Podvodné e-maily mohou zneužít přihlašovací údaje, zveřejnit osobní údaje i přístup k účetním nebo platebním systémům, což může vést k odcizení pacientských a zaměstnaneckých dat či zneužití důvěrných dat nemocnice – a v krajním případě ohrozit nejen chod VFN, ale i životy pacientů. Jak k takovým e-mailům přistupovat, jsme se zeptali vedoucího Odboru bezpečnosti informací ÚI Romana Skuhry.
Co vlastně jsou takzvané podvodné e-maily?
Podvodné a zpravidla nevyžádané e-maily jsou mailové zprávy usilující o to, aby uživatel provedl činnost, která ohrozí jeho osobu nebo zaměstnavatele. Například ho nabádá ke stáhnutí a spuštění softwaru („škodlivého“), zadání svých osobních údajů, vyzrazení či zadání svých přihlašovacích údajů do systémů nebo k platebním nástrojům. Z tohoto důvodu je potřeba být obezřetní při otevírání zprávy, a hlavně neklikat bez rozmyslu na vložené odkazy, nezadávat přihlašovací údaje nebo neotevírat přiložené soubory.
Jaké jsou základní znaky nebezpečného podvodného e-mailu, podle kterých by se měl zaměstnanec orientovat?
Před otevřením jakékoliv zprávy musíme ověřit, zda se nejedná o nebezpečný podvodný e-mail. K tomu slouží některé znaky nebo vlastnosti zaslané zprávy a na ně je potřeba se zaměřit. Patří k nim:
• Očekával jsem zprávu s obdobným obsahem nebo od uvedeného odesílatele?
• Vztahuje se řešená oblast k mému pracovnímu zařazení (kompetencím)?
• Jsem úkolován nebo upozorněn jinou osobou, než vyplývá z organizační struktury (třeba ředitel nebude nařizovat okamžité provedení platby účetní)?
• Je odesílatel (e-mailová adresa) ze známé nebo reálné adresy a je uveden správně (záměna/přidané/chybějící písmena), např. jméno.příjmení@vfm.cz, jméno.příjmení@vfnn.cz jméno.příjmení@vfn.com, jméno.příjmení@vfnpraha.cz?
• Není odesílatel (e-mailová adresa) doménou vyššího řádu (např. vfn.it.cz)?
• Formulace zprávy nedává smysl nebo je neobvyklá,
• apeluje na rychlé vyřešení/odpověď nebo vyhrožuje finančními dopady nebo jinými komplikacemi (např. porušení zákona, soudní stíhání, již se nabídka nebude opakovat),
• vložené odkazy neodpovídají doméně odesílatele,
• při otevření souboru je zobrazeno upozornění systému na jeho nedůvěryhodnost nebo bezpečnostní riziko.
Co mohou takové nebezpečné e-maily způsobit?
Ve vztahu k nemocnici mohou nebezpečné e-maily nejdřív napadnout počítače škodlivým softwarem, zneužít přihlašovací údaje do systémů a nemocničního informačního systému (NIS) a laboratorního informačního systému (LIS), zveřejnit osobní údaje a umožnit přístup k účetním nebo platebním systémům. V konečném důsledku to může znamenat napadení ransomwarem (zašifrováním) všech informačních systémů a dat nemocnice (personální, účetní, skladový, NIS/LIS, lékárenský apod.), odcizení pacientských a zaměstnaneckých dat, zneužití důvěrných dat nemocnice, finanční fraud atd.
Ale i na pracovní e-mail mi mohou přijít podvodné maily vztahující se k mé osobě a ty mohou prvotně způsobit zneužití přihlašovacích údajů do systémů domácího počítače, e-mailu a cloudových služeb, způsobit zveřejnění osobních údajů a umožnit přístup do internetového bankovnictví nebo k platebním kartám. V konečném důsledku to může znamenat napadení škodlivým kódem osobního počítače, odcizení osobních dat, zneužití dalších důvěrných informací, odcizení finančních prostředků z účtů a platebních karet.
Proč jsou podvodné e-maily nebezpečné pro zdravotnické zařízení?
Pro nemocnici a jiná zdravotnická zařízení hlavně ve vztahu k pacientům, kteří očekávají od nemocnice ošetření, poskytnutí rychlé pomoci nebo záchranu života, a v případě nefungování NIS/LIS (zašifrování, zablokování přístupu) jsou procesy zajišťující zdravotní služby ohroženy. Jsou buď časově náročné, nebo je dokonce nelze zajistit v požadovaném rozsahu a kvalitě. Dá se říci, že za určitých okolností může v extrémním případě dojít až k ohrožení zdraví či dokonce smrti pacienta jako důsledek napadení nemocnice škodlivým kódem obsaženém v podvodném e-mailu. Mluvíme například o záměně podávání předepsaných léčiv, záměně pacientů či nastavení a kalibrací přístrojů. Tato rizika je potřeba mít stále na paměti a všichni zaměstnanci bez rozdílu musí přistupovat k této hrozbě zodpovědně, protože „spouštěčem“ může být každý zaměstnanec nemocnice s přístupem do počítače. Jak lékař či zdravotní sestra, tak údržbář či administrativní pracovník…
Uveďte nějaké příklady z minulosti
Celosvětově došlo během posledních let již k několika případům úspěšného napadení kybernetickým útokem nemocnic ve světě (USA, Izrael, Německo, Anglie, Austrálie, Irsko, Estonsko a dalších) a hlavně i několika zdravotních zařízení v České republice: byly to Nemocnice Rudolfa a Stefanie Benešov (2019), Fakultní nemocnice v Brně (2020), Psychiatrická nemocnice v Kosmonosech (2020), Plicní nemocnice Janov na Rokycansku (2018), Poliklinika IPP (2021), Nemocnice Horažďovice (2021) a Nemocnice v České Lípě (2022). Naopak se podařilo kybernetickým útokům ubránit například ve Fakultní nemocnici Ostrava (2020) a Fakultní nemocnici Olomouc (2020).
Jak se zachovat, když odkaz rozkliknete?
Pokud postupujete v rozporu s výše uvedenými upozorněními, tedy kliknete na podezřelý nebo nebezpečný odkaz, zadáte přihlašovací údaje na podvrženou webovou stránku, otevřete soubor oznamující ohrožení počítače nebo způsobí „neobvyklé“ chování počítače, tak neprodleně zadáte incident nebo požadavek (při potřebě prověření) do ServiceDesku nebo zavoláte na Dispečink ÚI (l. 2119). V požadavku/incidentu nebo telefonátu popíšete, co se stalo, v čem vidíte nebezpečí/podezření a jak vše probíhalo. K tomu přiložíte printscreen mailu (příloha incidentu nebo e-mailu na dispečink).
I když uděláte něco špatně, ale vše včas oznámíte, můžete zabránit šíření škodlivého kódu, zamezit provedení chyby i dalšími zaměstnanci nebo můžete provést včasné kroky k zamezení ohrožení nemocnice. Taková chyba nemusí nic znamenat, protože se může jednat:
• jen o neobvyklý e-mail,
• stačí nastavit nové heslo,
• bezpečnostní nástroje nemocnice zamezily dalšímu šíření nebo škodám,
• oznámení umožnilo zamezit kybernetickému útoku.
V případě, že budete čekat, zda na to někdo přijde nebo zda byla hrozba skutečná, tak už může být pozdě na jakékoliv preventivní či záchranné kroky, ale již bude ohrožen provoz celé nemocnice…
