Cyberataki na ochronę zdrowia. Ministerstwo Cyfryzacji publikuje zalecenia dla podmiotów KSC 

Ministerstwo Cyfryzacji informuje o nasilonej aktywności grup hakerskich wymierzonej w instytucje publiczne, w szczególności w sektor ochrony zdrowia. W odpowiedzi na rosnącą liczbę incydentów Pełnomocnik Rządu ds. Cyberbezpieczeństwa opublikował zalecenia, które mają pomóc w ograniczeniu ryzyka ataków typu ransomware.

Przegląd zasobów IT pod kątem wskaźników kompromitacji (załącznik nr 1) może umożliwić szybkie wykrycie obecności cyberprzestępców w infrastrukturze i zapobiec zaszyfrowaniu lub kradzieży danych. Z kolei przedstawione zalecenia (załącznik nr 2) mają wzmocnić odporność organizacji i utrudnić atakującym uzyskanie dostępu do systemów. 

Poniżej prezentujemy najważniejsze rekomendacje Pełnomocnika Rządu ds. Cyberbezpieczeństwa, ze szczególnym uwzględnieniem sektora ochrony zdrowia. 

ZALECENIA DLA PODMIOTÓW KRAJOWEGO SYSTEMU CYBERBEZPIECZEŃSTWA 

Wdrożenie nawet części poniższych działań znacząco zmniejsza ryzyko incydentu oraz ogranicza jego skutki. Rekomendowane jest możliwie szerokie zastosowanie wszystkich wskazówek. 

1. Ochrona brzegowa i dostęp zdalny 

Aktualizacja i konfiguracja urządzeń 

• Zapewnienie, że wszystkie firewalle pracują na aktualnych, stabilnych wersjach oprogramowania. 

• Dostęp administracyjny wyłącznie z wydzielonej sieci zarządzającej. 

Zarządzanie uprawnieniami 

• Przegląd i autoryzacja kont o podwyższonych uprawnieniach na urządzeniach sieciowych. 

Bezpieczny dostęp zdalny 

• Weryfikacja zasadności kont VPN (wirtualnej sieci prywatnej) i połączeń RDP (protokołu pulpitu zdalnego). RDP nie może być dostępne bezpośrednio z Internetu — dostęp wyłącznie przez szyfrowany VPN. 

• Stosowanie zasady najmniejszych uprawnień (tzw. Least Privilege). 

• Wymuszenie MFA (uwierzytelnienia wieloskładnikowego) dla wszystkich połączeń VPN i RDP. 

• Ograniczenie liczby nieudanych prób logowania (ochrona przed atakami brute force). 

• Ograniczenie użytkownika do jednej aktywnej sesji. 

Monitoring i geofencing 

• Regularna analiza ruchu sieciowego i podejrzanych zdarzeń. 

• Wdrożenie geoblockingu — ograniczenie ruchu przychodzącego do Polski lub Europy. 

Kontrola ruchu wychodzącego 

• Zezwolenie na ruch do iInternetu tylko dla urządzeń, które tego wymagają. 

2. Poświadczenia i konta (Active Directory) 

Analiza logowań 

• Monitorowanie logowań w nietypowych godzinach lub odbiegających od standardów organizacji. 

Nadzór nad kontami uprzywilejowanymi 

• Stała kontrola aktywności kont administracyjnych i zarządczych. 

• Rekomendowane wdrożenie systemów PAM (monitorowania kont o podwyższonych uprawnieniach) oraz SIEM (monitorowania i zarządzania incydentami bezpieczeństwa). 

Audyt i higiena kont 

• Regularne usuwanie kont byłych pracowników i kont nieużywanych. 

• Zakaz logowania kontami Administratora Domeny na stacjach roboczych. 

• Profilaktyczna zmiana haseł kont administracyjnych — hasła min. 16–20 znaków, unikalne dla każdego systemu. 

Ochrona AD 

• Ograniczenie dostępu sieciowego do kontrolerów domeny. 

• Monitorowanie operacji na bazie „NTDS.dit” oraz zmian w grupach wrażliwych. 

Wsparcie zewnętrzne 

• Kontrola połączeń dostawców i firm trzecich. Uprawnienia przyznawane wyłącznie czasowo i tylko do niezbędnych zasobów. 

3. Ochrona punktów końcowych (AV/EDR) 

• Pełne skanowanie wszystkich hostów i serwerów, szczególnie systemów Windows. 

• Codzienny przegląd alertów AV/EDR — ignorowanie ich jest jedną z najczęstszych przyczyn udanych ataków. 

• Docelowe wdrożenie rozwiązań EDR/XDR. 

4. Logowanie i monitoring (SIEM) 

• Centralizacja logów w bezpiecznym kolektorze i ich przechowywanie przez minimum rok. 

• Automatyczna analiza i korelacja zdarzeń w systemie SIEM. 

• Umieszczenie kolektora logów w odseparowanym segmencie sieci. 

5. Kopie zapasowe (Backup) 

• System backupu nie może korzystać z poświadczeń domenowych — tylko konta lokalne. 

• Backupy muszą być przechowywane w odizolowanym segmencie sieci. 

• Regularne testy odtwarzania danych z kopii bezpieczeństwa. 

• Przechowywanie kopii w trybie WORM z ustaloną retencją. 

6. Usługi zewnętrzne i narzędzia 

Usługi publikowane 

• Monitorowanie logów usług dostępnych publicznie (np. telemedycyna, portale pacjenta). 

• Wdrożenie mechanizmów blokowania ataków brute force. 

• Aktualizacje krytycznych podatności w ciągu 24 godzin. 

• Maksymalna izolacja usług publicznych od systemów wewnętrznych. 

Narzędzia administracyjne 

• Monitorowanie użycia narzędzi do transferu danych (np. Rclone, WinSCP). Ich nagłe pojawienie się może świadczyć o próbie wycieku danych. 

Na początku marca Ministerstwo Zdrowia poinformowało o utworzeniu Departamentu Cyberbezpieczeństwa. Jak wyjaśniał wiceminister Tomasz Maciejewski, to działanie wynika m.in. . z obowiązków związanych z realizacją ustawy o cyberbezpieczeństwie, ale jest też reakcją na ostatnie wydarzenia. Chodzi o atak hakerski na infrastrukturę teleinformatyczną Samodzielnego Wojewódzkiego Szpitala Zespolonego w Szczecinie, do którego doszło w nocy z 7 na 8 marca. Przestępcy zaszyfrowali dane znajdujące się w systemie placówki, co zmusiło szpital do przejścia w tryb offline.