Klikając „Akceptuj wszystkie pliki cookie”, zgadzasz się na przechowywanie plików cookie na swoim urządzeniu w celu ułatwienia nawigacji po stronie, analizy korzystania ze strony oraz wspierania naszych działań marketingowych. Zobacz naszą Politykę prywatności, aby uzyskać więcej informacji.
PreferencjeOdrzućAkceptuj
Powrót na stronę główną bloga
Case Study

Atak na ośrodek medyczny - analiza przypadku

Autor/ka
Davidson Consulting
ikona facebook
ikona linkedin

Eksperci ds. zarządzania kryzysowego i ciągłości działania

W październiku 2020 roku University of Vermont Medical Center (UVM) stało się celem ataku ransomware, który poważnie zakłócił funkcjonowanie jego systemów informatycznych.
Rosyjska balistyczna rakieta hiperdźwiękowa "Oriesznik" na wozie transportowym.

Incydent ten unaocznił wyzwania, przed jakimi stoi sektor opieki zdrowotnej w zakresie cyberbezpieczeństwa i zarządzania ciągłością działania.

Przebieg incydentu

Atak rozpoczął się 28 października 2020 roku. Według ustaleń, źródłem infekcji było otwarcie przez jednego z pracowników phishingowego e-maila podczas urlopu. Po powrocie, pracownik podłączył zainfekowany laptop do sieci szpitala, co umożliwiło uruchomienie złośliwego oprogramowania.

Skutki były natychmiastowe:

  • Sparaliżowanych zostało 1300 serwerów
  • Przestało działać 600 aplikacji
  • Dotkniętych zostało 5000 komputerów

Funkcjonowanie szpitala zostało znacznie ograniczone. Personel medyczny musiał przejściowo korzystać z dokumentacji papierowej, aby utrzymać ciągłość opieki nad pacjentami.

W odpowiedzi na atak, szpital odłączył swoje systemy od sieci, aby zatrzymać rozprzestrzenianie się oprogramowania. W działania zaangażowano także FBI i Gwardię Narodową. UVM Medical Center nie zdecydowało się na zapłatę okupu. Proces odzyskiwania danych trwał około trzech tygodni, natomiast pełna odbudowa infrastruktury zajęła kilka miesięcy.

Mocne strony reakcji szpitala

Pomimo trudności, w działaniach UVM można wskazać elementy, które mogą stanowić punkt odniesienia dla innych placówek:

  • Działające kopie zapasowe – Backupy pozwoliły na odzyskanie większości danych bez konieczności negocjacji z przestępcami.
  • Szybka izolacja systemów – Odłączenie sieci ograniczyło skalę incydentu i zmniejszyło ryzyko utraty danych.
  • Współpraca z instytucjami zewnętrznymi – Udział FBI i Gwardii Narodowej przyspieszył dochodzenie i odbudowę.
  • Ochrona danych pacjentów – Potwierdzono, że mimo przestoju nie doszło do wycieku wrażliwych informacji medycznych.

Słabości i obszary do poprawy

Incydent uwypuklił także problemy, z których inne organizacje mogą wyciągnąć wnioski:

  • Brak skutecznych szkoleń z zakresu phishingu – Błąd ludzki przyczynił się do incydentu, co pokazuje, jak istotne są regularne i praktyczne szkolenia.
  • Przestarzałe systemy IT – Obecność tzw. systemów legacy oraz opóźnienia w aktualizacjach zwiększyły podatność sieci.
  • Problemy z backupem jednego z systemów specjalistycznych (ROIS) – Brak dostępu do kopii zapasowej systemu radioterapii opóźnił przywrócenie kluczowych funkcji klinicznych.
  • Niedoszacowanie kosztów w polisie ubezpieczeniowej – Całkowite koszty ataku znacznie przekroczyły zakres ochrony oferowanej przez ubezpieczenie.

