Vysoká škola ekonomická v Prahe
Fakulta informatiky a štatistiky
Sociálne inžinierstvo v zdravotníckom sektore
BAKALÁRSKA PRÁCA
Študijný program: Aplikovaná informatika Študijný odbor: Aplikovaná informatika
Autor: Nikoleta Kocáková
Vedúci bakalárskej práce: Ing. Ladislav Luc Rok vypracovanie: 2021
Prehlásenie
Prehlasujem, že som bakalársku prácu „Sociálne inžinierstvo v zdravotníckom sektore”
vypracovala samostatne s použitím literatúry, ktorú uvádzam v zozname použitej literatúry.
V Prahe dne 30. apríla 2021
...
Nikoleta Kocáková
Poďakovanie
Týmto by som sa rada poďakovala Ing. Ladislavovi Lucovi za vedenie, poskytnuté rady a usmerňovanie pri spracovaní tejto bakalárskej práce. Ďakujem mojej rodine, ktorá ma podporovala a pomáhala mi počas štúdia.
Abstrakt
Bakalárska práca s názovom „Sociálne inžinierstvo v zdravotníckom sektore“ pozostáva zo šiestich kapitol. Prvé tri kapitoly sa zaoberajú teoretickými informáciami, kde definujem sociálne inžinierstvo a priebeh sociotechnického cyklu. Na to je nadviazaná kapitola štvrtá, ktorá definuje kto je sociálny inžinier a uvádza príklady významných osobnosti či historický známe útoky. Najpoužívanejšie metódy útokov sú rozdelené do ďalších pod kategórií s vyznačujúcimi sa znakmi, ktoré ich reprezentujú. V praktickej časti sa zaoberám analýzou lekárov v okresnej pilotnej nemocnici. Na začiatku predstavujem analýzu zaujímavých výsledkov organizácie HIPAA v amerických nemocniciach. Následne popisujem súčasný stav danej pilotnej nemocnice a na základe dokazujúcich otázok vyhodnocujem jednotlivé sekcie a odpovedám si na vstupné kritéria. V ďalšej časti porovnávam moju analýzu s americkou HIPAA analýzou. Cieľom práce je z analýz vyvodiť výsledky a na základe nich stanoviť odporúčanie do budúcna.
Kľúčové slová:
sociálne inžinierstvo, sociotechnický cyklus, phishing, analýza lekárov, HIPAA analýzaJEL klasifikácia
F50, H75, O15
Abstract
The bachelor's thesis entitled "Social Engineering in the Health Sector" consists of six chapters.
The first three chapters deal with theoretical information where I define social engineering and the whole process of a socio-technical cycle. This is followed by the fourth chapter, which defines who is a social engineer and gives examples of famous personalities, or historically known attacks. The most used attack methods are divided into other subcategories with distinguishing features that represent them. In the practical part I deal with the analysis of doctors in the district pilot hospital. At the beginning, I present an analysis of interesting results constructed by the HIPAA organization in American hospitals. Subsequently, I describe the current state of my pilot hospital and, based on proving questions, I evaluate the individual sections and answer the entry criteria. In the following section, I compare my analysis with the American HIPAA analysis. The aim of the work is to derive results from the analyzes and on their basis to determine a recommendation for the future.
Keywords:
social engineering, sociotechnical cycle, phishing, analysis of doctors, HIPAA analysisJEL classification
F50, H75, O15
Obsah
1 Úvod ... 7
2 Sociálne inžinierstvo ... 8
2.1 Reverzné sociálne inžinierstvo ... 8
2.2 História sociálneho inžinierstva ... 8
3 Sociotechnický cyklus... 9
3.1 Zber informácií... 9
3.2 Vytvorenie dôveryhodného vzťahu ... 10
3.3 Exploatácia ... 11
3.4 Zakončenie útoku... 11
4 Kto je sociálny inžinier ... 11
4.1 Kevin David Mitnick ... 12
4.2 Blind Arab Brothers ... 13
4.3 WannaCry Ransomware Attack ... 13
4.4 NotPetya ... 14
5 Metódy sociálneho inžinierstva ... 15
5.1 Phishing ... 15
5.2 Pharming ... 17
5.3 Vishing ... 17
5.4 Biting... 18
5.5 Water holing ... 18
6 Sociálne inžinierstvo v zdravotníctve ... 19
6.1 HIPAA Analýza ... 19
6.2 Nemocničný informačný systém ... 23
6.3 Prognózy vlastnej analýzy ... 25
6.4 Metóda analýzy ... 26
6.5 Analýza výsledkov a vyhodnotenie ... 29
6.6 Porovnanie analýz ... 38
6.6.1 Školenie ... 39
6.6.2 Phishingové e-maily ... 41
6.7 Záverečné zhrnutie porovnávaných analýz ... 44
6.8 Odporučenia ... 45
7 Záver ... 46
8 Zoznam použitej literatúry ... 47
1 Úvod
Zneužívanie osobných údajov a neoprávnený prístup k citlivým dátam je činnosť, ktorá sa vykonáva už odpradávna. V súčasnej dobe sa tieto javy vykonávajú o čosi modernejším spôsobom, no podstata sa nezmenila. Sociálne inžinierstvo je pojem, ktorý reprezentuje manipuláciu, klamstvá, súcit, ľútosť či naivitu ľudí vyvolanú sociálnym inžinierom.
Dôvod prečo som si túto tému vybrala je jej aktuálnosť, v ktorej sa nachádzame a nevenujeme jej dostatočnú pozornosť. Dennodenne je napadnutých mnoho spoločnosti, organizácii a taktiež my fyzické osoby. Všeobecne ľudia nemajú základné informácie o tom, aby vedeli čoho je sociálny inžinier schopný a aké techniky a taktiky využíva. Z toho dôvodu v mojej teoretickej časti práce popisujem detailne vysvetlenie pojmov, celkový proces, ktorý sa za tým ukrýva, uvádzam príklady na významných osobnostiach či historických útokoch a popisujem najčastejšie vyžívané metódy útokov.
Cieľom mojej práce je priblížiť problematiku a nebezpečie sociálneho inžinierstva v zdravotníckom sektore a poskytnúť opatrenie na elimináciu prípadných útokov.
Zdravotníctvo je jedno z najčastejšie atakovaných sektorov na svete a pozornosť venovaná tejto problematike je minimálna.
V praktickej časti sa zameriam na analýzu v konkrétnej pilotnej okresnej nemocnici na Slovensku, kde formou dotazníka budem sledovať závažnosť problémov. Analýza bude venovaná výhradne pre lekárov nemocnice. Výsledky jednotlivých sekcii dotazníka potvrdia alebo vyvrátia moje vstupné prognózy. Časť výsledkov porovnám s americkou HIPAA analýzou, ktorá sa týmto činnostiam venuje dlhšiu dobu. Všetky výsledky budú graficky zobrazené a na ich základe budú stanovené odporúčania do budúcna.
2 Sociálne inžinierstvo
Sociálne inžinierstvo je hrozba útoku, ktorá sa zameriava na manipuláciu subjektov s cieľom vzdať sa kľúčových informácií, narušiť vnútorné prostredie organizácie a získať citlivé a dôverné informácie s využitím rôznych psychologických hier či dokonca vyhrážok. Výraz inžinierstvo je často spojované s presne vymedzenými vedami, zatiaľ čo sociálne inžinierstvo využíva silný predpoklad psychologických a podobných techník na dosiahnutie požadovaného výsledku. Najobľúbenejšou definíciou sociálneho inžinierstva je pravdepodobne definícia, ktorú uviedol Harl na konferencii Access All Areas III v roku 1997 : „Sociálne inžinierstvo je v zásade umenie a veda, ktorá má ľudí presvedčiť, aby plnili vaše želania. Nejde o spôsob ovládania mysle, neumožní vám prinútiť ľudí, aby divoko vykonávali úlohy mimo svojho bežného správania, a nie je ani zďaleka spoľahlivý “ (Harl 1997).
2.1 Reverzné sociálne inžinierstvo
Reverzné sociálne inžinierstvo je opakom sociálneho inžinierstva. Predstavuje činnosť kde obeť sama ponúka útočníkovi informácie, ktoré potrebuje. Ide o psychickú manipuláciu, pri ktorej útočník využíva metódy, ktorými uvedie obeť do omylu a tá verí, že on je jediná osoba, ktorej môže dôverovať a pomôcť s daným problémom, ktorý on sám vytvoril. Výsledným pozitívnym bodom pre útočníka je, že samotná obeť žiada útočníka o pomoc. Tak vznikne medzi nimi dôvera. Organizácie sa pri tejto forme útoku vystavujú vysokej možnosti značnej škody, ktorú môžu utrpieť z dôvodu silnej dôvery s útočníkom. Táto forma útoku si pýta vysoké a dlhodobé úsilie preto patrí k jedným z najnáročnejších. Vyžaduje si istú dávku šťastia a odvahy, aby bol útok privedený k úspešnému koncu (Granger 2001).
