Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Ransomware w placówce medycznej w Otwocku. Objęte incydentem dane pacjentów z 5 lat, w tym dane kontaktowe, wyniki badań, dokumentacja medyczna.
Stosowny komunikat dostępny jest w tym miejscu (jak widać strona informacyjna tej placówki medycznej nie posiada nawet HTTPS):
(…) w dniu 13 stycznia 2023r. doszło do ataku hackerskiego na infrastrukturę serwerową Centrum Medycznego TW-MED, w wyniku którego nieuprawniony podmiot dokonał zaszyfrowania danych zgromadzonych za serwerze w sposób uniemożliwiający Centrum Medycznemu TW-MED dostęp do danych, w tym wykonanie kopii bezpieczeństwa.
Zakres zaszyfrowanych danych obejmuje bazę wszystkich pacjentów Centrum Medycznego TW-MED z lat 2018 – 2023, w tym takie dane jak: imię i nazwisko, numer PESEL, dane kontaktowe, wyniki badań i inne dane zgromadzone w dokumentacji medycznej pacjenta, w tym w szczególności dane dotyczące stanu zdrowia.
Szczerze mówiąc, trochę nie rozumiem fragmentu z: „nieuprawniony podmiot dokonał zaszyfrowania danych zgromadzonych za serwerze w sposób uniemożliwiający (…) wykonanie kopii bezpieczeństwa.„. Może kopii nie było, a teraz już za późno na jej wykonanie?
Przypominamy – szyfrowanie to raz, ale nowoczesny ransomware również relatywnie często grozi wyciekiem danych.
~ms
Wg strony firma zatrudnia 23 lekarzy, oferuje 12 specjalizacji a nie stać jej na jednego gościa który będzie utrzymywał stronę – wordpress bez HTTPS. Strach myśleć w jakim stanie jest infrastruktura.
Druga sprawa Google chyba obiecywał blokować strony nie HTTPS a poza kłódką wszystko śmiga łącznie z Google Mapą
12 lekarzy, z czego jeden jest na etat, pozostałych 11 na godzinę raz na dwa tygodnie, tak to funkcjonuje
A co ma do tego https? Jeżeli nie ma formularza kontaktowego to po cholerę https?
Paczka argumentów: https://www.troyhunt.com/heres-why-your-static-website-needs-https/ (Here’s Why Your Static Website Needs HTTPS)
Albo to zacne opracowanie:) https://kapitanhack.pl/2020/03/06/nieskategoryzowane/http-vs-https-czy-https-zawsze-jest-lepszy/
Witamy w budżetówce…
Z tym, że to nie jest budżetówka a czysta komercja gdzie liczy się każdą złotówkę i lepiej wydać na nowe auto (bo kto się będzie leczył u lekarza co ma stary samochód?) niż na IT.
Problem w tym, że koszt takiej wtopy jest ciągle mniejszy niż koszt cyberochrony. Bezpieczeństwo się zwyczajnie nie spina w excelu.
I nie będzie się spinać.
A koszt cyber będzie większy niż koszt ataku dopóki dopóty prawdziwe ofiary czyli klienci placówki X będą akceptować takie traktowanie ich danych. Jak klienci zaczną się szanować a najpierw rozumieć co oznacza że podmiot stracił ich dane wtedy koszt cyber zacznie się wydawać bardziej akceptowalny dla zarządów, prezesów, dyrektorów.
Klient czyli pacjent placówki nie będzie się stawiał, bo jak się postawi, to prywatna placówka się zamknie i otworzy gdzieś w innym miejscu. A burzący się pacjent zostanie sam ze swoją chorobą! Tak działa prywatna medycyna! Przykładem niech będą wielkie firmy, które jak pacjent ma powikłania to ląduje w publicznym szpitalu, a nie w placówce medycznej, która robiła zabieg!
nie bardzo rozumiem w jaki sposób można wykraść dane przychodni przez stronę wizytówkę bez https. czytając mam wrażenie, że strona jest na zewnętrznym serwerze, a formularz przesyłał dane na maila tylko. czy to stanowi zagrożenie? czy ktoś tam kliknął zwyczajnie nie w to co trzeba w otrzymanej wiadomości email?
To samo pytanie mnie naszlo. Czy to znaczy, ze maja kopie zapasowe, moge przywrocic dane z tychze i poinformowac zainteresowanych o wycieku czy chcieli zrobic kopie zapasowa po fakcie? Sadzac po braku https, raczej to drugie.
zwróć uwagę na zdanie „nieuprawniony podmiot dokonał zaszyfrowania danych zgromadzonych za serwerze w sposób uniemożliwiający Centrum Medycznemu TW-MED dostęp do danych, w tym wykonanie kopii bezpieczeństwa” zwłaszcza na ostatnie – „dostęp do danych, w tym wykonanie kopii bezpieczeństwa” – czy to znaczy ze nie mieli kopii lub mieli nieaktualną ?
