I maj 2021 lykkedes det hackere at inficere samtlige it-systemer på Irlands offentlige hospitaler. Mere end 3.000 sundhedsfaglige applikationer blev dermed utilgængelige, og al data blev krypteret. Angrebet er en påmindelse om, at det også kan ske i Danmark, mener director i Deloitte Afshin Mir.
Der findes hackerangreb, der er små og ubetydelige, og der findes hackerangreb, der er så omfattende og ødelæggende, at den forurettede part må bruge måneder, måske år, på at genskabe det tabte – og i nogle tilfælde starte helt forfra.
Det sidste var tilfældet for det store irske hospital, der i maj 2021 blev ramt af et cyberangreb, der var så voldsomt, at det ikke bare gjorde alle hospitalets it-systemer utilgængelig, men også krypterede al data og inficerede netværket i en sådan grad, at man reelt var nødt til at starte forfra. Det fortæller Afshin Mir, som er director i Deloittes danske afdeling for cybersikkerhed, og som gennem sine irske kolleger har et indgående kendskab til angrebet:
”Angrebet i Irland er uden tvivl et af de angreb, der vil blive husket i årevis blandt både sundhedsfaglige og cybersikkerhedseksperter. Ét er at angribe en virksomhed; noget andet er at angribe hospitaler, der hver dag udfører livsnødvendige behandlinger. Ikke bare forsvandt alle it-systemer og applikationer fra den ene dag til den anden. Hackerne formåede også at kryptere al data. Selv backup’en var krypteret, hvilket gjorde arbejdet med at geninstallere data ekstra svært og kompliceret.”
Truslen fra phishing
Ifølge Afshin Mir fik hackerne adgang til det irske hospitals it-systemer gennem en helt almindelig phishing-mail:
”En phishing-mail er jo designet specifikt til at lokke modtageren til at trykke på et link, hvorefter en virus i al hemmelighed bliver installeret. Så snart det er sker, kan hackerne stille og roligt gå i gang med at skaffe sig adgang til systemerne ét efter ét. Ofte kan der gå månedsvis, inden man overhovedet opdager, at angrebet er i gang. I nogle tilfælde, som her, bliver man først klar over det, når det er for sent.”
I det irske sundhedsvæsen blev angrebet opdaget en sen fredag aften. It-afdelingen blev naturligvis alarmeret; det samme gjorde cybersikkerhedseksperter fra Deloittes irske afdeling, der straks tog affære.
”Det første man gør i en sådan situation er at tegne en netværkstopologi, dvs. at skabe sig et overblik over, hvilke systemer og applikationer, der er ramt. Dernæst forsøger man at sikre de forskellige typer af backup, der måtte eksistere. Endelig tager man også hurtigt kontakt til de relevante platformsleverandører – alt sammen med det formål at begrænse skaden og få et samlet overblik over, hvad der skal til for at lukke ned for angrebet,” fortæller Afshin Mir.
Også danske hospitaler kan rammes
Når den irske historie er relevant i en dansk kontekst, er det fordi, at det danske sundhedsvæsen ligeledes er i farezonen, når det gælder hackerangreb – også selv om man mange steder er nået langt med cybersikkerhed gennem eksempelvis segmenterede netværk, fortæller Afshin Mir:
”I det danske sundhedsvæsen er spørgsmålet ikke, om man bliver ramt, for det gør man, men om man har de fornødne procedurer og sikkerhedstiltag klar. Frygten er, at mange hospitaler og sundhedsaktører risikerer ikke at være rustet til at håndtere denne type voldsomme hændelser, særligt hvis de bliver udført med samme målrettethed og kynisme som det irske angreb.”
Afshin Mir opfordrer derfor både it-ansvarlige og topledere i det danske sundhedsvæsen til at prioritere cybersikkerhed i de kommende år:
”Jeg er godt klar over, at ledere i sundhedsvæsenet har mange opgaver på deres strategiske agenda, men cybersikkerhed bør absolut være et af de prioriterede initiativer, for går det først galt, så kan det gå rigtig galt. Endnu har vi til gode at se et massivt angreb på infrastruktur i Danmark, men der er ingen tvivl om, at det en dag kommer til at ske.”