2.2 História sociálneho inžinierstva
Praktiky spojované s novodobým názvom sociálne inžinierstvo nie sú až také novodobé ako znie jeho názvov. Ak existujú informácie, ktoré majú veľkú hodnotu, určití ľudia spravia hocičo aby sa k ním dostali a zneužili ich. V novodobej dobe sa tieto útoky pri získaní chcených informácií viac využívajú v kybernetickej oblasti. Aj keď počiatky útokov sú zamerané na ľudskú nevedomosť alebo naivitu. Zaujímavé a dôležité zistenia prináša oblasť sociálnej psychológie o princípoch a presvedčenia. Na túto tému sa často objavujú citácie zo strany presvedčovania od odborníka Cialdiniho. Za príklady udáva situácie z oblasti marketingu, no
ide o princípy, ktoré fungujú na klamstvách. "Chceme obchodovať s ľuďmi alebo značkami, ktoré sa nám páčia a s ktorými sme si v priebehu rokov vytvorili vzťah" (Cialdini 2001).
Termín sociálne inžinierstvo bol prvý krát spomenutý holanďanom J. C. Van Markenem v eseji, ktorú napísal z dôvodu potreby špecialistov (sociálnych inžinierov) pre moderných zamestnávateľov pri riešení ľudských výziev a technických znalosti pri používaní strojov či materiálov a procesov (Larrson- Letell- Thörn 2012).
Tento termín sa dostal v roku 1899 do Ameriky. Taktiež v tomto roku sa začal publikovať časopis s názvom „Sociálne inžinierstvo“, ktorý sa neskôr premenoval na „Sociálna služba“, takže termín J.C. Vana Markena sa už prestal používať. V roku 1911 sa v Amerike začalo používanie tohoto termínu „Sociálne inžinierstvo“ vnímať za štandard. Odvolával sa na zaobchádzanie sociálnych vzťahov so strojmi, ktoré má riešiť technický inžinier (Östlund 2007).
3 Sociotechnický cyklus
Všeobecne môžeme povedať, že aktivita sociálneho inžinierstva je založená na dodržiavaní určitých krokoch, ktoré pri postupnosti v danom poradí dávajú určitý zmysel pre sociálneho inžiniera. Typy útokov sa líšia rôznymi vlastnosťami, zatiaľ čo postup krokov na dosiahnutie cieľa je ten istí. Môžeme povedať, že ide o akýsi vzorec útokov. Tieto kroky sa nazývajú sociotechnický cyklus. Ide o: 1. zber informácií, 2. vytvorenie dôveryhodného vzťahu, 3.
explotácia a zakončenie útoku (Mitnick–Simon–Wozniak 2007). Celý cyklus či jednotlivé kroky je možné opakovať aj niekoľkokrát pokiaľ útočník nie je so sebou spokojný. Taktiež možnosťou je striedanie viacerých techník.
3.1 Zber informácií
Tento krok nám zabezpečuje najväčšie šance úspešného útoku. Útočník sa snaží získať čo najviac kvalitných dát, ktoré bude môcť v budúcnosti využiť pri samotnom útoku. Podstatou je na akých miestach a z akých zdrojov hľadať, pretože existujú fyzické a virtuálne typy informácií. K fyzickým patria napríklad verejne dostupné reklamné informácie, katalógy o organizácii či sledovanie obeti pri osobných aktivitách. Jedným z viacerých možných spôsoboch fyzického útoku je „ dumbsterdiving“, čo znamená prehľadávanie objektov alebo verejných predmetov so zámerom možnosti nájdenia užitočných informácií ako napríklad
výpisy účtov pretože málokedy sa stáva, aby boli dokumenty skartované. Ďalším možným typom pri zbere dát môže byť „shoulder surfing“. Zámerom útočníka je nenápadne sledovať obeť pri používaní elektronického zariadenia na verejností a snažiť sa vyčítať hodiace sa informácie ako napríklad heslo či email (Frumento a kol. 2016; Mouton a kol. 2014).
Bezpochybne najväčším zdroj užitočných informácií je internet. Vyskytuje sa tam nespočetné množstvo dostupných informácií o konkrétnych osobách, organizáciách alebo kontaktoch.
V dnešnej dobe je úplne normálne zistiť si informácie o akejkoľvek osobe ako napríklad kde pracuje, či je vlastníkom nejakej firmy, pozrieť si jeho daňové výpisy, v akých skupinách sa pohybuje, aké ma hobby, aká je osobnosť alebo kto sú jeho rodinný príslušníci.
Po zozbieraní informácií dochádza k syntéze tých najdôležitejších poznatkov o obeti.
Útočníkovi sa o obeti utvorí ucelenejší obraz, na základe ktorého môže prejsť k druhému kroku (Frumento a kol. 2016; Ozkaya 2018).
3.2 Vytvorenie dôveryhodného vzťahu
Základnou jednotkou sociálneho inžinierstva je charizma. Cieľom je aby si útočník získal silnú dôveru obete a neskôr ju mohol využiť respektíve zneužiť. Občas sa stáva, že útočník musí predstierať a snažiť sa zmanipulovať viac než len jednu osobu, a to rôznymi kombináciami útokov. Hneď na začiatku je dôležité zvoliť vhodnú taktiku a techniku oslovovania, správania či štruktúru rozhovorov. Veľmi presvedčivým a zaujímavým sa stáva v momente keď využíva znalosti v jednaní s využívaním odborných žargónov. Obeť sa začne cítiť porozumená a je presvedčená, že sa rozpráva s niekým známym. Môže nastať prípad kedy útočník musí kontaktovať alebo osloviť širšie spektrum ľudí, napríklad v korporácií, kde sa vydáva za kolegu. V takom prípade musí byť útok prepracovaný detailne v oblasti firemných aj mimo firemných záležitosti. Preto je nutné na začiatku každého útoku zvoliť stratégiu komunikácie.
Existujú dve základné stratégie, ktoré závisia na rozhodnutí útočníka akú si zvolí. Volí si podľa vlastného zhodnotenia alebo podľa znalosti cieľovej mentality. Jedná sa o oficiálnu komunikačnú stratégiu alebo familiárnu komunikačnú stratégiu. V prípade oficiálnej komunikačnej stratégie sa využíva veľmi seriózny, vážny a priami prístup. Útočník predstiera profesionalitu z danej oblasti, podľa ktorej sa tak aj snaží vyjadrovať a znieť. V opačnom prípade, keď sa využíva familiárna komunikačná stratégia, útočník sa snaží byť veľmi príjemný a empatický. Predstiera charakter najlepšieho priateľa s veselým tónom či výrazom a ochotou pomôcť. Medzi zistené dáta v tomto prípade radíme osobné detailné informácie o konkrétnej osobe (Mitnick – Simon – Wozniak 2007; Nyirak 2019).
3.3 Exploatácia
Táto fáza nastáva v čase keď zmanipulovaná osoba poskytla útočníkovi natoľko postačujúce a kvalitné informácie, že útočníkovi už nebráni nič aby útok zrealizoval. Príkladom môže byť, že útočník získal prístupové heslo k osobnému počítaču. V rámci útokov sociálneho inžinierstva sa zvyknú využívať aj spyvéry. Sú to veľmi škodlivé programy, vďaka ktorým si útočník vie sťahovať informácie či dokonca získať prístup na priamu manipuláciu. Tento typ útoku zabezpečuje útočníkovi prístup do budúcna až pokiaľ si to obeť neuvedomí a nezaháji správne opatrenia (Frumento a kol. 2016).
3.4 Zakončenie útoku
Zakončenie útoku je poslednou fázou sociotechnického cyklu, čo znamená, že nastal čas zneužitia získaných informácií a splnenie očakávaných cieľov. Pri úspešne zakončenej akcii sa útočník maximálne zameriava na odstránení rôznych podozrivých stôp, ktoré zanechal. Plán stratégie úniku je v tejto fáze najdôležitejšou časťou. Ak má útočník pocit, že je obeť schopná odhaliť prípadné podozrenia o podvod, akcia musí byť predčasne ukončená (Frumento a kol.
2016; Mouton a kol. 2016).
4 Kto je sociálny inžinier
Vžiť sa na chvíľu do kože útočníka nie je vôbec náročné. Jednoduchšie útoky nevyžadujú žiadne ťažké a profesionálne schopnosti na to, aby ste od subjektu dostali to čo požadujete.
