Niebezpiecznik.pl: „Krakowski szpital całkiem nieźle poradził sobie z cyberatakiem”

Jacek Bańka
O tym się mówi
Poniedziałek, 2025.03.10

Atak hakerski na szpital MSWiA nastąpił w sobotę, ale jak mówił na konferencji prasowej dyrektor tej placówki, usuwanie skutków tego ataku może potrwać tygodnie. „Jak widać, procedury całkiem nieźle zadziałały” – ocenia w rozmowie z Radiem Kraków Piotr Konieczny z portalu Niebezpiecznik.pl. „Nie ma znaczenia czy to jest szpital, jednostka wojskowa, czy super zaawansowana firma informatyczna. Odtworzenie systemu po ataku zawsze trochę trwa” – dodaje.

Fot. pexels

Posłuchaj rozmowy z Piotrem Koniecznym z portalu Niebezpiecznik.pl

Czym charakteryzuje się atak typu "ransomware"

Czy cyberatak na krakowski szpital MSWiA mówi coś nowego o zabezpieczeniach naszej infrastruktury krytycznej?

Mówi, że na każdego kiedyś przyjdzie pora i uda się każdą sieć i każde zabezpieczenie przełamać. Gdyby te zabezpieczenia były fatalne, to pewnie mówilibyśmy o wielu różnych szpitalach, które padają regularnie atakami hakerskimi, a tak na szczęście się nie dzieje.

Atak hakerski na szpital MSWiA. Wciąż nie działają systemy wewnętrzne

Jest to jednak jakiś sygnał dla naszych wrogów. Na skutek cyberataku szpital wstrzymuje przyjęcia pacjentów, nie działa centrala telefoniczna, a przywracanie normalności potrwa kilka tygodni.

Tak, jak najbardziej, ale dlaczego wrogów?

Zakładamy, że to nikt, kto jest przyjaźnie nastawiony wobec działania tego typu instytucji, takich rzeczy nie robi.

To jest jeszcze kwestia finansowa, dlatego że większość ataków jest motywowana finansowo. Minister cyfryzacji Krzysztof Gawkowski powiedział wczoraj, że doszło do zaszyfrowania plików, a zatem zasugerował wprost, że chodzi o typ ataku, który nazywa się fachowo ransomware. Za atakiem stoją przestępcy, którzy włamują się do sieci, szyfrują kluczowe dane w tej sieci, aby sparaliżować jej pracę, uniemożliwić dostęp do krytycznych danych w danym systemie, ale domagają się okupu za przywrócenie, odszyfrowanie tych danych.

Rozumiem, że jedno drugiego nie wyklucza. Pamiętamy ostatni atak na krakowskie MPK. To też był atak ransomware, żądanie okupu. Od razu mówiono o „wschodnim” kierunku.

I chyba mówiono zbyt pochopnie. Ataki ransomware'owe charakteryzują się tym, że atakujący wprost się przedstawiają, zostawiają plik tekstowy z informacją, gdzie ich szukać. Chcą przecież ten okup negocjować, pozyskać pieniądze, wskazują na pewną afiliację. Można sobie taką grupę prześledzić, jakie miała dokonania, kogo jeszcze atakowała na świecie.

Rzadko, ale jednak zdarza się, że pewne ataki są realizowane tylko pod przykrywką grup ransomware'owych. Atakujący podszywa się pod innych przestępców, żeby sprawić wrażenie, że chodzi o atak ransomware'owy, a w rzeczywistości jego cel jest tylko jeden: unieruchomienie, sparaliżowanie infrastruktury. Czy tak było w tym przypadku? Tego nie wiemy. Do tej pory żadnych wiarygodnych informacji na temat tego, kto konkretnie stoi za takim, nie przedstawiono.

