Rząd ostrzega przed cyberatakami na ochronę zdrowia. Opublikowano zalecenia

Wzmożona aktywność grup hakerskich, ukierunkowana m.in. na sektor ochrony zdrowia, skłoniła administrację rządową do wydania zaleceń dla instytucji publicznych oraz prywatnych. Eksperci podkreślają, że skala i powtarzalność stosowanych metod wskazują na skoordynowane działania cyberprzestępców. 

Z opublikowanego komunikatu Pełnomocnika Rządu ds. Cyberbezpieczeństwa wynika, że w ostatnim czasie obserwowane są ataki prowadzone według podobnych schematów - z wykorzystaniem zbliżonych taktyk, technik i procedur (TTPs). Szczególnie narażone są podmioty medyczne, choć zagrożenie dotyczy również innych branż. 

Jak wskazano, analiza infrastruktury IT pod kątem tzw. wskaźników kompromitacji (IoCs) może umożliwić wykrycie obecności cyberprzestępców jeszcze zanim zaatakują. To ważne, ponieważ skutkiem skutecznego ataku może być zarówno zaszyfrowanie systemów, jak i kradzież wrażliwych danych.

Weryfikacji powinny dokonać szczególnie podmioty z sektora ochrony zdrowia, jednak zalecane jest to wszystkim organizacjom, gdyż grupa hakerska, z którą wiązane są ostatnie cyberataki, atakowała także podmioty z innych sektorów 

– przekazano w komunikacie.

Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa przedstawił wytyczne i zalecenia, których wdrożenie w organizacji, jak zaznacza, pozwoli podnieść jej bezpieczeństwo i ustrzec się przed skutecznym przeniknięciem cyberprzestępców do infrastruktury. 

Konkretne sygnały zagrożenia

W dokumencie opublikowano wskaźniki kompromitacji (IoCs), które mogą świadczyć o obecności cyberprzestępców w infrastrukturze organizacji. Wśród nich znalazły się adresy IP wykorzystywane w połączeniach VPN, adres używany do eksfiltracji danych (16.1.15[.]2), a także potencjalnie powiązane detekcje malware i narzędzia używane przez atakujących (rclone, nmap, Advanced IP Scanner oraz netscan.exe). 

Zalecenia: od podstaw po zaawansowane systemy

Rządowy komunikat zawiera szeroki katalog działań, które mają ograniczyć ryzyko incydentów. Obejmują one zarówno podstawowe elementy higieny cyberbezpieczeństwa, jak i zaawansowane rozwiązania systemowe. 

Wśród rekomendacji znalazły się m.in.: 

• aktualizacja systemów i urządzeń sieciowych oraz ograniczenie dostępu administracyjnego wyłącznie do wydzielonych sieci, 
• wdrożenie uwierzytelniania wieloskładnikowego (MFA) dla dostępu zdalnego, w tym VPN i RDP, 
• zarządzanie uprawnieniami: przegląd i autoryzacja wszystkich kont o podwyższonych uprawnieniach na urządzeniach sieciowych,
• zabezpieczenie dostępu zdalnego (np. weryfikacja zasadności kont VPN oraz połączeń RDP, dopuszczenie tylko niezbędnego ruchu sieciowego do celów służbowych, wymuszenie uwierzytelniania wieloskładnikowego (MFA) dla wszystkich połączeń VPN i RDP, weryfikacja odporności VPN na ataki typu brute force, np. ograniczenie ilości nieudanych logowań do N prób, ograniczenie użytkownika do tylko jednej aktywnej sesji w danym czasie), 
• cykliczne monitorowanie ruchu sieciowego i analiza podejrzanych zdarzeń oraz ograniczenie ruchu przychodzącego wyłącznie do regionu Polski lub Europy,
• kontrola ruchu wychodzącego.

Duży nacisk położono na bezpieczeństwo środowisk Active Directory. 

Szczegółowe i dokładnie opisane wytyczne są dostępne tutaj.

Dokument powstał we współpracy Ministerstwa Cyfryzacji i sektorowego zespołu cyberbezpieczeństwa CSIRT CeZ oraz zespołów reagowania na incydenty bezpieczeństwa komputerowego poziomu krajowego CSIRT NASK i CSIRT GOV.