Základným stavebným prvkom pre tento akt nie je len „know-how“, ale aj získaná dôvera medzi útočníkom a obeťou. Medzi počiatočné kroky patrí manipulácia kde si útočník vytvorí nepravdivý príbeh, kde využije verejne dostupné informácie, ktoré vykonajú činnosť v jeho prospech. Príbehy sú zamerané na nedostatočné povedomie o hrozbách na internete, ochota pomoci, slabé povedomie o bezpečnostných zásadách organizácie či citlivé informácie na sociálnych sieťach. Preto podstatou je presvedčivosť a prísť s originálnym plánom, ktorému obeť podľahne. Útočník si musí o danom subjekte zistiť všetky potrebné informácie, ideálne i návyky a výhodou je aj oboznámenie sa s pomermi v danej organizácií. Predmetom motivácie sociálneho inžiniera k uskutočneniu útoku môže byť napríklad finančný zisk, osobné záujmy či úmyselné poškodenie. Skutoční sociálni inžinieri „heckeri“ sú viac než počítačoví nerdi. Sú to ľudia, ktorí sa týmito aktivitami živia. Vedú samoštúdium a čítajú knihy o jazyku tela, ovládaní
hlasu, gestikulácií, študujú rôzne typy ľudských osobnosti. Od profesionálneho útočníka sa očakáva vysoká odvaha, herecké schopnosti, ochota, zvedavosť aj výzor (Paulus 2013;
Mitnick- Simon- Wozniak 2007).
4.1 Kevin David Mitnick
"Takto si teraz chcem zarobiť na živobytie, snažím sa podeliť o svoje vedomosti a skúsenosti", hovorí Kevin Mitnick (2003).
Kavin Mitnick je hackerská celebrita, ktorého svet považuje za najznámejšieho hackera na svete, čo dokonca potvrdila aj FBI. Medzi jeho najznámejšie útoky sa považujú miliónové krádeže softwarov obrovských známych spoločností a inštitúcií ako napríklad Nokia, University of Southern California a Novell. Niekoľko rokov vyčíňal na hlavných titulkách časopisov za naviac žiadaného. Medzi jeho prvý úspešný čin patrí hackerský útok do stredoškolského systému, pretože si chcel nájsť nových priateľov a byť vnímaný ako mocný.
Počas jeho dospievania bol niekoľkokrát odsúdený do väzenia pre mladistvách za vlámania sa do počítačov či krádeže softwarov. Bol natoľko pohltený a závislý hackerskými útokmi, že sa opätovne niekoľkokrát vrátil do chládku a dokonca aj na samotku. Po odpykaní si takmer šiestich rokov si Kevin priznal chybu za podvody, ktorých sa dopustil pri získavaní informácií.
Bol podmienečne prepustený z väzenia pri vyplatení kaucie štyri tisíc dolárov. Odhadované škody, ktoré spôsobil sa šplhajú do výšky 5 až 10 miliónov dolárov. Mal nariadený prísny zákaz používania akéhokoľvek počítača či telefónu, taktiež sa nemohol nijak vyjadrovať na tému ohľadom počítača či všeobecne na tému technológií súvisiacich s počítačom (Mitnick- Simon- Wozniak 2007).
Po tom ako bol prepustený na slobodu pretočil svoj pohľad na život hore nohami. Všetko spôsobené zlo vynahradil dobrom. Stal sa z neho svetový odborník pre bezpečnostný počítačový systém a začal pomáhať FBI pri vyšetrovaní ďalších prípadov. V roku 2003 Kevin zavítal aj do Českej republiky kde uviedol svoju knihu, ktorá sa stala bestsellerom (Mitnick 2003).
Vo svojej knihe sa neskôr vyjadril: „Moja činnosť bola spôsobená zvedavosťou – túžil som poznať všetko čo sa dalo, o tom ako fungujú telefónne siete, vstupy a výstupy počítačových bezpečnostných systémov. Z dieťaťa fascinovaného čarodejníckymi kúskami som sa stal najhroznejším hackerom na svete, ktorého sa obávala vláda aj korporácie. Keď sa preberám spomienkami posledných tridsiatich rokov môjho života, musím priznať, že som vedený
zvedavosťou, túžbou po poznaní technológií a uspokojovaním intelektuálnych výziev urobil niekoľko veľmi zlých rozhodnutí. Zmenil som sa. Dnes využívam svoj talent a svoje znalosti o bezpečnosti informácií a pomáham súkromným osobám pri odhaľovaní, prevencii a reagovaní na ohrozenia bezpečnosti informácií.“ (Kevin Mitnick 2003, preklad autora).
4.2 Blind Arab Brothers
Boli najznámejšími hackermi na Blízkom východe v 90. rokoch čo za niečo stojí, keďže Izrael patrí k najväčšej špičke sveta bezpečnostných technológií. Munther (22) a Muzhir (23) Badir sú dvaja arabskí bratia, ktorým sa podarilo napojiť na ústredňu rádiostanice izraelských obranných síl a uskutočňovať medzinárodné telefónne hovory. Pokladá sa to za veľký úspech keď vezmeme do úvahy, že nemajú žiaden vysokoškolský titul a sú dokonca od narodenia slepí.
Mnoho ľudí sa divilo a nerozumelo tomu ako dvaja nevidiaci ľudia by boli niečoho takého schopní. Prípad bratov Badirovcov bol prvým súdnym prípadom, ktorý sa riešil v oblasti počítačových podvodov. Chaos sa prejavil v momente keď si miestne telefónné spoločnosti začali sprísňovať bezpečnostné systémy. Bratia sa priznali, že ich veľmi zaujímali pomôcky.
„Nestačilo nám počúvať magnetofón,“ hovorí, „zaujímalo nás, ako tento prehrávač vydal zvuk, ako fungovala televízia a ako nám reproduktory prenášali zvuky.“
V dospievaní Badirovci prevádzkovali vlastnú počítačovú konzultačnú spoločnosť. Neskôr však vládni agenti mali podozrenie, že Badirova poradenská spoločnosť bola len pretvárkou pre podvody. O pár rokov bol Munther vinný z prelomenia počítačových súborov, vďaka ktorým bol schopný nájsť pozemky starých Izraelčanov žijúcich v zahraničí a predať ich za veľké peniaze pomocou falšovania transakcií.
O nejaký čas na to polícia zistila, že bratia prenikli do armádnej rozhlasovej stanice a predávali diaľkové hovory arabom. Taktiež si zabezpečili dve nepoužívané linky izraelskej telefónnej spoločnosti a používali ich na náklady spoločnosti. Odhad polície vychádza na 10 000 dolárový denný zárobok za predaj telefónnych služieb v telefónnych sieťach. Agenti povedali, že bratia Badirovci ovládali asi 10 spôsobov únosu telefónnych systémov, vrátane jednej políciu prezývanej „Trójsky kôň“ (Glain 1999).
4.3 WannaCry Ransomware Attack
WannaCry útok je jedným z najničivejších a najrýchlejšie sa šíriacim globálnym kybernetickým útokom, ktorého cieľom je infekcia počítačovej sieti v podobe napadnutia pevného disku a následne získanie kontroly nad samotným ovládaním počítača. Jedinou
možnosťou je odoslanie platby za výmenu obnovenia a odšifrovania súborov, a to zvyčajne v anonymnej digitálnej kryptomene. Ak platba neprebehne tak sa suma navýši.
Medzi najzávažnejšiu historickú akciu toho typu sa považuje útok, ktorý sa konal 12. mája 2017. Vírus WannaCry zneužil chybu v zabezpečení v systéme Microsoft Windows. Tento útok zapríčinila Národná bezpečnostná agentúra USA. Zasialo to približne 200 000 počítačov vo viac ako 150 krajinách.
Tento typ vydierania nebol žiadnou novinkou pretože existuje už zhruba od roku 2005. Stala sa prepracovanejšou, pretože útočníci vylepšili šifrovaciu schému, ktorá šifruje súbory pomocou súkromného kľúča, ktorý vlastní iba útočník (Trautman- Lawrence- Oemerod 2018).
4.4 NotPetya
Rok 2017 zasiahol obrovskú medicínsku firmu MSD natoľko, že americký Biely dom v zapätí vyhlásil, že išlo o „najničivejší a najnákladnejší kybernetický útok v histórii“. Dňa 27. júna sa stala spoločnosť MSD jednou z mnohá spoločnosti na svete obeťou masívneho ransomwarového útoku, ktorý vo firme zasiahol vyše 30 000 tisíc počítačov a 7 500 serverov.
V to ráno, keď zamestnanci prišli do práce našli na svojich počítačoch ružové varovanie:
„Ľutujeme, ale vaše dôležité súbory sú šifrované. ... Garantujeme, že môžete bezpečne a ľahko obnoviť všetky svoje súbory. Všetko, čo musíte urobiť, je odoslať platbu ... “. Cena bola 300 dolárov v bitcoinoch na jeden počítač. V priebehu dvoch týždňov sa vo firme naprieč celým svetom nič nedialo. Dlhoročné práce niektorých pracovníkov sa v ten moment stratili.
Postihnutými ostali aj výrobné, predajné či výskumné oblasti spoločnosti. Útok nazývaný NotPetya bol navrhnutý tak, že nákaza sa presúvala z počítača na počítač spôsobom, ktorý postihol mnoho svetových spoločnosti v rôznych kútoch sveta. Za organizátormi útoku sú podľa západných spravodajských agentúr zodpovední ruskí agenti. Po čase sa zistilo, že spoločnosť MSD bola vedľajším účastníkom. Hlavným cieľom sa stala Ukrajina, ktorá sa nachádzala v konflikte s Ruskom už niekoľko rokov. Nákaza sa do spoločnosti MSD dostala z ukrajinského servera v kancelárii kde sa nachádzala infikovaná daňová softvérová aplikácia M.E.Doc. V nasledujúcich časoch sa spoločnosť vystavovala obrovským stratám, keďže nebolo možné vytvárať dostačujúci dopyt po vakcínach z dôvodu postihnutých zariadení vo výrobných miestach. Spoločnosť MSD sa za týchto okolností obrátila na svojich poisťovateľov.
