Wstęp

W 2024 roku przeprowadziliśmy kompleksowy audyt i testy penetracyjne platformy eCareMed – strategicznego systemu zdrowotnego obejmującego 15 kluczowych placówek medycznych województwa śląskiego. System integruje jednostki o różnej specjalizacji i randze, od szpitali wojewódzkich po instytucje o znaczeniu krajowym, takie jak Uniwersyteckie Centrum Kliniczne im. prof. K. Gibińskiego czy Narodowy Instytut Onkologii w Gliwicach. Ze względu na strategiczny charakter danych o platformie oraz środowisko produkcyjne audyt nie mógł spowodować przestoju w pracy szpitala lub jego paraliżu.

Śląska Cyfrowa Platforma Medyczna eCareMed

Głównym celem wdrażanego systemu było zwiększenie dostępności świadczeń medycznych dla pacjentów poprzez zastosowanie nowoczesnych technologii informacyjnych i komunikacyjnych (ICT) w działalności Śląskiego Uniwersytetu Medycznego oraz 14 współpracujących szpitali. Projekt Platforma Medyczna eCareMed, którego całkowita wartość wyniosła ok 78 mln zł, obejmował wdrożenie zintegrowanych rozwiązań teleinformatycznych wspierających wszystkie jednostki medyczne zaangażowane w kompleksowy proces diagnostyki, leczenia, rehabilitacji oraz monitorowania pacjentów poza placówkami medycznymi. Kluczowym elementem projektu było także zapewnienie narzędzi usprawniających konsultacje medyczne i umożliwiających diagnozowanie w oparciu o pełną elektroniczną dokumentację medyczną. Platforma eCareMed dostarczyła licznych funkcjonalności, które umożliwiły projektowanie i wdrażanie innowacyjnych procesów organizacyjnych, decyzyjnych oraz diagnostycznych w oparciu o zaawansowane technologie ICT. W ramach projektu jednostki objęte eCareMed realizują działania obejmujące telekonsultacje, telemonitoring i telerehabilitację. Wszystkie trzy komponenty mogą działać zarówno niezależnie, jak i w ramach współpracy, szczególnie w takich obszarach medycyny jak kardiologia, neurologia oraz onkologia.

Audyt platformy realizowany przez naszą firmę:

Na kluczowe komponenty platformy podlegające audytowi składały się:

1. oprogramowanie Serwera Komunikacyjnego
2. jednolita warstwa sieciowa, umożliwiająca bezpieczne i wystandaryzowane komunikowanie się poszczególnych komponentów platformy, pomiędzy wszystkimi jej uczestnikami
3. Na dodatkowe komponenty platformy składały się:

• serwery z oprogramowaniem hypervisora oraz macierze odpowiedzialne za przetwarzanie warstwy aplikacyjnej platformy – oprogramowanie serwera komunikacyjnego
• przełączniki sieciowe wraz z sieciowymi połączeniami między warstwą sieciową (komponentem kluczowym), a sieciami wewnętrznymi poszczególnych szpitali
• urządzenia typu WAF i Firewall posiadane przez szpitale, razem z metodami ich konfiguracji w celu skomunikowania sieci wewnętrznych grupy szpitali, a komponentem kluczowym – warstwę sieciową.

Głównym celem audytu była identyfikacja potencjalnych luk w zabezpieczeniach platformy eCareMed oraz ocena zagrożeń, wraz z opracowaniem rekomendacji naprawczych. Kluczowym aspektem było wydanie jednoznacznej rekomendacji dotyczącej gotowości systemu do wdrożenia produkcyjnego i udostępnienia użytkownikom końcowym.  Platforma składa się z wielu komponentów krytycznych dla zapewnienia ciągłości operacji medycznych, w tym serwera komunikacyjnego oraz zaawansowanej warstwy sieciowej. Celem nadrzędnym realizacji było:

1. Zidentyfikowanie luk w zabezpieczeniach platformy informatycznej eCareMed, z jej komponentami kluczowymi oraz dodatkowymi.
2. Ocena kluczowych oraz dodatkowych komponentów zagrożeń, wynikających ze zidentyfikowanych podatności platformy, oraz udzielenie rekomendacji co do minimalizacji zidentyfikowanych zagrożeń w celu zwiększenia odporności platformy na wszelkie, znane na dzień audytu, formy cyber-zagrożeń.
3. Analiza i wykazanie potencjalnego nieautoryzowanego dostępu do danych i zasobów w obrębie badanej platformy, w tym jej kluczowych oraz dodatkowych komponentów.

