Trace Id is missing

Americké zdravotnictví v ohrožení: Posilování odolnosti vůči ransomwarovým útokům

Sdílení
Skupina zdravotnických pracovníků se dívá na tablet.

Sektor zdravotnictví čelí rychle se zvětšujícímu objemu kybernetických hrozeb, na kterých se významnou měrou podílí ransomwarové útoky. Pro aktéry hrozeb se zdravotnická pracoviště stávají ideálním cílem z důvodu kombinace několika faktorů: cenná data o pacientech, navzájem propojené zdravotnické přístroje a zařízení a malé oddělení IT nebo kybernetické bezpečnosti s podstavem personálu. Vzhledem ke zvýšené digitalizaci zdravotnických provozů (od elektronických zdravotních záznamů přes telemedicínské platformy až po síťové zdravotnické přístroje) roste v nemocnicích potenciální oblast útoku z komplexního hlediska, což dále prohlubuje jejich zranitelnost vůči útokům.

Následující sekce přinášejí přehled aktuálních možných kybernetických hrozeb ve zdravotnictví. Zároveň se zaměřují na skutečnost, že se odvětví stalo terčem útoků, na zvyšující se četnost ransomwarových útoků a na vážné finanční důsledky a důsledky spojené s péčí o pacienty, které tyto hrozby způsobují.

Videodiskuze vedená Sherrod DeGrippo, ředitelkou strategií analýzy hrozeb v Microsoftu, dále tyto závažné problémy rozvíjí a nabízí poznatky od expertů v oblasti aktérů hrozeb, strategií obnovení provozu a chyb zabezpečení ve zdravotnictví.

Briefing Microsoftu týkající se analýzy hrozeb: Zdravotnictví

Sherrod DeGrippo, ředitelka strategií analýzy hrozeb oddělení analýzy hrozeb v Microsoftu vede živou diskuzi s nejrůznějšími odborníky na analýzu hrozeb a zabezpečení ve zdravotnictví, kteří debatují o jedinečných důvodech, proč zdravotnictví může snadno podlehnout ransomwarovým útokům, o taktikách používaných skupinami aktérů hrozeb, o postupech zajištění odolnosti vůči útokům a o dalších tématech.
  • Na základě analýzy hrozeb Microsoftu patřil sektor zdravotnictví a péče o veřejné zdraví ve druhém čtvrtletí roku 2024 mezi 10 nejvíce napadaných odvětví.1
  • Ransomware jako služba (RaaS) snižuje bariéry zabraňující vstupu útočníkům bez technických znalostí, zatímco Rusko poskytuje bezpečné útočiště ransomwarovým skupinám. Ransomwarové útoky se proto od roku 2015 rozšířily o 300 %.2
  • Tento fiskální rok ransomware zaútočil na 389 zdravotnických institucí v USA a způsobil výpadky sítě, nedostupnost online systémů, zpoždění důležitých léčebných procedur a přeplánování termínů.3 Útoky jsou nákladné. Jedna z oborových zpráv uvádí, že zdravotnická pracoviště denně přijdou až o 900 000 USD jen z důvodu výpadků.4
  • Mediánová platba vycházející z údajů 99 zdravotnických pracovišť, která přiznala zaplacení výkupného a zveřejnila jeho částku, představuje 1,5 milionů USD. Průměrná platba dosahuje 4,4 milionů USD.5

Závažný dopad na péči o pacienty

Narušení provozu zdravotnického pracoviště způsobené ransomwarovým útokem může vážně ovlivnit schopnost efektivního ošetření či léčby pacientů, a to nejen v postižených nemocnicích, ale i v zařízeních v blízkém okolí, které musí zvládnout nárůst přesměrovaných pacientů na oddělení urgentní péče.6

Prostudujte si zjištění nedávné studie, která dokládá, že ransomwarový útok v rámci čtyř nemocnic (dvou napadených a dvou nenapadených) vedl ve dvou sousedních nenapadených nemocnicích k nárůstu počtu pacientů na oddělení urgentní péče, delším čekacím dobám a dalšímu zatížení personálu, a to zvláště v případech nutnosti rychlého zásahu, jako je mrtvice.7
Nárůst případů mrtvice: Ransomwarový útok významně zatížil komplexní zdravotnický ekosystém, protože nenapadané nemocnice musely zvládnou ošetřit pacienty z napadených nemocnic. Hlášení mrtvice se v okolních nemocnicích téměř zdvojnásobila (z 59 na 103) a potvrzené případy mrtvice vzrostly o 113,6 % z 22 na 47 případů.
Zvýšení počtu srdečních zástav: Útok zatížil zdravotnický systém, protože případy srdeční zástavy v nenapadené nemocnici vzrostly z 21 na 38, což představuje 81% zvýšení. Uvedené údaje vystihují dominový efekt napadení jednoho pracoviště, kvůli kterému musely okolní nemocnice zvládnout více kritických případů.
Pokles případů přežití s pozitivní neurologickou prognózou: Míra přežití s pozitivní neurologickou prognózou u srdečních zástav, k nimž došlo mimo nemocnici, drasticky v nenapadených nemocnicích během útoku poklesla, a to ze 40 % (před útokem) na 4,5 % (během fáze útoku).
Zvýšení počtu příjezdů sanitek: Během fáze útoku došlo v nenapadených nemocnicích k 35,2% nárůstu příjezdů vozů rychlé záchranné služby, což ukazuje na významný odklon sanitek z důvodu narušení provozu ransomwarem v napadených nemocnicích.
Nárůst počtu pacientů: Z důvodu dopadu útoku na čtyři okolní nemocnice (dvě napadené a dvě nenapadené) zaznamenala oddělení urgentní péče v nenapadených nemocnicích významný příliv pacientů. Denní stav se v těchto nenapadených nemocnicích během fáze útoku zvýšil o 15,1 % ve srovnání s fází před útokem.
Další narušení péče: Během útoků došlo v nenapadených nemocnicích k významnému nárůstu odchodu pacientů bez ošetření a k prodloužení čekacích dob a celkové délky pobytu hospitalizovaných pacientů. Mediánová čekací doba se například zvýšila z 21 minut před útokem na 31 minut během útoku.