Nakoniec ostala pokrytá vo výške 1,75 miliárd vrátane zničených počítačov, softvérov atď.
Zvláštnym dianím bolo, keď poisťovatelia spoločnosti odmietli byť krytý týmito poistkami z dôvodu, že majetková politika MSD výslovne špecifikovala tento typ udalosti za vojnový akt.
Poisťovne to uvádzali v takomto znení, aj keď v USA zákonoch nebola presná definícia čo tento kybernetický útok znamená, a do ktorej kategórie sa zaradzuje. Nasledovne MSD podala žalobu na svojich poisťovateľov za porušenie zmluvy a v závere si vyžiadala stratu vo výške 1,3 miliardy dolárov (Voreacos– Chiglinsky 2019).
5 Metódy sociálneho inžinierstva
V tejto dobe je sociálne inžinierstvo najväčšou hrozbou pre kybernetickú bezpečnosť. Útoky je možné zistiť ale nie úplne zastaviť. Existuje množstvo rôznych metód preto si v nasledujúcej časti predstavíme tie najznámejšie a najčastejšie používané metódy. Náplňou tejto kapitoly je poukázať na rozdiely v týchto metódach, v určitých prípadoch aj prepojenosť. Avšak, hlavným cieľom každého útoku rôzneho typu je využitie psychologickej manipulácie obete.
5.1 Phishing
Phishingové útoky patria medzi najčastejšie útoky sociálnych inžinierov. Je to typ procesu, ktorý sa zameriava na získanie súkromných informácií prostredníctvom hlasových a textových falošných správ cez média kybernetického priestoru, ku ktorým patria najmä e-mailové správy, telefóne hovory či SMS správy. Útočník (phisher) phishing metódy sa zameriava na získanie dôverných a citlivých informácií napodobňovaním dôvernej elektronickej komunikácie alebo pokiaľ ide o verejnú organizácie tak automatizovaným spôsobom. V prípade masového napadnutia útočníci najčastejšie atakujú podvodnými správami najmä zamestnancov, a to takým spôsobom, že im ponúkajú služby v kybernetickom priestore. Môžu to byť napríklad poskytovatelia emailových schránok alebo finančné služby ako Paypal, ktoré vlastnia množstvo používateľských účtov (Hadnagy 2018).
Hlavným princípom e-mailového phishingu je zaslanie falošného odkazu, ktorý vyzerá oficiálne a reálne. Táto činnosť je najčastejšie vykonaná tak, že váš odkaz navedie na nejaký dotazník alebo nejaké okná kde je potrebné vyplniť osobné údaje či číslo bankovej karty. V tejto silnej sociálnej dobe je veľmi jednoduché kliknúť na nejaký odkaz pri takomto veľkom množstve reklám a odkazov napríklad na Facebooku (Jakobsson 2007).
Príklad phishingu vo forme e-mailu je zobrazený nižšie na Obr. 1 a následne vysvetlený.
Obr. 1 Príklad phishingového e-mailu, zdroj: (Microsoft 2013)
Profesionálne spoločnosti zamestnávajú vyškolených profesionálov, ktorý majú na starosti verejné maily a nedovolia si rozoslať správy s chybami. Pokiaľ si všimnete email s chybami automaticky ho považujte za podvodný. Ak uvidíte v maily podozrivé odkazy, uistite sa, či kurzor myši odpovedá danému odkazu v správe. Nižšie na Obr. 2 je uvedený príklad, kde odkaz stránky v správe neodpovedá odkazu v žltom rámčeku, ktorý zobrazuje kurzor myši nastavený na web stránku. Reťazec plný záhadných čísel nevyzerá tak aby mal niečo spoločné s daným odkazom napísaným v správe.
Obr. 2 Príklad na falošný odkaz, zdroj: (Microsoft 2013)
Ďalším falošným znakom na Obr. 1 je, že útočník využíva formu vyhrážky aby sa obeť cítila ohrozená. Toto je veľmi podozrivá časť správy kde útočník je dosť často odhalený a ignorovaný. Na záver útočník využíva známe a populárne znaky, názvy alebo podpisy organizácií aby obeť považovala email za normálny a naoko bežný (Microsoft 2013).
Jedna z najznámejších phishingových udalosti bola predmetom FBI operácie s názvom Phish Phry v roku 2009. FBI sa podarili zatknúť organizovanú kybernetickú skupinu, ktorá odosielala
podvodné ale veľmi presvedčivo vyzerajúce e-maily tisíckam zákazníkom amerických bánk.
Obete boli webovým odkazom presmerovaný na podvodné prihlasovacie údaje bánk. Údaje boli týmto spôsobom presmerované na útočníkov. FBI zatkla asi 100 členov tejto hackerskej organizácie. Na tomto prípade spolupracovali americké a egyptské zložky (FBI 2009).
5.2 Pharming
Pharming je ďalší typ metódy sociálneho inžinierstva. Predstavuje sofistikovanejší a omnoho náročnejší spôsob útoku. Pojem pharming obsahuje kombináciu slova phishing a farming (farmárčenie). Podobne ako phishing tak aj tento typ útoku sa zameriava na získavanie údajov prostredníctvom manipulácie človeka cez falošné stránky. Existujú dva typy napadnutia. Prvým z nich je napadnutie DNS (Domain Name System) servera a následné prepísanie IP adresy.
Používateľ nie je schopný tento útok registrovať pretože obeť je na falošnú stránku automatický presmerovaná po zadaní dôveryhodnej stránky, ktorú útočník kopíruje. Užívateľ zadá správnu adresu ale DNS server nepreloží správne IP adresu (Kohout 2016; Mohamed 2020). Druhým typom je hostfile pharming, ktorý presmeruje obeť na falošnú web stránku pomocou súboru Host v zariadení obete. Každá webová stránka spolu s IP adresou je uložená na jednom alebo viacerých fyzických serveroch. IP adresám sa priraďujú doménové mená, keďže čísla IP adresu sú nepraktické a ťažko zapamätateľné. Napríklad webová stránka Vysokej školy ekonomickej v Prahe má IP adresu 146.102.16.4 a k nej sú priradená dve doménové mena www.vse.cz, alebo vse.cz. Pri zadaní jedného z týchto mien náš počítač odošle požiadavku na DNS server, aby k tejto doméne priradil zodpovedajúcu IP adresu. Súčasťou každého počítača je aj priamy textový súbor Hosts, ktorý taktiež dokáže manuálne priraďovať domény k IP adresám.
Ak chceme aby po napísaní domény www.google.com načítal web stránku našej vysokej školy tak do súboru napíšeme obe typy doménových mien: 146.102.16.4 www.google.com a 146.102.16.4 google.com. V súbore sme takto zmenili IP adresu vyhľadávača Google, ktorého adresa je 8.8.8.8 na IP adresu Vysokej školy ekonomickej v Prahe. Presne takýmto štýlom funguje metóda pharming (Mohamed 2020).
5.3 Vishing
Ide o jednoduchý spôsob získavania osobných citlivých údajov prostredníctvom telefonického hovoru. Jedna sa o typ podvodu keď „hacker“ zašle obeti SMS alebo e-mail, ktorý nabáda toto telefónne číslo použiť. Vo väčšine prípadov nástraha je vo forme upozornenia ohľadom zvláštnej vykonanej transakcie alebo, že nastal nejaký technický problém a je nutné
kontaktovať falošnú osobu, banku alebo rôznu inú inštitúciu. Hacker sa predstaví ako falošná osoba, či inštitúcia a požiada klienta o osobné údaje vrátane hesiel aby vyriešil fiktívny problém za vás čo najrýchlejšie. Výsledkom pre hackera je finančný zisk z vášho konta a vaše citlivé údaje. Tento druh ataku má vzostupný trend z dôvodu uponáhľanosti ľudí v dnešnej dobe, nepozornosti a hlavne rýchlo vyvíjajúcej sa technológii, ktorej čím ďalej tým menej ľudí rozumie (Mc.Clure– Scambray–Kurtz 2007).
5.4 Biting
Táto metóda využíva techniku, ktorá môže a nemusí prebiehať v kybernetickom prostredí.
V preklade do slovenčiny slovo biting predstavuje „lámanie“ alebo „vnadenie“.
V jednoduchšom znení to znamená, že útočník pripraví „návnadu“ pre obeť“, aby si ju všimla a použila ju z vlastnej iniciatívy. Návnadou sa chápe médium v podobe CD, DVD alebo USB.