Zamawiający dążył do sprawdzenia, czy wytworzone lub dostarczone przez wykonawców, podwykonawców i dostawców komponenty kluczowe oraz dodatkowe platformy eCareMed są bezpieczne do użytkowania oraz czy zostały wykonane w zgodności z dokumentacją projektową platformy. Jednym z produktów końcowych wykonanych prac było udzielenie przez TestArmy (nazwa formalna naszej firmy) jednoznacznej rekomendacji co do uruchomienia produkcyjnego platformy eCareMed, rozumianego jako jej udostępnienie użytkownikom końcowym, lub wskazanie obszarów wymagających naprawienia.  Przeprowadzenie audytu systemu eCareMed, miało również wykazać ewentualnie występujące różnice w konfiguracji poszczególnych komponentów systemu pomiędzy poszczególnymi szpitalami. Poprzez część systemu należy rozumieć każdy element systemu wymagany do jego poprawnego działania w każdym z 15 Szpitali, tj.:

1. Samodzielny Publiczny Wojewódzki Szpital Chirurgii Urazowej im. dr. J. Daaba w Piekarach Śląskich
2. Wojewódzki Szpital Specjalistyczny Nr 2 w Jastrzębiu-Zdroju
3. Szpital Specjalistyczny Nr 2 w Bytomiu
4. Wojewódzki Szpital Specjalistyczny im. Najświętszej Maryi Panny z siedzibą w Częstochowie
5. Wojewódzki Szpital Specjalistyczny Nr 4 w Bytomiu
6. Szpital Wielospecjalistyczny w Jaworznie
7. Katowickie Centrum Onkologii z siedzibą w Katowicach
8. Wojewódzki Szpital Specjalistyczny Nr 5 im. św. Barbary w Sosnowcu
9. Samodzielny Publiczny Zakład Opieki Zdrowotnej Wojewódzki Szpital Specjalistyczny Nr 3 w Rybniku
10. Szpital Wojewódzki w Bielsku-Białej
11. Centrum Leczenia Oparzeń im. dr. Stanisława Sakiela Siemianowicach Śląskich
12. Uniwersyteckie Centrum Kliniczne im. prof. K. Gibińskiego Śląskiego Uniwersytetu Medycznego w Katowicach
13. Górnośląskie Centrum Medyczne im. Leszka Gieca, Śląskiego Uniwersytetu Medycznego w Katowicach
14. Narodowy Instytut Onkologii im. Marii Skłodowskiej – Curie Państwowy Instytut Badawczy Oddział w Gliwicach

Beskidzkie Centrum Onkologii – Szpital Miejski im. Jana Pawła II w Bielsku-Białej.

Zakres prac:

