Klikając „Akceptuj wszystkie pliki cookie”, zgadzasz się na przechowywanie plików cookie na swoim urządzeniu w celu ułatwienia nawigacji po stronie, analizy korzystania ze strony oraz wspierania naszych działań marketingowych. Zobacz naszą Politykę prywatności, aby uzyskać więcej informacji.
PreferencjeOdrzućAkceptuj
Powrót na stronę główną bloga
Case Study

Atak na ośrodek medyczny - analiza przypadku

Autor/ka
Davidson Consulting
ikona facebook
ikona linkedin

Eksperci ds. zarządzania kryzysowego i ciągłości działania

W październiku 2020 roku University of Vermont Medical Center (UVM) stało się celem ataku ransomware, który poważnie zakłócił funkcjonowanie jego systemów informatycznych.

Incydent ten unaocznił wyzwania, przed jakimi stoi sektor opieki zdrowotnej w zakresie cyberbezpieczeństwa i zarządzania ciągłością działania.

Przebieg incydentu

Atak rozpoczął się 28 października 2020 roku. Według ustaleń, źródłem infekcji było otwarcie przez jednego z pracowników phishingowego e-maila podczas urlopu. Po powrocie, pracownik podłączył zainfekowany laptop do sieci szpitala, co umożliwiło uruchomienie złośliwego oprogramowania.

Skutki były natychmiastowe:

  • Sparaliżowanych zostało 1300 serwerów
  • Przestało działać 600 aplikacji
  • Dotkniętych zostało 5000 komputerów

Funkcjonowanie szpitala zostało znacznie ograniczone. Personel medyczny musiał przejściowo korzystać z dokumentacji papierowej, aby utrzymać ciągłość opieki nad pacjentami.

W odpowiedzi na atak, szpital odłączył swoje systemy od sieci, aby zatrzymać rozprzestrzenianie się oprogramowania. W działania zaangażowano także FBI i Gwardię Narodową. UVM Medical Center nie zdecydowało się na zapłatę okupu. Proces odzyskiwania danych trwał około trzech tygodni, natomiast pełna odbudowa infrastruktury zajęła kilka miesięcy.

Mocne strony reakcji szpitala

Pomimo trudności, w działaniach UVM można wskazać elementy, które mogą stanowić punkt odniesienia dla innych placówek:

  • Działające kopie zapasowe – Backupy pozwoliły na odzyskanie większości danych bez konieczności negocjacji z przestępcami.
  • Szybka izolacja systemów – Odłączenie sieci ograniczyło skalę incydentu i zmniejszyło ryzyko utraty danych.
  • Współpraca z instytucjami zewnętrznymi – Udział FBI i Gwardii Narodowej przyspieszył dochodzenie i odbudowę.
  • Ochrona danych pacjentów – Potwierdzono, że mimo przestoju nie doszło do wycieku wrażliwych informacji medycznych.

Słabości i obszary do poprawy

Incydent uwypuklił także problemy, z których inne organizacje mogą wyciągnąć wnioski:

  • Brak skutecznych szkoleń z zakresu phishingu – Błąd ludzki przyczynił się do incydentu, co pokazuje, jak istotne są regularne i praktyczne szkolenia.
  • Przestarzałe systemy IT – Obecność tzw. systemów legacy oraz opóźnienia w aktualizacjach zwiększyły podatność sieci.
  • Problemy z backupem jednego z systemów specjalistycznych (ROIS) – Brak dostępu do kopii zapasowej systemu radioterapii opóźnił przywrócenie kluczowych funkcji klinicznych.
  • Niedoszacowanie kosztów w polisie ubezpieczeniowej – Całkowite koszty ataku znacznie przekroczyły zakres ochrony oferowanej przez ubezpieczenie.

