Subscribe
Юридически - януари 28, 2025
На 14 май 2021 г. Изпълнителната агенция по здравеопазване на Ирландия (HSE) беше подложена на безпрецедентна кибератака с цел откуп, която засегна всички онлайн системи, участващи в предоставянето на нейните услуги – от радиологията, патологията/лабораториите, радиотерапията, майчинството, първичната помощ, услугите за хора с увреждания и кръвните тестове.
Тъй като служителите на HSE не са имали достъп до данните на пациентите, пряк резултат от атаката са били забавените приеми и изписвания на пациенти, както и трудностите при предаването на пациентите.
Като предпазна мярка, целяща ограничаване на въздействието на атаката, HSE, която по това време разполагаше с над 70 000 ИТ устройства на приблизително 4000 места, взе решение да изключи мрежата си за информационни и комуникационни технологии (ИКТ).
Това означава, че всички системи на HSE, независимо дали са били засегнати, са били засегнати.
Впоследствие Бордът на HSE и главният изпълнителен директор на HSE поръчаха на PricewaterhouseCoopers (PwC) проверка на начина, по който се е случила атаката, и как е било възможно цялата национална здравна служба да бъде толкова ефективно компрометирана.
HSE възложи на PwC спешно да установи фактите във връзка с текущата готовност на организацията по отношение на нейните ИКТ системи, кибернетична и информационна защита и оперативна готовност.
В доклада, последвал прегледа след инцидента, се потвърждават незабавните действия, предприети от HSE, които включват искане на съдействие от Националното бюро за киберпрестъпност на Гарда, Международната организация на криминалната полиция („Интерпол“) и Националния център за киберсигурност („NCSC“). Той също така изтъкна огромната отдаденост и усилия, наблюдавани на всички нива на персонала по време на реакцията на инцидента.
Въпреки това докладът на PwC съдържаше язвителна оценка на готовността на HSE, като същевременно подчертаваше многото пропуснати възможности, които можеха да попречат на нападателя да получи достъп до ИКТ системите на HSE.
По-конкретно PwC заявява, че според нейната оценка кибератаката е могла да причини щетите, които е нанесла, тъй като HSE е работила на базата на, както тя казва, слаба ИТ база, която се е развивала, а не е била проектирана за устойчивост и сигурност.
Тя откри и очевидни слабости в надзора, като например факта, че по време на инцидента HSE не е имал един-единствен отговорник за киберсигурността на висше изпълнително или управленско ниво.
Също така стана ясно, че преди 14 май 2021 г. е имало няколко засичания на дейността на нападателя, но те не са довели до инцидент, свързан с киберсигурността, и до започване на разследване от страна на HSE. В резултат на това са били пропуснати възможности за предотвратяване на успешното детониране на рансъмуера.
Що се отнася до финансовото въздействие на атаката, първоначалните разходи бяха оценени на около 40 млн. евро, като след кибератаката бяха направени допълнителни съдебни разходи в размер на 2,6 млн. евро. Тези суми са само малка част от очакваните 657 млн. евро, които ще трябва да бъдат похарчени за пълното прилагане на всички подобрения в киберсигурността, препоръчани от прегледа на PwC след инцидента.
След атаката HSE работи за значително преодоляване на установените недостатъци и уязвимости в своята ИКТ архитектура. Тя предприе и редица ключови стъпки, включително наемането на главен служител по информационна сигурност, който да ръководи цялостните операции по киберсигурност.
Много от въпросите, повдигнати от кибератаката срещу ирландската здравна служба, и по-специално работата по актуализиране на нейното „крехко ИТ оборудване“, със сигурност ще се появят отново след публикуването на 15 януари на плана за действие на Европейската комисия за укрепване на киберсигурността на болниците и доставчиците на здравни услуги.
Заявените цели на плана за действие са насочени към подобряване на откриването на заплахи, готовността и реакцията при кризи в европейския здравен сектор. Планът има за цел също така да предостави адаптирани насоки, инструменти, услуги и обучение на болниците и доставчиците на здравни услуги с няколко конкретни действия, които ще бъдат въведени постепенно през 2025 г. и 2026 г. в сътрудничество с доставчиците на здравни услуги, държавите членки и общността за киберсигурност.
