Lærdommer etter angrepet mot Helse Sør-Øst

Transkript

1 Lærdommer etter angrepet mot Helse Sør-Øst

2 Sykehuspartner HF Sykehuspartner HF eies av det regionale helseforetaket Helse Sør-Øst RHF Vi leverer IKT-, lønns-, personal-, logistikk- og prosjekttjenester til alle sykehusene i regionen Nordens største leverandør av fellestjenester til sykehus Kombinerer kunnskap om helsesektoren med teknologikompetanse

3 Nøkkeltall om IKT i Helse Sør-Øst Helse Sør-Øst består av 11 helseforetak hvor 9 leverer pasientbehandling Helseregionen leverer spesialisthelsetjenester til rundt 3 millioner innbyggere Omsetning ca 80 milliarder kroner/år Regionen har ca medarbeidere som bruker i overkant av arbeidsstasjoner, disse bruker rundt applikasjoner som i hovedsak leveres fra servere IKT i regionen driftes av Sykehuspartner HF, som er har ca ansatte Sykehuspartner vedlikeholder en kompleks og kritisk IKT-portefølje

4 Organiseringen av sikkerhet i Helse Sør-Øst

5 Organiseringen av sikkerhet i Sykehuspartner

6 Sykehuspartners satsning innen informasjonssikkerhet, personvern og tilgangsstyring Kultur og holdninger Organisasjon Teknologi Styring og prosesser 6

7 Det gjøres mye godt og viktig sikkerhetsarbeid i Sykehuspartner

8 Angrepet er under etterforskning 121. Etterretningsvirksomhet mot statshemmeligheter Med bot eller fengsel inntil 3 år straffes den som til fordel for en fremmed stat, terrororganisasjon eller uten aktverdig grunn samler inn eller setter seg i besittelse av en hemmelig opplysning som, om den blir kjent for en slik stat, terrororganisasjon eller for øvrig avsløres, kan skade grunnleggende nasjonale interesser som gjelder [...] helseberedskap

9 Stor oppmerksomhet rundt angrepet

10

11 Hva er sikkerhet? «Sikkerhet er en reell eller oppfattet tilstand som innebærer fravær av uønskede hendelser, frykt eller fare.» «Fare er en mulig handling eller forhold som kan føre til en uønsket hendelse.» «Uønsket hendelse er en hendelse som kan utsette en verdi for uønsket påvirkning.» «Verdi er en ressurs som hvis den blir utsatt for uønsket påvirkning vil medføre en negativ konsekvens for den som eier, forvalter eller drar nytte av ressursen.»

12 Så: Sikkerhet er fraværet av fare (faren kan være ekte eller innbilt) mot de verdiene du har eller som du tror du har. Når du er sikker, er verdiene dine trygge.

13 Når våre verdier blir truet, får det ekte konsekvenser

14 Hvilke verdier beskytter vi? Verdiene kan være: Personopplysninger og helseopplysninger Forskningsdata Utstyr, maskinvare og programvare Avtaler og kontrakter Omdømme Totalforsvaret Lønn og pensjon Lovpålagte oppgaver ivareta pasientforløpet

15 Hvem sikrer vi verdiene for? Dataansvarlig for egen virksomhet Sykehuspartner Databehandler for HFene Sykehusene Ansatte i SP Innleide konsulenter Sykehusansatte RHF ansatte Pasientene Pårørende Våre leverandører Vår eier

16 Så hva har egentlig skjedd? Så: hva skjedde?

17 Helse Sør-Øst har blitt utsatt for et avansert, målrettet angrep

18 Helse Sør-Øst har blitt utsatt for et avansert, målrettet angrep Sykehuspartner varsles av HelseCERT den 8. januar Varsling verifiseres, kompromittering av en publisert webserver bekreftes Beredskap og 24/7 innsatsledelse medfører «takedown» den 9. januar Samme kveld blir det kjent at angriper har etablert større tilstedeværelse enn vi opprinnelig antok

19 Organisering av responsen i regionen Helse Sør-Øst RHF gikk i beredskap lørdag 13. januar Helse- og omsorgsdepartementet delegerte videre oppfølging av beredskapsansvaret til Helsedirektoratet som koordinere det videre arbeidet innen helsesektoren og samarbeidet med andre myndigheter Operativt ansvar i Helse Sør-Øst RHF i nært samarbeid med Nasjonal Sikkerhetsmyndighet Meget godt samarbeid med HelseCERT og NorCERT og andre relevante miljøer Helse Sør-Øst RHF koordinerte arbeidet internt i foretaksgruppen hyppige møter med administrerende direktører og sikkerhetsledere i foretakene

20 Organiseringen av responsen i Sykehuspartner Sykehuspartner besluttet etter en innledende fase med tradisjonell beredskapsledelse å organisere responsen mot angrepet med et lite og beslutningsdyktig kjerneteam som rapporterer til administrerende direktør Logisk inndeling fra starten av: Remediation plan tiltak for å redusere risiko fra trusselaktør Re-establishment plan - tiltakene for å bygge opp igjen etter at trusselaktør er ute Identifisere kritiske trusselscenarioer og legge planer for respons om de skulle inntreffe

21 Det er unødvendig å si at vi forberedte oss på det verste

22 Advanced Persitient Threat Ikke-opportunistisk «Går ikke over av seg selv» Kan gjerne være statsstøttet Mulighet for både langsiktige (strategiske) og kortere (taktiske) operasjoner Angrepet startet ikke da du oppdaget det

