Zalecenia Pełnomocnika Rządu ds. Cyberbezpieczeństwa
W ostatnim czasie obserwowany jest wzrost skoordynowanych cyberataków, w szczególności wymierzonych w podmioty sektora ochrony zdrowia. W odpowiedzi na to zagrożenie Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa opublikował zalecenia techniczne dla podmiotów objętych Krajowym Systemem Cyberbezpieczeństwa (KSC), których wdrożenie znacząco ogranicza ryzyko incydentów – w tym ataków ransomware.
Poniżej przedstawiamy kluczowe obszary zaleceń, istotne zwłaszcza dla szpitali, placówek medycznych i dostawców usług ochrony zdrowia.
Zalecenia dla podmiotów objętych KSC
1. Ochrona brzegowa i dostęp zdalny – fundament bezpieczeństwa
Zalecenia jednoznacznie wskazują na konieczność:
- aktualizacji firewalli do najnowszych stabilnych wersji firmware,
- realizowania dostępu administracyjnego wyłącznie z wydzielonej sieci zarządzającej,
- eliminacji publicznie dostępnych usług RDP – dostęp do zasobów ma odbywać się wyłącznie przez szyfrowany VPN,
- wdrożenia MFA dla VPN i RDP oraz zasad least privilege,
- stosowania geoblokowania ruchu przychodzącego (co najmniej do Polski lub Europy),
- stałego monitorowania ruchu sieciowego i kontroli ruchu wychodzącego (egress).
Dla sektora ochrony zdrowia, gdzie dostęp zdalny jest powszechny (dyżury, serwis, telemedycyna), są to działania krytyczne.
2. Poświadczenia i Active Directory – najczęstszy wektor ataku
Pełnomocnik rekomenduje:
- analizę anomalii logowań, w tym poza standardowymi godzinami pracy,
- ścisły nadzór nad kontami uprzywilejowanymi (IT, kadra zarządzająca),
- wdrożenie rozwiązań PAM oraz systemów SIEM do wykrywania nietypowych zachowań,
- regularny audyt kont i natychmiastowe usuwanie kont nieużywanych,
- zakaz logowania się kontami Administratora Domeny na stacjach roboczych,
- stosowanie silnych, unikalnych haseł (minimum 16–20 znaków),
- monitorowanie dostępu do bazy NTDS.dit i zmian w grupach wrażliwych,
- czasowe i minimalne uprawnienia dla firm zewnętrznych.
3. Ochrona punktów końcowych – EDR zamiast samego antywirusa
Zalecenia obejmują:
- pełne, regularne skanowanie stacji roboczych i serwerów,
- codzienny przegląd alertów AV/EDR – ignorowanie alertów to jedna z głównych przyczyn udanych ataków ransomware,
- docelowe wdrażanie rozwiązań EDR/XDR zapewniających wykrywanie zagrożeń bezsygnaturowych.
4. Centralne logowanie i monitoring (SIEM)
Podmioty KSC powinny:
- centralizować logi w bezpiecznym kolektorze,
- przechowywać je przez minimum 12 miesięcy,
- wykorzystywać SIEM do korelacji zdarzeń,
- izolować infrastrukturę logowania w osobnym segmencie sieci.
5. Kopie zapasowe – ostatnia linia obrony przed ransomware
Szczególnie istotne zalecenia dla ochrony zdrowia:
- system backupu nie może używać poświadczeń domenowych,
- pełna segmentacja sieciowa systemów backupu,
- regularne testy odtwarzania danych,
- obowiązkowe kopie w trybie WORM (Write Once, Read Many) z ustaloną retencją.
6. Usługi publiczne i narzędzia administracyjne
Pełnomocnik wskazuje na konieczność:
- monitorowania usług publicznych (np. portale pacjenta, telemedycyna),
- wdrażania ochrony przed atakami brute force,
- aktualizacji krytycznych podatności nawet w ciągu 24 godzin,
- monitorowania użycia narzędzi takich jak Rclone czy WinSCP, których pojawienie się może świadczyć o próbie eksfiltracji danych.
Jak Dimers wspiera podmioty ochrony zdrowia ?
Dimers sp. z o.o. wspiera organizacje w:
- audytach zgodności z KSC,
- wdrażaniu MFA, EDR/XDR, SIEM i PAM,
- projektowaniu bezpiecznych środowisk VPN i segmentacji sieci,
- budowie bezpiecznych systemów kopii zapasowych (w tym WORM),
- outsourcingu IT i stałym monitoringu bezpieczeństwa.
Jeżeli Twoja organizacja podlega KSC – to ostatni moment, aby realnie zweryfikować poziom bezpieczeństwa.
