Útočník často netuší, aké škody môže spôsobiť

Áno, s postupom digitalizácie sa však zvyšujú aj hrozby. Len v Spojených štátoch spôsobia útoky každoročne škody za takmer šesť miliárd dolárov a unikne 27 miliónov dát pacientov. Máme ešte v čerstvej pamäti, ako vlani v decembri počítačový vírus paralyzoval nemocnicu v českom Benešove. Po napadnutí fungovala týždne v obmedzenej prevádzke, zrušili plánované operácie a zatvorili väčšinu oddelení.

Jej zmyslom je zabezpečiť, aby mal lekár vždy k dispozícii správne údaje toho správneho pacienta, mohol im dôverovať a na ich základe sa rozhodnúť pre liečbu. Kybernetická bezpečnosť má dva aspekty. Proaktívne sa snažíme zabrániť potenciálnym útokom, pričom sa riadime logikou postupov, ktoré by robil možný útočník. Spolupracujeme s vývojármi pri návrhu architektúry aplikácie, aby riešenie bolo správne z hľadiska funkcionality, ako aj bezpečnosti. Potom aplikáciu v rôznych etapách vývoja testujeme a hľadáme prípadné chyby. Druhý aspekt je reaktívny a týka sa ochrany už nasadených zariadení u zákazníka – zapĺňame bezpečnostné diery, ak sa objavia. Žiaden softvér totiž nie je stopercentný, vždy existuje nejaké slabé miesto, cez ktoré by sa k nemu mohol dostať útočník.

Ako technologická firma a výskumno-vývojové centrum sa venujeme bezpečnosti softvéru. Ďalšou otázkou je potom reálne nasadenie u zákazníka. Nemáme dohľad na tým, kto všetko má v nemocnici alebo laboratóriu k zariadeniu prístup. Prístroje konštruujeme tak, aby boli zabezpečené pred fyzickým zásahom, nikto napríklad nemôže do neho vložiť svoje USB zariadenia. V zahraničí je bežné zabezpečenie dvojstupňovou autentifikáciou, teda nielen kľúčom, ale aj iným prvkom. Ale ľudia sú vynaliezaví a vždy existuje riziko, že sa im podarí obísť aj fyzickú ochranu. 

Ľudský faktor – treba byť neustále ostražitý, mať na pamäti, že žiadna ochrana nie je stopercentná a nikdy ani nebude. Ľudia sú zvedaví a tvoriví, neprestanú skúšať, čo všetko dokážu. Zozbierajú rôzne dáta, čriepky informácií dajú dohromady a nájdu dieru v systéme, o ktorej sme doteraz nevedeli, pretože ju predtým nikto nevyskúšal. Útočník pritom ani nemusí chcieť ublížiť a neuvedomuje si, čo všetko môže spôsobiť. Môže však zmeniť výsledky diagnóz alebo nahrať vlastné obrázky a lekár sa bude rozhodovať na základe falošných dát. Prípadne môže odstaviť energetiku nemocnice počas náročnej operácie. V Nemecku pred pár dňami spôsobil kyberútok na nemocnicu v Düsseldorfe smrť ženy. Škodlivý softvér ransomvér jej zakódoval dáta a znefunkčnil počítačové systémy. Zdravotníkom nezostávalo nič iné, len ženu previezť do tridsať kilometrov vzdialeného zariadenia vo Wuppertale, čo ju napokon stálo život.

Existujú, samozrejme, obranné metódy – pravidelne sa monitoruje internet aj intranet a ak sa odhalí prebiehajúci útok, spustia sa mechanizmy na jeho zastavenie. Niektoré bezpečnostné koncepty dokonca rátajú aj s odvetným útokom. Využíva sa pritom umelá inteligencia, ktorá začne útok vracať späť a útočníka zničí. Diskutuje sa o etických otázkach takejto obrany, či ide o adekvátnu reakciu, keďže nevieme, kto je na druhej strane a s akým úmyslom vedie útok. Určite by som protiútok nezveril umelej inteligencii, nie je zatiaľ natoľko vyspelá, aby mohla o takýchto dôležitých otázkach autonómne rozhodovať. 