23 Modell for faser i et APT angrep Maintain Presence Move laterally Initial recon Initial compromise Establish foothold Escalate privileges Internal recon Complete mission Kilde: Mandiant

24 Just another day at work.

25 Lære mer om APT?

26 Læringspunkter: Hold oversikt over hvilke tjenester som kjører i Hold kontroll over Ikke angrepsflater anta at noen sårbarheter hold kontroll over tjenester Forstå hva resultatene infrastrukturen Gjennomfør er betyr tester for virksomheten din Gjør ubetydelige jobben

27

28 Fixing the basics - Viktig å jobbe etter en plan - Elefanter spises også i biter - Sikkerhet handler om å beskytte forretningsprosesser - Jobb sammen med virksomheten, identifiser hva som er kritisk og hva som er akseptabelt

29 Et trusselbilde i stadig endring 29

30

31

32 Når nye angrep ikke passer gammel metode Sykehuspartner HF har i tidligere alvorlige hendelser, f.eks. knyttet til løsepengevirus, benyttet National Institute of Standards and Technology (NIST) sin anerkjente «computer security incident handling guide» (NIST Special Publication )

33 Når nye angrep ikke passer gammel metode Sykehuspartners tolkning av NIST-standarden har i andre tilfeller vært vellykket hurtig isolering («containment») har avverget flere kritiske tilfeller av ransomwareutbrudd i helseregionen Denne metoden passet ikke for dette angrepet

34 Takedown Mye diskusjon i fagmiljø om det var riktig å gjennomføre takedown eller ikke... Lykke til! Pro takedown Vi har ikke avdekket flere kompromitterte servere på flere timer «Vi kan ikke sitte stille lenger» Vi kan ikke risikere at trusselaktøren lykkes i å kompromittere våre produksjonssystemer mens vi sitter stille og venter Con takedown Vi vet ikke om vi har lykkes i å kartlegge trusselaktørens aktiviteter enda Om vi stenger trusselaktøren ute, kan det være nesten helt umulig å finne dem igjen om de har etablert en annen bakdør til Helse Sør-Øst Om vi stenger trusselaktøren ute, vil trusselaktøren uten tvil være klar over at deres tilstedeværelse er kjent, og det kan fremprovosere destruktiv adferd

35 Nye angrep krever nye metoder

36 Deteksjon som primær sikkerhetsfunksjon - mens trusselaktøren fremdeles er i nettverket Angriperen var altså ikke mulig å «kaste ut» i første omgang -> APT Nøkkelen er deteksjon for å forstå trusselaktøren og for å ha nødvendig beslutningsunderlag til å ta de riktige valgene i kritiske situasjoner I Helse Sør-Østs regionale sikkerhetsstrategi er deteksjon sentralt: Egenskaper ved tekniske sikkerhetskontroller En forutsetning for enhver fungerende sikkerhetsorganisasjon er deteksjon. Virksomheten skal ha nettsentriske kontroller som identifiserer sikkerhetshendelser, korrelerer loggdata og sikrer spor når sikkerhetshendelser oppstår.

37 Sykehuspartners Analyseplattform gull verdt Sykehuspartner har siden 2015 jobbet med å etablere eget innbruddsdeteksjonssystem-nettverk (IDS-nettverk), ved å utplassere sensorer ved sentrale nettverksknutepunkt. Disse sensorene registrerer og tar kopi av all datatrafikk, og gjenkjenner ondsinnet eller uønsket nettverkstrafikk. Slike hendelser loggføres og varsles Våren 2017 besluttet Helse Sør-Øst RHF at analyseplattformen skulle rulles ut til alle helseforetak Sykehuspartner fullførte regional utrulling av Analyseplattformen november 2017 Denne kompetansen gjorde Sykehuspartner i langt bedre stand til å både finne angriperen igjen etter takedown og å gjennomføre en vesentlig hurtigere kartlegging av angriperens aktiviteter i perioden etterpå Likevel nettverket er bare halve infrastrukturen utrulling av bedre endepunktsikring

38 Viktig samarbeid Sykehuspartner har i hendelsen hatt mye god støtte: HelseCERT er veldig viktig for oss. Vi er som alltid svært takknemlige for det gode samarbeidet. Stort bidrag fra NorCERT, både på taktisk og operativt nivå. Også støtte på strategisk nivå etter hvert. Sykehuspartner inngikk avtale om strategisk og operativ bistand fra to kommersielle aktører, hvorav én norsk og én utenlandsk Viktige bidrag fra aktører rundt oss, særlig på strategisk og taktisk side. Det er kun Sykehuspartner HF som kan normalisere hendelser i Sykehuspartner HFs infrastruktur

39 Lærdommer og anbefalte tiltak 1. Det kan og vil skje - og passer aldri å bli angrepet 2. Fix the basics NSMs fire kritiske sikkerhetstiltak 3. Deteksjon helt nødvendig 4. «Skjerming» av operativ respons viktig 5. Øv på forhånd 6. Sjekk backup-systemer 7. Gjennomfør trussel-, verdi- og sårbarhetsvurderinger 8. En god sektor-cert i tillegg til god kompetanse og kapabilitet i egen organisasjon er viktig

40 Utrulling av sysmon Endepunktsovervåkning fra Microsoft (sysinternals) Anbefaler implementeringsprosjekt i virksomhetene Sterk anbefaling om at det må eksistere et loggmottak Versjon 7.03 FTW Forsvarlig testing og utrulling er superviktig Installasjon er en god start. Bruke verktøy og kompetanse for å gjøre data om til informasjon, og informasjon om til beslutningsunderlag er kritisk (yay, lag en CERT)

41