Wnioski dla sektora medycznego

Zdarzenie w UVM Medical Center może posłużyć jako źródło przemyśleń i zmian w podejściu do zarządzania ryzykiem cybernetycznym w instytucjach ochrony zdrowia. Wśród najważniejszych obserwacji:

  1. Priorytetowe traktowanie cyberbezpieczeństwa – Ochrona infrastruktury IT powinna być istotnym elementem strategii każdej jednostki medycznej.
  2. Testowanie planów ciągłości działania (BCM) – Symulacje awaryjne powinny obejmować scenariusze pracy offline i sprawdzenie dostępności backupów w izolowanych środowiskach.
  3. Segmentacja sieci – Oddzielenie systemów klinicznych od biurowych może ograniczyć skutki ataków i utrudnić ich propagację.
  4. Wdrożenie modelu Zero Trust – Ograniczanie uprawnień użytkowników i kontrola dostępu powinny być standardem.
  5. Weryfikacja polis ubezpieczeniowych – Ubezpieczenie powinno uwzględniać nie tylko koszty techniczne, ale też potencjalne przestoje i koszty utraty zaufania.

Kluczowe statystyki ataku UVM

  • Całkowity koszt ataku:                               63 mln USD
  • Dzienny koszt przestoju:                           1,5 mln USD
  • Liczba oczyszczonych komputerów:       5000
  • Czas pełnej odbudowy:                             Kilka miesięcy / 3 miesiące

Perspektywa dla branży medycznej - nie ma "zmiłuj"

Atak na University of Vermont Medical Center pokazał, że nawet bez naruszenia poufności danych, cyberatak może zakłócić funkcjonowanie placówki zdrowia i spowodować poważne konsekwencje operacyjne oraz finansowe. Choć szpital zdołał ochronić dane pacjentów, koszt odzyskiwania systemów i przywracania pełnej funkcjonalności okazał się bardzo wysoki. Przypadek ten stanowi przypomnienie, że w obecnym krajobrazie zagrożeń organizacje powinny nie tylko inwestować w zabezpieczenia, ale również przygotowywać się na scenariusze awaryjne i dbać o odporność operacyjną w warunkach kryzysu.

Zapisz się już teraz! 

Subskrybując newsletter Davidson Consulting, otrzymujesz merytoryczne analizy z zakresu zarządzania ryzykiem, ciągłości działania, cyberbezpieczeństwa i compliance (m.in. DORA, NIS2), a także informacje o naszych usługach i produktach, które pomogą Ci skutecznie wdrożyć prezentowane strategie.  

Pamiętaj, Twoja subskrypcja jest w pełni dobrowolna i możesz ją anulować w każdej chwili jednym kliknięciem.
* - Pole obowiązkowe
Dziękujemy za zapisanie się do Forum Ekspertów Odporności Operacyjnej.
Ups! Coś poszło nie tak podczas uzupełnienia formy. Spróbuj ponownie lub skontaktuj się bezpośrednio.

Najnowsze artykuły:

Niewidzialne zagrożenia
Atak Shai Hulud 2.0.
Insider threat. Sabotaż Davisa Lu jako przykład wewnętrznego zagrożenia dla ciągłości działania
Katastrofa śmigłowca właścicieli SUP-FOL
Duńska "Nocna Straż"

Kategorie:

ICT Navigator
Geopolityka a biznes
Ochrona ludności
Bezpieczeństwo łańcucha dostaw
Zarządzanie kryzysowe
Incydenty
Szkolenia
Wydarzenia
Komunikacja kryzysowa
Audyt
Sygnaliści
Zgodność
Cyberbezpieczeństwo
Ciągłość działania

Oferta Davidson Consulting:

Business ContinuityZarządzanie ryzykiemCyberbezpieczeństwoRozmowy o ryzykuRaporty

Najnowsze artykuły

Insider threat. Sabotaż Davisa Lu jako przykład wewnętrznego zagrożenia dla ciągłości działania

Sprawa Lu dostarcza materiału analitycznego, nad którym powinna pochylić się każda organizacja.
Czytaj dalej
Case Study

Insider threat. Sabotaż Davisa Lu jako przykład wewnętrznego zagrożenia dla ciągłości działania