Pôsobíme v Žiline, Košiciach a Bratislave a náš tím sa delí na dve časti. Prvá vyvíja aplikáciu, ktorá po celom svete zbiera všetky dôležité bezpečnostné dáta z našich zariadení. Vyhodnocuje ich a zákazníkom poskytuje informácie o ich zraniteľnosti, aké záplaty by mali aplikovať. Deje sa to buď automaticky, alebo na vyžiadanie technika zo Siemens Healthineers. Druhá skupina vyvíja bezpečnostné softvéry, vyhodnocuje riziká a hľadá prípadné diery, cez ktoré by bolo možné napadnúť naše produkty. Ak také nájde, urobí nápravu. Zraniteľnosti pritom ohodnocujú bezpečnostní experti z celého sveta, od Spojených štátov cez Európu, Áziu, Austráliu až po Tichomorie. 

Áno, sú naši interní zamestnanci a ich pozícia má názov penetračný tester. Z hľadiska metodiky nie je medzi nimi a hackermi žiaden rozdiel. Akurát nenapádajú ciele v rámci svojej organizácie na objednávku, ale nečakane a spôsobom, akým by to robil hacker. Testujeme tým, či sme na dostatočne dobrej technickej úrovni, a zároveň dávame talentovaným ľudom priestor, aby sa kreatívne realizovali.

Intenzívne. Keď zistíme, že na nás niekto útočí, snažíme sa identifikovať miesto, odkiaľ útok vychádza. Máme kontakty s organizáciami FBI, Interpol a Europol, ktoré potom na to miesto vyšlú svoje miestne tímy a snažia sa chytiť páchateľa pri čine.

Aj ja som bol v práci za posledné mesiace minimum času. Všetci sme prešli do virtuálneho priestoru a tomu sa prispôsobili aj podvodníci. Najčastejšie boli asi phishingové e-maily. V rámci našej spoločnosti sme počas koronakrízy zaznamenali nárast zhruba o 26 percent. Ide o e-maily, ktoré napodobňujú komunikáciu niekoho iného, napríklad banky. Objavili sa aj falošné e-maily služby Office 365, ktoré sa snažia získať vaše prístupové heslá. Fungujú aj falošné internetové obchody, cez ktoré si objednáte tovar, ktorý nikdy nepríde, a napodobeniny charity.

Z funkčno-technického hľadiska vytvoriť takúto aplikáciu nie je problém. Ale aby bol systém funkčný a spoľahlivý, musí mať k nemu prístup veľa ľudí. A čím viac ľudí, tým väčšie riziko zneužitia dát. Mobilní operátori aktuálne ukladajú dáta do vlastnej izolovanej infraštruktúry. To sa v prípade tejto aplikácie nedá dosiahnuť. Každá jej inštalácia by mala prístup k rozhraniu na ukladanie dát, čo znamená, že bude takmer voľne prístupná z internetu. Riziko zneužitia alebo kyberútoku sa tak zvyšuje. Ďalším problémom je neochota alebo obava ľudí takúto aplikáciu si nainštalovať. Aj to môže byť dôvod, prečo podobné systémy neboli v iných krajinách masovo nasadené.

Aplikácia vyvoláva aj rad morálnych, etických a právnych otázok. Pri tomto type zberu dát existuje reálne riziko, že dôjde k ich zneužitiu. Na druhej strane sú určené na to, aby znižovali iné riziko, ktorým je šírenie ochorenia Covid-19. Spoločnosť musí posúdiť, ktoré z nich má väčšiu váhu. Ak dokážeme sledovať kontakty pozitívne testovaných inými metódami, je lepšie vyhnúť sa riziku zneužitiu osobných údajov ľudí. 