Případové studie ransomwaru

Ransomwarové útoky ve zdravotnictví můžou mít devastující důsledky nejen pro organizace, na které útoky cílí, ale i pro péči o pacienty a provozní stabilitu. Následující případové studie názorně ukazují dalekosáhlý vliv ransomwaru na různé typy zdravotnických pracovišť – od systémů velkých nemocnic až po malé venkovské poskytovatele zdravotní péče. Zaměřují se na různé způsoby, jakými útočníci infiltrují sítě, a na výsledné narušení základních služeb zdravotní péče.
  • Útočníci využili uniklé přihlašovací údaje pro přístup k síti přes zranitelnou bránu vzdáleného přístupu bez vícefaktorového ověřování. V rámci svého plánu dvojnásobného vydírání zašifrovali důležitou infrastrukturu a exfiltrovali citlivá data. Pohrozili, že data zveřejní, pokud nedostanou výkupné.

    Dopad:     Útok způsobil narušení provozu a znemožnil 80 % poskytovatelů zdravotní péče a lékáren ověření pojištění nebo zpracování pojistných nároků. 
  • Útočníci zneužili zranitelnost starší verze softwaru nemocnice bez oprav zabezpečení a touto oklikou vnikli do záznamů plánování termínů pro pacienty a zdravotních záznamů, aby je napadli. V rámci taktiky dvojnásobného vydírání exfiltrovali citlivá data a pohrozili, že je zveřejní, pokud nedostanou výkupné.

    Dopad: Útok narušil provoz, způsobil zrušení termínů kontrol, zpoždění operací a přechod k ručnímu zpracování, což mělo za následek vyšší zatížení personálu a zpoždění péče. 
  • Útočníci se pomocí phishingových e-mailů dostali do sítě nemocnice a zneužili chybu zabezpečení bez oprav k nasazení ransomwaru, který zašifroval elektronické zdravotní záznamy (EHR) a systémy péče o pacienty. V rámci taktiky dvojnásobného vydírání exfiltrovali citlivá data o pacientech a financích a pohrozili jejich zveřejněním, pokud nedostanou výkupné. 

    Dopad:     Útok kromě nebezpečí úniku dat způsobil narušení chodu čtyř nemocnic a více než 30 klinik, zpozdil ošetření a vynutil odklon pacientů vyžadujících urgentní péči na jiná pracoviště. 
  • V únoru 2021 ochromil ransomwarový útok počítačové systémy venkovské nemocnice se 44 lůžky. Po dobu tří měsíců v ní vynutil ruční provoz a zároveň výrazně zpomalil vyřizování pojistných nároků.

    Dopad:     Neschopnost nemocnice inkasovat včas platby vedla k finančním potížím, takže místní venkovská komunita zůstala bez důležitých služeb zdravotní péče. 

Sektor amerického zdravotnictví představuje pro finančně motivované kyberzločince lákavý cíl z důvodu rozsáhlé potenciální oblasti útoku, zastaralých systémů a nekonzistentních bezpečnostních protokolů. Kombinace faktorů, jako je nezbytné využívání digitálních technologií při poskytování zdravotní péče, související citlivá data a výzvy mnoha organizací ve formě omezených zdrojů (často z důvodu minimální marže), limituje jejich možnosti investování do kybernetické bezpečnosti v plném rozsahu, což zvyšuje jejich zranitelnost. Zdravotnická pracoviště navíc za každou cenu upřednostňují péči o pacienty, což může vést k ochotnému placení výkupného, aby nedošlo k přerušení provozu.

Reputace placení výkupného

Jedním z důvodů, proč se z ransomwaru stal ve zdravotnictví tak výrazný problém, je právě velká pravděpodobnost zaplacení výkupného v tomto sektoru. Zdravotnická pracoviště na první místo staví péči o pacienty, takže pokud musí zaplatit miliony dolarů, aby zamezila výpadkům, často jsou ochotna to udělat.

