Az NHS elleni hackertámadás: Komoly következmények és lehetséges válaszlépések
A Guardian jelentése szerint a brit kormány fontolóra veszi, hogy visszavágjon azoknak az orosz hackereknek, akik 300 millió páciens interakcióját tartalmazó érzékeny adatokat loptak el az NHS-től, beleértve a HIV és rák vérvizsgálatainak eredményeit is. A Nemzeti Bűnügyi Ügynökség (NCA) mérlegeli a lehetőséget, hogy megtorló intézkedéseket hozzon a Qilin nevű orosz ransomware banda ellen, akik pénteken korán reggel nyilvánosságra hozták a június 3-án végrehajtott kibertámadás során ellopott adatokat.
Az adatok nyilvánosságra hozatala: Pánik és válaszlépések
Az NHS londoni vezetősége, ahol a támadás fókuszált, egy segélyvonalat állított fel, hogy válaszoljon az aggódó páciensek kérdéseire. Arra kérték az érintett pácienseket, hogy ne vegyék fel a kapcsolatot a helyi kórházakkal vagy háziorvosi rendelőkkel, mivel azok nem rendelkeznek információval arról, hogy az adataik érintettek-e a támadásban.
A Qilin cselekedete, amely a feltételezett 50 millió dolláros váltságdíj figyelmen kívül hagyását jelzi, vitákat indított el az NCA és a Nemzeti Kiberbiztonsági Központ (NCSC) között a lehetséges válaszlépésekről. A kormány kommunikációs központja, a GCHQ is értesült a beszélgetésekről.
Lehetséges válaszintézkedések: A lopott adatok visszaszerzése
Egy forrás szerint az NCA egy különleges csapatot állított fel, amely a háttérben dolgozik az adatok elérésén, megértésén és eltávolításán, ha lehetséges. Az NCA fontolgatja, hogy intézkedéseket tegyen a Qilin által pénteken hajnalban nyilvánosságra hozott adatok eltávolítása érdekében. „Ez egy állam elleni támadásnak minősül,” mondta a forrás.
Kibervédelmi források szerint bármely akció hatása csökkenhet, ha a Qilin banda már másolatokat készített az adatokról, és képes azokat máshol is közzétenni.
Az NHS működésének zavarai: Műtétek és időpontok elhalasztása
A támadás súlyos zavarokat okozott a King’s College kórház alapítványi bizottsága és a Guy’s és St Thomas’ alapítványi bizottsága által működtetett hét kórházban, amelyek az NHS két legnagyobb és legforgalmasabb egészségügyi szolgáltatói. A Qilin a Synnovist, egy magán/NHS közös vállalkozást célzott meg, amely patológiai szolgáltatásokat nyújt, például vérvizsgálatokat és transzfúziókat.
A két alapítvány 1,134 tervezett műtétet, köztük rák- és transzplantációs műtéteket, valamint 2,194 járóbeteg-rendelést volt kénytelen elhalasztani a támadás első 13 napján, közölte csütörtökön az NHS England londoni régiója.
Az ellopott adatok: Milyen információk kerültek nyilvánosságra?
Jelenleg nem világos, hogy pontosan milyen vagy mennyi adatot hozott nyilvánosságra a ransomware csoport. Jól informált források szerint az ellopott adatok között szerepelnek vérvizsgálati eredmények azoknál a betegeknél, akik különböző típusú műtéteken estek át, beleértve a szervátültetéseket; azoknál, akiknél szexuális úton terjedő fertőzés gyanúja merült fel; és azoknál, akik vérátömlesztésben részesültek.
Az NHS England pénteken kiadott nyilatkozatában közölte, hogy az NCA és az NCSC „dolgoznak az adatok hitelesítésén, amelyek a bűnözők által közzétett fájlokban szerepelnek. Ezek a fájlok nem egyszerű feltöltések, így az ilyen jellegű vizsgálatok nagyon összetettek és hetekig, ha nem tovább is eltarthatnak.”
A páciensek figyelmeztetése: Legyenek éberek a gyanús megkeresésekkel szemben
Az NHS England figyelmeztetett, hogy a páciensek most célpontjai lehetnek a bűnözőknek, akik váltságdíjat követelhetnek: „Mindig legyenek éberek azokkal a megkeresésekkel szemben, amelyek azt állítják, hogy az Ön adatait birtokolják, és minden más gyanús hívással vagy e-maillel szemben, különösen akkor, ha személyes vagy pénzügyi adatokat kérnek.”
Az NHS pénteken működésbe lépett „incidens segélyvonalát” a 0345 8778967-es számon lehet elérni.
Ezen kívül, egy fejlemény, amely nyugtalanságot okozhat azoknak a pácienseknek, akik az elmúlt években magán egészségügyi ellátást vettek igénybe, hogy a Qilin által megszerzett adatok között szerepelnek teszteredmények, amelyeket több magán egészségügyi szolgáltatónál is végeztek. Nem világos, hogy mely magán egészségügyi cégek dolgoztak együtt a Synnovissal – amely a patológiai cég, a Synlab és a két londoni akut kórház alapítványi bizottsága közös vállalkozása –, és hogy ezek közé tartoznak-e a főváros magánkórházai.
Az NHS keményen dolgozik azon, hogy az ellátásokat más szolgáltatókhoz irányítsa, és az elmúlt héten sikerült növelni a vérvizsgálatok számát a szokásos mennyiség 10%-áról 30%-ra. Az a tény, hogy a Qilin kizárta a Synnovist a saját IT rendszeréből, azt jelenti, hogy az érintett kórházak és háziorvosi rendelők, amelyek 2 millió pácienst ellátnak, még mindig kénytelenek szigorúan korlátozni a vérvizsgálatokhoz való hozzáférést. Csak a szokásos szám 30%-át tudják elvégezni.
Tim Mitchell, a Secureworks kibervédelmi cég vezető kutatója szerint az adatok közzététele jelezte, hogy a tárgyalási időszak véget ért. „A legtöbb esetben, mire az adatok kiszivárognak, a ransomware tárgyalások általában véget érnek,” mondta.
A Synnovis nem erősítette meg, hogy tárgyalt-e a Qilin-nel.
A Qilin által ellopott adatok mennyisége és érzékeny természete, valamint a banda legalább egy részét nyilvánosságra hozta, aggodalmat keltett az NHS vezetői körében.
Érdekes tény: Az AI egyre gyakrabban alkalmazható olyan kibervédelmi rendszerekben, amelyek képesek előre jelezni és észlelni a potenciális támadásokat, mielőtt azok bekövetkeznének.
Források: The Guardian, NHS England, Synnovis, Secureworks