• Przeprowadziliśmy testy penetracyjne aplikacji dostępnej pod adresem https://app.ecaremed.pl. Ze względu na obowiązujące zapisy umów serwisowych w obrębie zlecanej do zbadania platformy, testy musiały zostać wykonane zgodnie z metodologią OWASP Application Security Verification Standard 4.0.3 Level 2.
• Przeprowadziliśmy testy penetracyjne platformy eCareMed polegające na:
  • próbie pokonania, przełamania lub ominięcia zabezpieczeń pomiędzy komponentem platformy – Oprogramowaniem Serwera Komunikacyjnego (dalej OSK), a kontrolerem ruchu, tzw. load-balancerem;
  • próbę eskalacji uprawnień użytkownika OSK, z którejkolwiek z zawartych w platformie ról uprawnień, w tym ominięcia logowania do platformy z wykorzystaniem metod przewidzianych integracją platformy z systemami Węzła Krajowego;
  • próbie pokonania, przełamania lub ominięcia zabezpieczeń komponentu platformy – panelu administracyjnego eCareMed;
  • próbie pokonania, przełamania lub ominięcia zabezpieczeń w ramach centralnego węzła dystrybuującego zaktualizowane wersje aplikacyjnych komponentów platformy, komunikacji platformy ze środowiskiem developerskim wykonawcy tejże platformy, oraz sposobu przetwarzania danych aplikacyjnych w ramach platformy GitHub;
  • próbie pokonania, przełamania lub ominięcia zabezpieczeń w ramach komponentu platformy regionalnej typu BI (z ang. Business Intelligence)
  • próbie pokonania, przełamania lub ominięcia zabezpieczeń któregokolwiek z komponentów tzw. warstwy sieciowej platformy eCaremed – t.j. urządzeń WAF (z ang. Web Application Firewall), urządzeń UTM (z ang. Unified Threat Management) oraz kontrolera bezpieczeństwa – SecoManager’a. Testy te miały dotyczyć zarówno urządzeń, zainstalowanego na nich oprogramowania jak i ich konfiguracji, ze szczególnym uwzględnieniem komunikacji dodatkowej – pobocznych połączeń IPsec części partnerów regionalnej platformy;
  • próbę eskalacji uprawnień użytkownika tzw. warstwy sieciowej platformy eCaremed – t.j. urządzeń WAF (z ang. Web Application Firewall) oraz urządzeń UTM (z ang. Unified Threat Management);
  • próbie pokonania, przełamania lub ominięcia zabezpieczeń któregokolwiek z komponentów towarzyszących platformy eCaremed, tj. środowisk wirtualnych, maszyn wirtualnych, oprogramowania maszyn wirtualnych, urządzeń serwerowych oraz macierzy, na których zdeponowane są komponenty aplikacyjne platformy regionalnej. Testy te miały dotyczyć zarówno urządzeń, zainstalowanego na nich oprogramowania jak i ich konfiguracji;
  • próbę eskalacji uprawnień użytkownika komponentów towarzyszących platformy eCaremed, tj. środowisk wirtualnych, maszyn wirtualnych, urządzeń serwerowych oraz macierzy, na których zdeponowane są komponenty aplikacyjne platformy regionalnej.
• Przeprowadziliśmy analizę konfiguracji środowiska zarządzającego platformą eCareMed. (rozwiązania informatyczne oparte o Kubernetes, Rancher, Galera, GitHub)
• Na podstawie wyników przeprowadzonego audytu przygotowaliśmy zalecenia w zakresie tzw. hardeningu środowiska (tj. wzmocnienia jego odporności na podatności i zidentyfikowane, na dzień wykonywania testów, cyber-zagrożenia) oraz infrastruktury eCareMed w postaci gotowych do implementacji zaleceń,
• Przygotowaliśmy inwentaryzację komponentów, na które składa się platforma eCareMed, według posiadanej najlepszej wiedzy oraz wykrytych w ramach testów dodatkowych elementów.
• Przygotowaliśmy ocenę ryzyka wykorzystania, utrzymania, rozwoju każdego ze zidentyfikowanych w toku wykonywanych testów komponentów platformy pn. eCareMed oraz wykonaliśmy analizę ryzyk dotyczącą wyników i wniosków przeprowadzanych testów penetracyjnych i bezpieczeństwa, oraz dodatkowo:
  • występowania pojedynczych punktów awarii krytycznych, skutkującej całkowitym brakiem możliwości korzystania przez użytkowników z platformy eCareMed;
  • występowania pojedynczych punktów usterek, skutkujących czasowym lub ograniczonym funkcjonowaniem konkretnych komponentów platformy eCareMed;
  • wpływu na platformę oraz jej konkretne komponenty, ataków typu DoS;
• Wykonaliśmy analizę typu BIA (z ang. Business Impact Analysis) oraz analizę typu DPIA (z ang. Data Protection Impact Assessment).
• Dla każdego zidentyfikowanego w toku powyższych analiz, ryzyka, podatności lub nieprawidłowości przygotowaliśmy plany DRP (z ang. Disaster Recovery Plan).
• Przeprowadziliśmy przegląd komponentu platformy – Oprogramowania Serwera Komunikacyjnego, pod kątem:
  • identyfikacji luk w zabezpieczeniach w postaci niewłaściwej walidacji danych wejściowych, braku kontroli dostępu, niebezpiecznych funkcji kryptograficznych,
  • identyfikacji miejsc, w których nie jest odpowiednio filtrowane lub kodowane wejście użytkownika, co może prowadzić do ataków typu Cross-Site Scripting (XSS) lub Cross-Site Request Forgery (CSRF),
  • identyfikacji ewentualnych podatności w procesie uwierzytelniania i zarządzania sesjami, takich jak niewłaściwe zarządzanie tokenami uwierzytelniającymi, słabe praktyki składowania haseł, brak mechanizmów wygaśnięcia sesji,
  • identyfikacji niewłaściwych zapytań SQL, brak szyfrowania danych, niebezpieczne funkcje dostępu do bazy danych,
  • identyfikacji potencjalnych miejsc, w których wrażliwe informacje są nieodpowiednio chronione lub przesyłane w niezabezpieczony sposób, co może prowadzić do naruszenia poufności danych,
  • identyfikacji czy aplikacja korzysta z bezpiecznych i aktualnych wersji bibliotek i frameworków, oraz czy nie ma znanych luk w tych komponentach,
  • oceny zgodności aplikacji z najlepszymi praktykami bezpieczeństwa jak: unikanie wrażliwych danych w logach, odpowiednie zarządzanie uprawnieniami,
• Po wykonaniu przeglądu dostarczyliśmy rekomendacje dotyczące poprawek i ulepszeń w celu wzmocnienia bezpieczeństwa aplikacji.