Podle nedávné zprávy založené na průzkumu ve 402 zdravotnických zařízeních bylo ve skutečnosti během uplynulého roku napadeno ransomwarovým útokem 67 % z nich. 53 % z nich přiznalo zaplacení výkupného v roce 2024, zatímco v roce 2023 šlo o 42 %. Zpráva se zároveň popisuje finanční dopad a uvádí, že průměrná přiznaná částka výkupného představuje 4,4 miliony USD.12

Omezené zdroje a investice v oblasti zabezpečení

Další významnou výzvou jsou omezené rozpočty a zdroje pro kybernetickou bezpečnost v sektoru zdravotnictví. Podle nedávné zprávy Healthcare Cybersecurity Needs a Check-Up13 skupiny CSC 2.0 (jde o skupinu, která pokračuje v práci komise Cyberspace Solarium Commission zřízené kongresem) se na kybernetickou bezpečnost věnuje nedostatek prostředků, protože rozpočty jsou napjaté a poskytovatelé musí upřednostňovat výdaje na základní služby pacientům, takže zdravotnická pracoviště jsou vůči útokům zranitelnější.

Poskytovatelé zdravotní péče navíc navzdory závažnosti problému neinvestují do kybernetické bezpečnosti dostatečně. Zdravotnictví během dvou uplynulých desetiletí výrazně podinvestovalo do kybernetické bezpečnosti kvůli řadě komplexních faktorů, včetně modelu nepřímých plateb, který často vede k upřednostnění okamžitých klinických potřeb před méně viditelnými investicemi, jako je kybernetická bezpečnost.10

Zákon o odpovědnosti za přenos údajů o zdravotním pojištění (HIPAA) také vedl k upřednostnění investic do zajištění důvěrnosti dat, takže integrita a dostupnost dat se často řeší jen jako druhotný problém. Uvedený postup může vést k omezení snah o odolnost organizace, a to zvláště ke snížení cílů doby a bodu obnovení.

Zastaralé systémy a chyby zabezpečení infrastruktury

Jedním z důsledků podinvestic do kybernetické bezpečnosti je využívání zastaralých původních systémů, jejichž aktualizace je náročná, takže se stávají hlavními cíli útoků. Používání nesourodých technologií dále vytváří záplatovanou infrastrukturu s chybami zabezpečení, které riziko útoků jen zvyšují.

V důsledku nejnovějšího trendu slučování ve zdravotnictví tato zranitelná infrastruktura nabírá dále na složitosti. Fúze nemocnic, které jsou na vzestupu (až o 23 % během roku 2022 a na nejvyšší úrovni od roku 202014), vytvářejí organizace s komplexními infrastrukturami rozšířenými na několik míst. Bez dostatečné investice do kybernetické bezpečnosti se takové infrastruktury stávají velmi snadným terčem útoků.

Rozšíření potenciální oblasti útoku

Sítě klinicky integrované péče využívající propojené přístroje a lékařské technologie sice na jedné straně zlepšují prognózy pacientů a zachraňují životy, ale na druhé straně rozšiřují potenciální oblast digitálního útoku, čehož aktéři hrozeb ve zvýšené míře zneužívají.

Nemocnice fungují online více než kdy dříve a využívají připojení důležitých lékařských přístrojů, jako jsou CT skenery, monitorovací systémy pacientů nebo infuzní pumpy, k sítím. Ne vždy však mají prostředky k odhalení a minimalizaci chyb zabezpečení, které můžou mít na péči o pacienty dalekosáhlý dopad.

Doktoři Christian Dameff a Jeff Tully, spoluředitelé a spoluzakladatelé centra University of California San Diego Center for Healthcare Cybersecurity, zaznamenali, že 70 % koncových bodů v nemocnicích netvoří počítače, ale spíše přístroje a zařízení.   
Nemocniční pokoj s lékařským vybavením, bílou skříňkou se zásuvkami a modrým závěsem

Zdravotnická pracoviště také přenášejí obrovský objem dat. Podle údajů z úřadu Office of the National Coordinator for Health IT více než 88 % nemocnic potvrzuje elektronické odesílání a příjem informací o zdraví pacientů a více než 60 % uvádí, že uvedené informace začleňují do svých elektronických zdravotních záznamů (EHR).15

Jedinečné výzvy malých venkovských poskytovatelů

Ransomwarovým útokům podléhají zvláště venkovské nemocnice CAH (Critical Access Hospital), protože často disponují omezenými prostředky pro znemožnění a nápravu bezpečnostních rizik. Útok na ně může v příslušné komunitě způsobit devastující následky, protože tyto nemocnice často pro její obyvatele představují jedinou možnost zdravotní péče na míle daleko.

Doktoři Dameff a Tully tvrdí, že venkovským nemocnicím obvykle chybí stejná úroveň infrastruktury kybernetické bezpečnosti nebo znalosti a zkušenosti, jaké využívají jejich větší městské protějšky. Zároveň si všímají skutečnosti, že plány provozní kontinuity těchto nemocnic můžou být zastaralé nebo nezahrnují adekvátní řešení moderních kybernetických hrozeb, jako je ransomware.

