Podsjećajući na kibernetički napad na irsku zdravstvenu službu

Dana 14. svibnja 2021. Irska zdravstvena uprava (HSE) bila je izložena cyber-napadu ransomwarea bez presedana koji je utjecao na sve online sustave uključene u pružanje njezinih usluga, od radiologije, patologije/laboratorija, radioterapije, rodilišta, primarne skrbi, usluga za osobe s invaliditetom i krvne pretrage.

Kako osoblje HSE-a nije moglo pristupiti podacima o pacijentima, odgođeni prijemi i otpusti pacijenata te poteškoće s primopredajom pacijenata također su bile izravna posljedica napada.

Kao mjeru predostrožnosti osmišljenu za ograničavanje utjecaja napada, HSE, koji je u to vrijeme radio s više od 70.000 IT uređaja na približno 4.000 lokacija, donio je odluku o zatvaranju svoje mreže informacijske i komunikacijske tehnologije (ICT).

To je značilo da su pogođeni svi HSE sustavi bez obzira na to jesu li bili pogođeni ili ne.

Upravni odbor HSE-a i njegov glavni izvršni direktor naknadno su od PricewaterhouseCoopersa (PwC) naredili pregled kako je došlo do napada i kako je moguće da cijela nacionalna zdravstvena služba bude tako učinkovito ugrožena.

HSE je zadužio PwC da hitno utvrdi činjenice u vezi s trenutnom pripremljenošću organizacije u pogledu ICT sustava, kibernetičke i informacijske zaštite te operativne spremnosti.

Izvješće koje je uslijedilo nakon pregleda nakon incidenta potvrdilo je hitne radnje koje je poduzeo HSE, što je uključivalo traženje pomoći Nacionalnog ureda za kibernetički kriminal Garda, Međunarodne organizacije kriminalističke policije (“Interpol”) i Nacionalnog centra za kibernetičku sigurnost (“NCSC”) . Također je istaknuo ogromnu predanost i trud uočen na svim razinama osoblja tijekom odgovora na incident.

Međutim, izvješće PwC-a oštro je ocijenilo spremnost HSE-a dok je naglašavalo mnoge izgubljene prilike koje su mogle spriječiti napadača u pristupu HSE-ovim ICT sustavima.

Konkretno, PwC kaže da je prema njegovoj procjeni cyber-napad bio omogućen da izazove štetu koju je napravio jer je HSE djelovao na onome što je nazvao slabim IT imanjem koje je evoluiralo umjesto da je dizajnirano za otpornost i sigurnost.

Također je otkrio očigledne slabosti u nadzoru kao što je činjenica da u vrijeme incidenta HSE nije imao jednog odgovornog vlasnika za kibernetičku sigurnost, na višem izvršnom ili upravljačkom nivou.

Također se pokazalo da je bilo nekoliko otkrivanja aktivnosti napadača prije 14. svibnja 2021., ali to nije rezultiralo kibersigurnosnim incidentom i pokretanjem istrage od strane HSE-a. Kao rezultat toga, propuštene su prilike za sprječavanje uspješne detonacije ransomwarea.

Što se tiče financijskog učinka napada, početni troškovi procijenjeni su na oko 40 milijuna eura s dodatnim pravnim troškovima od 2,6 milijuna eura koji su nastali od kibernetičkog napada. Ovi iznosi samo su djelić od procijenjenih 657 milijuna eura koji će se morati potrošiti za potpunu implementaciju svih poboljšanja kibernetičke sigurnosti preporučenih u PwC pregledu nakon incidenta.

Od napada HSE je radio na značajnom rješavanju nedostataka i ranjivosti identificiranih unutar svoje ICT arhitekture. Također je poduzeo niz ključnih koraka uključujući zapošljavanje glavnog službenika za informacijsku sigurnost koji će voditi operacije kibernetičke sigurnosti od kraja do kraja.

Mnoga pitanja koja su pokrenuta kibernetičkim napadom na irsku zdravstvenu službu, posebno rad na ažuriranju njezine ‘krhke IT nekretnine’ sigurno će se ponovno pojaviti nakon objave akcijskog plana Europske komisije za jačanje kibernetičke sigurnosti 15. siječnja bolnica i pružatelja zdravstvenih usluga.