W ramach prac audytowych wykonaliśmy także:

• audyt bezpieczeństwa każdego z wytworzonych w ramach projektu pn. eCareMed komponentów na zgodność z Ustawą o Krajowym Systemie Cyberbezpieczeństwa zgodnie ze wzorem sprawozdania z audytu przygotowanego przez ekspertów ISSA Polska oraz IIA Polska
• audyt zgodności każdego z wytworzonych w ramach projektu pn. eCaremed komponentów, z regulacjami w obszarze Rozporządzenia w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (KRI). Audyt przeprowadziliśmy zgodnie z zakresem zamieszczonym w ankiecie dotyczącej działania systemów teleinformatycznych używanych do realizacji zadań publicznych oraz wytycznymi dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych.
• ocenę zgodności każdego z wytworzonych w ramach projektu pn. eCareMed komponentów, z regulacjami w obszarach, o których mowa w Ustawie o świadczeniu usług drogą elektroniczną.
• ocenę zgodności każdego z wytworzonych w ramach projektu pn. eCareMed komponentów, ze standardem WCAG 2.1, który stanowił wymóg postępowania, w wyniku którego powstała audytowana platforma.
• ocenę zgodności platformy jako całości, z założeniami projektowymi, tj. potwierdzenia zgodności lub wskazania rozbieżności między wytworzonym produktem, a opisem koncepcji budowy platformy i wszystkich jej komponentów, zapisanej w dokumentach.

Z uwagi na wysoką wrażliwość danych, mających być przedmiotem przetwarzania w audytowanej platformie i jej modułach, wyżej opisane testy penetracyjne musiały zostać przeprowadzenie jako testy ręczne wykonane przez pentesterów. Testy zostały przeprowadzone na platformie udostępnionej za pomocą bezpiecznego, szyfrowanego połączenia.

Dodatkowo zakres obejmował:

Testy funkcjonalne i zgodności z dokumentacją:

• Przeprowadziliśmy kompleksową weryfikację zgodności platformy z założeniami projektowymi oraz opisem koncepcji budowy platformy i wszystkich jej komponentów.
• Zidentyfikowaliśmy i udokumentowaliśmy ewentualne rozbieżności między wytworzoną platformą a dokumentacją projektową.
• Szczególną uwagę zwróciliśmy na weryfikację różnic w konfiguracji poszczególnych komponentów systemu pomiędzy szpitalami, identyfikując potencjalne odchylenia od zdefiniowanego standardu.
• Weryfikację przeprowadziliśmy dla wszystkich elementów systemu wymaganych do jego poprawnego działania w każdym z 15 Szpitali.

W zakresie współpraca i koordynacji:

• Utrzymywaliśmy regularny kontakt z zamawiającym poprzez cotygodniowe spotkania konsultacyjne.
• Wdrożyliśmy proces natychmiastowego raportowania wykrytych podatności, umożliwiający szybką reakcję.
• Testy inwazyjne były prowadzone według ściśle ustalonego harmonogramu, aby zminimalizować ryzyko zakłóceń w działalności placówek medycznych.

Raport końcowy:

• Dostarczyliśmy szczegółowy raport zawierający pełną dokumentację wykonanych testów, wraz z dowodami występowania zidentyfikowanych podatności.
• Przygotowaliśmy szczegółowe rekomendacje naprawcze, które pozwalają klientowi podjąć świadomą decyzję biznesową, w które obszary infrastruktu dodatkowo zainwestować środki, aby spełnić założone kryteria akceptacji z uwzględnieniem priorytetyzacji działań.
• Przedstawiliśmy analizę zgodności wykonania platformy z dokumentacją projektową.

Wnioski

Przeprowadzony przez nas audyt pozwolił na znaczące wzmocnienie bezpieczeństwa platformy eCareMed. Projekt miał charakter strategiczny dla całego regionu, a jego rezultaty przyczyniły się nie tylko do zabezpieczenia infrastruktury krytycznej i danych medycznych, ale też do weryfikacji jakości wykonania całego systemu. Kompleksowe testy funkcjonalne potwierdziły zgodność platformy z założeniami projektowymi, zapewniając że system spełnia wszystkie wymagane funkcjonalności we wszystkich 15 placówkach medycznych. Wprowadzone usprawnienia pozwolą podnieść poziom bezpieczeństwa i stabilności operacyjnej, co jest kluczowe dla systemu obsługującego tak znaczącą liczbę placówek medycznych.

Chcesz wzmocnić bezpieczeństwo swojego systemu i zabezpieczyć kluczowe dane? Skontaktuj się z nami i dowiedz się, jak nasze audyty i testy penetracyjne mogą pomóc zadbać o bezpieczeństwo Twojej organizacji.