Typickým prípadom je ponechanie USB flash obsahujúci škodlivý súbor na zvyčajnom mieste, ktorý si obeť z vlastnej zvedavosti bude chcieť prezrieť. Takým spôsobom útočník získa prístup k počítaču, či dokonca k celej sieti organizácie alebo firemnej spoločnosti (Kuneš 2016).
Pokiaľ sa útok odohráva priamo v kybernetickom prostredí, jedná sa teda o útok, pri ktorom sa
„návnada“ použije pri veľkom množstve ľudí. V tomto prípade sa o návnadu považuje webová stránka alebo nejaký súbor, ktorý sa stiahne z internetu. Útočník berie do úvahy, že pokiaľ si človek chce niečo nelegálne stiahnuť z internetu, či už je to film alebo hudba, obeť prejde cez rôzne nebezpečné stránky a nepozornosťou si nainfikuje svoj počítač. V takýchto prípadoch hrá veľkú rolu aj ľudská zvedavosť a pokušenie kliknúť na zaujímavú reklamu alebo túžba po zaujímavom súbore (Chapple– Seild 2014).
5.5 Water holing
Názov tejto metódy vznikol na základe prírodných dejov. Predátor čaká na korisť pri napájadle, mieste kde obeť určite príde. Water hole je útok, pri ktorom útočník infikuje webovú stránku, ktorú obeť často navštevuje. Opäť jeden z útokov kde je využitá dôvera človeka a jeho nevedomosť. Je to jeden z útokov, ktorý je ťažšie odhaliteľný pretože stránka na oko vyzerá v poriadku, zatiaľ čo jeho script alebo software nie. Stránka nemusí byť populárna v širokom rozpätí ľudí, stačí, že mieri na určitú skupinu alebo organizáciu (Grimes 2013).
V dnešnej dobe je pre sociálneho inžiniera veľmi jednoduché zistiť aké stránky obeť má rada a navštevuje. Stačí si prejsť profily sociálnych sieti, čo zdieľa, v akých skupinách sa pohybuje.
Dokonca možnosťou je využiť internetové sledovacie stránky, ktoré využívajú najmä ľudia
v oblasti marketingu pri hľadaní potencionálnych zákazníkov. Sú to legálne stránky ako napríklad AddThis, detailom potom je už len zistiť si e-mailovú adresu obete. V prípade, že obeť navštívi infikovanú webovú stránku, je možné, že sa tam budú nachádzať vyhovujúce bezpečnostné diery. Stiahnutý malvér sa stane aktívnym, pričom najčastejšie sa jedna o vírus typu RAT (Remote Access Trojan). Táto technika sa využíva najmä pri útoku vo väčších organizáciách alebo v štátnych sektoroch. Dôkazom, že táto metóda je veľmi účinná a novodobá je fakt, že boli ňou postihnuté aj viaceré väčšie spoločnosti ako Apple, Microsoft či Twitter (Moshin 2020).
6 Sociálne inžinierstvo v zdravotníctve
Problémy so sociálnym inžinierstvom sa pre podniky stávajú každodenným bojom. Posledné trendy, štatistiky a rôzne iné predpovede odhaľujú obrovské nárasty napadnutia a ohrozenia dát z rôznych zdrojov. Dáta predstavujú v dnešnej elektronickej dobe najvzácnejší prvok.
Na základe štatistického prieskumu Statista sa zistilo, že v roku 2019 sa za jedno z najohrozenejších odvetví považuje zdravotníctvo v oblasti počítačovej kriminality a incidentov. V prieskume sa zohľadňovala veľkosť organizácie a odvetvie, v ktorom pôsobí (Statista ©2021).
Podľa popredného svetového poskytovateľa sietí na doručovanie obsahu CDNetworks sú zdravotnícke inštitúcie druhým najzraniteľnejším sektorom voči útokom sociálneho inžinierstva (CDNetworks 2021).
Dôležitosť údajov záleží od ich typu. V zdravotníctve problémy siahajú od integrity systémov a súkromia pacientov, až po vydieravé útoky. Zatiaľ čo tieto útoky zažívajú aj iné odvetvia kritickej infraštruktúry, povaha zdravotníckeho priemyslu predstavuje veľké výzvy. V zdravotníctve môžu mať útoky sociálneho inžinierstva následky, ktoré presahujú finančné straty a narušenie súkromia (CIS 2021).
6.1 HIPAA Analýza
HIPAA (The Health Insurance Portability and Accountability Act) je federálny americký zákon o prenositeľnosti a zodpovednosti zdravotného poistenia z roku 1996. HIPAA bola založená predovšetkým na účly ako: boj proti podvodom a zneužívaniu v poskytovaní zdravotnej
starostlivosti, chránenie súkromných informácií o pacientovi, jeho ochrany súkromia atd.
(Security Metrics 2021) .
Prieskum časopisu „HIPAA“ uskutočnil štúdiu o útokoch narušených zdravotníckych organizácií uskutočnených v rokoch 2009-18. Táto štúdia ukazuje, že v porovnaní s rokom 2009 je v súčasnosti útok na narušenie ochrany údajov v zdravotníctve v najhoršom stave. Graf číslo 3 ilustruje útoky, a že zdravotnícky priemysel vyžaduje nevyhnutné účinné zabezpečenie proti útokom škodlivého softvéru na správu integrity, dôvernosti a dostupnosti údajov (IEE Explore 2020).
Graf 1 Počet narušených dát v zdravotníctve, zdroj: (IEEE Access 2019)
HIPAA zaznamenáva 25 najväčších narušení údajov v zdravotníctve za posledných 10 rokov.
Pomocou tohto záznamu kategorizovali percentuálny pomer typu útoku, ktorý sa v zdravotníckych organizáciách realizoval častejšie. Graf číslo 2 zobrazuje, že 62% najväčších útokov na zdravotnú starostlivosť je implementovaných iba incidentmi v oblasti IT. Kritická analýza tohto typu poukazuje na potrebu systematickej a spoľahlivej integrity údajov a inteligentnej bezpečnosti.
Graf 2 Percentuálny pomer podľa typu útokov v zdravotníctve, zdroj: (IEEE Access 2019)
Spoločnosť SecurityMetrics uskutočnila v roku 2020 päť prieskumov. Zhromaždila informácie o analýze HIPAA týkajúce sa bezpečnosti, sociálneho inžinierstva a ochrany súkromia. Dostali odpovede od viac ako 750 rôznych zdravotných lekárov Spojených štátov amerických. Títo respondenti patria predovšetkým k organizáciám s menej ako 500 zamestnancov, ale uvádzajú, že tieto štatistiky sú dôležité pre organizácie akejkoľvek veľkosti, pretože väčšinou zdravotnícke organizácie zdieľajú údaje o pacientoch s menšími organizáciami (napr.
nemocnice zasielajú údaje o pacientoch na špeciálne kliniky) (Security Metrics 2021).
Veľmi zaujímavý prieskum je zobrazený na Grafe číslo 3, ten vypovedá, že 39% lekárov je školených ročne; 6% lekárov polročne; 20% nikdy a 19% lekárov nevie, ako často sú školení.
Graf 3 Pravidelnosť školenia lekárov v zdravotníctve podľa HIPAA, zdroj: (Security Metrics 2020)
Štatistiky diskutované v tejto časti jasne vysvetľujú trendy útokov či nepripravenosť odolávať útoky. V dnešnom svete založenom na dátach sú dôsledky desivé. Manipulácia s údajmi je zákernejšia. Tento scenár predstavuje naliehavú potrebu porozumieť súčasnému stavu výskumu v oblasti integrity údajov v zdravotníctve (Oyetoyan- Jaatun- Cruzes 2019).
Následne zaujímavou súčasťou analýzy bolo zistenie, aké percento nikdy neškolených lekárov by malo záujem o HIPAA školenie a zistiť svoje nedostatky. Výsledky vyhodnotili vysoký záujem respondentov, presne 74%, že by mali záujem sa zúčastňovať tréningov a zistiť svoje slabé stránky.
Prieskum zistil, že lekári boli v identifikácii phishingových e-mailov trikrát horší ako ich kolegovia, ktorí nie sú lekármi, napríklad kancelárski pracovníci. Celkovo 58% lekárov v zdravotníctve preukázalo určitú nedostatočnú pripravenosť na zvládnutie bežných scenárov ohrozenia. Prieskum tiež zistil, že takmer dvojnásobné množstvo lekárov, ktorí poskytujú odbornú pomoc v zdravotníctve malo problém s identifikáciou niekoľkých bežných znakov škodlivého softvéru v porovnaní s respondentmi v bežnej populácii. Pokiaľ ide o hlásenie nehôd, 23% lekárov neoznámilo rôzne potenciálne bezpečnostné alebo súkromné incidenty potenciálne infikované škodlivým softvérom (Security Mertics 2021).
