Bezpečnostné opatrenia týkajúce sa vypnutia aplikácie a eReceptu štátna poisťovňa prijala na ochranu osobných údajov poistencov, tvrdí v tlačovej správe. Dáta poistencov sú podľa VšZP chránené a starostlivosť ohrozená nie je. To uvádza od pondelka (27. 1.) a stojí si za tým napriek potrebe vypínať funkcie.
V stredu už VšZP informovala, že všetky elektronické služby, čiže aj aplikáciu aj eRecept, opätovne spustila. Výpadok teda platil len niekoľko hodín v utorok. Vo všeobecnosti takéto výpadky však môžu znamenať obmedzený prístup k liekom, ale aj preťaženie ambulancií.
Lekári musia riešiť predpisovanie liekov manuálne, čo zvyšuje administratívnu záťaž a môže predlžovať čakacie doby, vysvetlila pre Pravdu viceprezidentka Asociácie na ochranu práv pacientov Elena Marušáková. Bez elektronických záznamov môže dôjsť aj k chybám v predpisovaní liekov.
Foto: TASR, Jaroslav Novák
Štátna poisťovňa sa preto pre nedostatočnú komunikáciu dostala pod kritiku viacerých expertov na informačné technológie (IT) či kyberbezpečnosť. Vedeniu poisťovne sa vyčíta, že o útoku nedostatočne informuje.
„Niektoré služby na pár hodín zastavili a to si osobne myslím, že to by im ani veľmi nepomohlo. Urobili nejaké opatrenia a demonštrovali, že pravdepodobne je nejaký útok, ale podľa toho ako komunikujú si myslím, že nebol taký veľký ako v prípade katastra,“ uviedol pre Pravdu odborník na IT a šéfredaktor portálu Touchit.sk Ondrej Macko.
Netransparentnosť
Faktom zostáva, že VšZP čelila kyberútoku minimálne od piatku a verejnosť má o situácii stále minimum informácií. A to aj napriek tomu, že premiér Robert Fico (Smer) či minister zdravotníctva Kamil Šaško (Hlas) hlásili, že ide o veľmi vážny útok, ktorý môže ohrozovať údaje poistencov.
Kyberútoku sa podľa ministra Šaška venuje okrem Národného bezpečnostného úradu (NBÚ) aj vládna jednotka CSIRT pre riešenie počítačových incidentov patriaca pod ministerstvo investícií, regionálneho rozvoja a informatizácie (MIRRI).
Čítajte viac Všetky elektronické služby VšZP sú už plne funkčné
„My sme, samozrejme, okamžite informovali všetky príslušné orgány, predovšetkým teda NBÚ, ale aj MIRRI, a teda jednotku CSIRT a všetky kompetentné orgány tohto štátu a, samozrejme, aj Úrad vlády,“ uviedol na brífingu Šaško.
Pravda oslovila VšZP, ministerstvo zdravotníctva, MIRRI, NBÚ aj CSIR s prosbou priblížiť detaily o kyberútoku, jeho rozsahu a dôsledkoch pre pacientov. Bližšie informácie však inštitúcie neposkytli, VšZP ani ministerstvo zdravotníctva či NBÚ do uzávierky na otázky neodpovedali.
„Bezpečnosť údajov poistencov je pre VšZP najvyššou prioritou. Dáta naďalej zostávajú v bezpečí, sú chránené a ich integrita nebola narušená. Všetky služby, vrátane eReceptu a mobilnej aplikácie sú v týchto chvíľach k dispozícii v štandardnom režime,“ odpísala nám štátna poisťovňa na žiadosť o konkrétnejšie detaily ohľadom kyberútoku.
Čítajte aj Hrozia opäť tisíce výpovedí lekárov? Šaškovi sa kráti čas na avizované zmeny, koalícia nemá hlasy na ich podporu
V sobotu poisťovňa uviedla, že k narušeniu jej infraštruktúry nedošlo a situáciu naďalej aktívne monitoruje. Tvrdí, že má zavedené vysoké štandardy ochrany a jej infraštruktúra je viacnásobne zabezpečená s rôznymi vrstvami ochrany, ktoré minimalizujú riziko úspešného prieniku.
Z MIRRI nám len stručne odpísali, že v prípade kybernetických útokov, je kľúčové informovať používateľov služieb, aby zvýšili svoju obozretnosť. Zároveň sa podľa tlačového odboru rezortu vykonávajú technické opatrenia na zníženie rizika ďalších útokov.
„Vládna jednotka CSIRT vyslala tím k nahlásenému kybernetickému incidentu. Na mieste boli vykonané opatrenia na okamžité zmiernenie útokov. Vládna jednotka sa k ďalším podrobnostiam incidentu vzhľadom na vyšetrovanie nevyjadruje v súlade s § 12 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti,“ zopakovalo MIRRI už známe informácie v stanovisku.
Čo vieme o útoku?
Podľa premiéra Fica útok na VšZP spočíval v „obrovskom množstve pokusov získavať z informačných zdrojov VšZP citlivé informácie, ktoré sa týkali všetkých osobných údajov a čo je najpodstatnejšie, týkali sa všetkých diagnóz vrátane už pripravovaných alebo už zrealizovaných zákrokov, ktoré pacient absolvoval“.
Údaje sa podľa neho útočníkom nepodarilo získať. Pokiaľ by útok bol úspešný, došlo by k znefunkčneniu poskytovania zdravotnej starostlivosti na Slovensku, priznal predseda vlády.
