Propojení zařízení ohrožuje nejen nemocnice. Segmentace to umí řešit

Národní zdravotní služba Velké Británie, Nemocnice Benešov, Fakultní nemocnice Brno. Zdánlivě nesourodý shluk institucí spojilo v posledních letech něco, co by si raději všechny tři zainteresované strany odpustily. Všechny totiž prodělaly kybernetické útoky, kvůli kterým nenávratně přišly o data. U všech navíc platí, že se tomu dalo předejít.

Veřejně dostupné analýzy z těchto či podobných incidentů mluví překvapivě často na prvních místech o klíčovém opatření: segmentaci sítě. Právě to je přitom jedna z priorit Hewlett Packard Enterprise a její společnosti Aruba pro nadcházející rok.

„Například v Brně byl masivní výpadek a ztráta dat způsobena klasickým ransomwarem. Někdo z uživatelů se pravděpodobně nachytal, což se zkrátka může stát, a útočník díky tomu zakryptoval data. Pro většinu organizací platí, že mají firewally a další zabezpečení, ale všechno funguje jenom na kraji sítě. Jakmile se někdo dostane dovnitř, může si už dělat, co chce,“ přibližuje Jakub Tikovský, systémový inženýr HPE Aruba.

Na vině je fakt, že v těchto situacích často vypadá síť jako jedna ohromná masa uživatelů, kde mohou osobní počítače lékařů nebo sester komunikovat i s přístrojovým vybavením nebo IoT zařízeními, třeba mobilními rentgeny. Segmentace skoro neexistuje. Celou síť přirozeně nejde ovlivnit z jednoho počítače na sesterně, ale když už se útočník dostane aspoň do něj, má daleko jednodušší přístup i k počítači administrátora.

Aspoň bloky…

„Segmentace se doporučuje proto, že jejím prostřednictvím by se uvnitř sítě vytvořily bloky, které navzájem propojené nejsou. Když někdo získá kontrolu nad jedním zařízením, můžeme ho po detekování z další komunikace a ovlivňování ostatních vyřadit,“ popisuje Tikovský, podle něhož se segmentací snižuje plocha potenciálního útoku. „Dnes se totiž typicky děje, že počítače ve firmě mají vůči sobě povolenou veškerou komunikaci. Skoro žádnou ale nepotřebují, takže to plochu potenciálního útoku jenom zvyšuje.“

Udělat segmentaci je možné různými způsoby. Může to být po kategoriích fyzických uživatelů, v nemocnicích například po odděleních. Podle různých případových studií je rozumné i dělení na kategorie zařízení od různých výrobců. Znamená to třeba oddělit rentgeny dodávané jednou a druhou firmou. Pokud by došlo k napadení, aspoň část zařízení zůstane nedotčená.

V mnoha firmách tvoří fyzičtí uživatelé většinou jeden velký segment. Na jednu stranu velké bezpečnostní riziko. Je to ale pochopitelné, když se ukáže, jak velkou práci by administrátorovi dalo počítače rozsegmentovat a starat se o údržbu jednotlivých bloků. To všechno při myšlence, že IT oddělení v nemocnicích a jiných veřejných a státních institucích nebývají obsazená dostatečně.

„V lépe obsazených IT odděleních bývají lidé, kteří mají na starost speciálně bezpečnost, síť, aplikace i servery. Existuje ale nemálo organizací, kde se ti samí lidé většinou starají o všechno od Office 365 až po počítač, který leží například v kanceláři ředitele na stole. V takové situace je správa segmentované sítě neuchopitelná,“ říká Jakub Tikovský.

Totální segmentace

Také proto přišla společnost Hewlett Packard Enterprise s produktem Aruba Dynamic Segmentation, systémem, který umožňuje totální rozdělení, kde může mít každý uživatel nebo zařízení svoje konkrétní místo.  Řeší také největší problém, který zpravidla segmentaci brání: stávající části sítě většinou obsahují určitý rozsah síťových adres, a kdyby je chtěl administrátor rozsekat na menší části, musel by všechno přeadresovat, protože každý segment musí mít jiný rozsah IP adres.

„Pracovní počítače jednotlivých lidí nemívají tuhle adresu pevnou, každý den se mění. IoT zařízení nebo stroje ve firmách naopak pevnou mívají, protože se na ně musí připojovat servis a nejdou spravovat na dálku. Při segmentaci by to ve větších firmách znamenalo přenastavit třeba tisíce adres ručně a to není v personálních silách dané organizace. Proto umožňuje naše řešení udělat segmentaci bez toho, aniž by se musela celá síť předělat,“ přibližuje Tikovský.

Aby se dala segmentace až na úroveň jednotlivých uživatelů vytvořit, chce to vyměnit síťové prvky. Do budoucna by se mělo ale jenom zúročovat, protože malých i větších zařízení, které se stávají součástí sítě, bude jenom přibývat. Poroste tak i zranitelnost sítě. Proto je vhodné uvažovat o možnostech účinné a hlavně efektivní segmentace při rozšiřování sítě již teď.