Prieskum zistil, že phishingové útoky sa vyskytujú pravidelnejšie, ako by si mnoho nemocníc mohlo myslieť, čo ukazuje na urgentnú potrebu väčšieho povedomia a bezpečnostných opatrení. Viac ako jeden zo štyroch opýtaných lekárov v zdravotníctve pripustil, že za posledný rok zažil najmenej jeden klamlivý útok vo forme emailu. Následne jedna tretina dodala, že by v takom prípade útok nenahlásila svojmu IT tímu (Cohen 2018).
Bezpečnosť informačných systémov je sále veľmi dôležitou súčasťou a to najmä v zdravotníckom odvetvi. Pri jej ignorovaní alebo podceňovaní môže ľahko dôjsť k zložitým a vysoko nákladným nečakaným následkom. Preto je veľmi dôležité dobré poznať informačný systém, s ktorým pracujeme. Dnešná doba a s ňou spojené informatické trendy enormne naberajú obrátky, čo znamená, že sa už nebavíme len o počítačových vírusoch ale aj o sociálnom inžinierstve a sním súvisiacimi metódami. Je nevyhnutné poznať spôsoby možnej ochrany. V tejto časti bakalárskej práce sa budeme zaoberať pilotnou analýzou v okresnej nemocnici. Zameriame sa na analýzu lekárov v oblasti sociálneho inžinierstva a na spôsob fungovania nemocničného systému, ktorý využívajú pri práci.
Analýza je vykonaná v okresnej nemocnici, ktorá zamestnáva 600 zamestnancov a k dispozícií má 500 lôžkových miest. V nemocnici sa nachádza 25 oddelení a 36 ambulancií.
6.2 Nemocničný informačný systém
Ako základný nástroj nemocnica využíva informačný systém PROMIS od košickej softwarovej spoločnosti Prosoft Košice s.r.o. (Obrázok číslo 3), ktorý sa zaoberá vývojom produktov pre zdravotníctvo. Program PROMIS zahŕňa programové vybavenie pre lôžkovú časť, ambulantnú časť, spoločné vyšetrovacie a liečebné zložky a centrálne spracovanie údajov týkajúcich sa celého zariadenia. Informačný systém je stavaný modulárne, preto je možné okrem komplexnej inštalácie celého systému vykonať aj samostatné inštalácie jednotlivých modulov s možnosťou neskoršieho rozšírenia podľa potrieb zákazníka. Jednotlivé moduly Promis sa označujú názvom podsystému (Ambis, Lozis, Svalzis, Central), ku ktorému sa pripája bližšie označenie výrobku, napr. Lozis - Prijímacia kancelária, Lozis - Lôžkové oddelenie, Lozis - Sklad liekov a liečiv, Ambis - Odborný lekár, Svalzis - Laboratórium, Svalzis - RDG/USG/CT, Svalzis - FRO, Svalzis - Mikrobiológia, Svalzis - Patológia, Central - Spracovanie dávok (Promis 2021).
Obr. 3 Medicínsky informačný systém, zdroj: (autor)
Spoločnosť PROSOFT Košice s.r.o. má zavedený a každoročne auditovaný systém manažérstva kvality podľa normy ISO 9001 : 2000. Taktiež je držiteľom certifikátu kvality od renomovanej svetovej firmy Det Norske Veritas na nasledovné procesy: vývoj programového vybavenia, komplexne riešenie informačných systémov, predaj produktov v oblasti informačných technológií (Promis 2021).
Jeden z ďalších najčastejšie používaným systémom v nemocnici je aplikácia TomoCon GO od bratislavskej vývojárskej spoločnosti TATRAMED, ktorá sa špecializuje na medicínsku informatiku (Obrázok č. 4). Aplikácia slúži na náhľad a vizuálnu dokumentáciu pacientov (Obrázok č. 5). Táto aplikácia má jednoduchú prístupnosť z rôznych nemocničných systémov.
Komunikácia medzi aplikáciou a serverom prebieha v šifrovanej podobe a to aj pred prihlásením používateľa do aplikácie. Pri prihláseni sa do systému je potrebné okrem zadania správnych prihlasovacích údajov aj overenie PIN kódom (Tatramed 2021).
Obr. 4 TomoCon GO 2, zdroj: (autor)
Obr. 5 TomoCon GO 1, zdroj (Tatramed 2020)
6.3 Prognózy vlastnej analýzy
V nasledujúcej kapitole sa budeme venovať vlastnej analýze, ktorá bude vytvorená v konkrétnej pilotnej okresnej nemocnici na Slovensku. Cieľom analýzy je získať, spracovať a analyzovať vedomosti lekárov v oblasti sociálneho inžinierstva a sním spojené útoky.
Respondentmi analýzy budú výlučne lekári/ lekárky. Následne budeme porovnávať výsledky so vstupnými kritériami a HIPAA analýzou. Informácie budú získané na základe terénneho výskumu pomocou dotazníka v papierovej forme.
Hlavnou úlohou tejto práce bude splnenie cieľa ale aj verifikovať vstupné kritéria, ktoré som si stanovila:
• Vstupné kritérium č. 1
Na základe položených otázok z prvej časti dotazníka som sa zamerala na všeobecné informácie o lekároch.
Prognóza mojej analýzy v prvej sekcii pozostáva z nasledujúcich predpovedí.
Lekári sa neorientujú v pojme sociálneho inžinierstva, bez ohľadu na pohlavie alebo vek. Lekárom záleží na spôsobe likvidácii dát o pacientoch. Hesla si menia pravidelne každý pol rok a využívajú rovnaké hesla ako na svojich osobných účtoch.
• Vstupné kritérium č. 2
V druhej časti dotazníka som sledovala, či sú lekári zamestnávateľom školený v oblasti sociálneho inžinierstva a aký majú na to názor.
Prognóza mojej analýzy v druhej sekcii pozostáva z nasledujúcich predpovedi.
Lekári neabsolvovali školenia v oblasti sociálneho inžinierstva, z toho plynie, že neboli ani zamestnávateľom nikdy v minulosti školení ale lekári sú zástancami školenia a zlepšovania sa.
• Vstupné kritérium č. 3
V poslednej sekcii dotazníka som sledovala ako lekári dokážu odolávať phishingovým útokom- najčastejšie používané útoky dnešnej doby. Prognóza mojej analýzy v tretej sekcii pozostáva z nasledujúcich predpovedi. Lekári sa už niekedy dostali do styku s klamlivým e-mailom a problém nenahlásili zodpovedajúcim pracovníkom nemocnice. Na druhu stranu lekári dokážu úspešne odolávať jednoduchým phisingovým testom.
6.4 Metóda analýzy
Analýza v tejto bakalárskej práci bola uskutočnená formou dotazníka. Je veľmi dôležité tento pojem správne pochopiť tak ho definujeme. Ide o nástroj určený na zhromažďovanie údajov, ktorý pozostáva zo série konkrétnych otázok. Odpovede respondentov pomôžu autorovi lepšie porozumieť prieskumnej otázke a poskytnúť praktický prehľad rôznych odpovedí, z ktorých sú extrahované dôležité informácie. (Remenyi, 2011) Dotazník bol určený výhradne pre lekárov v konkrétnej pilotnej nemocnici. Úlohou lekárov bolo vyplniť dotazník na základe ponúknutých možností, ktoré najlepšie vystihovali ich odpoveď. Dotazník bol vytvorený v papierovej forme pomocou aplikácie Microsoft Word. Dotazník bol odovzdaný lekárom z rôznych nemocničných oddelení a obsahoval 13 otázok, ktoré boli rozdelené do 3 sekcií podľa témy zamerania. Hlavným zámerom tohto prieskumu bolo zistiť, aké všeobecné poznatky majú lekári na tému sociálne inžinierstvo a s ním spájane útoky, a či HIPAA analýza v skutočnosti odpovedá realite v sledovanej konkrétnej nemocnici. Informácie som spracovala a vizuálne vyjadrila pomocou grafov a tabuliek.
Dotazník
Prvá sekcia dotazníka bola zameraná na všeobecné informácie o lekároch/ lekárkach a ich záujmu o sociálnom inžinierstve. Táto sekcia dotazníka nenadväzuje na HIPAA analýzu.
Sekcia bola vytvorená na základe vlastnej zvedavosti o súčasnom stave v zdravotníctve.
Otázka číslo 1: Pohlavie ?
V otázke číslo 1 sledujem, či existuje pohlavie, ktoré je lepšie vybavené všeobecnými informáciami v oblasti sociálneho inžinierstva.
Otázka číslo 2: Vek?
V otázke číslo 2 som kategorizovala tri vekové kategórie (generácia X, Y a Z), na základe čoho analýza vyhodnotí, ktorá generácia je najlepšie vybavená informáciami o sociálnom inžinierstve.
Otázka číslo 3: Vedeli ste, že zdravotníctvo patrí medzi najviac ohrozené odvetvie čo sa týka útokov sociálneho inžinierstva?
Otázka číslo 3 sa zameriava na všeobecnú znalosť lekárov v odvetví, v ktorom pôsobia.
Otázka číslo 4: Záleží vám, akým spôsobom likvidujete informácie o pacientoch?
(zdravotné karty, správy, USB, CD...) ?