Mnoho malých nebo venkovských nemocnic čelí významným finančním omezením a fungují s minimální ziskovou marží. Taková finanční realita jim významně ztěžuje investice do robustních opatření kybernetické bezpečnosti. Tato pracoviště často spoléhají na jediného IT pracovníka s obecnými znalostmi, který dokáže efektivně zvládat každodenní technické problémy, ale nemá specializované znalosti z oblasti kybernetické bezpečnosti.

Zpráva pracovní skupiny Department of Health and Human Services Health Care Industry Cybersecurity Task Force vytvořená na základě zákona Cybersecurity Act z roku 2015 uvádí, že významné části venkovských nemocnic CAH chybí personál na plný úvazek zaměřený na kybernetickou bezpečnost, a potvrzuje, že menší poskytovatelé zdravotní péče čelí z hlediska zdrojů náročnějším výzvám.

Doktor Dameff vysvětluje, že standardní pracovníci IT oddělení mají často zkušenosti jen v oblasti správy sítě a počítačů a jsou schopni řešit například problémy s tiskem, přihlášením nebo heslem. Nejsou však odborníky na kybernetickou bezpečnost. Nemocnice nemají personál, nemají rozpočet a ani neví, kde se zabezpečením začít.

Postup útoku kyberzločince obvykle zahrnuje dva kroky: získání počátečního přístupu k síti často prostřednictvím phishingu nebo zneužitím chyb zabezpečení, které následuje nasazení ransomwaru nebo zašifrování důležitých systémů a dat. Vývoj uvedených taktik, včetně využití legitimních nástrojů a rozšíření RaaS, vedl k vyšší přístupnosti a četnosti těchto útoků.

Počáteční fáze ransomwarového útoku: Získání přístupu k síti zdravotnického pracoviště

Jack Mott, který v Microsoftu dříve vedl tým zaměřený na analýzu hrozeb spojených s podnikovým e-mailem a na vývoj řešení detekce, tvrdí, že e-mail zůstává jedním z nejrozšířenějších způsobů doručení malwarových a phishingových útoků pro ransomwarové útoky.16

Při analýze 13 nemocničních systémů s několika typy provozů, včetně venkovských nemocnic, prováděné v rámci řešení Analýza hrozeb Microsoft se zjistilo, že 93 % zaznamenané škodlivé kybernetické aktivity souviselo s phishingovými kampaněmi a ransomwarem, přičemž nejčastější aktivitu tvořily e-mailové hrozby.17
„E-mail zůstává jedním z nejrozšířenějších způsobů doručení malwarových a phishingových útoků pro ransomwarové útoky.“
Jack Mott 
Analýza hrozeb Microsoft

Kampaně určené zdravotnickým zařízením často využívají velmi konkrétní nástrahy. Jack Mott zdůrazňuje, že aktéři hrozeb například vytváří e-maily obsahující specifický zdravotnický žargon, jako jsou reference na pitevní zprávy, aby dosáhli vyšší přesvědčivosti a dokázali zdravotnický personál úspěšně oklamat. 

Takové taktiky sociálního inženýrství, a to zvláště ve vysoce stresovém prostředí, jako je zdravotnictví, zneužívají častý pocit naléhavosti u zdravotnických pracovníků, který může vést k možnému zanedbání zabezpečení. 

Jack Mott zároveň zmiňuje, že útočníci používají stále sofistikovanější metody a často se snaží vyhnout odhalení uváděním skutečných jmen, legitimních služeb a nástrojů běžně využívaných v IT odděleních (například nástroje vzdálené správy). Uvedené taktiky ztěžují systémům zabezpečení rozlišit, jestli jde o škodlivou nebo legitimní aktivitu. 

Data Analýzy hrozeb Microsoft zároveň ukazují, že útočníci často zneužívají známé chyby zabezpečení v softwaru či systémech příslušné organizace zjištěné už v minulosti. Tyto běžné chyby zabezpečení a rizika (CVE) jsou důkladně zdokumentované a mají k dispozici opravy, takže útočníci na ně často cílí, protože ví, že mnoho organizací je zatím neodstranilo.18 

Útočníci po získání počátečního přístupu často provádějí průzkum sítě, který můžou indikátory označit jako neobvyklou kontrolní aktivitu. Tento postup aktérům hrozeb pomáhá namapovat síť, zjistit důležité systémy a připravit další fázi útoku: nasazení ransomwaru.

Koncová fáze ransomwarového útoku: Nasazení ransomwaru pro šifrování důležitých systémů

Jakmile aktéři hrozeb získají počáteční přístup (obvykle prostřednictvím phishingu nebo malwaru doručeného e-mailem), přejdou k druhé fázi: nasazení ransomwaru.

