Vlákno názorů k článku Nemocnice jsou snadným cílem hackerů, útok je dokáže ochromit od anonym - Nejsem specialist na IT, jsem jen obyčejný uživatel...
-
Nejsem specialist na IT, jsem jen obyčejný uživatel ale nechápu proč musí být zařízení v nemocnicích napojeno na veřejně přístupný internet, nestačilo by mít jen uzavřenou síť, která bude zvenčí nepřístupná, druhý problém vidím v tom, že dnes je každý "expertem" na počítače a každý si do pracovního počítače strčí jakoukoliv flešku nebo HD jen aby mohl sledovat filmy
-
BobTheBuilderStříbrný podporovatelAle no tak. E-recept, e-neschopenky, v brzku i EET (i když je ještě snad šance, že to Ústavní Soud zařízne). Kromě toho si některá zařízení vyměňují třeba rtg. snímky. Ten špitál dělá s počítači spoustu věcí a proto je to obtížně uhlídatelné. Navíc ten ransomware nebo cokoliv se tam může dostat přes BYOD.
-
Myslím, že v nemocnici je na místě veškerý provoz hnát přes proxy, na které se dá filtrovat na sedmé vrstvě. Povolí se e-recept, e-neschipenky, EET a výměna dat. Pošta se nastaví centrálně a nastaví se politiky pro přílohy, antivir a DLP. Cokoliv, co se do sítě připojí, zůstane poměrně bezpečné.
Pokud by bylo potřeba umožnit přístup k širokému internetu - a i to je možná potřeba, i lékař potřebuje číst nejen noviny, ale i odborné zdroje, pak se jako projekt spočítá virtuální aplikace přes služby vzdálené plochy, která poběží v odděleném segmentu. Vedení pak má jasnou cenu, co bude stát přístup na internet. Proti tomu může zkalkukovat např. pořízení laptopů pro internet, ale mimo interní síť. Čím víc služeb na vzdálených aplikacích IT dokáže postavit, tím víc se rozpustí cena za CAL. Na IT oddělení je, aby připravilo podklady.
Není to zas až tak složité, jen v čele IT musí stát manažer, který dokáže vše zdokumentovat, vyhodnotit a představit vedení i zaměstnancům. Nastavit servery, switche, radius, 802.1X atd., to už dokáže juniorní (avšak vzdělaný) technik.
-
BobTheBuilderStříbrný podporovatel
Ale jo, celkem souhlas - i když ty vzdálené plochy jsou sci-fi.
Ohrožen ovšem budete i tak, protože nemůžete zakázat BYOD (nebo naopak, někteří zaměstnanci mají služební notebook, který připojují v práci i doma i jinde) a nějaký pěkný malware můžete dostat do sítě takto. -
Jinak vzdálené aplikace nejsou zas tak scifi, na nových Windows Serverech (2016, 2019) to je nastavené raz, dva, včetně toho, jestli aplikace poběží v kontextu terminal serveru, nebo zapouzdřená do virtualizace.
Vím ale, že u spousty adminů to narazí, protože za managovatelný switch považují škatuli za pět tisíc, za IP adresu považují NAT atd. Tady to ovšem víc než na možnostech kolabuje na kvalitě lidí.
-
Nastavení vzdálené aplikace celkem není problém, ten nastává až později -
1) Licence CAL pro přístup na server cca 1000/uživatel
2) Dimenzování serveru pro požadovaný výkon - paměť,
odpovídající počet CPU, konektivita
(předpokládá se samostatný server pro přístup na internet)
3) Počtu jader odpovídající verze OS
4) Izolace serveru pro přístup na Internet, vlastní segment sítě
5) A nakonec, zablokování přístupu na internet pro zbytek sítěSchůdnější asi nakonec bude vybudovat centrální proxy a internetový provoz směrovat přes ni. Vždy je to ovšem práce bez okamžitého výsledku.
-
Schůdnější asi nakonec bude vybudovat centrální proxy a internetový provoz směrovat přes ni. Vždy je to ovšem práce bez okamžitého výsledku.
Centrální proxy není zas až tak moc práce. Ale ta samotná nestačí, oddělit bezpečné a nebezpečné části sítě je naprostá nutnost.
1000 Kč / CAL je prkotina proti nákladům, co vzniknou při průšvihu.
