Subscribe
Prawna - 28 stycznia, 2025
W dniu 14 maja 2021 r. irlandzki Health Service Executive (HSE) został poddany bezprecedensowemu cyberatakowi typu ransomware, który wpłynął na wszystkie systemy online zaangażowane w świadczenie usług, począwszy od radiologii, patologii/laboratoriów, radioterapii, położnictwa, podstawowej opieki zdrowotnej, usług dla osób niepełnosprawnych i badań krwi.
Ponieważ personel HSE nie był w stanie uzyskać dostępu do danych pacjentów, opóźnienia w przyjęciach i wypisach oraz trudności z przekazywaniem pacjentów również były bezpośrednim skutkiem ataku.
Jako środek zapobiegawczy mający na celu ograniczenie wpływu ataku, HSE, która w tym czasie obsługiwała ponad 70 000 urządzeń IT w około 4000 lokalizacji, podjęła decyzję o zamknięciu swojej sieci technologii informacyjno-komunikacyjnych (ICT).
Oznaczało to wpływ na wszystkie systemy HSE, niezależnie od tego, czy zostały one dotknięte, czy nie.
Zarząd HSE i jego dyrektor generalny zlecili następnie firmie PricewaterhouseCoopers (PwC) zbadanie, w jaki sposób doszło do ataku i jak to możliwe, że cała krajowa służba zdrowia została tak skutecznie narażona na szwank.
HSE zleciło PwC pilne ustalenie faktów w odniesieniu do obecnej gotowości organizacji pod względem jej systemów teleinformatycznych, cyberbezpieczeństwa i ochrony informacji oraz gotowości operacyjnej.
W raporcie sporządzonym w następstwie przeglądu po incydencie potwierdzono natychmiastowe działania podjęte przez HSE, które obejmowały zwrócenie się o pomoc do Krajowego Biura ds. Cyberprzestępczości Garda, Międzynarodowej Organizacji Policji Kryminalnej („Interpol”) i Krajowego Centrum Cyberbezpieczeństwa („NCSC”). Podkreślono również ogromne poświęcenie i wysiłek zaobserwowany na wszystkich poziomach personelu podczas reakcji na incydent.
Jednak raport PwC bardzo surowo ocenił gotowość HSE, podkreślając jednocześnie wiele utraconych możliwości, które mogły uniemożliwić atakującemu uzyskanie dostępu do systemów teleinformatycznych HSE.
W szczególności PwC twierdzi, że w jego ocenie cyberatak mógł wyrządzić szkody, które wyrządził, ponieważ HSE działał na tym, co nazwał słabym środowiskiem IT, które ewoluowało, a nie zostało zaprojektowane z myślą o odporności i bezpieczeństwie.
Stwierdzono również rażące niedociągnięcia w nadzorze, takie jak fakt, że w czasie incydentu HSE nie miało jednego odpowiedzialnego właściciela za cyberbezpieczeństwo, na wyższym szczeblu wykonawczym lub kierowniczym.
Okazało się również, że przed 14 maja 2021 r. wykryto kilka działań atakującego, ale nie doprowadziły one do incydentu cyberbezpieczeństwa i wszczęcia dochodzenia przez HSE. W rezultacie przegapiono możliwości zapobieżenia skutecznej detonacji oprogramowania ransomware.
Jeśli chodzi o skutki finansowe ataku, początkowe koszty zostały oszacowane na około 40 milionów euro, a dodatkowe koszty prawne w wysokości 2,6 miliona euro zostały poniesione od czasu cyberataku. Kwoty te stanowią jedynie ułamek szacowanych 657 milionów euro, które trzeba będzie wydać, aby w pełni wdrożyć wszystkie ulepszenia cyberbezpieczeństwa zalecane w przeglądzie PwC po incydencie.
Od czasu ataku HSE pracowało nad znaczącym wyeliminowaniem deficytów i słabych punktów zidentyfikowanych w swojej architekturze ICT. Podjęto również szereg kluczowych kroków, w tym rekrutację dyrektora ds. bezpieczeństwa informacji, który ma kierować kompleksowymi operacjami cyberbezpieczeństwa.
Wiele kwestii poruszonych w związku z cyberatakiem na irlandzką służbę zdrowia, w szczególności prace nad aktualizacją jej „słabej infrastruktury informatycznej”, z pewnością powróci po opublikowaniu 15 stycznia planu działania Komisji Europejskiej mającego na celu wzmocnienie cyberbezpieczeństwa szpitali i podmiotów świadczących opiekę zdrowotną.
Określone cele planu działania koncentrują się na poprawie wykrywania zagrożeń, gotowości i reagowania kryzysowego w całym europejskim sektorze opieki zdrowotnej. Ma on również na celu zapewnienie dostosowanych wytycznych, narzędzi, usług i szkoleń dla szpitali i podmiotów świadczących opiekę zdrowotną, wraz z kilkoma konkretnymi działaniami, które mają być stopniowo wdrażane w 2025 i 2026 r., we współpracy z podmiotami świadczącymi opiekę zdrowotną, państwami członkowskimi i społecznością zajmującą się cyberbezpieczeństwem.
Komunikat Komisji w sprawie planu działania wyraźnie wskazuje irlandzki cyberatak jako przykład tego rodzaju incydentu, który może wykazać potencjał cyberataków do szybkiego rozprzestrzeniania się w powiązanych ze sobą systemach. Powołuje się również na irlandzki atak cybernetyczny jako incydent, który podkreśla znaczenie konsekwentnego zapewniania podstawowej higieny cybernetycznej i kultury bezpieczeństwa cybernetycznego w organizacjach w całej UE.