Mogli też mieć ją na zaszyfrowanej infrastrukturze. Kopie offline lub chmurowe w przychodniach to rzadkość. Z reguły to po prostu inny dysk na tym samym serwerze (czasami wewnętrzny , czasami na USB). Z tego powodu najtańszym zaleceniem jest aby trzymać dodatkowe kopie na wyizolowanej maszynie (lub nas) z innym systemem operacyjnym który pobiera kopie a nie na niego się ją wysyła.
nusch, John } – a co ma do tego https ? Z tego co widzę strona to tylko wizytówka informacyjna, nie widzę tam panelu logowania dla pacjentów, zapisanie się na wizytę kieruje na email lub kontakt telefoniczny. Więc nie widzę sensu aby była po https.
A google nie jest żandarmem świata żeby miało kogokolwiek blokować bo ktoś nie zapłaci ssl-owego myta. Może kopie zapasowe były na tej samej maszynie co baza danych?
Google to dla wielu ludzi cały internet :) a SSL można mieć za darmo, wystarczy chcieć
Wtedy to nie były kopie zapasowe tylko robocze. Nie spełniają kryteriów, by uznać je za kopię….
Też tak obstawiam, przypomniał mi się ten mem
Server crashed, where is backup?
-On the server 😁
Jedyny sens to wizerunkowy (i SEO) w przypadku braku https dla tej witryny, bo sam WordPress w najnowszej wersji (wtyczki retire.js czy vulners.com nie wskazały „Not vulnerable” – szybkie spojrzenie z poziomu browsera).
Mnie strony bez https odstraszają i bym nie wypełnił formularza. Jeszcze sporo gmin i powiatów, placówek zdrowia, placówek oświatowych stoi przed wyzwaniami… Raport Certu sprzed paru lat pokazuje stan w jakim badacze zastali ten obszar:
https://cert.pl/uploads/docs/RAPORT_CERT_badanie-stron-oswiatowych.pdf
Ale tu faktycznie formularza nie ma, więc raczej wizytówka i podstawowe informacje. Co nie oznacza, że jeśli strona bez SSL, to reszta leży. Raczej kwestia $ na specjalistów IT, ale raczej zakładam, że mieli outsourcing i wsparcie dla poważniejszych systemów z danymi pacjentów, a niestety phishing/malware pojawił się… nieoczekiwanie. Kibicuję, aby sobie z tym poradzili. Powiadomienie UODO + komunikat… Przynajmniej coś działa.
Też kojarzę „blokowanie przez Google stron bez https” i przez parę chwil to czasami działało, ale ten temat z 2018 umarł. Jednak skala jest jeszcze duża, aby to skutecznie działało.
Niestety wg grudniowego raportu CF https://anon.to/jphkdI ok 35% WordPressów w Polsce jest bez https. Więc to nie napawa optymizmem. Raczej to wynika z niewiedzy lub chęci zaoszczędzenia paru groszy na SSL przez właścicieli, choć za sprawą Let’s Encrypt czy Zero SSL można mieć za friko, tylko sięgnąć…
Wracając jeszcze na sekundę do https…
Już wiem gdzie widziałem ostatnio brak https/błędną konfigurację i komunikat „Połączenie nie jest prywatne”:
https://restya.com/board/ (Restyaboard
Open source Trello-like kanban board)
„Ten serwer nie mógł udowodnić, że należy do restya.com. Jego certyfikat pochodzi z dedy.my3cx.it. Może to być spowodowane błędną konfiguracją lub przechwyceniem połączenia przez atakującego.”
Taki przykładzik, gdzie mechanizmy wbudowane w wyszukiwarki wyświetlają stosowny komunikat dla NET::ERR_CERT_COMMON_NAME_INVALID
Lekarze spoko, placówka prowadzona przez człowieka ze specjalizacją ginekologia i tam na początku chyba sami ginekolodzy byli, a nie informatyków.. a tu piszecie o https-ach, kopiach zapasowych itp. widocznie zaufali nie tej firmie w zakresie obsługi IT. Ps. Sporo firm ma zaplecza informatyczne z gówna i patyków, przez zwykłą nieświadomość.
Firmy outsorcingowe w branży medycznej często mają bardzo dobre zaplecze osobowe. Często to bardzo dobrzy specjaliści od sieci, Oracle (wiele systemów stoi na Oracle’u) czy bezpieczeństwa. Często też niezłe działy prawne. Problem jest że klient z puli usług wybiera to co uważa za słuszne a i z wysłuchanie zaleceń jest różnie. Do tego dochodzi kwestia budżetu na IT. Zawsze jest narzekanie że NFZ powinien się dołożyć. I ostatnio to nawet robi w szerokim zakresie jeżeli chodzi o bezpieczeństwo.
