Napjainkban, egy kisváros kórházában, ahol az egészségügyi személyzet az emberek életének mentése érdekében dolgozik, váratlanul beütött egy kiberbiztonsági incidens, amely nem csak az informatikai rendszert, hanem egy beteg életét is veszélyeztette.
A támadó a Windows operációs rendszer 0. napi sebezhetőségét használta ki az egyik orvosi számítógépen, amely a kórház hálózatához kapcsolódott. Az orvosok és nővérek mindennapi feladataik ellátása közben, egy rövid áramszünet okán a rendszer újraindult, és a támadó kihasználta a pillanatot, hogy bevezesse a kártékony USB pendrive-ot a gépbe. A pendrive-on található rosszindulatú kód azonnal megfertőzte a rendszert, és a támadó számára lehetővé tette az EESZT rendszeréhez való hozzáférést.
Az EESZT rendszerét védi az ISO/IEC 27001 szabvány, de a támadó a kórház belső hálózatában való mozgásához kihasználta az olyan hibákat, amelyeket a rendszeres biztonsági ellenőrzések nem fedtek fel. A támadás második fázisában, a harmadik napon egy további kártékony kód aktiválódott, amely tovább terjedt az EESZT-védett hálózaton, egészen a műtő információs kijelző rendszeréig.
Ez a második kód sértette meg az adatok integritását, manipulálva a páciens - nevezzük Szabó úrnak - CT eredményeit, és ezzel alaposan megzavarta a műtét előkészületeit. Egy másik páciens, nevezzük Kovács úrnak, akit egy rutin szürkehályogműtétre készítettek elő, a manipulált adatok miatt helytelen beavatkozásnak lett alanya, és elveszítette bal heréjét.
A kórházban dolgozó informatikai szakemberek az incidens után egy alapos vizsgálatot folytattak le. Az ISO/IEC 27001 alapján azonosították a rendszerszintű hiányosságokat, és javító intézkedéseket vezettek be. Emellett a személyzetet is oktatták az ismeretlen forrásból származó USB eszközök használatának kockázatairól, és a rendszeres biztonsági ellenőrzések fontosságáról.
Az eset tanulságai:
-
0 napi sebezhetőségek felismerése és kezelése: Az informatikai rendszereknek folyamatosan figyelemmel kell kísérniük az új sebezhetőségeket, és azonnal reagálniuk kell a felfedezettekre.
-
Hálózati biztonság és ISO/IEC 27001: Az informatikai rendszereket folyamatosan kell ellenőrizni és frissíteni a hálózati biztonság fenyegetéseinek kezelése érdekében, és az ISO/IEC 27001 szabványoknak megfelelően kell működni.
-
Személyzetképzés és tudatosság növelése: Az alkalmazottakat rendszeresen kell oktatni az információbiztonsági gyakorlatokról, például az ismeretlen forrásokból származó USB eszközök óvatosságáról.
-
Adatintegritás védelme: Az egészségügyi rendszereknek és protokolloknak megfelelő intézkedéseket kell tenniük az adatok integritásának megőrzése érdekében, hogy elkerüljék a súlyos egészségügyi komplikációkat.
Ez a történet kiemelten hangsúlyozza az informatikai és kiberbiztonsági szempontokat, miközben szemléletesen bemutatja az adatok integritására gyakorolt valós hatásokat egy kórházi környezetben.