Jack Mott vysvětluje, že rozšíření modelů RaaS významně přispělo ke zvýšení četnosti ransomwarových útoků v sektoru zdravotnictví. „Platformy RaaS demokratizovaly přístup k sofistikovaným ransomwarovým nástrojům, což umožňuje spouštění vysoce efektivních útoků i útočníkům s minimálními technickými dovednostmi,“ poznamenává Jack Mott. Tento model snižuje bariéry zabraňující vstupu útočníkům, čímž ještě více ransomwarové útoky zpřístupňuje a zefektivňuje.
„Platformy RaaS demokratizovaly přístup k sofistikovaným ransomwarovým nástrojům, což umožňuje spouštění vysoce efektivních útoků i útočníkům s minimálními technickými dovednostmi.“ 
Jack Mott 
Analýza hrozeb Microsoft

Jack Mott dále popisuje způsob fungování RaaS: „Tyto platformy často obsahují komplexní sadu nástrojů, včetně šifrovacího softwaru, zpracování plateb, a dokonce zákaznické podpory pro jednání o platbách výkupného. Takové řešení na klíč umožňuje široké škále aktérů hrozeb realizovat ransomwarové kampaně, které pak vedou k výraznému nárůstu počtu a závažnosti útoků.“

Jack Mott dále zmiňuje vzájemnou návaznost těchto útoků a zdůrazňuje, že útočníci po nasazení ransomwaru obvykle rychle (často v rámci několika hodin) začnou šifrovat důležité systémy a data. Cílí na základní infrastrukturu, jako jsou záznamy pacientů, diagnostické systémy, nebo dokonce fakturační operace, aby maximalizovali dopad a tlak na zdravotnická zařízení a vynutili si zaplacení výkupného.

Ransomwarové útoky ve zdravotnictví: Profil hlavních skupin aktérů hrozeb

Ransomwarové útoky v sektoru zdravotnictví často provádějí vysoce organizované a specializované skupiny aktérů hrozeb. Tyto skupiny, které tvoří finančně motivovaní kyberzločinci i sofistikovaní státní aktéři hrozeb, využívají k infiltraci sítí, šifrování dat a požadování výkupného od organizací pokročilé nástroje a strategie.

Mezi tyto aktéry hrozeb patří i hackeři sponzorovaní státní správou autoritářských režimů, kteří údajně využívali ransomware, nebo dokonce spolupracovali s ransomwarovými skupinami za účelem špionáže. Ze zvýšeného využívání ransomwaru jako krycí aktivity špionáže jsou například podezřelí aktéři hrozeb čínské vlády.19

Vypadá to, že v roce 2024 nejaktivněji cílí na zdravotnická pracoviště íránští aktéři hrozeb.20 V srpnu 2024 vydala totiž vláda USA varování pro sektor zdravotnictví týkající se íránského aktéra hrozeb známého pod názvem Lemon Sandstorm. Tato skupina využívala neoprávněný přístup k síti k organizacím v USA, včetně poskytovatelů zdravotní péče, pro přípravu a realizaci budoucích ransomwarových útoků ransomwarovými gangy zřejmě napojenými na Rusko a pro finanční zisk z těchto útoků.21

Následující profily přinášejí přehled o některých z nejznámějších finančně motivovaných ransomwarových skupin, které cílí na zdravotnictví, a obsahují podrobné informace o jejich postupech, motivaci a dopadu jejich aktivit na dané odvětví.
  • Lace Tempest je velmi aktivní ransomwarová skupina, která cílí na zdravotnictví. Pomocí modelu RaaS povoluje partnery, aby snadno nasadila ransomware. Skupina je spojená s útoky na nemocniční systémy s vysokým dopadem, při kterých šifruje důležitá data o pacientech a požaduje výkupné. Je známá taktikou dvojnásobného vydírání, protože data jen nešifruje, ale také exfiltruje. Pak hrozí únikem citlivých informací, pokud se výkupné nezaplatí.
  • Skupina Sangria Tempest je známá pokročilými ransomwarovými útoky na zdravotnická pracoviště. Pomocí sofistikovaného šifrování prakticky znemožní obnovení dat, pokud nedojde k zaplacení výkupného. Skupina se uchyluje i k dvojnásobnému vydírání, protože dokáže exfiltrovat data a následně hrozí jejich únikem. Útoky skupiny způsobují rozsáhlé narušení provozu a nutí nemocniční systémy odklánět zdroje, což má negativní vliv na péči o pacienty.
  • Skupina Cadenza Tempest, která je známá útoky DDoS, se teď spíše zaměřuje na ransomwarové operace ve zdravotnictví. Skupina, která se označuje za proruskou hacktivistickou skupinu, cílí na systémy ve zdravotnictví v oblastech s nepřátelským postojem vůči ruským zájmům. Její útoky zahlcují nemocniční systémy, narušují chod důležitých provozů a vytvářejí chaos, a to zvláště v kombinaci s ransomwarovými kampaněmi.
  • Finančně motivovaná skupina Vanilla Tempest je aktivní od července 2022. V poslední době začala využívat ransomware INC získaný prostřednictvím poskytovatelů RaaS za účelem cílení na zdravotnictví v USA. Skupina zneužívá chyby zabezpečení, používá vlastní skripty a využívá standardní nástroje ve Windows k odcizování přihlašovacích údajů, laterálnímu pohybu a nasazování ransomwaru. Skupina se současně uchyluje k dvojnásobnému vydírání a požaduje výkupné za odemknutí systémů a zabránění úniku odcizených dat.