Otázka číslo 4 slúži na to aby som zistila, aký je záujem lekárov chrániť dáta pacientov v prípade, že už nie sú pre nich potrebné a použiteľné.
Otázka číslo 5: Ako často si meníte hesla v systémových aplikáciách na pracovnom počítači?
Otázka číslo 5 sleduje ako pravidelne si lekári menia hesla na pracovných počítačoch a aplikáciách, ktoré v práci používajú.
Otázka číslo 6: Používate rovnaké hesla ako na osobných účtoch?
Otázka číslo 6 analyzuje aká časť lekárov používa rovnaké hesla na pracovných počítačoch ako na svojich osobných účtoch a aká časť lekárov používa špecifické hesla len na pracovné účely.
Druha sekcia tohoto dotazníka sa zameriava na školenia lekárov v oblasti sociálneho inžinierstva. Zaujímalo ma, v akom stave je táto pilotná nemocnica čo sa týka vzdelávania a školenia svojich zamestnancov. Taktiež analyzujem záujem a informovanosť lekárov.
Otázka číslo 7: Absolvovali ste niekedy školenie/kurz o sociálnom inžinierstve?
Otázka číslo 7 zisťuje, či lekári, konkrétne v tejto nemocnici sú oboznámení so sociálnym inžinierstvom skrz absolvovaného školenia alebo kurzu.
Otázka číslo 8: Ako často ste školený vaším zamestnávateľom na tému sociálne inžinierstvo?
V otázke číslo 8 sa pýtam lekárov ako často sú zamestnávateľom vyzvaní k absolvovaniu školenia alebo kurzu o sociálnom inžinierstve. Táto otázka je kľúčová, pretože jasne poukáže na to v akom stave nemocnica je a ako je chránená.
Otázka číslo 9: Myslíte si, že by ste mali absolvovať častejšie školenia na tému sociálne inžinierstvo, aby ste dokázali rozpoznávať a odolávať útoky?
V otázke číslo 9 zisťujem záujem lekárov, či by radi prijali častejšie školenia na tému sociálneho inžinierstva, pre prípad, že by chceli mať viac vedomosti a praxe o tom ako sa vyvarovať možnému nebezpečiu.
Tretia sekcia dotazníka je zameraná na vedomosti lekárov v oblasti phisingu resp. klamlivých e-mailov. Podstatou bolo zistiť reakcie lekárov skrz phistingových testov a ich informovanosť.
Otázka číslo 10: Dostali ste sa niekedy v práci do styku s klamlivým e-mailom?
V otázke číslo 10 sa pýtam lekárov, či sa už niekedy v minulosti stretli s phishingovým e- mailom, teda či si to uvedomili v daný moment.
Otázka číslo 11: Nahlásili ste to zamestnancovi, ktorý má na starosti IT bezpečnosť vo vašej nemocnici?
Otázka číslo 11 slúži na to aby som zistila ako sa lekári zachovajú v prípade keď zistia, že odhalili phishingový e-mail.
Otázka číslo 12: Vyberte e-mail, ktorý vám príde podozrivý ?
Otázka číslo 12 preveruje lekárov, či dokážu správne odhaliť klamlivý e-mail na obrázkoch.
Otázka číslo 13: Dostanete e-mail od svojho spolupracovníka. Nadpis je „Pozri sa na to!
Zlepší si deň!“ E-mail má odkaz na video a ďalší text, ktorý hovorí „tí najlepší sa dnes smejú“. Pozrieš si to?
Otázka číslo 13 testuje lekárov aké rozhodnutie urobia po prečítaní si e-mailu so zavádzajúcim znením. Email môže a nemusí byť škodlivý. V takom prípade by mali byť schopný využiť pokročilé znalosti a odhaliť maximum z toho čo sa da v tom prípade urobiť.
6.5 Analýza výsledkov a vyhodnotenie
Potrebné údaje boli vyhodnotené číselne- tabuľkami a percentuálne- grafmi. Najvhodnejšiu formu grafov sa mi javili koláčové grafy, pretože podporia lepšiu predstavivosť a prehľadnosť analýzy a výsledkov. Dotazník bol zodpovedaný osemnástimi lekármi konkrétnej okresnej pilotnej nemocnici.
Vyhodnotenie prvej časti dotazníka:
Na grafe č. 4 a tabuľke č. 1 môžeme spozorovať, že tento dotazník vyplnilo viac žien ako mužov. Konkrétne 11 lekárok (61%) a 7 lekárov (39%).
Tab.1 Pohlavie respondenta, zdroj: (autor)
Pohlavie
muž 7
žena 11
Graf 4 Výsledky typu pohlavia, zdroj: (autor)
39%
61%
muž žena
Na grafe č. 5 a tabuľke č. 2 môžeme spozorovať, že polovica dotazníka bola vyplnená lekármi generácie Y (1980-1995), druhý najväčší podiel (33%) zastúpili lekári najstaršej generácie X (1965-1979) a len traja lekári zastúpili najmladšiu generáciu Z (1996-2009).
Tab.2 Veková kategória respondenta, zdroj: (autor)
Vek
generácia X 6 generácia Y 9 generácia Z 3
Graf 5 Výsledky vekovej kategórie respondenta, zdroj: (autor)
Výsledok tejto otázky je podstatne dôležitý. Na grafe č.6 a tabuľke č.3 môžeme spozorovať, že až 78% opýtaných lekárov nemá informáciu o tom, že zdravotníctvo je jedno z najkritickejších odvetvi v rámci sociálneho inžinierstva a s ním súvisiacimi problémami. Len štyria lekári vedia, že pracujú v kritickom sektore krádeži dát.
Tab.3 Informovanosť lekárov vo vlastnom sektore, zdroj: (autor)
Vedeli ste, že zdravotníctvo patrí medzi najviac ohrozené odvetvie čo sa týka útokov sociálneho
inžinierstva?
áno 4
nie 14
33%
50%
17%
generácia X generácia Y generácia Z
Graf 6 Výsledky o informovanosti lekárov vo vlastnom sektore , zdroj: (autor)
Na grafe č.7 a tabuľke č.4 môžeme spozorovať, že lekárom záleží na spôsobe likvidácie nepotrebných dát o pacientoch. Z osemnástich opýtaných len jednému lekárov nezáleží na tom ako zlikviduje dáta.
Tab.4 Likvidácia informácii, zdroj: (autor) Záleží vám, akým spôsobom likvidujete informácie
o pacientoch? (zdravotné správy, karty, USB, CD...) ?
áno 17
nie 1
Graf 7 Výsledky o likvidácii informácii , zdroj: (autor)
Na grafe č.8 a tabuľke č.5 môžeme spozorovať, že pravidelne zmeny hesiel na pracovných systémových aplikáciách vykonáva 56% lekárov ročne. Šesť lekárov (33%) si mení hesla polročne a dvaja lekári (11%) si nemenia hesla nikdy.
22%
78%
áno nie
94%
6%
áno nie
Tab.5 Zmena hesla, zdroj: (autor)
Ako často si meníte hesla v systémových aplikáciách na pracovnom počítači ?
polročne 6
ročne 10
nikdy 2
Graf 8 Výsledky o pravidelnosti zmeny hesla , zdroj: (autor)
Na grafe č.9 a tabuľke č.6 môžeme spozorovať, že osem lekárov (44%) používa rovnaké hesla v práci ako na svojich osobných účtoch. 56% lekárov sa prihlasuje na prácu v počítači pomocou špecifických hesiel výhradne na pracovné účely.
Tab.6 Totožnosť hesiel, zdroj: (autor)
Používate rovnaké hesla ako na osobných účtoch?
áno 8
nie 10
Graf 9 Výsledky o totožnosti hesiel , zdroj: (autor)
33%
56%
11% polročne
ročne nikdy
44%
56% áno
nie
Vyhodnotenie prvého vstupného kritéria:
Prognóza, ktorú som predpovedala v prvom vstupnom kritériu sa vo väčšine potvrdila. Lekári sa neorientujú v pojme sociálneho inžinierstva bez ohľadu na pohlavie alebo vek. Lekárom záleží na spôsobe likvidácii dát o pacientoch. Dve otázky vyvrátili moju prognózu ohľadom hesiel. Väčšina lekárov si mení hesla pravidelne každý rok a nepoužíva rovnaké hesla ako na svojich osobných účtoch
Vyhodnotenie druhej časti dotazníka:
Na grafe č.10 a tabuľke č.7 môžeme spozorovať, že školenie alebo kurz na tému sociálneho inžinierstva v minulosti absolvovala len pätina z opýtaných lekárov (17%), 83% lekárov nikdy predtým takéto školenie alebo kurz neabsolvovali.
Tab.7 Absolvovanie školenia/kurzu, zdroj: (autor)
Absolvovali ste niekedy školenie/ kurz o sociálnom inžinierstve?