Niebezpiecznik.pl - "rośnie liczba ataków hakerskich na wszystko"

Słyszymy, że rośnie liczba cyberataków na ochronę zdrowia i infrastrukturę. Dlaczego akurat ochrona zdrowia? To jest wyjątkowo czuły element tej infrastruktury krytycznej?

Rośnie liczba ataków na wszystko. Trzeba byłoby przyjrzeć się tym danym. Kto twierdzi, że rośnie akurat na ochronę zdrowia? Wedle informacji, które ja posiadam, to absolutnie każdy sektor jest atakowany.

Liczba ataków ransomware'owych z roku na rok faktycznie rośnie, ale to jest coś, co dzieje się od 10 lat. A zatem, jeśli mówimy o poważnych instytucjach, poważnych firmach, to każda z nich już od dawna ma w swojej analizie ryzyka przygotowane procedury na wypadek nastąpienia takiego ataku. I jak widać, chyba te procedury całkiem nieźle w przypadku szpitala MSWiA zadziałały. Skoro atak miał miejsce w sobotę, przez noc do niedzieli pracowali eksperci, próbowali działać na tych systemach, przywracać sieci. Z oświadczenia rzecznika prasowego szpitala czytamy, że w zasadzie wszystko działa, a życie i zdrowie pacjentów nie jest narażone na szwank i tylko przyjęcia do jednej z poradni są zablokowane, czasowo wstrzymane. Jednak te kopie bezpieczeństwa, przygotowanie na atak jakieś było i trwają po prostu prace na postawieniem takiej infrastruktury.

Tu trzeba podkreślić, że nie ma znaczenia czy to jest szpital, jednostka wojskowa, czy super zaawansowana firma informatyczna. Odtworzenie systemu po ataku zawsze trochę trwa. Ale uwaga: z własnych kopii, nie płacąc za nie grosza tym paskudnym przestępcom.

Tak czy inaczej kilka tygodni, jak na tak ważny element infrastruktury krytycznej, jakim jest szpital, to długo.

Czas pokaże. Bez znajomości tego jak wygląda system, bez informacji na temat tego co faktycznie się stało, bez uzyskania wiarygodnych danych, czy to co było elementem tego incydentu spowodowało utratę bezpowrotną danych, czy może dotknęło tylko i wyłącznie systemów, które były regularnie kopiowane, „backupowane” – ciężko mówić, czy te kilka tygodni to dużo czy mało.

To co jest priorytetem w obsłudze takiego incydentu, to ustalenie, czy rzeczywiście atakujący mieli dostęp tylko do tych systemów i informacji, o których nam się wydaje, że mieli (co widać bezpośrednio po ataku, bo przestały działać), czy może mieli dostęp do czegoś więcej. Trzeba mieć pewność, że te odtworzone dane nie zawierają przypadkiem jakichś niespodzianek i „zabawek” atakującego, który za chwilę powtórzy ten atak.

To jest proces, który wymaga uwagi i czasu. Niestety nie da się go zrealizować jednym kliknięciem myszki.

Jakie są typy ataków hakerskich?

O ile dobrze pamiętam, to całkiem niedawno wicepremier Gawkowski mówił, że w ubiegłym roku około 110 tysięcy razy atakowano na nasze strony. Więcej odnotowano tylko na Ukrainie i w Wielkiej Brytanii. Dlaczego jesteśmy w tej czołówce?

I tutaj znów należałoby zapytać pana ministra, o jakich atakach on mówi. Jeśli mówimy atakach typu DDoS, to wystarczy, że teraz na antenie Radia Kraków powiemy: zapraszamy wszystkich na stronę niebezpiecznik.pl. Jeśli wszyscy słuchacze teraz wejdą na naszą stronę, to jest szansa, że nasz serwis tego ruchu po prostu nie wytrzyma i będziemy mogli zakwalifikować ten incydent jako atak DdoS.