В съобщението на Комисията относно плана за действие ирландската кибератака се посочва като пример за инцидент, който може да покаже потенциала на кибератаките да се разпространяват бързо във взаимосвързани системи. В съобщението ирландската кибератака се посочва и като инцидент, който подчертава значението на постоянното гарантиране на това, че в организациите в ЕС действа фундаментална култура на киберхигиена и киберсигурност.
Макар че кибератаката в Ирландия беше тревожно нападение, което доведе до значителни смущения и финансови разходи, в плана за действие на Комисията се подчертава потенциалът за по-разрушителни и зловещи резултати, когато се използва от държавни и недържавни участници като част от по-широка хибридна кампания срещу цялата среда за сигурност на ЕС.
Според Комисията липсата на адекватна подготовка и отблъскване на кибератаките може да доведе до дестабилизиране на нашите общества от страна на онези, които се стремят да се възползват от разделението и разрухата. Това не означава, а и планът за действие със сигурност не предполага, че има „сребърно решение“ за предизвикателствата пред киберсигурността, които съществуват по отношение на защитата на цифровите платформи на ЕС в областта на здравеопазването.
Вместо това той се фокусира върху призива за засилена превенция, готовност и „по-координиран подход към солидарността, като същевременно се използва опитът на европейската индустрия за киберсигурност“. Като такъв и както се посочва в плана за действие, той отразява по-широкия подход на ЕС към сигурността, който ще бъде доразвит и формализиран в предстоящата Европейска стратегия за вътрешна сигурност.
Ето защо планът призовава всички държави членки да възприемат подхода „цялото общество“ и „цялото правителство“.
Това е отразено и в документите с насоки, издадени от Националния център за киберсигурност на Ирландия (NCSC), по-специално в неговия Национален план за кибернетична опасност (NCEP).
В NCEP се определя националният подход за реагиране на сериозни инциденти в областта на киберсигурността, които засягат поверителността, целостта и наличността на важни за страната информационни и оперативни технологични системи и мрежи, като например тези, които бяха засегнати по време на атаката срещу ирландската HSE.
Желанието на Ирландия да постигне напредък в своята готовност в тази област може да се види и в неотдавнашното публикуване на програмата за управление на бъдещата ирландска администрация. В нея е поет ангажимент, че през 2025 г. правителството ще изготви нова национална стратегия за киберсигурност. То се ангажира също така да насърчава развитието на център за високи постижения за развиване на умения в областта на киберсигурността.
В прегледа на PwC след инцидента беше отбелязано, че има нужда от по-високи нива на технологична компетентност и познаване на киберсигурността сред персонала на ключови национални служби.
Въпреки това, въпреки че беше приета необходимостта от приемане на сложни мерки за киберсигурност в ирландските здравни системи, в прегледа беше призната и необходимостта от балансиране на тази необходимост с необходимостта от лесно използване, особено от клиничния персонал.
Опитът от кибератаката срещу HSE и нарастващата глобална заплаха от киберпрестъпници превръщат изпълнението на този конкретен ангажимент от Програмата за управление в национална необходимост.
Важно е също така Ирландия да продължи работата си по транспонирането в ирландското законодателство на актуализираната Директива на ЕС относно мрежовите и информационните системи II (NIS2), която се отнася до киберсигурността.
Предишното ирландско правителство прие, че тази директива представлява значителна стъпка напред в областта на кибернетичната устойчивост и ще подобри управлението на кибернетичния риск в целия Съюз, включително ще доведе до значителни подобрения в капацитета за реагиране на големи инциденти като атаката на HSE.
Накрая може да се отбележи, че макар Ирландия чрез своя Национален център за киберсигурност да предприема активни действия за защита и опазване на сигурността и целостта на мрежовите и информационните системи в държавата, предишната администрация одобри и изготвянето на законопроект за националната киберсигурност от 2024 г.
Тази обща схема на законопроекта заслужава внимание поради широкия кръг от дейности, които ще бъдат разрешени, включително сканиране на публично достъпни мрежи и споделяне на лични данни със съответните органи. Сега тя може да получи допълнителен законодателен тласък след публикуването на плана за действие на Комисията за укрепване на киберсигурността на болниците и доставчиците на здравни услуги.
При все това, когато бъде представен окончателният вариант на законопроекта, е много вероятно да се открои и постоянната загриженост за това как да балансираме между цифровата сигурност, стремежа към отворени данни и правото на неприкосновеност на личния живот във време на нарастващи кибератаки.