Dejanović o upadu u računalni sustav Traumatološke bolnice: Politički hackeri - Monitor.hr
21.01.2017. (11:22)

Even parity

Dejanović o upadu u računalni sustav Traumatološke bolnice: Politički hackeri

“Vjerojatno ćemo teško ikada znati koliko se propusta i ozbiljnih problema događa u postojećim informacijskim sustavima bolnica… Što će se dogoditi kad (ne ako, kad) jednog dana zbilja iscure osjetljivi podaci o pacijentima?”, osvrće se Monitorov IT stručnjak Radoslav Dejanović na nedavnu informaciju o padu informatičkog sustava zagrebačke Traumatološke bolnice, koji je bio predstavljen kao hakerski napad, dok on procjenjuje kako je vjerojatnije da je “netko od osoblja popušio ransomware”, a informacija plasirana kao napad hackera u svrhu političkog potkusurivanja. Monitor


Slične vijesti

21.01.2017. (10:59)

Politički hackeri

Hakeri napali Traumatologiju, vrišti naslov; Liječnici ostali bez rendgenskih slika i podataka o pacijentima, nariče drugi. Pacijenti ostali bez snimaka lomova, s tugom nas obavještava treći.

Ljudi su s razlogom ogorčeni jer ti zli hackeri ne prezaju ni od čega, pa tako ni od brisanja tužnih rendgenskih snimaka lomova unesrećenih ljudi, sveudilj se zlobno smijući u svojim mračnim podrumskim prostorijama iz kojih ne izlaze jer su, očito je to, toliko moralno deformirani da su postali i fizički deformirani. Dapače, sigurno su to isti oni koji su nedavno napali MVP, sve redom zlikovci koji rade da nas ne bude!

Srbi, Srbi sto posto, a ako ne to, onda su to petokolonaška mladež UDBA-e, KOS-a, CK SKH ili možda čak i Rusi što čuče pred monitorom s votkom u ruci i šubarom na glavi!

Prije nego otrčimo uplatiti crnu misu za ateističke duše koje će ionako sigurno završiti u paklu, zastanimo i analizirajmo informacije koje su nam o tom događaju ponudili mediji:
– tvrdnju kako je riječ o hackerskom napadu;
– informaciju da je riječ o zarazi virusom;
– podatak o nestanku radioloških snimaka;
– informaciju o tome da je riječ o napadu na stari server;
– priču o vraćanju podataka iz backupa.

Pročitate li sve gore navedene novinarske vijesti, uočit ćete (ako ste dovoljno informatički obrazovani – zapravo, svatko bi danas trebao biti toliko informatički obrazovan da može razaznati logičku pogrešku) kako novine barataju s dva načelno različita (iako ne isključiva) događaja: jedan je hackerski napad na računalo, a drugi je zaraza virusom. Jedno od to dvoje učinilo je štetu.

Istina je, jedna od tehnika provaljivanja u računalni sustav je i podmetanje zloćudne aplikacije na računalo nekog korisnika unutar ciljanog sustava: to je jedan od najsigurnijih, pa i najlakših načina za otvaranje pristupa u ciljanu infrastrukturu, ali istovremeno i jedan od najvidljivijih, te jedan od načina koji se najlakše otkrivaju.

No, jednako tako moramo imati na umu da je daleko najčešća infekcija ona posve neplanirana, kad netko klikne na nešto na što ne bi trebao kliknuti; to je zaista u praksi najčešći način zaraze i događa se svima, bili oni ciljana meta ili ne: Internetom “kruži” malware koji cijelo vrijeme naslijepo pokušava zaraziti sve što stigne, ne birajući nikog posebno.

Valja nam stoga zaključiti kako do informatičke krize o kojoj pišu mediji gotovo sigurno nije došlo zbog nečije ciljane rabote, već zbog nemarnosti nekog (ili nekih) djelatnika u bolnici, njihove needuciranosti i općenite neosposobljenosti za rukovanje računalima.

Ne trebamo se tome smijati niti se tome čuditi, velika većina populacije nije ništa bolja. Nažalost, jedna od najefikasnijih metoda sigurnosne zaštite informacijskog sustava – edukacija korisnika – često je i najviše zanemarena. Razloga tu može biti mnogo: edukacija košta, ljudi nisu zainteresirani, neki među nama nisu niti intelektualno kapacitirani za shvaćanje tih relativno kompleksnih i apstraktnih koncepata zaštite računalnih sustava.

