Zdravotná poisťovňa Dôvera sa stala terčom rozsiahleho kybernetického útoku. Citlivé zdravotné a osobné údaje viac než 1,6 milióna klientov neboli ohrozené. Phishingový útok, vedený za pomoci podvodných e-mailov bol smerovaný na zamestnancov a vedenie spoločnosti. Cieľom útoku bolo získať neoprávnený prístup do IT systémov najväčšej súkromnej zdravotnej poisťovne na Slovensku.

Sofistikovane vedený útok zasiahol inštitúciu v priebehu leta. V elektronickej pošte nič netušiacich zamestnancov Dôvery sa v záplave každodenných pracovných správ objavil aj dôveryhodne pôsobiaci podvodný e-mail.

Obsahoval presvedčivé informácie o aktuálnych úlohách poisťovne, ale aj interné údaje o konkrétnych osobách a ich pracovných aktivitách. Súčasťou správy boli inštrukcie, ktoré zamestnancov nasmerovali na falošné stránky. Ďalej to bola aj podvodná žiadosť o poskytnutie osobných hesiel potrebných k dokončeniu registrácie v rámci práve prebiehajúcej aktualizácie nasadzovaných IT služieb.

Dôvera obstála v tejto skúške na výbornú, jej zamestnanci správne vyhodnotili riziko a postupovali podľa predpisov. Cvičný útok, nech bol akokoľvek skvele pripravený, ich nezaskočil. No v poisťovni vedia, že reálne útoky môžu byť ešte nebezpečnejšie, preto svoje bezpečnostné systémy a ochranu pred kybernetickými útokmi neustále rozvíjajú v spolupráci so špičkovými odborníkmi.  

Útočníci sa pokúšajú dostať človeka pod tlak.
Spôsoby, ktorými sa môžu útočníci dostať do IT systémov ktorejkoľvek firmy je celá rada: môžu využiť chybu v programe, zlú konfiguráciu používaných zariadení, nedostatočnú autentizáciu, alebo získať svojho človeka priamo vo vnútri spoločnosti. V posledných rokoch však absolútne vedú metódy sociálneho inžinierstva.

Hackeri pri nich využívajú čoraz viac  sofistikovanejšie postupy a technológie. Cielia pritom na najslabšiu časť a to na ľudský faktor. Phishing však už dávno nie sú kostrbato formulované nigérijské mejly. Nahradili ich bezchybne koncipované a cielené podvodné správy.  Nebezpečenstvo predstavujú aj psychologicky formulované falošné telefonáty, ktoré volajúci zvládne v perfektnej slovenčine alebo angličtine.

Všetky takéto aktivity majú človeka zmiasť, prekonať jeho prirodzenú ostražitosť a dostať ho pod tlak. Podvodník, vystupujúci ako dôveryhodná či oprávnená osoba, sa snaží získať heslá alebo prihlasovacie údaje, donútiť človeka vykonať krok, ktorý je v rozpore s jeho záujmami či so záujmami jeho zamestnávateľa. Rovnako ako tomu bolo aj v prípade vopred naplánovaného testu v podobe útoku na zamestnanca Dôvery.

Základom  je poučený a neustále školený zamestnanec aj kvalitný dodávateľ IT služieb.
"Prvoradým cieľom našej poisťovne je okrem zabezpečenia zdravotnej starostlivosti  aj poskytovanie bezpečných elektronických služieb pre našich klientov.  Dlhodobo si uvedomujeme, že chránime ich najcitlivejšie dáta.  Keďže sme lídrom v tejto oblasti, tak ideme s kožou na trh ako prví. Stáva sa, že naše fungujúce elektronické služby neskôr preberá aj celý zdravotnícky sektor a sú tak akýmsi novým štandardom. Skrátka, Intenzívne sa venujeme oblasti kybernetickej bezpečnosti, máme to v krvi "zdôraznil Roman Varga, manažér kybernetickej bezpečnosti.

Jedným zo spôsobov, akým Dôvera posilňuje povedomie svojich zamestnancov o nebezpečenstve rôznych kyber útokov a možnosti zneužitia dát, sú cielene vykonávané testy a školenia. Prax totiž ukazuje, že najefektívnejší spôsob, ako pred takými nekalými praktikami ochrániť firmu, je konfrontovať svojich pracovníkov s útokmi a následne ich čo najlepšie preškoliť.

Najväčší súkromná zdravotná poisťovňa na Slovensku svojich zamestnancov pravidelne podrobuje ostrým testom, ktoré, hoci skutočné nebezpečenstvo nepredstavujú, sa nijako nelíšia od reálnych útokov. Etickí hackeri zo spoločnosti AEC, popredného poskytovateľa kybernetickej bezpečnosti, pri nich používajú rovnako nevyberané metódy a moderné nástroje ako dnešné útočníci.

Ostré testy a školenia budú pokračovať aj naďalej
Aktuálny test z tohtoročných letných mesiacov sa týkal stoviek zamestnancov Dôvery, z ktorých mnohí sa s tak premysleným a zákerným útokom stretli vôbec prvýkrát. "Pri začatí takýchto kampaní je úspešnosť útočníkov veľmi vysoká. Postupne sa však vďaka následnému vzdelávaniu a opakovaným phishingovým testom skúsenosti užívateľov a ich povedomie o nebezpečenstve rapídne zvyšujú, "upozornil Patrik Drugda, Business Security Consultant spoločnosti AEC.

Z jeho ďalších slov vyplýva, že zamestnanci poisťovne oceňujú pôsobenie bezpečnostného tímu  v Dôvere a uvedomujú si prínos jeho angažovania a potrebu testovania. Ukazuje to, že Dôvera to myslí s kybernetickým zabezpečením vážne, čo prináša hmatateľné výsledky. Budovanie kybernetickej bezpečnosti je v Dôvere dlhodobo na poprednom mieste.

Počet útokov a ich závažnosť neustále rastie. Vedenie zdravotnej poisťovne preto plánuje v  podobných ostrých testoch pokračovať. Vďaka dlhodobej spolupráci so spoločnosťou AEC, ktorá pre poisťovňu zabezpečuje bezpečnostné technológie, pripravuje školenia a poskytuje konzultácie, sa Dôvera už teraz radí k lídrom v kybernetickej bezpečnosti v sektore zdravotníctva.

Roman Varga,
 Manažér kybernetickej bezpečnosti v zdravotnej poisťovni Dôvera