I Irland tog det hele 11 måneder og titusindvis af mandetimer, inden it-infrastrukturen var genetableret. Et både vanskeligt, kompliceret og dyrt stykke arbejde, ifølge Afshin Mir:
”Eftersom Deloitte bidrog til at genetablere de tabte sundhedsapplikationer, ved jeg fra mine kolleger, hvilket enormt arbejde der ventede dem, inden hospitalet igen var fuldt oppe at køre. Lykkeligvis medførte angrebet ingen dødsfald som følge af manglende behandlinger, men der er ingen tvivl om, at det skabte en række kritiske situationer, der potentielt kunne have kostet menneskeliv. Det håber jeg aldrig vi kommer til at opleve i Danmark, men vi er nødt til at indse, at vores sundhedsvæsen er langt mere sårbart, end vi går og forestiller os. Netop derfor er det vigtigt at dele historier som denne, så vi i fællesskab kan øge sikkerheden i hele sektoren.”
Konkret anbefaler Afshin Mir, at man arbejder på to fronter for at undgå at havne i en lignende situation:
”For det første skal forskellige risikoscenarier vurderes: Hvad er det værste, der kan ske? Og hvordan kan vi bedst håndtere det? Planer er ikke nok – der skal løsninger på plads til at tage over, når angrebet rammer og ’lyset går ud’. Det er en forretningsopgave, der handler om at beslutte alternative it-løsninger, alternative leverandører, mv. – simpelthen at kunne genstarte ’et andet sted’ på en minimumsversion af operationen, indtil man er tilbage til normal. For det andet skal man selvfølgelig på bedste vis sikre sig, at et angreb ikke bliver succesfuldt. Input til den del følger herunder.”
Guide: 10 ting, der er vigtige at få på plads for at gardere sig mod hackerangreb
1. Få cyberstrategien på plads
Sørg for, at organisationen har en klar respons-plan samt en tydelig it-gendannelsesplan til genoprettelse i tilfælde af et ransomware-angreb. Læg grundstenen til en modstandsdygtig organisation, der hurtigt og effektivt kan tilpasse sig både kendte og ukendte trusler.
2. Opret en prioriteringsplan for servicegendannelse
Sørg for, at organisationens overordnede arkitekturplan er dokumenteret, og hav en nødkontaktmekanisme på plads, hvis et angreb rammer.
3. Ansæt en chef for cybersikkerhed, der rapporterer direkte til den øverste direktør
At have en dedikeret chef for cybersikkerhed i organisationen med et direkte og utvetydigt ansvar for cybersikkerhedsstrategien er afgørende for at kunne ruste sig mod angreb.
4. Etabler en styringsmodel for cybersikkerhed
Denne formalisering af ansvar bør omfatte specifikation af serviceniveauaftaler (SLA’er) for centralt leverede tjenester, herunder tilgængelighedskrav.
5. Definer et netværkskodeks og overvåg, at det overholdes
Dette kodeks bør definere det niveau af sikkerhedskontrol, der er nødvendigt for at oprette forbindelse til din organisation.
6. Uddan medarbejderne og opbyg en sikkerhedskultur
Mange organisationer, der investerer i et cybersikkerhedsforsvar, overser fortsat, at medarbejdernes adfærd er den største enkeltstående risiko for cybertrusler og -angreb.
7. Opret en robust backup-strategi
Denne bør også omfatte beskyttede sikkerhedskopier, der ikke kan krypteres eller slettes af ondsindede aktører.
8. Gennemfør øvelser og simuleringer
Hackerangreb skal testes og øves lige så regelmæssigt som brandøvelser og evakueringsplaner. Kun ved at teste procedurer og nødplaner, finder man de svagheder, som hackerne kan udnytte.
9. Udfør revisioner
Udfør interne og eksterne audits for at sikre, at jeres Information Security Management System (ISMS) til alle tider er ajourført.
10. Opgrader eller erstat gammel teknologi og øg brugen af cloud
Sørg for, at gammel teknologi opdateres eller udskiftes for at matche nationale og internationale standarder. Brug cloud-teknologi til at øge sikkerheden.