Zdravotnická pracoviště čelí stále sofistikovanějším ransomwarovým útokům, takže si musí v souvislosti s kybernetickou bezpečností osvojit mnohostranný přístup. Musí se připravit tak, aby kybernetické incidenty zvládla, reagovala na ně a zotavila se z nich a zároveň zajistila nepřetržitou péči o pacienty.

Následující pokyny a rady nabízí komplexní strukturu pro zvýšení odolnosti, zajištění rychlého zotavení, podporu pracovníků zaměřených především na zabezpečení a propagaci spolupráce v rámci celého sektoru zdravotnictví.

Zásady správného řízení: Zajištění připravenosti a odolnosti

Budova s mnoha okny pod modrou oblohou s mraky

Efektivní zásady správného řízení pro kybernetickou bezpečnosti ve zdravotnictví jsou nezbytné pro zajištění připravenosti a odpovídající reakce na ransomwarové útoky. Doktoři Dameff a Tully z centra UC San Diego Center for Healthcare Cybersecurity doporučují vytvoření robustní struktury zásad správného řízení zahrnující jasné role, pravidelná školení a mezioborovou spolupráci. Tento krok pomáhá zdravotnickým zařízením zvýšit odolnost vůči ransomwarovým útokům a zajistit nepřetržitou péči o pacienty i v případě, že čelí významnému narušení.

Klíčovým aspektem této struktury je rozštěpení informačních sil mezi klinický personál, týmy zabezpečení IT a pracovníky nouzové správy tak, aby vznikly soudržné plány reakcí na incidenty. Spolupráce mezi odděleními je životně důležitá pro zajištění bezpečnosti pacientů a kvality péče, pokud dojde k ohrožení technologických systémů.

Doktoři Dameff a Tully zároveň zdůrazňují nezbytnost vytvoření dedikované skupiny či rady pro zásady správného řízení, která se bude pravidelně scházet a dané plány reakcí na incidenty kontrolovat nebo aktualizovat. Doporučují, aby uvedené skupiny pro zásady správného řízení měly oprávnění k testování plánů reakcí na základě realistických simulací a drilů, aby se zajistilo, že veškerý personál (a to včetně mladších klinických pracovníků, kteří nemusí mít s papírovými záznamy zkušenosti) je připraven efektivně fungovat i bez digitálních nástrojů.

Doktoři Dameff a Tully dále vyzdvihují důležitost externí spolupráce. Přimlouvají se za oblastní a národní struktury, které nemocnicím umožní vzájemnou podporu při rozsáhlých incidentech, a zmiňují potřebu vytvoření „strategické národní rezervy“ technologie pro dočasné nahrazení napadených systémů.

Odolnost a strategické reakce

Odolnost v rámci kybernetické bezpečnosti zdravotnictví neznamená jen ochranu dat, ale i zabezpečení celých systémů tak, aby zvládly útoky a zotavily se z nich. Základem je komplexní přístup k zajištění odolnosti, který se zaměřuje nejen na ochranu dat pacientů, ale i na posílení celé infrastruktury, která podporuje zdravotnické provozy. Vztahuje se na celý systém: síť, dodavatelský řetězec, lékařské přístroje a další části.

Je nezbytné zavést strategii hloubkové ochrany a vytvořit stav vícevrstvého zabezpečení, který ransomwarové útoky efektivně překazí.

Je nezbytné zavést strategii hloubkové ochrany a vytvořit stav vícevrstvého zabezpečení, který ransomwarové útoky efektivně překazí. Tato strategie zahrnuje zabezpečení každé vrstvy infrastruktury zdravotnického pracoviště – od sítě, přes koncové body až po cloud. Zřízením vícevrstvé ochrany zdravotnická zařízení sníží riziko úspěšného ransomwarového útoku.

Týmy analýzy hrozeb Microsoftu v rámci tohoto vícevrstvého přístupu aktivně pro své zákazníky monitorují nestandardní chování. V případě zjištění takové aktivity se odesílá přímé upozornění.

Nejde o placenou službu nebo službu poskytovanou pro určitou úroveň. Firmám všech velikostí se věnuje stejná pozornost. Cílem je okamžitě upozornit na zjištěné potenciální hrozby, včetně ransomwaru, a pomoct s odpovídajícími kroky ochrany organizace.

Kromě zavedení uvedených vrstev ochrany je důležité vytvořit efektivní plán detekce a reakce na incidenty. Vytvoření plánu však nestačí. Zdravotnická pracoviště musí být připravena na efektivní provedení plánu během skutečného útoku, aby minimalizovala škody a zajistila rychlé zotavení.

A konečně nedílnou součást robustní struktury reakcí na incidenty tvoří funkce nepřetržitého monitorování a detekce v reálném čase, které zajišťují okamžité odhalení a řešení potenciálních hrozeb.