áno 3
nie 15
Graf 10 Výsledky o absolvovaní školenia/kurzu , zdroj: (autor)
Na grafe č.11 a tabuľke č.8 môžeme spozorovať, že polovica opýtaných lekárov nikdy v minulosti nebola zamestnávateľom školená na tému sociálne inžinierstvo, zatiaľ čo 6 lekárov (28%) odpovedalo, že nevie či také školenie vôbec absolvovalo. Traja lekári sú školení ročne.
Polročne, štvrťročne žiaden z lekárov a 5% nováčikov je školených pri nástupe do zamestnania.
17%
83%
áno nie
Tab.8 Pravidelnosť absolvovania školenia/kurzu, zdroj: (autor)
Ako často ste školený vaším zamestnávateľom na tému sociálne inžinierstvo?
štvrťročne 0
ročne 3
nikdy 9
neviem 5
len nováčikov 1
2x do roka 0
mesačne 0
Graf 11 Výsledky o pravidelnosti absolvovaní školenia/kurzu , zdroj: (autor)
Na grafe č.12 a tabuľke č.9 môžeme spozorovať, že priaznivo, 58% lekárov z tejto nemocnice by radi absolvovali školenia v oblasti sociálneho inžinierstva aby dokázali lepšie odolávať možným útokom a hrozbám. 26% lekárov nevedia či by mali záujem o tieto školenia a 16%
lekárov sa vyjadrilo, že nechcú absolvovať školenia tohto typu.
0%
17%
50%
28%
5%
0%
0%
štvrťročne ročne nikdy neviem len nováčikov 2x do roka mesačne
Tab.9 Názor na pravidelnosť absolvovania školenia/kurzu, zdroj: (autor)
Myslíte si, že by ste mali absolvovať častejšie školenia na tému sociálne inžinierstvo, aby ste
dokázali rozpoznávať a odolávať útoky?
áno 11
nie 3
neviem 5
Graf 12 Výsledky o názoroch pravidelnosti absolvovania školenia/kurzu , zdroj: (autor)
Vyhodnotenie druhého vstupného kritéria:
Prognóza, ktorú som predpovedala v druhom vstupnom kritériu sa opäť potvrdila. Drvivá väčšina opýtaných lekárov nikdy v minulosti neabsolvovala školenie alebo kurz na tému sociálneho inžinierstva, teda nikdy predtým neboli ani zamestnávateľom školení. Naopak lekári majú záujem o školenia a vzdelávanie v tejto oblasti.
Vyhodnotenie tretej časti dotazníka:
Na grafe č.13 a tabuľke č.10 môžeme spozorovať, že šesť lekárov (47%) sa už niekedy v minulosti v práci stretlo s klamlivým e-mailom. Deväť lekárov sa s takýmto e-mailom nikdy predtým nestretlo a štyria lekári (21%) nedokážu jednoznačne určiť odpovedať.
58%
16%
26% áno
nie neviem
Tab.10 Styk s klamlivým e-mailom, zdroj: (autor)
Dostali ste sa niekedy v práci do styku s klamlivým e-mailom?
áno 6
nie 9
neviem 4
Graf 13 Výsledky o styku s klamlivým e-mailom, zdroj: (autor)
Na grafe č.14 a tabuľke č.11 môžeme spozorovať, že výsledky tejto otázky poukazujú na to, že tretina opýtaných lekárov nevie kto má na starosti IT bezpečnosť v nemocnici. 39% lekárov klamlivý e-mail nikdy nenahlásila a 28% lekárov klamlivý e-mail nahlásila IT oddeleniu v nemocnici.
Tab.11 Hlásenie nebezpečných útokov, zdroj: (autor) Nahlásili ste takýto e-mail zamestnancovi, ktorý má na
starosti IT bezpečnosť v nemocnici?
áno 5
nie 7
neviem kto ma na starosti IT
bezpečnosť 6
32%
47%
21% áno
nie neviem
Graf 14 Výsledky o hlásení nebezpečných útokov, zdroj: (autor)
Na grafe č.15 a tabuľke č.12 môžeme spozorovať, že väčšia polovica (55%) opýtaných lekárov odhalila správny- nepravdivý/klamlivý e-mail, zatiaľ čo 28% lekárov si myslelo, že obe príklady e-mailov boli falošné. Traja lekári (17%) vybrali nesprávnu možnosť, nechali sa nachytať.
Tab.12 Podozrivý e-mail, zdroj: (autor)
Vyberte e-mail, ktorý vám príde podozrivý ?
prvý e-mail 10
druhý e-mail 3
obe 5
Graf 15 Výsledky o podozrivom e-mailu, zdroj: (autor)
Na grafe č.16 a tabuľke č.13 môžeme spozorovať, že väčšina lekárov si zvolila pohodlnejšiu možnosť. 56% respondentov si odkaz s videom nepozrie, šesť lekárov (33%) si odkaz otvorí a video pozrie a len dvaja lekári (11%) si spätné overia u spolupracovníka o aké video ide.
28%
39%
33%
áno
nie
neviem kto ma na starosti IT
bezpečnosť
55%
17%
28%
prvý e-mail druhý e-mail obe
Tab.13 Podozrivý e-mail 2, zdroj: (autor)
Dostanete e-mail od svojho spolupracovníka. Nadpis je „Pozri sa na to! Zlepší si deň!“ E-mail má odkaz na video a ďalší text, ktorý
hovorí „tí najlepší sa dnes smejú“. Pozrieš si to?
áno 6
nie 10
najskôr mu napíšem o čo ide 2
Graf 16 Výsledky o podozrivom e-maile 2, zdroj: (autor)
Vyhodnotenie tretieho vstupného kritéria:
Prognóza, ktorú som predpovedala v treťom vstupnom kritériu sa čiastočne potvrdila. Väčšina lekárov neprišla v práci do styku s phishingovým e-mailom alebo o tom nevedela. S tým súvisí, že problém nenahlásila správcom IT zabezpečenia nemocnice a dokonca mnoho lekárov nevie kto je zodpovedná osoba tejto funkcie. Úspešnou časťou tretej sekcie dotazníka je, že lekári zvládli odolať jednoduchý phishingový mini test.
6.6 Porovnanie analýz
V nasledujúcej časti tejto bakalárskej práce budem porovnávať vlastné výsledky dosiahnuté terénnym prieskumom formou dotazníka s americkou analýzou HIPAA. Porovnávať budem druhú a tretiu časť mojej vlastnej analýzy s HIPAA analýzou, teda časť týkajúca sa školenia lekárov v oblasti sociálneho inžinierstva a časť zaoberajúca sa phisingovými e-mailami.
33%
56%
11% áno
nie
naskôr mu napíšem o čo ide
6.6.1 Školenie
Prvým porovnávaným prvkom medzi HIPAA analýzu a mojou vlastnou analýzu sa týka školenia. Sledujeme pravidelnosť školenia lekárov svojím zamestnávateľom v oblasti sociálneho inžinierstva.
Z grafov môžeme veľmi rýchlo spozorovať výrazné rozdiely. Zatiaľ čo v zdravotníckych centrách v Amerike školia lekárov (39%) s pravidelnosťou každý rok, viď. graf č.17, na Slovensku v okresnej nemocnici ročne školia len 17% lekárov, viď. graf č.18. Ďalším veľmi výrazným rozdielom je, že polovica opýtaných lekárov v mojej analýze nikdy neabsolvovala žiadne školenie alebo kurz na tému sociálne inžinierstvo. HIPAA analýza zobrazuje o 30%
menej lekárov s odpoveďou nikdy. Tretím zaujímavým porovnaním je v oboch grafoch hodnota neviem, pretože ich percentuálne hodnoty sa približujú. Zatiaľ čo HIPAA analyzuje odpoveď lekárov s hodnotou neviem na 19%, u nás v nemocnici tak zodpovedalo 28% lekárov. Ostatné hodnoty na grafoch nie sú ničím špecifické a zaujímavé, preto nemá zmysel ich ďalej podrobne rozoberať.
Graf 17 Výsledky HIPAA analýzy v pravidelnosti školenia, zdroj: (spracovanie vlastné podľa HIPAA Compilance)
Graf 18 Výsledky vlastnej analýzy v pravidelnosti školenia, zdroj: (autor)
Druhým porovnávaným prvkom medzi HIPAA analýzu a mojou vlastnou analýzu nadväzuje na predošle zistenia ohľadom školenia lekárov. V tomto prípade porovnávam výsledky názorov lekárov, ktorí nikdy neabsolvovali školenie/kurz. V HIPAA analýze, viď graf č.19, vychádza, že 74% lekárov by radi svoju minulosť napravili a radi by školenia zaviedli do svojho programu. V mojej analýze, viď graf č.20, výsledky poukazujú na veľmi podobný stav, ktorý grafický zobrazuje 58 percentnú voľbu záujmu praktizovať školenia vo svoje dobro a pocit sebaobrany.
Graf 19 Výsledky HIPAA analýzy o záujme častejšieho školenia, zdroj: (spracovanie vlastné podľa HIPAA Compilance)
0%
17%
50%
28%
5%
0%
0%
štvrťročne ročne nikdy neviem len nováčikov 2x do roka mesačne