Podczas gdy irlandzki cyberatak był niepokojącym atakiem powodującym znaczne zakłócenia i koszty finansowe, plan działania Komisji stara się podkreślić potencjał bardziej destrukcyjnych i złowrogich skutków, gdy są one stosowane przez podmioty państwowe i niepaństwowe w ramach szerszej kampanii hybrydowej przeciwko całemu środowisku bezpieczeństwa UE.
Brak odpowiedniego przygotowania i odparcia cyberataków może ostatecznie doprowadzić, zdaniem Komisji, do destabilizacji naszych społeczeństw przez tych, którzy starają się czerpać zyski z podziałów i zakłóceń. Nie sugeruje to, a plan działania z pewnością nie sugeruje, że istnieje „srebrne rozwiązanie” dla wyzwań związanych z cyberbezpieczeństwem, które istnieją w odniesieniu do ochrony platform cyfrowych opieki zdrowotnej w UE.
Zamiast tego koncentruje się na wezwaniu do wzmocnienia prewencji, gotowości i „bardziej skoordynowanego podejścia do solidarności, przy jednoczesnym wykorzystaniu wiedzy specjalistycznej europejskiego sektora cyberbezpieczeństwa”. Jako taki, i jak stwierdzono w planie działania, odzwierciedla on szersze podejście UE do bezpieczeństwa, które będzie dalej rozwijane i formalizowane w nadchodzącej Europejskiej Strategii Bezpieczeństwa Wewnętrznego.
Dlatego też plan wyraźnie wzywa wszystkie państwa członkowskie do przyjęcia podejścia „całego społeczeństwa” i „całego rządu”.
Punkt ten znajduje również odzwierciedlenie w wytycznych wydanych przez irlandzkie Narodowe Centrum Cyberbezpieczeństwa (NCSC), w szczególności w Krajowym Planie Cyberbezpieczeństwa (NCEP).
NCEP określa krajowe podejście do reagowania na poważne incydenty cyberbezpieczeństwa, które wpływają na poufność, integralność i dostępność ważnych dla kraju systemów i sieci informatycznych i operacyjnych, takich jak te, które ucierpiały podczas ataku na irlandzki HSE.
Chęć Irlandii do zwiększenia swojej gotowości w tym obszarze można również dostrzec w niedawnej publikacji programu rządowego nowej irlandzkiej administracji. Zobowiązano się w nim, że w 2025 r. rząd opracuje nową krajową strategię cyberbezpieczeństwa. Zobowiązuje się również do promowania rozwoju centrum doskonałości w zakresie rozwijania umiejętności w zakresie cyberbezpieczeństwa.
W przeglądzie przeprowadzonym przez PwC po incydencie zauważono również, że istnieje potrzeba zwiększenia poziomu kompetencji technologicznych i znajomości cyberbezpieczeństwa wśród pracowników kluczowych służb krajowych.
Jednakże, chociaż zaakceptowano potrzebę przyjęcia złożonych środków cyberbezpieczeństwa w irlandzkich systemach opieki zdrowotnej, w przeglądzie uznano również potrzebę zrównoważenia tego z potrzebą łatwości użytkowania, zwłaszcza dla personelu klinicznego.
Doświadczenie cyberataku na HSE i rosnące globalne zagrożenie ze strony cyberprzestępców sprawiają, że realizacja tego szczególnego zobowiązania w ramach Programu dla Rządu staje się krajowym imperatywem.
Ważne jest również, aby Irlandia kontynuowała prace nad transpozycją do irlandzkiego prawa zaktualizowanej dyrektywy w sprawie sieci i systemów informatycznych II (NIS2) dotyczącej cyberbezpieczeństwa.
Poprzedni rząd irlandzki zgodził się, że dyrektywa ta stanowi duży krok naprzód w zakresie odporności cybernetycznej i usprawni zarządzanie ryzykiem cybernetycznym w całej Unii, w tym przyniesie znaczną poprawę zdolności reagowania na poważne incydenty, takie jak atak HSE.
Można wreszcie zauważyć, że podczas gdy Irlandia poprzez swoje Narodowe Centrum Cyberbezpieczeństwa aktywnie podejmuje kroki w celu ochrony i obrony bezpieczeństwa i integralności sieci i systemów informatycznych w państwie, poprzednia administracja zatwierdziła również projekt ustawy o krajowym bezpieczeństwie cybernetycznym 2024.
Ten ogólny schemat ustawy jest godny uwagi ze względu na szeroki zakres działań, które będą dozwolone, w tym skanowanie publicznie dostępnych sieci i udostępnianie danych osobowych odpowiednim organom. Może on teraz otrzymać dodatkowy impuls legislacyjny po opublikowaniu przez Komisję planu działania na rzecz wzmocnienia cyberbezpieczeństwa szpitali i podmiotów świadczących opiekę zdrowotną.
Niemniej jednak, gdy zostanie przedstawiony ostateczny projekt ustawy, jest wysoce prawdopodobne, że utrzymujące się obawy dotyczące tego, jak zrównoważyć bezpieczeństwo cyfrowe, dążenie do otwartych danych i prawo do prywatności w czasach nasilających się cyberataków, również będą miały istotne znaczenie.