Ransomware wpuszczony zeby przykryc wlam… Dane wyciekły/wyciekaly pewnie duzo wcześniej tylko nic o tym nie piszą
Mówili cloud jest niebezpieczny.
Tylko własny serwerek daje poczucie bezpieczeństwa.
Też nie qmam tego owczego pędu „https wszędzie”. Na zwykłych stronach informacyjnych nie jest on w/g mnie niezbędny (poza tym że masz dodatkowy nakład CPU na zaszyfrowanie i odszyfrowanie). W takim przypadku jedyna zaleta jest tak że Twój ISP musi się spocić żeby prześledzić po jakich stronach łazisz. Inny zalet nie widzę. A „mityczna kłódka” w dobie Let’s encrytpa niczego nie dowodzi.
co za bzdura, przecież kopię bezpieczeństwa da radę wykonać nawet po zaszyfrowaniu danych :D
Kopie robi się okresowo na zewnętrznym dysku bez fizycznego poł. z siecią , i to jest kopią bezpieczna a dane medyczne pozostają…
Pozostałe kwestie pomijam….
Z doświadczenia wiem że strona internetowa i system to nie jest biznes. Biznesem jest leczenie ludzi i zysk z tego oraz brak wiedzy na temat systemów i zabezpieczeń.
Jeśli nie wchodzę w interakcje ze stroną (nie podaje danych, nie loguje sie…) to nie widzę nic strasznego w braku HTTPS.
Pracuję w tej branży. Usługi IT dla medycyny. Nie chcę nikogo obrażać, ale to środowisko nie jest kompletnie zainteresowane zapewnieniem bezpieczeństwa IT w swoich placówkach. Wszystko jest robione na zasadzie minimum. Musiałem odmówić kilkakrotnie współpracy takim placówkom medycznym, bo lekarze nie przyjmowali argumentów o konieczności zapewnienia kopii bezpieczeństwa i ograniczenia uprawnień użytkowników. Ja odmawiam współpracy, ale zawsze znajdzie się jakiś desperat…
A ja jestem lekarzem, takim „na godziny”, obsługuje nas Ch….Soft.
Lubię informatykę, kwestie bezpieczeństwa. To wręcz groza, te poradniane systemy. Nieogary z tej atrapy IT maja różne ustawienia na poszczególne komputery, każda aktualizacja coś knoci (i na mnie to zwykle trafia z uwagi na specyficzny rozkład pracy), co tam w tle łazi i robi – to tylko Windows wie i hakerzy, bo nie to g…ne IT. Na komputerach są certyfikaty z zapisanymi hasłami, zwykle – przecież dla wygody doktora – te certyfikaty wystawił ich własny, macierzysty bank. Raj hakerski,aż dziw – że tylko zaszyfrowanie (wątpię) i utrata danych (na amen, pewne).
Z doświadczenia wiem że takie podmioty szukają obsługi informatycznej wg kryterium najniższa cena, nie znają się i nie chcą się znać. Nie słuchają. Skoro nawet osoby na kierowniczych stanowiskach IT w publicznych szpitalach potrafią mówić, że kasa to ma być na lekarzy, na pracowników IT nie musi bo to nie podstawowy biznes, to jak mają podchodzić w prywatnych interesach? Póki nie stanie się tragedia to IT jest tylko zbędnym kosztem… A i później często brak jakiejkolwiek refleksji… Tylko robienie z siebie ofiary
No to teraz czas iść po odszkodowanko :D. To znak, jeśli chcesz być bezpieczny przede wszystkim nie podawaj prawdziwych danych. Chyba trzeba zaszyfrować systemy takich durnych stron to do wycieków nie będzie dochodzić bo serwer będzie zablokowany. Bo tak jak w przychodniach czy szpitalach i urzędach to też nic nie jest zabezpieczone wszystko śmiga przez wifi i jest dostępne z poziomu internetu, wiem bo pracowałem dla rządu w jednej instytucji i znam też infrastrukture szpitala. I w żadnym takim miejscu nie ma jakichkolwiek zabezpieczeń. Oprócz tego że wszystko można wyciągnąć przez internet to pracownicy kopiują dane dla siebie i znajomych.
Smutne to, ale prawdziwe. I tak jest odkąd pojawił się publiczny internet! Bo zakup stringów na allegro jest ważniejszy od bezpieczeństwa danych! Zwłaszcza w budżetówkach!