Wnioski dla sektora medycznego

Zdarzenie w UVM Medical Center może posłużyć jako źródło przemyśleń i zmian w podejściu do zarządzania ryzykiem cybernetycznym w instytucjach ochrony zdrowia. Wśród najważniejszych obserwacji:

  1. Priorytetowe traktowanie cyberbezpieczeństwa – Ochrona infrastruktury IT powinna być istotnym elementem strategii każdej jednostki medycznej.
  2. Testowanie planów ciągłości działania (BCM) – Symulacje awaryjne powinny obejmować scenariusze pracy offline i sprawdzenie dostępności backupów w izolowanych środowiskach.
  3. Segmentacja sieci – Oddzielenie systemów klinicznych od biurowych może ograniczyć skutki ataków i utrudnić ich propagację.
  4. Wdrożenie modelu Zero Trust – Ograniczanie uprawnień użytkowników i kontrola dostępu powinny być standardem.
  5. Weryfikacja polis ubezpieczeniowych – Ubezpieczenie powinno uwzględniać nie tylko koszty techniczne, ale też potencjalne przestoje i koszty utraty zaufania.

Kluczowe statystyki ataku UVM

  • Całkowity koszt ataku:                               63 mln USD
  • Dzienny koszt przestoju:                           1,5 mln USD
  • Liczba oczyszczonych komputerów:       5000
  • Czas pełnej odbudowy:                             Kilka miesięcy / 3 miesiące

Perspektywa dla branży medycznej - nie ma "zmiłuj"

Atak na University of Vermont Medical Center pokazał, że nawet bez naruszenia poufności danych, cyberatak może zakłócić funkcjonowanie placówki zdrowia i spowodować poważne konsekwencje operacyjne oraz finansowe. Choć szpital zdołał ochronić dane pacjentów, koszt odzyskiwania systemów i przywracania pełnej funkcjonalności okazał się bardzo wysoki. Przypadek ten stanowi przypomnienie, że w obecnym krajobrazie zagrożeń organizacje powinny nie tylko inwestować w zabezpieczenia, ale również przygotowywać się na scenariusze awaryjne i dbać o odporność operacyjną w warunkach kryzysu.

Najnowsze artykuły:

Rosyjskie drony nad Polską: Poradnik
Identyfikacja i uzasadnienie funkcji krytycznych lub istotnych dla banku komercyjnego w świetle rozporządzenia DORA
Czapka, lincz i zniszczona reputacja
Świadczenia rzeczowe na rzecz obrony
Miejsce na schron - nowe rozporządzenie

Kategorie:

ICT Navigator
Geopolityka a biznes
Ochrona ludności
Bezpieczeństwo łańcucha dostaw
Zarządzanie kryzysowe
Incydenty
Testy
Szkolenia
Wydarzenia
Komunikacja kryzysowa
Audyt
Zarządzanie ryzykiem
Sygnaliści
Zgodność
Cyberbezpieczeństwo
Ciągłość działania

Oferta Davidson Consulting:

Business ContinuityZarządzanie ryzykiemCyberbezpieczeństwoRozmowy o ryzykuRaporty

Najnowsze artykuły

Rosyjskie drony nad Polską: Poradnik

Co powinna zrobić firma po odebraniu ostrzeżenia?
Czytaj dalej
Poradnik

Rosyjskie drony nad Polską: Poradnik

Ochrona ludności
Geopolityka a biznes
Zarządzanie kryzysowe
Komunikacja kryzysowa
Wydarzenia
Zarządzanie ryzykiem, zarządzanie kryzysowe, Plan Ciągłości Działania, BCP, Plan Odzyskiwania po Awarii, DRP, cyberbezpieczeństwo, dezinformacja, komunikacja kryzysowa, systemy wczesnego ostrzegania, procedury awaryjne, ochrona przed dezinformacją, testowanie procedur, plany awaryjne, wojna hybrydowa, geopolityka, zagrożenie militarne, konfrontacja z Rosją, eskalacja konfliktu, inwazja na Ukrainę, bezpieczeństwo narodowe, bezpieczeństwo Polski, rosyjskie drony, incydenty na granicy, ataki na infrastrukturę, dezinformacja Rosja, propaganda rosyjska, wojna informacyjna, zarządzanie kryzysowe w firmie, zarządzanie ryzykiem geopolitycznym, gotowość na kryzys, plan ewakuacji, symulacje kryzysowe, strategie zarządzania kryzysem, Analiza wpływu na biznes, BIA, zarządzanie incydentami, kryzys w biznesie, odporność biznesowa, ciągłość działania biznesu, cyberbezpieczeństwo narodowe, ataki hakerskie z Rosji, cyberwojna, phishing geopolityczny, ataki DDoS, ochrona danych, zagrożenia cybernetyczne, CERT Polska, bezpieczeństwo IT, systemy backupu, polityka haseł, zabezpieczenia sieciowe, odporność na cyberataki, edukacja cybernetyczna, walka z dezinformacją, weryfikacja źródeł, fałszywe informacje, komunikaty kryzysowe, wiarygodne źródła informacji, media społecznościowe a propaganda, komunikacja wewnętrzna w kryzysie, Rządowe Centrum Bezpieczeństwa, RCB, służby specjalne a dezinformacja, analiza informacji, fake newsy, odporność łańcucha dostaw, zakłócenia w transporcie, ryzyko operacyjne, planowanie logistyczne w kryzysie, alternatywne trasy dostaw, zapasowanie krytycznych surowców, szkolenia z bezpieczeństwa, odporność psychiczna na stres, ochrona mienia, ubezpieczenia od ryzyk wojennych, współpraca z władzami lokalnymi, planowanie dla biznesu.
Bankowość i rynki finansowe
E-commerce
Edukacja
Ekologia
Energetyka