No, najčešći problem nisu intelektualni kapaciteti, već volja i financijska sredstva. Sigurnost košta. I to je jednostavno tako: sigurnost košta. Najmanje koštaju antivirusna rješenja koja relativno dobro štite računala od digitalnih napasti, ali i za njih valja planirati sredstva. Tko želi i više od toga, mora biti spreman platiti više: održavanje vatrozida, sigurnosne provjere informatičke infrastrukture, proaktivni nadzor… sve su to stvari koje progresivno koštaju sve više i više kako IT infrastruktura postaje kompleksnija.

Bolnice tu ne bi smjele pristajati na kompromis: zaštita korisničkih podataka jedan je od stupova bolničkog informatičkog sustava i tu kompromisa ne smije biti: podaci o pacijentima apsolutno i bespogovorno moraju biti primjereno zaštićeni.

To nas dovodi do problema: kako je bolnica mogla dozvoliti da infekcija nekog računala dovede do gubitka podataka o pacijentima? Pouzdanu informaciju o tome što se točno dogodilo iz novina nismo dobili, ali pretpostavit ću da je riječ o napadu cryptolocker softvera koji je zakodirao rendgenske snimke i tražio otkupninu za njih.

U toj je priči ključni moment ovaj: kako se moglo dogoditi da zaraženo računalo lako dođe do tih podataka? Moguće zato što se podaci čuvaju kao običan Windows share negdje na serveru, umjesto da budu pospremljeni u bolničkoj bazi podataka. A to nije ispravan način rada.

No, to može biti jeftin način rada, posljedica činjenice da bolnica nije bila spremna uložiti dovoljnu količinu novca u vlastiti IT sustav, pa se izvođač potrudio napraviti “dovoljno dobro” rješenje? Možda bolnica nije kriva jer je morala pristati na najjeftiniju od pristiglih ponuda, pa je loša implementacija zapravo dio plana za postizanje što je moguće niže cijene radi dobivanja natječaja? Najzad, možda je riječ o kombinaciji te dvije stvari, pa bolnica nije bila u stanju definirati svoje zahtjeve u natječajnoj dokumentaciji i tako natjerala ponuđače na “optimizaciju” svojih ponuda kako bi zadovoljili ultimativni uvjet: najjeftiniju ponudu?

Kako god bilo, ovaj incident pokazuje da IT sustav bolnice jednostavno nije dobar: osjetljivi podaci morali bi biti izolirani u sustavu, dohvatljivi samo kroz strogo definirane procedure koje onemogućuju nedovoljno kontroliran pristup podacima; da je sustav izveden na takav način, ransomware ne bi mogao lako dohvatiti i zatim enkriptirati (ili jednostavno obrisati) podatke o pacijentima, posebice generički malware koji ne može odsimulirati inerakciju sa sustavom umjesto korisnika kako bi se dočepao neke datoteke.

Izvesti tako nešto čak nije niti komplicirano: jednostavno je potrebno uvesti pristup podacima isključivo kroz interakciju s bolničkim softverom, te objasniti osoblju da ne, ne mogu imati sve dostupno sa svih računala na najjednostavniji mogući način: za podatke te i te valja odraditi proceduru tu i tu, i onda će sustav ponuditi traženu informaciju. Standardi za to već postoje.

Priča je spašena vraćanjem datoteka iz sigurnosne pohrane, (hrv: backup). Što je zapravo jako dobro, barem znamo da bolnica ima definiranu politiku izrade sigurnosnih kopija, a sad znamo i da backup radi ispravno. Podaci se iz backupa vraćaju kad su uništeni, oštećeni, ili… kad ransomware enkriptira podatke na serveru.

No, je li i vama upala u oko izjava o “starom serveru”? Je li stari server stari i isluženi server, koji čuči negdje u mraku i čeka neumitni otpis? Ili je stari server zapravo stari server koji i dalje vrti neke servise koji ne postoje na novom serveru? Zašto onda dva servera? Što se događa sa servisima, zašto nisu objedinjeni? Je li riječ o dva paralelna sustava? To ne bi bilo čudno jer se u procesu migracije sa stare na novu infrastrukturu gotovo redovito određeno vrijeme provodi s oba sustava u funkciji, a poznavajući nas općenito, ne bi me čudilo ni da ta tranzicija traje već nekoliko godina.