Nanešťastie musím povedať, že aplikácia Moje eZdravie bola zabezpečená veľmi neprofesionálne, nebola totiž chránená vôbec. Predstavte si poštovú priehradku, kde pani poštárka vydáva listy a peniaze hocikomu, kto o ne požiada, úplne len tak, bez toho, aby si overila identitu. Stačilo len požiadať. A na vašu otázku ako je to možné – môžem sa len domnievať, či šlo o nedbanlivosť, nevedomosť alebo obchádzanie procesov. Jedno je však isté – aplikácia nebola testovaná z pohľadu bezpečnosti vôbec!

Ľuďom zlepšujeme kvalitu života. S pacientmi síce neprichádzame priamo do styku, ale veľmi ma teší, keď vidím, že lekári s dôverou používajú naše zariadenie. Poznám prípady, keď človeka dlho trápili chronické problémy a náš MR skener bol ako jediný schopný rozoznať príčinu. Sám som to zažil, už mi vraveli, že skončím na vozíku a práve skener značky Siemens Healthineers pomohol lekárovi odhaliť celkom riešiteľný problém. Odvtedy som už stihol zabehnúť niekoľko maratónov. 

V MMA je dôležitá technika, pohyblivosť, výbušnosť, ale o víťazstve sa vždy rozhoduje v hlave bojovníka, ako dokáže ustáť nápor a stres. Podobne je to aj v pracovnom živote. Človek môže byť technicky zdatný a nadaný, musí mať čosi navyše, aby zvládol všetky tieto zložité úlohy. Za najdôležitejšiu považujem schopnosť tímovej práce. Verím v kolektív a som presvedčený, že ani geniálny jednotlivec neurobí viac ako dobrý tím. Podporujem kreativitu jednotlivcov, ale snažím sa zároveň rozvíjať tímovosť a súhru. Atmosféra v kompetenčnom centre i celkovo v Siemens Healthineers na Slovensku je výnimočná. Keď stretávam bývalých kolegov alebo spolužiakov z iných korporácií a hovorím im, čo a ako riešime, len ticho závidia. Považujem to však za nevyhnutnú podmienku, aby sme boli aj naďalej úspešní. Digitalizácia postupuje veľmi rýchlo a prichádzajú čoraz zložitejšie úlohy, ktoré by sme inak ťažko zvládli.  

Z hľadiska bezpečnosti je veľmi zaujímavý projekt singo Virtual Cockpit. Dnešné medicínske zariadenia sú mimoriadne sofistikované a zložité, ich technické možnosti dokážu v plnom rozsahu využiť len špičkoví odborníci, ktorých vo svete nie je veľa. Virtuálny kokpit umožní, aby boli k dispozícii z akéhokoľvek miesta na planéte. „Sadne“ si doň špecialista v Spojených štátoch a môže vyšetrovať a viesť operáciu trebárs v Žiline. Je jasné, aká dôležitá bude pri takejto medzikontinentálnej online komunikácii bezpečnosť dát. Naše kompetenčné centrum úzko spolupracuje už pri samotnom návrhu celej aplikácie, pretože dôsledky útokov si ľahko domyslieť.

Dnes sa veľa hovorí o digitálnom dvojčati a pracuje sa na aplikácii tejto technológie v medicíne. Digitálne dvojča vytvorí dátový model ľudského tela, na ktorom by bolo možné simulovať zdravotný stav človeka. Pracovať bude s genetickými predispozíciami ochorení, bude zohľadňovať vek, stravovacie návyky, zamestnanie, spôsob života a ďalšie aspekty. Výsledkom bude prognóza zdravotného stavu človeka a na jej základe odporúčania, čo treba robiť, aby sa v budúcnosti predišlo potenciálnemu ochoreniu. Aj tu bude hrať kybernetická bezpečnosť dôležitú rolu – predstavte si, že sa útočník dostane k vášmu digitálnemu dvojčaťu a zmení dáta bez toho, aby na to niekto prišiel. Celkom ľahko sa môže stať, že vám budú podávať lieky, ktoré vám uškodia. A to by bol ten lepší prípad, pretože takto by bolo možné aj zabiť človeka.

Autor: Ľubomír Jurina

Foto: Maňo Štrauch