Case Study · Audyt IT - Engave S.A.
Jak kompleksowy audyt IT w placówce medycznej ujawnił krytyczne luki w zabezpieczeniach - i jak część z nich została zaadresowana jeszcze w trakcie trwania audytu
Projekt w skrócie
Klient
Placówka medyczna sektora publicznego - kilka lokalizacji, środowisko serwerowe obsługujące systemy medyczne, dane pacjentów i administrację
Zakres
Kompleksowy audyt 8 obszarów: serwerownia, sieć LAN/WAN, procedury, środowisko serwerowe, stacje robocze, licencje, urządzenia peryferyjne, polityki GPO
Zespół
Paweł Kacprzak (IT Manager), Piotr Seferyński (Senior System Engineer)
Działanie w trakcie
Instalacja agenta backupu Veeam na trzech serwerach i uruchomienie automatycznych kopii do chmury - jeszcze podczas audytu, bez oczekiwania na raport końcowy
Efekt
Pełna dokumentacja stanu faktycznego, priorytetyzowana lista działań, gotowy plan wzmocnienia bezpieczeństwa i ciągłości działania
Problem
Sektor ochrony zdrowia jest jednym z najczęściej atakowanych przez ransomware w Europie. Powód jest prosty: dane medyczne są dla przestępców wyjątkowo wartościowe, a placówki medyczne - szczególnie te z sektora publicznego - rzadko dysponują dedykowanymi zespołami bezpieczeństwa IT. Infrastruktura rośnie wraz z potrzebami klinicznymi, oprogramowanie jest dobierane pod kątem medycznym, a kwestie takie jak wsparcie producenta urządzeń sieciowych czy polityki GPO schodzą na drugi plan.
Placówka zdecydowała się na przeprowadzenie audytu IT z własnej inicjatywy - żeby mieć obiektywny obraz środowiska i jasną listę priorytetów. To decyzja, która wymaga odwagi: audyt zawsze odkrywa więcej niż się spodziewano. Ale odkrywa to zanim odkryje to ktoś inny.
Obszary zidentyfikowane do wzmocnienia
Kluczowe urządzenie brzegowe chroniące sieć placówki pracowało z wygasłym serwisem producenta - od 579 dni w momencie audytu. Oznacza to brak aktualizacji zabezpieczeń, brak wsparcia w przypadku awarii i brak możliwości szybkiej wymiany urządzenia na nowe w razie usterki. W przypadku incydentu: przestój placówki i brak możliwości operacyjnej reakcji ze strony producenta.
Stacje robocze pracowników, serwery medyczne i pozostałe urządzenia działały w jednej, płaskiej sieci. Brak wydzielonych stref oznacza, że każde skompromitowane urządzenie końcowe ma potencjalny dostęp do zasobów serwerowych - bez żadnej bariery po drodze. Zalecenie: trzy osobne VLAN-y dla urządzeń sieciowych, pracowników i gości.
Kontroler domeny działał na Windows Server 2012 R2, który od października 2023 roku nie otrzymuje aktualizacji bezpieczeństwa. Serwer bazodanowy korzystał z SQL Server 2014 - również poza cyklem wsparcia. Znane podatności tych systemów są publicznie dostępne i aktywnie wykorzystywane przez atakujących.
Na serwerach zidentyfikowano przestarzałe wersje oprogramowania stanowiącego znane wektory ataków: Java 8, 7-zip w wersji alpha, moduły .NET Core poza aktualnym cyklem wsparcia, system medyczny nieaktualizowany do najnowszej wersji. Nieużywane pakiety zainstalowane na serwerach produkcyjnych zwiększają powierzchnię ataku bez żadnej korzyści operacyjnej.
W momencie rozpoczęcia audytu placówka nie posiadała działającego, zautomatyzowanego systemu kopii zapasowych. Brak lokalnego repozytorium NAS oznaczał brak możliwości szybkiego odtworzenia w przypadku awarii lub ataku ransomware. Engave zainstalowało agenta Veeam i uruchomiło codzienne kopie do chmury jeszcze w trakcie audytu - nie czekając na raport końcowy.
Audyt wykazał brak skonfigurowanych polityk blokady kont po nieudanych próbach logowania, wyłączony Windows Defender Antivirus na poziomie GPO, brak audytu bezpieczeństwa (logowanie zdarzeń), brak wymuszonych aktualizacji przez Windows Update. Każda z tych luk to osobny wektor ataku.