Takve stvari nisu neuobičajene tamo gdje je država vlasnik: migracije se otežu mjesecima, pa i godinama, jer je sustav krut i konzervativan i teško ga je natjerati da s nečeg starog prijeđe na nešto novo, a ponekad i nedostatak novca zna odgoditi, pa i zaustaviti migraciju na novi sustav. No, najčešće je riječ o konzervativizmu, strahu od promjena i nespremnosti na učenje novih stvari.

Tako je i ovaj “stari server” mogao zapeti u nekom limbu tranzicije i tako ostati unedogled, sve dok ga hardverski kvar ne oslobodi mižer’je.

I tako otprilike izgleda slika incidenta koju su stvorili mediji: nepoznati i vrlo zloćudni hackeri namjerno su, srca kamena, obrisali podatke o pacijentima.

Je li to istina?

Analizom informacija iz medija možemo doći do drugačijeg, puno vjerojatnijeg zaključka: netko od osoblja je popušio ransomware koji je zatim enkriptirao podatke o pacijentima jer sigurnost IT sustava bolnice nije na dovoljnoj razini, zatim se našao netko tko je spasio stvar vrativšli slike iz backupa, a da se ne bismo jako osramotili prebacit ćemo priču na tamo neke hackere koji su napali bolnicu jer im je jako stalo obrisati podatke nekih tamo nepoznatih, nesretnih ljudi. Ovaj je scenario, sjetimo se, vrlo sličan scenariju koji se nedavno dogodio u MVP.

No, je li i to istina?

Raspitah se, i gle – moj anonimni insajderski izvor tvrdi kako se nešto uistinu dogodilo, jer je sustav “pao”. Očekivati od djelatnika dovoljno informatičkih znanja da zaključe kako je i zašto pao bilo bi pretjerano, no potvrđeno mi je kako se događaj opisan u novinama uistinu dogodio, barem u smislu da je funkcionalnost sustava bila ozbiljno poremećena.

No, daleko je zanimljivija informacija o vremenu događaja, a koju novine nisu prenijele: navedeni potencijalni napad ransomwarea na bolnički sustav dogodio se negdje u listopadu prošle godine, tri mjeseca prije isplivavanja informacije u novinama.

Način na koji su to novine obradile, predstavljajući tu priču kao vijest, sugerira da, tkogod je “iscurio” informacije prema novinarima, imao je jasnu namjeru predstaviti događaj kao nešto što se dogodilo prije samo nekoliko dana.

Za to mogu biti dva razloga: jedan bi razlog bio da je tajanstvenom “curitelju” bilo stalo do toga da informacija izađe van iz bolnice, pa je novinarima zatajio vrijeme kad se to dogodilo jer postoji uvjerenje kako novine neće objaviti ništa što je starije od nekoliko dana (iako je ovaj događaj – očito, rekao bih – sasvim dobar materijal za ništa manje ozbiljan i potencijalno možda i razorniji oblik obrade informacije u obliku kolumne).

Drugi bi razlog bio pažljivo tempiranje brižljivo čuvane kompromitirajuće informacije, drugim riječima: političko potkusurivanje. Hacker u ovoj priči nije netko tko je upao u informacijski sustav, hacker je naš tajanstveni informator koji za svoj ili tuđi interes radi socijalni hack plasirajući priču s namjerom izazivanja odgovarajućeg efekta u vrijeme koje njemu ili njegovom nalogodavcu odgovara.

No, naš je politički hacker u ovoj priči ipak drugorazredna tema. Prvorazredna tema je da se ipak nešto dogodilo, iako zapravo ne znamo što točno. Pouzdano znamo (jer je provjereno iz više izvora) samo da se nešto s informacijskim sustavom bolnice dogodilo, sve drugo su nagađanja. Tako je i ransomware u nedostatku čvršće utemeljenih informacija u domeni špekulacije, iako vrlo vjerojatne, jer se i priča o nestajanju pa vraćanju podataka može nasloniti na upravo takav scenario: netko se unutar bolničkog sustava zarazio i zbog svojih visokih privilegija (još jedna pretpostavka, jer ne možemo znati kakav je sustav privilegija u IT sustavu bolnice) omogućio pristup podacima pacijenata.

Sreća u nesreći, ako se tako mogu izraziti, je što u slučaju ransomware napada dolazi do oštećenja, ali (najčešće) ne i krađe podataka: rendgenske snimke su enkriptirane na licu mjesta i nije poslana kopija podataka o pacijentima trećoj strani.