Cyberbezpieczeństwo
Incydenty
insider threat, zagrożenia wewnętrzne, cyberbezpieczeństwo, sabotaż w firmie, zarządzanie ryzykiem IT, ciągłość działania, bezpieczeństwo informacji, ochrona infrastruktury, Davis Lu, Eaton Corporation, złośliwy kod, zarządzanie uprawnieniami, audyt bezpieczeństwa, Business Continuity Plan, ryzyko osobowe, incydenty bezpieczeństwa, ochrona danych, zwolnienie pracownika IT, separacja obowiązków
Podmioty ważne i kluczowe

Atak Shai Hulud 2.0.

Ujawnienie krytycznych sekretów środowiska wykonawczego!
Czytaj dalej
Case Study

Atak Shai Hulud 2.0.

Cyberbezpieczeństwo
Ciągłość działania
Bezpieczeństwo łańcucha dostaw
Incydenty
Shai Hulud 2.0, atak supply chain npm, bezpieczeństwo CI/CD, złośliwe pakiety npm, non-human identities, zarządzanie sekretami, kradzież kluczy API, ochrona środowiska wykonawczego, rotacja poświadczeń, wyciek danych GitHub, dostęp Just-in-Time, malware w potokach CI/CD, audyt bezpieczeństwa ICT, environment.json, cyberbezpieczeństwo 2025
IT i technologia

Katastrofa śmigłowca właścicieli SUP-FOL

Lekcje o sukcesji, prokurencie i ciągłości działania spółki z o.o.
Czytaj dalej
Case Study

Katastrofa śmigłowca właścicieli SUP-FOL

Ciągłość działania
Zarządzanie kryzysowe
Incydenty
katastrofa śmigłowca, wypadek lotniczy, wypadek śmigłowca pod Rzeszowem, tragedia w firmie rodzinnej, śmierć przedsiębiorców, SUP-FOL, SupFol, katastrofa śmigłowca SUP-FOL, spółka z o.o., firmy rodzinne Polska, sukcesja w firmie, sukcesja przedsiębiorstwa, sukcesja w spółce z o.o., śmierć wspólnika, śmierć członka zarządu, co po śmierci wspólnika, co po śmierci członka zarządu, paraliż decyzyjny spółki, brak zarządu w spółce, kto reprezentuje spółkę, kurator dla spółki, kurator sądowy spółki, jak powołać kuratora spółki, ile kosztuje kurator dla spółki, KRS reprezentacja, blokada konta spółki, co dzieje się ze spółką z o.o. po śmierci zarządu, co robić gdy spółka nie ma zarządu, zarządzanie ryzykiem w firmie, plan ciągłości działania, business continuity, ciągłość działania w MŚP, plan ciągłości działania w firmie, ryzyka operacyjne firm rodzinnych, ubezpieczenie key person, prokura, prokurent, prokura samoistna, prokura łączna, jak działa prokura, czy prokura wygasa po śmierci zarządu, zabezpieczenie firmy po śmierci właściciela, jak zabezpieczyć firmę po nagłej śmierci właściciela, jak przygotować sukcesję w firmie, sukcesja kapitałowa i korporacyjna, umowa spółki sukcesja, postępowanie spadkowe wspólnika, blokada rachunku firmowego, reprezentacja spółki po śmierci zarządu
Przemysł
Firmy w Polsce

Duńska "Nocna Straż"

Jak globalna polityka i nieprzewidywalność zmuszają dyplomację do innowacji i adaptacji.
Czytaj dalej
Artykuł

Duńska "Nocna Straż"

Geopolityka a biznes
Zarządzanie kryzysowe
grenlandia, usa, komunikacja kryzysowa, zarządzanie ryzykiem, dania, Dyplomacja, StosunkiMiędzynarodowe, politykaZagraniczna, Adaptacja, ZarządzanieKryzysowe
Administracja publiczna
Przejdź do wszystkich wpisów