Vlákno názorů k článku Nemocnice jsou snadným cílem hackerů, útok je dokáže ochromit od Ondřej Novák - Nejbezpečnější je počítač odpojený od sítě. Pokud už...

Nejbezpečnější je počítač odpojený od sítě. Pokud už musí být připojen do sítě, tak fakt pouze k zadanému účelu, nějaké široké sdílení disků je naprosto nepřijatelné. Vsadím se, že polovina úspěchu útoku je založena právě na tom, že celá síti je sdílena bez nastavení patřičných práv - včetně backup serverů.

Bohužel, v dnešní době, kdy všichni mají WinXP je možná tohle nerealizovatelné, protože děravost starých OS možná umožňuje všechny dostupná zabezpečení obejít. Microsoft je v tomhle směru tragický a ještě tragičtější je, že instituce jsou vendorlocknutý k microsoftu, který takové věci neřeší. Zato se chlubí tím, že ve svém novém OS překreslil ikonky

Tak to prr.

Windows doménu s podporovanými verzemi (cca 6-10 let zpět) lze velmi dobře zabezpečit, nasadit DFS, zálohovat přes Shadow Volume Copy nebo na úrovni VPS. Jednotlivé aplikace jdou virtualizovat a tím spouštět v naprosto odděleném kontextu. Banky to tak dělají, také provozují prehistorické verze a nesrovnatelně bezpečněji.

Jen to musí někdo udělat a nevytahovat oblíbeného bubáka, že za šlendrián IT oddělení může Microsoft.

Jelikož nejsem IT administrátor ani MS specialista, ale hodnotím to jen podle zkušenosti s těmi pár institucemi, kde jsem se pohyboval a kde to tak bylo (a to i komerční), a kde bylo běžné, že většina sítě složena s Windows počítačů byla všem dostupná pro čtení i zápis.

Nevím jak je to dnes se bezpečností nastavení takových stanic, jen mě štve, že Microsoft se vůbec neohlíží na potřeby svých zákazníků, ale tlačí to z pozice silného hráče s tím, že nabídka určuje poptávku.

12. 12. 2019, 10:17 editováno autorem komentáře

Nevím jak je to dnes se bezpečností nastavení takových stanic, jen mě štve, že Microsoft se vůbec neohlíží na potřeby svých zákazníků, ale tlačí to z pozice silného hráče s tím, že nabídka určuje poptávku.

Tak to se právě snažím vysvětlit, že naopak Microsoft dává k dispozici komplexní sadu nástrojů, jak síť zabezpečit. Není to ani tak moc pracné. Nainstalujete Windows Server, k němu připojíte stanice (dá se udělat jednoduše automatický deployment s instalací a nastavením po síti). Uživatel nemá práva k ničemu, co nechcete (v praxi se omezuje i nastavení pozadí plochy, aby uživatelé nezlobili). Komunikaci vynutíte přes proxy, certifikát proxy se deployuje do počítače při přihlášení uživatele.

Staré aplikace nasadíte na do služeb vzdálené plochy jako virtualizovanou aplikaci. Uživatel má ikonu na ploše a vůbec netuší, že běží vzdáleně.

Na switchích nastavíte IEEE 802.1X, takže LAN se připojí jen ověřený uživatel. Switch ověří přihlášení proti Radius serveru na Windows Serveru - známé stanice připojí do LAN, neznáme do sítě pro hosty (izolovaná od zbytku sítě).

Tiskárny mají frontu na Windows Serveru, který se stará o oprávnění k tisku, accounting, omezení barevného tisku apod.

Kostru pro toto nastavení má ajťák nakonfigurovanou za den, možná za dva dny. Když toto udělá, novou stanic má po síti nainstalovanou za dvě hodiny se založenýma rukama.

Když přijde požadavek na speciální systém, vyhodnotí, jak ho bude provozovat. Pokud je možné jej zabezpečit, tak ho nasadí do hlavní sítě. Pokud se nedá zabezpečit dobře, buďto ho zvirtualizuje ve službách vzdálených aplikací, nebo stanici přiřadí do nezávislého segmentu.

Není to žádná atomová věda, jen musí mít základní znalosti pro takovou práci. Bohužel, dnes se za ajťáka považuje ten, který pochopí proklikání instalátorů, nastavení IPv4 a zhruba ví, že DHCP umí (mimo jiné) nastavit IP vzdáleně.

Podle mého názoru je velký rozdíl mezi příkladem bankovní aplikace výrobním zařízením, ať už se jedná o CNC v továrně nebo Magnetickou rezonanci v nemocnici. Tam výrobce dodává konkrétní HW s konkrétním SW a nastavením a jakýkoli pokus o omezování práv, rekonfigurace, aktualizace apod. je problém.
Jak jsem psal výše, chránit lze všechno, ale 1) musí se chtít, 2) musí být peníze ve správné "škatulce".
PS. za pár let nás velmi pravděpodobně čeká podobný problém s cloudem. Vývojář vyvine, otestuje, nejde, problém v právech, povolí všechno. Při přesunu do produkce se tlačí na čas, business manager to protlačí a jede se dál. IT ztrácí páky a možnosti odmítnutí takovýchto šíleností.

V reálném světě je spousta počítačů které do sítě být připojeny musí a výrobce daného zařízení je neaktualizuje. Nejde jen o nemocnice, jde o spoustu výrobních zařízení. V továrnách se nachází stále ještě WindowsNT. Všechno jde chránit, máme na to špičkové řešení. Problém mezi nemocnicí a továrnou je v penězích, které se investují. Když se zastaví výrobní linka, manažer moc dobře ví, kolik to firmu bude stát peněz.
Ani bych neřekl, že je problém v objemu, ale v případě nemocnic v rozškatulkování peněz to různých "zásuvek", jak výše už jeden z diskutujících uváděl. Kupit přístroj za desítky milionů problém není, ale platit 10k CZK ročně za licenci za bezpečnostní software k ochraně toho stroje je problém.