováno autorem komentáře

Jinak vzdálené aplikace nejsou zas tak scifi, na nových Windows Serverech (2016, 2019) to je nastavené raz, dva, včetně toho, jestli aplikace poběží v kontextu terminal serveru, nebo zapouzdřená do virtualizace.

Vím ale, že u spousty adminů to narazí, protože za managovatelný switch považují škatuli za pět tisíc, za IP adresu považují NAT atd. Tady to ovšem víc než na možnostech kolabuje na kvalitě lidí.

Přijde mi zvláštní jak nějaký ransomware překonal firewall a dva antiviry. Spíš vidím problém v tom, že nemají oddělené počítače v interní síti od komunikace z vnějškem. Jestliže jde doktorům posílat emaily od pacientů s kdečím na počítač zapojený do interní sítě tak se nemohou divit. Otázka je taky co vyvádí personál, doktoři a sestry přes počítače nemocnice....

Tak nejaka Root.cz iniciativa za bezpecnost nemocnic smerem k ministerstvu zdravotnictvi jako community good will help...hromada guru na nix, sec a coding na jedny hromade, mozna by z toho vzniko neco bohulibeho, co?

16. 12. 2019, 13:19 editováno autorem komentáře