Minulý piatok oznámil premiér Robert Fico (Smer-SD) spolu s ministrom zdravotníctva Kamilom Šaškom (Hlas-SD) kybernetický útok proti Všeobecnej zdravotnej poisťovni (VšZP). O útoku boli podľa oboch politikov ihneď informované všetky bezpečnostné inštitúcie, medzi nimi aj vládna jednotka CSIRT, ktorá patrí pod ministerstvo investícií, regionálneho rozvoja a informatizácie (MIRRI) „CSIRT vyslala výjazd k nahlásenému kybernetickému incidentu. Na mieste vykonala mitigáciu (zmiernenie škodlivých účinkov) tohto rozsiahleho útoku,“ vysvetľuje pre Zdravotnícky denník odbor komunikácie MIRRI.
Podľa MIRRI išlo o rozsiahlu phishingovú kampaň, ktorá bola cielená na poistencov VšZP a bola zameraná na pokus o získanie ich osobných údajov. „Exfiltrácia dát z infraštruktúry VšZP nebola potvrdená, útočníkom sa teda nepodarilo získať žiadne údaje,“ dodáva odbor komunikácie MIRRI. Navyše potvrdil, že podľa dostupných informácií nedošlo k vydieraniu.
Ruská stopa sa nedá potvrdiť
VšZP na otázky ohľadom kybernetického útoku nereagovala, ale zaslala médiám stanovisko, podľa ktorého bolo cieľom útoku narušenie IT infraštruktúry, dát a služieb. Vzhľadom na neustále narastajúce sofistikované útoky VšZP podľa stanoviska pravidelne aktualizuje bezpečnostné stratégie, aktívne monitoruje negatívny trend výskytu kybernetických útokov, pre ktoré prijala súbor bezpečnostných opatrení. „Aj vďaka tomu bola schopná odvrátiť útok takéhoto rozsahu a ochrániť dáta svojich poistencov. Pre tento druh kybernetických útokov je pôvodca pre nás takmer nevystopovateľný,“ poznamenáva VšZP.
Denník Sme však informoval, že kybernetický útok sa dá vystopovať do Ruska. „K tomuto sa nevieme vyjadriť, nemáme dosť informácií,“ uvádza IT Asociácia Slovenska. MIRRI k pôvodu útokov iba uviedol, že „vládna jednotka CSIRT sa z dôvodu vyšetrovania incidentu nebude k predmetnej veci vyjadrovať.“
„Cielený DoS útok prebiehal v piatok na poludnie. Vďaka preventívnym bezpečnostným opatreniam poisťovne bol útok efektívne zadržaný, neprenikol do interných systémov a dáta poistencov sú v bezpečí, nebola narušená ich integrita,“ uvádza VšZP. Ako pre Zdravotnícky denník objasňuje Juraj Kadáš, manažér komunikácie IT Asociácie Slovenska, pri DDoS útoku (Distributed Denial of Service) sú IT systémy zahltené obrovským množstvom požiadaviek, ktoré nestíhajú spracovať a skolabujú. „Ten však nevieme ani potvrdiť, ani vyvrátiť,“ hovorí Kadáš.
VšZP v spolupráci s partnermi v oblasti kybernetickej bezpečnosti podľa vlastných slov prijala ďalšie bezpečnostné opatrenia a urobila kroky na ich neutralizáciu. „K porovnateľne významnému útoku v histórii poisťovne ešte nedošlo. Keďže z legislatívneho hľadiska išlo o závažný kybernetický útok, VšZP si splnila svoju zákonnú povinnosť a o bezpečnostnom incidente informovala všetky príslušné inštitúcie,“ informuje štátna poisťovňa.
Mohlo by vás zaujímať
Zdravotné dáta sú veľmi cennou komoditou
Poisťovňa súbežne čelila aj phishingovému útoku, ktorý prebiehal cez SMS správy. „Našich poistencov sme upozornili ešte v piatok ráno prostredníctvom aplikácie aj webovej stránky,“ konštatuje poisťovňa. VšZP tvrdí, že už od začiatku roka eviduje rastúci počet kybernetických útokov na viaceré inštitúcie na Slovensku.
„Nepodceňujeme žiaden typ kybernetického útoku. Preto sme proaktívne monitorovali možné hrozby, zvyšovali bezpečnosť našich IT systémov a aplikácií. Implementovali sme viaceré preventívne opatrenia, ktoré výrazne znižujú riziko úspešnosti kybernetických útokov,“ hovorí Matúš Jurových, predseda predstavenstva a generálny riaditeľ VšZP.
Poisťovňa v stanovisku zdôrazňuje, že počas celej situácie boli dáta poistencov chránené. Neprišlo k žiadnemu úniku osobných informácií ani k narušeniu osobných údajov.
Riziká kybernetických útokov podľa IT Asociácie Slovenska rastú exponenciálne z roka na rok. „Očakávame teda, že verejné inštitúcie a správcovia verejných informačných systémov sa budú v oblasti kybernetickej bezpečnosti správať zodpovedne. Podotýkame, že zdravotné dáta sú veľmi cennou komoditou a na čiernom trhu majú mnohonásobne vyššiu hodnotu než bankové údaje. Jeden zdravotný záznam stojí až 150 amerických dolárov. Pre porovnanie – údaje o jednej kreditnej karte stoja asi dolárov,“ uzatvára Juraj Kadáš.