Ministerstvo zdravotnictví a sociální péče USA (Department of Health and Human Services) publikovalo přímo pro zdravotnictví dobrovolné cíle výkonu kybernetické bezpečnosti (Cybersecurity Performance Goals, CPG), aby zdravotnickým zařízením usnadnilo určit priority zavádění postupů kybernetické bezpečnosti s vysokým dopadem. V těchto cílech najdete další informace o kybernetické odolnosti ve zdravotnictví.

Cíle CPG byly vytvořeny prostřednictvím procesu spolupráce v rámci veřejného a soukromého partnerství na základě standardních oborových struktur, pokynů, osvědčených postupů a strategií kybernetické bezpečnosti a tvoří soubor procedur kybernetické bezpečnosti, pomocí kterých můžou zdravotnická pracoviště posílit připravenost na kybernetické útoky, zlepšit svou odolnost a ochránit zdravotní údaje a bezpečnost pacientů.

Kroky rychlého obnovení provozu a posílení zabezpečení po útoku

Zotavení z ransomwarového útoku vyžaduje systematický přístup, který zajistí bleskový návrat k normálnímu provozu a současně zamezí budoucím incidentům. V následující části najdete praktické kroky, které vám pomůžou vyhodnotit škodu, obnovit postižené systémy a vynutit bezpečnostní opatření. Pokud budou zdravotnická zařízení postupovat podle uvedených pokynů, dokážou zmírnit dopad útoku a posílit ochranu před budoucími hrozbami.
Vyhodnoťte dopad a útok zastavte

Okamžitě izolujte napadené systémy a znemožněte další rozšíření.
Obnovte data ze záloh, o kterých víte, že jsou v pořádku

Zajistěte, aby před obnovením provozu byly k dispozici čisté a ověřené zálohy. Udržujte zálohy offline, abyste znemožnili jejich zašifrování ransomwarem.
Přebudujte systémy

Místo opravy napadených systémů zvažte jejich přebudování, abyste eliminovali jakýkoli malware, který v nich mohl zůstat. Při bezpečném přebudování systémů se řiďte pokyny týmu služby Microsoft Reakce na incident. 
Po útoku vynuťte kontrolní mechanismy zabezpečení

Po útoku posilte stav zabezpečení odstraněním chyb zabezpečení, opravou systémů a vylepšením nástrojů detekce u koncových bodů.
Proveďte analýzu po incidentu

Ve spolupráci s externím dodavatelem zabezpečení analyzujte útok, abyste určili slabá místa a zlepšili ochranu v případě budoucích incidentů.

Sestavení týmu zaměřeného na zabezpečení

Muž a žena, kteří sledují tvář ženy

Sestavení týmu pracovníků zaměřených především na zabezpečení vyžaduje nepřetržitou mezioborovou spolupráci.

Sestavení týmu pracovníků zaměřených především na zabezpečení vyžaduje nepřetržitou mezioborovou spolupráci. Je důležité rozštěpit informační sila mezi týmy zabezpečení IT, vedoucí pracovníky nouzové správy a klinický personál tak, aby vznikly soudržné plány reakcí na incidenty. Bez spolupráce nemusí být zbývající část nemocnice odpovídajícím způsobem připravena k efektivní reakci během kybernetického incidentu.

Vzdělávání a povědomí

Efektivní školení a neprůstřelná kultura hlášení útoků tvoří základní stavební kameny obrany zdravotnického pracoviště proti ransomwaru. Vzhledem k tomu, že pracovníci ve zdravotnictví často upřednostňují péči o pacienty, nemusí mít vždy na paměti kybernetickou bezpečnost, takže můžou častěji podlehnout kybernetickým hrozbám.

Aby se tak nestalo, musí průběžné školení zahrnovat základy kybernetické bezpečnosti, jako je způsob rozpoznání phishingových e-mailů, pokyny k zamezení klikání na podezřelé odkazy a seznámení s běžnými taktikami sociálního inženýrství.

Školení vám usnadní zdroje informací týkající se povědomí o kybernetické bezpečnosti od Microsoftu.

„Klíčem je motivovat personál k hlášení problémů se zabezpečením, aniž by se báli obvinění,“ vysvětluje Jack Mott z Microsoftu. „Čím dřív se nějaká událost nahlásí, tím lépe. A když nejde o škodlivou aktivitu, je výhra na naší straně.“

Pravidelné drily a simulace by měly napodobovat reálné útoky, jako je phishing nebo ransomware, aby si personál mohl svou reakci nacvičit v kontrolovaném prostředí.

Sdílení informací, spolupráce a kolektivní obrana

Vzhledem k tomu, že ransomwarové útoky jsou obecně na vzestupu (Microsoft v průběhu roku zaznamenal u svých zákazníků 2,75násobné zvýšení.16), je nezbytné zavést kolektivní strategii obrany. Spolupráce mezi interními týmy, regionálními partnery a širšími národními či globálními sítěmi je zásadní pro zabezpečení provozu zdravotnických pracovišť a bezpečnosti pacientů.