Placówka nie posiadała schematu sieci, dokumentacji konfiguracji ani spisanych procedur: backupu i odtwarzania, postępowania przy awarii, nadawania i odbierania dostępów, aktualizacji systemów. Brak procedury odbierania dostępów jest szczególnie istotny w środowiskach z rotacją pracowników - dostępy do danych medycznych mogą pozostawać aktywne po odejściu osoby z organizacji.
Jeden z przełączników sieciowych obsługiwał tylko standard 100 Mb/s zamiast Gigabit - stanowiąc wąskie gardło dla stacji roboczych w swojej sekcji sieci. Zalecenie: wymiana na przełącznik gigabitowy z możliwością zarządzania.
Dane medyczne to kategoria danych szczególnych w rozumieniu RODO. Ich naruszenie wiąże się z obowiązkiem notyfikacji do UODO, potencjalnymi karami i - co ważniejsze - realną szkodą dla pacjentów. Audyt IT w placówce medycznej to nie formalność compliance. To weryfikacja, czy brama do tych danych jest faktycznie zamknięta.
Co zostało zaadresowane
579 dni
tyle upłynęło od wygaśnięcia wsparcia dla kluczowego urządzenia brzegowego - zidentyfikowano i zaplanowano wymianę
Natychmiast
backup uruchomiony w trakcie audytu - Veeam + chmura, bez oczekiwania na raport końcowy
8 obszarów
pełna dokumentacja stanu faktycznego z priorytetyzowaną listą działań i zaleceniami
Audyt dostarczył placówce coś, czego wcześniej nie miała: kompletny, udokumentowany obraz infrastruktury - ze wskazaniem co jest krytyczne, co pilne i co może poczekać. Zarząd placówki zyskał podstawę do podejmowania decyzji o inwestycjach IT opartych na faktach, a nie na intuicji.
Jedno działanie zostało podjęte natychmiast - bez czekania na formalny odbiór raportu. Brak backupu w środowisku przetwarzającym dane medyczne to ryzyko, które nie może czekać na harmonogram. Veeam z automatycznym codziennym backupem do chmury oznacza, że w przypadku katastrofy budynku lub ataku ransomware placówka ma punkt odtworzenia. To zmiana stanu z 'zero' na 'zabezpieczone' - w ciągu jednego dnia pracy.
Równolegle przygotowano plan wzmocnienia dla wszystkich pozostałych obszarów: migracja systemów operacyjnych serwerów, segmentacja sieci na VLAN-y, aktualizacje oprogramowania, wdrożenie polityk GPO, budowa dokumentacji i procedur. Priorytetyzacja uwzględnia zarówno poziom ryzyka, jak i wymagania operacyjne placówki - zmiany nie mogą zakłócić pracy klinicznej.
Dlaczego to ważne
Placówki medyczne w Polsce przeżyły w ostatnich latach kilka głośnych incydentów ransomware. Każdy z nich pokazał ten sam schemat: infrastruktura IT rozwijana latami bez regularnych przeglądów, znane podatności nieadresowane, backup istniejący tylko na papierze. Skutki: tygodnie przestoju, leczenie pacjentów w trybie papierowym, naruszenie danych, postępowania UODO.
Ten audyt pokazuje, że diagnoza jest możliwa zanim nastąpi incydent. Zapora bez wsparcia od 579 dni, serwery z systemem operacyjnym bez aktualizacji bezpieczeństwa, brak backupu - każde z tych odkryć to potencjalny atak, który się nie zdarzył. Bo ktoś zapytał wcześniej.
Dla Engave ten projekt potwierdza zasadę, którą stosujemy w każdym audycie: raport to nie lista problemów - to lista decyzji, które organizacja może teraz podjąć ze spokojem, zamiast w trybie kryzysowym.
Co to oznacza dla Twojej placówki lub organizacji
Audyt IT w placówce medycznej lub organizacji przetwarzającej dane wrażliwe to inwestycja, która zwraca się w momencie, gdy coś idzie nie tak - i nie trzeba wtedy zaczynać od zera. Zaczyna się od jednej rozmowy.
engave.pl/kontakt
Engave S.A. · engave.pl · Wszelkie prawa zastrzeżone
Cyberbezpieczeństwo, opieka IT, digitalizacja - niezależnie od tematu, chętnie porozmawiamy. Opisz swoją potrzebę, a odpowiedni specjalista odezwie się w ciągu 24h roboczych.
KONTAKT:
biuro@engave.pl
+22 863 13 90
Dyżur techniczny: +48 604 470 151
Ul. Czarodzieja 16, 03-116 Warszawa