Tome je najčešće tako jer autorima ransomware programa uzimanje tuđih podataka nije zanimljivo: što će s njima? Prodavati ih na mračnom Internetu? Pokušati naći konkurenciju koja bi bila zainteresirana za kupnju ukradenih datoteka radi industrijske špijunaže? Prodavati datoteke nerazumljivog sadržaja na kilograme? Staviti ih na Njuškalo?

Ransomware počiva na daleko perfidnijem načelu: upravo vlasniku podataka su obično ti podaci najvredniji: ukradete nekome par godina knjigovodstva i možete si s tim više ili manje obrisati digitalnu pozadinu; kad mu enkriptirate podatke i ucijenite ga da plati otkupninu u zamjenu za ključ ili investira nezanemarivu količinu novca i vremena za ponovno skupljanje svih podataka i rekonstrukciju vlastitog knjigovodstva unazad par godina… šanse za monetiziranje zle rabote naglo skaču. Ti podaci ionako su važni samo vlasniku, a ako su mu zbilja važni on će i platiti da ih se ponovo dočepa.

Najzad, vraćanje podataka iz backupa je upravo ono što se najčešće čini (iako samo po sebi nije dokaz da je riječ o baš tom tipu napada) na napadnutim sustavima koji su dobro održavani: downtime i vraćanje podataka, pa makar i nešto starijih, često ispadnu vremenski i financijski povoljnije rješenje od popuštanja pritisku kriminalca. Da ne spominjem apsolutnu nemogućnost bolnice da ikome išta plati u Bitcoinima na iole legalan način.

Zbog svega toga vjerujem kako u ovom slučaju nije bilo curenja podataka o pacijentima, što bi bio daleko veći problem od pukog enkriptiranja njihovih snimaka.

I to nas dovodi do srži problema: bez djelovanja našeg političkog hackera, ovo je mogao biti samo jedan od nepoznatog broja sigurnosnih propusta u hrvatskim bolnicama koji su prošli mimo znanja javnosti – i vjerojatno ćemo teško ikada znati koliko se propusta i ozbiljnih problema događa u postojećim informacijskim sustavima koji su daleko od idealnog jer umjesto jedinstvenog, sigurnog, stručno napravljenog i profesionalno održavanog bolničkog sustava imamo šaroliko društvo starih i novih aplikacija koje rade sa starim i novim bazama podataka, koji možda znaju a možda ne znaju (ili čak niti ne žele) pričati jedni s drugima, posljedično tome gomiletinu dupliciranih podataka, vrlo neefikasan sustav (ako ga uopće možemo promatrati kao cjelinu) i noćnu moru za održavanje.

Što će se dogoditi kad (ne “ako”, “kad”!) jednog dana zbilja iscure osjetljivi podaci o pacijentima? Ti podaci moraju biti sanctum sanctorum sustava, nešto što nikad, ali baš nikad ne smije biti ugroženo. Mogu li heterogeni skupovi raznolikih rješenja garantirati apsolutnu zaštitu tih podataka?

Osobno, sumnjam. Ne zato što tvrtke koje rade softver smatram nesposobnim ili zato što liječnike smatram neodgovornim, već zato što sama kompleksnost i kaotičnost cijelog sustava naprosto zaziva nesreću.

Trebamo jedinstven, izvrsno napravljen i još bolje čuvan sustav podataka o pacijentima, iz kojeg bolnice zatim po potrebi dohvaćaju i u njega pospremaju podatke. Trebamo rješenje koje će biti iznad zavađenih ravnatelja, iznad političkih igara i napravljeno ne prema mišljenjima visokih aktera, već prema pravilima struke.

Da li bi takav sustav mogao zaustaviti sve moguće napade? Ne, iz jednostavnog razloga što ne postoji 100% zaštićen, apsolutno neprobojan sustav. No, i takav nesavršen ali puno profesionalnije osmišljen sustav učinio bi ransomware napade daleko, daleko težim – kao, uostalom, i mnoge druge zakulisne igre.

Autor je jedan od vodećih domaćih informatičara i ekspert za slobodni softver, informatički novinar, bivši stručni savjetnik za informatiku u poglavarstvu Grada Zagreba i vlasnik tvrtke Operacijski sustavi. Jedan je od 25 najboljih IT konzultanata u Hrvatskoj, prema izboru korisnika tih usluga. Autor je i SF knjige ‘Umišljena inteligencija’, koju u obliku e-booka možete besplatno skinuti na svoj Android uređaj s Google Play.