Fico zároveň podotkol, že v najbližších dňoch pripravuje vyhostenie zahraničných inštruktorov, ktorí sú na území Slovenskej republiky. Predseda vlády označil aj kybernetický útok na štátnu zdravotnú poisťovňu za súčasť učebnicového modelového príkladu, „ako sa likvidujú neposlušné vlády, ktoré majú na niektoré veci iný názor“.
Čítajte viac Ďalší masívny kybernetický útok proti Slovensku zasiahol VšZP. Fico: Vyhostíme zahraničných inštruktorov
Odborník na IT Macko ale podotkol, že ak skutočne ide o útok takého rozsahu, ako hovorí Fico, tak autority by o tom mali verejnosť podrobnejšie informovať. „V poisťovni sú uložené naozaj citlivé dáta a najcennejšie informácie. Ak by teda naozaj išlo o taký vážny útok, ako sa to prezentuje, tak by bolo treba verejnosť kompletne informovať o tom, čo sa presne stalo. Lebo takto sme len v informačnom vákuu a nikto v podstate nevie, čo sa deje,“ reagoval pre Pravdu Macko.
Generálny riaditeľ VšZP Matúš Jurových na sociálnej sieti napísal, že šlo o „omnoho vážnejší“ útok než je bežná phishingová kampaň. Bol podľa jeho slov „masívny“. Phishing je „pokus o podvodné získanie citlivých informácií, ako sú heslá a podrobnosti o kreditných kartách. Zvyčajne sa zakladá na rozposielaní podvodných správ, ktoré lákajú na „kliknutie“ na nebezpečný obsah.
„Útok to mohol byť masívny v zmysle, že tých mailov mohlo byť viac naraz. To sa nedá spochybniť, ale myslím si, že takýchto útokov už mala Všeobecná zdravotná poisťovňa viacero aj v minulosti a nekomunikovala to takýmto spôsobom,“ reagoval Macko s tým, že nejde o nič nezvyčajné.
Phishingový útok
Denník SME upozornil, že phishing z posledných dní sa dá vystopovať do Ruska, odkiaľ sa útočníci mali zamerať na klientov VšZP v snahe odcudziť ich platobné údaje. Podľa nových informácií však priamo na poisťovňu smeroval aj iný útok, konkrétne s označením DoS, čo predstavuje v preklade „odmietanie služieb“.
Čítajte aj Najväčší útok v dejinách Slovenska. Šutaj Eštok sa pre kataster vyhráža opozícii a ukazuje na Ukrajinu
„Bol to phishingový útok a neskôr DoS, s ktorými sa takéto inštitúcie bežne stretávajú. Neviem, nakoľko intenzívne to bolo, ale ja sám bežne dostávam do svojej e-mailovej schránky takéto typy správ, ktoré potom vedú k phishingu. Treba k tomu pristupovať obozretne, ale nie je to nič výnimočné,“ vysvetlil Macko.
Poisťovňa taktiež mlčí o tom, akým spôsobom mali byť dáta pacientov ohrozené. Potvrdila len, že útok zadržala a vraj neprenikol do interných systémov. Z MIRRI nám v súvislosti s týmto typom útoku odpísali len to, že VšZP by mala svojich poistencov upozorniť, aby zvýšili obozretnosť. Viceprezidentka Asociácie na ochranu práv pacientov Marušáková však problém v komunikácii nevidí.
„VšZP okamžite a transparentne informuje verejnosť o rozsahu problému a prijatých opatreniach. Je zrejmé, že neustále posilňuje svoju kybernetickú bezpečnosť, avšak je dôležité aby mala nastavený podrobný krízový plán pre rôzne úrovne. To že to my nevieme, neznamená, že to nemajú. Dokonca z pohľadu bezpečnosti je nežiaduce, aby bol verejnosti sprístupňovaný podrobný plán. Viaceré inštitúcie pravidelne testujú svoje systémy aj s využitím etických hackerov, a to že nevieme či to VšZP robí, ešte neznamená že to nerobí. Nateraz oba útoky zvláda veľmi dobre. Je to pre ňu extrémne náročné testovanie v praxi a zvláda to,“ uviedla Marušáková v stanovisku pre Pravdu.
Polícia útoky nerieši
Prezident Peter Pellegrini v pondelok vyzval štátne inštitúcie, aby sprísnili kybernetickú ochranu svojich informačných systémov a ochranu uložených dát v súvislosti s hrozbou ďalších kybernetických útokov. Kancelária prezidenta SR o tom informuje na svojom webe.
Čítajte viac Pellegrini vyzýva štátne inštitúcie na sprísnenie kybernetickej ochrany
Pravda preto oslovila aj Prezídium Policajného zboru, pýtali sme sa, ako sa pri riešení útoku postupuje a aký je vážny. Z komunikačného oddelenia nám odpísali len to, že otázky máme adresovať hovorcom ministerstva zdravotníctva SR. U nich sme sa odpovede nedočkali.
Ďalšie zdravotné poisťovne podobné útoky na svoje systému neevidujú. Union v reakcii pre Pravdu uviedla, že venuje primeranú pozornosť preventívnym a reakčným opatreniam, čoho dôsledkom je stabilná a bezpečná prevádzka IT systémov spoločnosti.
„Pokusy útočníkov o preniknutie cez perimeter spoločnosti sú, dá sa povedať, na dennej báze,“ doplnila hovorkyňa Union. „Union má nastavené interné procesy a riadenie bezpečnostných incidentov, ktoré sú aktivované v prípade, že existuje podozrenie na bezpečnostný incident. Dbáme tiež na pravidelnú kontrolu a testovanie správnej funkčnosti nastavených procesov a nástrojov, ktoré majú zabezpečiť primeranú odolnosť voči aktuálnym hrozbám,“ doplnila hovorkyňa Union Beáta Dupaľová Ksenzsighová.