Czapka, lincz i zniszczona reputacja

Jak Twoja firma może stać się ofiarą pomyłki i dlaczego potrzebujesz planu już dziś...
Czytaj dalej
Case Study

Czapka, lincz i zniszczona reputacja

Komunikacja kryzysowa
Zarządzanie kryzysowe
budownictwo, reputacja, bruk, tenis, Afera czapeczkowa, Drog-Bruk Zgorzelec, Roman Szkaradek, Kamil Majchrzak, incydent US Open, kryzys wizerunkowy, lincz w Internecie, viral, fałszywe oskarżenia, media społecznościowe, zniesławienie, reputacja firmy, zarządzanie kryzysowe, komunikacja kryzysowa, plan kryzysowy, monitoring sieci, Google Alerts, oświadczenie kryzysowe, procedury wewnętrzne, reagowanie na kryzys, ochrona reputacji, ryzyko wizerunkowe, zarządzanie reputacją, kryzys w internecie, cyfrowy lincz.
Transport i logistyka

Świadczenia rzeczowe na rzecz obrony

Analiza ryzyk operacyjnych dla przedsiębiorstw w reakcji na rozporządzenie Ministerstwa Obrony.
Czytaj dalej
Artykuł

Świadczenia rzeczowe na rzecz obrony

Ciągłość działania
Ochrona ludności
Zarządzanie ryzykiem
Geopolityka a biznes
odporność organizacyjna firmy, przygotowanie firmy na kryzys, zarządzanie ryzykiem operacyjnym, planowanie ciągłości działania, ochrona mienia firmy w przypadku mobilizacji, doradztwo prawne świadczenia rzeczowe, audyt gotowości obronnej przedsiębiorstwa, jak uniknąć rekwirowania mienia przez wojsko, opracowanie planów obrony cywilnej dla firm, strategia zarządzania aktywami w warunkach kryzysu, szkolenia z zakresu świadczeń rzeczowych, procedura kwalifikowania firmy do świadczeń rzeczowych, czy moja firma musi oddać samochody wojsku, jak zminimalizować straty przy świadczeniach na rzecz obrony, rekompensaty za zarekwirowany sprzęt budowlany, pomoc prawna w odwołaniu od decyzji o świadczeniu, bezpieczeństwo biznesu, gotowość, kryzys, strategia, zarządzanie, plan, ryzyko, rekwizycja, audyt, ochrona, przepisy.
Administracja publiczna
Przemysł elektromaszynowy
Podmioty ważne i kluczowe
Bankowość i rynki finansowe
Motoryzacja

Miejsce na schron - nowe rozporządzenie

Rozporządzenie Rady Ministrów w sprawie szczegółowych warunków wyznaczania budynków użyteczności publicznej, w których zapewnia się budowle ochronne.
Czytaj dalej
Artykuł

Miejsce na schron - nowe rozporządzenie

Ochrona ludności
Zarządzanie kryzysowe
schron, ochrona ludności, bezpieczeństwo, rozporządzenie, ustawa o ochronie ludności,administracja publiczna
Administracja publiczna
Przejdź do wszystkich wpisów