Spojení uvedených skupin za účelem návrhu a zavedení komplexních plánů reakcí na incidenty může během útoků zabránit chaosu v chodu daných zařízení.

Doktoři Dameff a Tully podtrhují význam spojení interních týmů, jako jsou doktoři, vedoucí pracovníci nouzové správy a personál týmu zabezpečení IT, které často pracují izolovaně. Spojení uvedených skupin za účelem návrhu a zavedení komplexních plánů reakcí na incidenty může během útoků zabránit chaosu v chodu daných zařízení.

Zdravotnická pracoviště by měla na regionální úrovni vytvářet partnerství, která jim umožní sdílet kapacitu a zdroje a zajistit nepřerušenou péči o pacienty i v případě, že některé nemocnice napadne ransomware. Tato forma kolektivní obrany současně usnadní zvládnutí návalu pacientů a rozdělí zátěž mezi různé poskytovatele zdravotní péče.

Kromě spolupráce na regionální úrovni hrají stěžejní úlohu národní a globální sítě sdílení informací. Centra ISAC (Information Sharing and Analysis Centers), jako je Health-ISAC, slouží jako platformy zdravotnických zařízení pro výměnu důležitých informací analýzy hrozeb. Errol Weiss, vedoucí pracovník pověřený zabezpečením v centru Health-ISAC, přirovnává tyto organizace k „virtuálním sousedským hlídkám“, v rámci kterých členské organizace rychle sdílí podrobnosti o útocích a fungujících technikách zmírnění následků. Takové sdílení informací pomáhá ostatním s přípravou na eliminaci podobných hrozeb a posiluje kolektivní obranu v širším měřítku.

  1. [1]
    Data interní analýzy hrozeb Microsoftu, 2. čtvrtletí 2024
  2. [2]
    (Shrnutí Executive Summary určené ředitelům pro zabezpečení informací: Aktuální a vznikající kybernetické hrozby ve zdravotnictví, Health-ISAC a American Hospital Association (AHA))  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    TRANSCRIPT: House Committee Hearing to Assess Microsoft’s Cybersecurity Shortfalls, Tech Policy Press, 15. června 2024
  4. [4]
    On average, healthcare organizations lose USD$900,000 per day to downtime from ransomware attacks, Comparitech, 6. března 2024
  5. [5]
    Healthcare Ransomware Attacks Continue to Increase in Number and Severity, The HIPAA Journal, září 2024
  6. [6]
    Hacked to Pieces? The Effects of Ransomware Attacks on Hospitals and Patients, https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    Ransomware Attack Associated With Disruptions at Adjacent Emergency Departments in the US, Ransomware Attack Associated With Disruptions at Adjacent Emergency Departments in the US | Emergency Medicine | JAMA Network Open | JAMA Network
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    Ascension Ransomware Attack Hurts Financial Recovery, The HIPPA Journal, 20. září 2024
  10. [10]
    Patient Data Exposed in Phishing Attack on UC San Diego Health, The HIPPA Journal, 13. března 2024
  11. [11]
    Ransomware Attack Key Factor in Decision to Close Rural Illinois Hospital, The HIPPA Journal, 14. června 2023
  12. [12]
    Healthcare Ransomware Attacks Continue to Increase in Number and Severity, The HIPAA Journal, září 2024
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    There were more hospital mergers in 2023, and financial distress is driving more deals (chiefhealthcareexecutive.com)
  15. [15]
    Interoperability and Methods of Exchange among Hospitals in 2021 | HealthIT.gov
  16. [16]
    Microsoft Digital Defense Report 2024, Microsoft, str. 27
  17. [17]
    Telemetrie Analýzy hrozeb Microsoft 2024
  18. [18]
    Known Exploited Vulnerabilities Catalog, CISA, 2024
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    Data analýzy hrozeb Microsoftu týkající se kybernetických hrozeb v sektoru zdravotnictví z roku 2024
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
Ransomware Kybernetické trestné činy

Více na téma zabezpečení

Průvodce po kybernetické hygieně a odolnosti

Základní kybernetická hygiena zůstává nejlepším způsobem, jak ochránit identity, zařízení, data, aplikace, infrastrukturu a sítě organizace před 98 % všech kybernetických hrozeb. Objevte praktické tipy v komplexním průvodci.
Další informace

Boj proti hackerům, kteří narušili chod nemocnic a ohrozili lidské životy

Získejte informace o nejnovějších vznikajících hrozbách z dat a výzkumů týkajících se hrozeb od společnosti Microsoft. Získejte analýzu trendů a praktické pokyny k posílení první linie vaší obrany.
Další informace

Zneužití principu důvěry: podvody sociálního inženýrství

Prozkoumejte digitální prostředí, které se neustále vyvíjí a v němž je důvěra měnou i zranitelností. Objevte podvodné taktiky sociálního inženýrství, které kybernetičtí útočníci používají nejvíce, a revidujte strategie, které vám mohou pomoci identifikovat se a přechytračit hrozby sociálního inženýrství navrženy k manipulaci lidí.
Další informace

Sledujte zabezpečení od Microsoftu