Bardzo często zliczanie tych ataków jest niesamowicie trudne, bo czym innym jest atak, który powoduje przejęcie kontroli nad stroną, napisanie na głównej stronie jakichś obraźliwych treści, albo wręcz kradzież pewnych danych z baz danych, a czym innym jest zalanie ruchem danej infrastruktury, co rzeczywiście robi się często i nagminnie, ale nie stanowi to ryzyka dla danych przetwarzanych przez dany system.

Musimy przede wszystkim zdefiniować, czym jest atak i odróżnić te bardziej popularne i mało problematyczne ataki od tych, które rzeczywiście mogą mieć bardzo negatywne skutki na dane przechowywane w danym systemie.

Polska cyfryzacja: miliardy na rozwój i cyberbezpieczeństwo

Jak zmieniają się, ewoluują w ogóle formy cyberataków?

Żeby było szybciej, mocniej, drożej. Musimy sobie uświadomić, że dzisiaj atakujący to są biznesmeni. Zależy im na tym, żeby przede wszystkim zarabiać. Te ataki motywowane politycznie, religijnie, motywowane pewną formą aktywności społecznych, niezgadzaniem się z jakimś nurtem, z jakąś myślą, to jest tak naprawdę promil tych ataków. Atakującym zależy przede wszystkim na tym, żeby na danym ataku zarobić.

Mogą bezpośrednio kraść pieniądze – na przykład ostatni, bardzo głośny atak z giełdy kryptowalut, gdzie skradziono i „przeprano” bardzo duże środki Za tym atakiem wprost wiadomo, że stoi Korea Północna.

Są też ataki, w których atakującym nie udaje się ukraść pieniędzy (ze szpitala ciężko byłoby to zrobić), chcą więc zmonetyzować to, ale w trochę inny sposób, na przykład szyfrując dane. Dajcie nam pieniądze, to te dane odszyfrujemy.

Często się zdarza sytuacja tzw. podwójnego okupu. Szpital odmawia zapłaty, więc atakaujący grozi upublicznienie danym osobowych pacjentów w internecie. Pojawia się żądanie drugiego okupu.

Szukasz pewnej pracy i zarobków? Zostań "bezpiecznikiem"

Oczywiście szef placówki pytany o wyciek danych nie może potwierdzić i nie wie po prostu, czy dane wyciekły, czy też nie. Ale wracając do tych form ataków, wszystko jest na stole: deepfake, phishing. Tak to się podobno zaczęło w przypadku krakowskiego MPK.

MPK: to był nie tylko atak hakerski. Są nowe fakty

Sposobów na przeniknięcie do infrastruktury po to, żeby rozpocząć w niej atak jest kilka. Jedną z takich bardzo popularnych metod jest właśnie phishing, czyli przekonanie pracownika danej instytucji do tego, że jest w kontakcie, na przykład mailowym, z jakąś instytucją, z klientem, z kontrahentem. W rzeczywistości jest to atakujący, który wyłudza dane dostępowe i na ich podstawie ma wgląd w pewne systemy. Może sobie je skonfigurować albo rozpocząć atak.

Jest też wysłanie złośliwego załącznika, który po uruchomieniu w infrastrukturze danej firmy, jak klasyczny wirus infekuje system, a potem jeszcze rozprowadza się po innych systemach.

Możliwości naprawdę jest dużo, ale często też, i tak działają niektóre gangi ransomware'owe, tym punktem wejścia do sieci może być coś, co jest zupełnie jakby niezależne od danej instytucji. Chodzi o wykorzystanie przez przestęoców błędu w konfiguracji firewalla, o którym nawet producent nie wie. Przestępcy, mówiąc kolokwialnie, „koszą” jedną instytucję za drugą za pomocą tego błędu, przełamują zabezpieczenia firewalla, mają dostęp do sieci i rozpoczynają takie ataki. Takie sytuacje też się zdarzają. Ciężko tutaj mówić o winie danej instytucji, która przecież zrobiła co mogła. Niestety każde oprogramowanie ma błędy, miało błędy i będzie je mieć. Idea polega na tym, żeby jak najszybciej zauważać te błędy, aktualizować swoje systemy i monitorować swoją infrastrukturę, żeby – jeśli zauważymy podejrzane ruchy, jak najszybciej zareagować i wyrugować atakującego z naszych systemów.

