Cyberbezpieczeństwo szpitali: jak chronić się przed ransomware i wyciekiem danych

Stacje robocze personelu medycznego i administracji to najczęstszy przyczółek (Infiltration Point) dla adwersarza. Tradycyjne systemy antywirusowe oparte na sygnaturach są bezużyteczne wobec ataków typu Living off the Land (wykorzystujących legalne narzędzia systemowe) czy podatności 0-day.

• Wdrożenie EDR/XDR z aktywnym Threat Huntingiem: Każdy endpoint w sieci szpitalnej musi być objęty systemem klasy Endpoint Detection and Response (EDR) lub Extended Detection and Response (XDR), stale monitorowanym przez zespół SOC (Security Operations Center). Kluczowa jest analityka behawioralna zdolna wykryć anomalie takie jak masowa modyfikacja plików (start szyfrowania) czy próby eskalacji uprawnień.
• Automatyczna izolacja hosta (Containment): System EDR musi mieć skonfigurowane reguły natychmiastowego, automatycznego odcięcia zainfekowanej stacji od sieci w przypadku wykrycia aktywności ransomware, zapobiegając propagacji bocznej (lateral movement).
• Hardening systemów i kontrola aplikacji:
  • Bezwzględne zablokowanie wykonywania skryptów PowerShell, vbs oraz makr Office dla standardowych użytkowników.
  • Wdrożenie mechanizmów typu Application Whitelisting (zezwolenie na uruchamianie wyłącznie zweryfikowanego oprogramowania medycznego i biurowego).
  • Drastyczne ograniczenie uprawnień lokalnego administratora na stacjach roboczych.

Przejęcie poświadczeń (np. poprzez ukierunkowany phishing lub wycieki haseł) to najprostsza droga do kompromitacji sieci. Tożsamość stała się nowym obwodem bezpieczeństwa.

• MFA jako standard bez wyjątków: Wdrożenie uwierzytelniania wieloskładnikowego dla wszystkich punktów dostępu:
  • Bezwarunkowo dla każdego dostępu zdalnego (VPN, pulpity zdalne RDP).
  • Dla dostępu do systemów chmurowych, poczty elektronicznej (O365/Google Workspace).
  • Dla wewnętrznych systemów o podwyższonym ryzyku (HIS, PACS, ERP).
• Odporność na manipulacje (Phishing-Resistant MFA): Tradycyjne kody SMS czy powiadomienia push są podatne na ataki typu MFA Fatigue (zamęczanie użytkownika monitami). Dla kont o najwyższych uprawnieniach (administratorzy systemów, kadra zarządzająca) rekomendowane jest wdrożenie kluczy sprzętowych zgodnych ze standardem FIDO2.
• Kontekstowa kontrola dostępu: Warunkowanie przyznania dostępu nie tylko od podania hasła i drugiego składnika, ale także od weryfikacji stanu bezpieczeństwa urządzenia (czy stacja ma aktualny system i aktywny EDR) oraz geolokalizacji.

Płaska sieć w szpitalu to gwarancja, że infekcja ransomware na jednym komputerze w przychodni w ciągu kilku minut sparaliżuje bloki operacyjne i systemy podtrzymywania życia.

• Izolacja środowisk IT / OT / IoMT: Sieć szpitalna musi zostać podzielona na odizolowane, monitorowane strefy za pomocą firewalli nowej generacji (NGFW):
  • Strefa IT: Biura, administracja, księgowość.
  • Strefa Medyczna (HIS/PACS): Serwery bazodanowe z wrażliwymi danymi pacjentów.
  • Strefa Internet of Medical Things (IoMT): Tomografy, rezonanse, kardiomonitory. Urządzenia te często pracują na starszych, niewspieranych systemach operacyjnych i nigdy nie powinny mieć bezpośredniego dostępu do internetu ani do ogólnej sieci IT.
• Model Architektury Warstwowej Active Directory (Tiering Model): Podział tożsamości administracyjnych na niezależne poziomy bezpieczeństwa:
  • Tier 0 (Control Plane): Administratorzy domeny, kontrolery domeny. Konta stąd nie mogą logować się na stacje robocze użytkowników.
  • Tier 1 (Server Plane): Administratorzy systemów i baz danych medycznych.
  • Tier 2 (Workstation Plane): Wsparcie techniczne i stacje użytkowników końcowych.

To rozwiązanie uniemożliwia adwersarzowi łatwą kradzież poświadczeń domenowych z pamięci skompromitowanej stacji roboczej.

Współczesne grupy ransomware w pierwszej kolejności lokalizują, infekują i niszczą kopie zapasowe, aby pozbawić ofiarę możliwości odzyskania danych bez opłacenia okupu. Backup chroniony w niewłaściwy sposób jest bezużyteczny.

• Fizyczny i Logiczny Air-Gap: Co najmniej jedna kopia zapasowa kluczowych systemów (HIS, bazy SQL, konfiguracje sieciowe) musi być przechowywana w sposób całkowicie odizolowany od sieci produkcyjnej. Oznacza to brak jakichkolwiek stałych tras routingu do tego zasobu – połączenie jest zestawiane wyłącznie na czas okna backupowego (np. poprzez mechanizmy automatycznego odcinania portów na przełącznikach lub rotację nośników fizycznych).
• Niezmienność Danych (Immutable Backups): Wdrożenie repozytoriów backupu wspierających technologię WORM (Write Once, Read Many). Dane zapisane w takim wolumenie nie mogą zostać zmodyfikowane, nadpisane ani usunięte (nawet przez administratora z najwyższymi uprawnieniami) przez ściśle zdefiniowany czas (retencję).
• Niezależna Domena Uwierzytelniania: Infrastruktura backupu (serwery zarządzające, macierze docelowe) nie może być częścią głównej domeny Active Directory szpitala. Kompromitacja kontrolera domeny AD nie może dawać napastnikowi uprawnień do systemów kopii zapasowych.