Navedeni ciljevi akcijskog plana usmjereni su na poboljšanje otkrivanja prijetnji, spremnosti i odgovora na krizne situacije u zdravstvenom sektoru diljem Europe. Također ima za cilj pružiti prilagođene smjernice, alate, usluge i obuku bolnicama i pružateljima zdravstvenih usluga s nekoliko specifičnih radnji koje će se postupno uvoditi 2025. i 2026., u suradnji sa pružateljima zdravstvenih usluga, državama članicama i zajednicom za kibersigurnost.

Komunikacija Komisije o akcijskom planu posebno identificira irski kibernetički napad kao primjer vrste incidenta koji može pokazati potencijal brzog širenja kibernetičkih napada među povezanim sustavima. Također navodi irski kibernetički napad kao incident koji naglašava važnost dosljednog osiguravanja funkcioniranja temeljne kibernetičke higijene i kulture kibernetičke sigurnosti u svim organizacijama diljem EU-a.

Iako je kibernetički napad u Irskoj bio alarmantan napad koji je izazvao značajne poremećaje i financijske troškove, akcijski plan Komisije nastoji istaknuti potencijal za destruktivnije i zlokobnije ishode kada ga provedu državni i nedržavni akteri kao dio šire hibridne kampanje protiv cjelokupno sigurnosno okruženje EU-a.

Neuspjeh da se adekvatno pripremimo za kibernetičke napade i odbijemo ih, prema mišljenju Komisije, u konačnici mogu dovesti do destabilizacije naših društava od strane onih koji žele profitirati od podjela i poremećaja. Ovo ne sugerira, a akcijski plan svakako ne sugerira da postoji “srebrno” rješenje za kibersigurnosne izazove koji postoje u pogledu zaštite digitalnih platformi za zdravstvo u EU-u.

Umjesto toga, fokusira se na pozivanje na pojačanu prevenciju, pripravnost i ‘koordiniraniji pristup solidarnosti uz korištenje stručnosti europske industrije kibernetičke sigurnosti.’ Kao takav, a kako se navodi u akcijskom planu, odražava širi pristup EU-a sigurnosti koji će se dalje razvijati i formalizirati u nadolazećoj Europskoj strategiji unutarnje sigurnosti.

This is why the plan is specifically urging all member states to adopt a ‘whole-of-society’ and ‘whole-of-government’ approach.

This point is also reflected in guidance documents issued by Ireland’s National Cyber Security Centre (NCSC) specifically in its National Cyber Emergency Plan (NCEP).

The NCEP sets out the national approach for responding to serious cybersecurity incidents that affect the confidentiality, integrity, and availability of nationally important information technology and operational technology systems and networks such as those impacted during the attack on Ireland’s HSE.

Ireland’s willingness to advance to its preparedness in this area may also be seen in the recent publication of the incoming Irish administration’s Programme for Government. There a commitment has been provided that Government will deliver a new National Cybersecurity Strategy in 2025. It also commits to promoting the development of a centre of excellence for developing cyber security skills.

That there is a need for greater levels of technological competence and familiarity with cybersecurity among staff in key national services was also noted in the PwC post incident review.

However, while the need to adopt complex cybersecurity measures within the Irish health systems was accepted, the review also recognised the need to balance this with a need for ease-of-use, especially for clinical staff.

The experience of the HSE cyber-attack and the growing global threat from cyber-criminals makes the realisation of this particular Programme for Government commitment a national imperative.

It is also important that Ireland continues its work on the transposition into Irish law of the updated Network and Information Systems Directive II (NIS2) EU Directive concerning cybersecurity.

The previous Irish Government accepted that this Directive represented a major step forward for cyber resilience and would enhance cyber risk management across the Union including generating significant improvements in the capacity to respond to major incidents such as the HSE attack.

It may finally be noted that that while Ireland through its National Cyber Security Centre is actively taking staps to protect and defend the security and integrity of network and information systems in the State, the previous administration also approved the drafting of the National Cyber Security Bill 2024.

This general scheme of the Bill is noteworthy for the broad range of activities that will be permissible including the scanning of publicly accessible networks and the sharing of personal data with relevant authorities. It may now receive added legislative impetus following publication of Commission’s action plan to strengthen the cybersecurity of hospitals and healthcare providers.

That being said, when the final draft of the Bill is presented, it is highly likely that persistent concerns around how we balance digital security, the drive for open data and the right to personal privacy in a time of increasing cyber-attacks will also feature prominently.