W jaki sposób w takim razie zmieniały się modele zarządzania cyberbezpieczeństwem?Widzimy, że na rynku pracy fachowcy, którzy zajmują się cyberbezpieczeństwem, są poszukiwani. I to pilnie.

Nie ma się co dziwić. Dzisiaj, może nie wszystko, ale coraz więcej systemów przecież jest podpiętych do internetu. Większość nowoczesnych samochodów ma kartę SIM i łączy się z internetem. Były już nawet takie ataki, gdzie przez internet dało się przejąć kontrolę nad samochodem. Ten pierwiastek bezpieczeństwa, wiedza na ten temat, zwłaszcza w kontekście defensywnym, jest bardzo, bardzo na rynku poszukiwana. Być może jest to sugestia dla wszystkich, którzy zastanawiają się, jaką karierę wybrać. Wybrać karierę „bezpiecznika”.

Autor:

Jacek Bańka

Komentarze (0)

Brak komentarzy

Kultura

Sport

Muzyka

Audycje

Podcasty

Kontakt

Ramówka

Studia nagraniowe

Niebezpiecznik.pl: „Krakowski szpital całkiem nieźle poradził sobie z cyberatakiem”

Czym charakteryzuje się atak typu "ransomware"

Niebezpiecznik.pl - "rośnie liczba ataków hakerskich na wszystko"

Jakie są typy ataków hakerskich?

Szukasz pewnej pracy i zarobków? Zostań "bezpiecznikiem"

Komentarze (0)

Dodaj komentarz

Najnowsze

Prawdopodobnie dziś koniec procesu i wyrok w sprawie Małej Emi

Dziś święto patrona Krakowa – świętego Józefa

Muzeum Krakowa zdigitalizuje i udostępni ponad 7 tysięcy fotografii miasta

Czy jesteśmy bezradni w walce z szarlatanami?

Pływali w nim triathloniści podczas Igrzysk Europejskich, ale krakowianie nie popływają

W środę słońca nie zabraknie, ale temperatura będzie umiarkowana

Aktualności komunikacyjne 19.03

GieKSa bliżej finału, Unia zagra o przedłużenie serii

Marka Radia Kraków dla festiwalu łączącego muzykę i teatr

Jak wybrać swojego osteopatę w Krakowie?

Niebezpiecznik.pl: „Krakowski szpital całkiem nieźle poradził sobie z cyberatakiem”

Czym charakteryzuje się atak typu "ransomware"

Niebezpiecznik.pl - "rośnie liczba ataków hakerskich na wszystko"

Jakie są typy ataków hakerskich?

Szukasz pewnej pracy i zarobków? Zostań "bezpiecznikiem"

Komentarze (0)

Dodaj komentarz

Najnowsze

Prawdopodobnie dziś koniec procesu i wyrok w sprawie Małej Emi

Dziś święto patrona Krakowa – świętego Józefa

Muzeum Krakowa zdigitalizuje i udostępni ponad 7 tysięcy fotografii miasta

Czy jesteśmy bezradni w walce z szarlatanami?

Pływali w nim triathloniści podczas Igrzysk Europejskich, ale krakowianie nie popływają

W środę słońca nie zabraknie, ale temperatura będzie umiarkowana

Aktualności komunikacyjne 19.03

GieKSa bliżej finału, Unia zagra o przedłużenie serii

Marka Radia Kraków dla festiwalu łączącego muzykę i teatr

Jak wybrać swojego osteopatę w Krakowie?

Kontakt

12 630 61 01

Wyślij wiadomość

Wyślij opinię