Intuitive po incydencie cyberbezpieczeństwa: nie ucierpiały kluczowe platformy

Firma Intuitive znana z produkcji zaawansowanych systemów chirurgicznych poinformowała o nieautoryzowanym dostępie do części swoich wewnętrznych aplikacji biznesowych, co było skutkiem ukierunkowanego ataku phishingowego. Po wykryciu zagrożenia przedsiębiorstwo natychmiast uruchomiło procedury reagowania na incydent i zabezpieczyło dotknięte aplikacje.

Zdarzenie można potraktować jako wskazówkę dla całego łańcucha dostaw w sektorze MedTech przypominając dostawcom technologii, komponentów oraz samym producentom o konieczności wdrażania rygorystycznych procedur bezpieczeństwa cyfrowego na każdym etapie operacyjnym.

To kolejny przypadek incydentu związanego z cyberbezpieczeństwem rozpoznawalnej firmy z branży MedTech – niedawno pisaliśmy o cyberataku dotyczącym firmy Stryker.

Bezpieczeństwo produktów i cyfrowa segmentacja procesów

Kluczowe platformy oraz rozwiązania cyfrowe firmy, w tym zrobotyzowane systemy da Vinci i Ion, nie ucierpiały w wyniku ataku i pozostają w pełni bezpieczne. Intuitive zawdzięcza to skutecznej segmentacji swojej infrastruktury sieciowej. Sieci obsługujące wewnętrzne procesy administracyjne są ściśle odseparowane od środowisk wspierających operacje produkcyjne (OT) oraz samych urządzeń medycznych. Dodatkowo sieci szpitalne funkcjonują niezależnie i są chronione przez lokalne działy IT placówek medycznych, co uchroniło je przed jakimkolwiek wpływem ataku. Dla inżynierów i dostawców odpowiadających za digitalizację procesów wytwórczych to wyraźny sygnał, że fizyczna i logiczna izolacja linii produkcyjnych od systemów biurowych stanowi skuteczną barierę ochronną.

Ciągłość obsługi i operacji wytwórczych

Incydent nie zakłócił bieżącej działalności operacyjnej firmy ani procesów wsparcia technicznego świadczonego klientom. Systemy robotyczne posiadają własne, niezależne protokoły bezpieczeństwa, dzięki czemu mogą funkcjonować w oderwaniu od firmowej sieci administracyjnej. Z perspektywy projektowania i rozwoju wyrobów medycznych to cenna wskazówka – implementacja autonomicznych zabezpieczeń sprzętowych „uodparnia” gotowy produkt na potencjalne luki w korporacyjnej infrastrukturze IT.

Zakres naruszonych danych

Nieautoryzowany dostęp był wynikiem przejęcia danych logowania jednego z pracowników i dotyczył wyłącznie wewnętrznej sieci biznesowej. Wyciek objął część służbowych danych kontaktowych klientów, a także informacje korporacyjne i pracownicze samej firmy. Władze spółki stanowczo podkreślają, że żadne informacje nie zostały pozyskane bezpośrednio z systemów medycznych da Vinci czy Ion. Sytuacja pokazuje firmom dostarczającym usługi i komponenty dla branży medycznej, że nawet najlepsze technologie wymagają wsparcia w postaci regularnych szkoleń personelu, ponieważ błąd ludzki pozostaje głównym wektorem ataków.

Dalsze kroki

Bezpośrednio po incydencie podjęto szereg działań zaradczych: rozpoczęto szczegółowe dochodzenie, zweryfikowano procedury bezpieczeństwa oraz zintensyfikowano wewnętrzne szkolenia dot. tzw. cyberhigieny. Dbając o zgodność z regulacjami branżowymi, firma aktywnie komunikuje się z klientami oraz informuje odpowiednie organy nadzorujące ochronę danych. Intuitive zaznacza również, że obecna sytuacja nie powinna mieć znaczącego wpływu na wyniki finansowe przedsiębiorstwa.

Deklaracja firmy

Intuitive podkreśla odpowiedzialność wobec pracowników, klientów i pacjentów korzystających z obsługiwanych przez nich technologii. Firma zaznacza, że ochrona prywatności i bezpieczeństwa powierzonych jej danych pozostaje jednym z kluczowych zobowiązań oraz deklaruje usunięcie skutków incydentu i dalsze doskonalenie zabezpieczeń.

Opracowanie własne na podstawie:

komunikatu firmy Intuitive: https://www.intuitive.com/en-us/about-us/newsroom/Intuitive-statement-on-cybersecurity-incident