Trace Id is missing

Ogrožena zdravstvena oskrba v Združenih državah: Krepitev odpornosti na napade z izsiljevalsko programsko opremo

Skupna raba
Skupina zdravstvenih delavcev gleda tablični računalnik

Zdravstveni sektor se sooča s hitro naraščajočim obsegom groženj kibernetski varnosti, pri čemer so napadi z izsiljevalsko programsko opremo eni najpomembnejših. Kombinacija dragocenih podatkov o pacientih, medsebojno povezanih medicinskih naprav in majhnega operativnega osebja za IT/kibernetsko varnost, ki razprši vire, lahko povzroči, da so zdravstvene organizacije glavne tarče akterjev groženj. Ker postajajo zdravstvene dejavnosti vse bolj digitalizirane – od elektronskih zdravstvenih zapisov (EZZ) do telemedicinskih platform in omrežnih medicinskih naprav – postaja tarča napada v bolnišnicah bolj zapletena, kar še povečuje njihovo ranljivost za napade.

Naslednji razdelki nudijo pregled trenutnega okolja kibernetske varnosti v zdravstvu, pri čemer poudarjajo status panoge kot glavne tarče, vse večjo pogostost napadov z izsiljevalsko programsko opremo ter resne finančne posledice in posledice za oskrbo bolnikov, ki jih te grožnje imajo.

Video razprava, ki jo vodi Sherrod DeGrippo, direktor strategije obveščanja o grožnjah pri Microsoftu, nadalje raziskuje ta kritična vprašanja in ponuja vpoglede strokovnjakov v akterje groženj, strategije obnovitve in ranljivosti v zdravstvu.

Brifing Microsoftovega središča za obveščanje o grožnjah: Zdravstvo

Sherrod DeGrippo, direktor strategije obveščanja o grožnjah za obveščanje o grožnjah Microsoft, vodi živahno razpravo na okrogli mizi s strokovnjaki za obveščanje o grožnjah in zdravstveno varnost, ki preučujejo, zakaj je zdravstvo edinstveno dovzetno za napade z izsiljevalsko programsko opremo, kakšne taktike uporabljajo skupine akterjev groženj, kako ohranjati odpornost in več.
  • Po podatkih obveščanja o grožnjah Microsoft je bil sektor zdravstva/javnega zdravstva ena izmed 10 najbolj prizadetih panog v drugem četrtletju 2024.1
  • Izsiljevalska programska oprema kot storitev (RaaS) je znižala vstopne ovire za napadalce brez tehničnega znanja, medtem ko Rusija zagotavlja varen pristan skupinam izsiljevalske programske opreme. Posledično so se napadi z izsiljevalsko programsko opremo od leta 2015 povečali za 300%.2
  • V tem proračunskem letu je 389 ameriških zdravstvenih ustanov prizadela izsiljevalska programska oprema, kar je povzročilo izpade omrežja, sisteme brez povezave, zamude pri kritičnih medicinskih posegih in prestavljene termine3. Napadi so dragi, saj eno panožno poročilo kaže, da zdravstvene organizacije izgubijo do 900.000 USD na dan samo zaradi izpadov.4
  • Od 99 zdravstvenih organizacij, ki so priznale izplačilo odkupnine in razkrile plačano odkupnino, je bila srednja vrednost (mediana) plačila 1,5 milijona USD, povprečno plačilo pa 4,4 milijona USD.5

Resen vpliv na oskrbo pacientov

Motnje v delovanju zdravstvene oskrbe, ki jih povzroči napad z izsiljevalsko programsko opremo, lahko resno vplivajo na zmožnost učinkovitega zdravljenja pacientov – ne le v prizadetih bolnišnicah, ampak tudi v tistih na bližnjih območjih, ki sprejemajo prerazporejeno število pacientov na oddelkih za nujne primere.6

Razmislite o ugotovitvah iz nedavne študije, ki kaže, kako je napad z izsiljevalsko programsko opremo na štiri bolnišnice (dve napadeni in dve neprizadeti) privedel do povečanega števila pacientov na urgentnih oddelkih, daljših čakalnih dob in dodatne obremenitve virov, zlasti pri časovno občutljivi oskrbi, kot je zdravljenje kapi, v dveh neprizadetih sosednjih bolnišnicah.7
Porast primerov možganske kapi: Napad z izsiljevalsko programsko opremo je močno obremenil celoten zdravstveni ekosistem, saj so morale neprizadete bolnišnice sprejemati bolnike iz prizadetih bolnišnic. Aktivacije kode za kap v bližnjih bolnišnicah so se skoraj podvojile, z 59 na 103, medtem ko so se potrjene kapi povečale za 113,6%, z 22 na 47 primerov.
Povečanje srčnih zastojev: Napad je pretresel zdravstveni sistem, saj se je število primerov srčnega zastoja v neprizadeti bolnišnici povečalo z 21 na 38, kar je 81% povečanje. To odraža kaskadni učinek ogrožanja ene ustanove, zaradi česar so bližnje bolnišnice prisiljene obravnavati bolj kritične primere.
Zmanjšanje preživetja z ugodnimi nevrološkimi izidi: Stopnja preživetja pri izvenbolnišničnih srčnih zastojih z ugodnimi nevrološkimi izidi se je med napadom v neprizadetih bolnišnicah drastično zmanjšala, in sicer s 40 % pred napadom na 4,5% v fazi napada.
Povečanje prihodov reševalnih vozil: Med fazo napada se je število prihodov nujne medicinske pomoči (storitve za upravljanje v sili) v »neprizadete« bolnišnice povečalo za 35,2%, kar kaže na znatno preusmeritev prometa reševalnih vozil zaradi motenj v prizadetih bolnišnicah, ki jih povzroča izsiljevalska programska oprema.
Porast števila bolnikov: Ker so napad ogrozili štiri območne bolnišnice (dve napadeni in dve neprizadeti), so urgentni centri (UC) v neprizadetih bolnišnicah doživeli znaten priliv bolnikov. Dnevno število pacientov v teh neprizadetih bolnišnicah se je med fazo napada povečalo za 15,1% v primerjavi s fazo pred napadom.
Dodatne motnje v oskrbi: Med napadi se je v bolnišnicah, ki niso bile prizadete, opazno povečalo število bolnikov, ki so odšli brez pregleda, čas čakanja in skupna dolžina bivanja sprejetih bolnikov. Na primer, mediana čakanja v čakalnici se je povečala z 21 minut pred napadom na 31 minut med napadom.

Študije primera izsiljevalske programske opreme

Napadi z izsiljevalsko programsko opremo v zdravstvu imajo lahko uničujoče posledice ne le za ciljane organizacije, temveč tudi za oskrbo bolnikov in stabilnost delovanja. Naslednje študije primerov ponazarjajo daljnosežne učinke izsiljevalske programske opreme na različne vrste zdravstvenih organizacij, od velikih bolnišničnih sistemov do majhnih podeželskih ponudnikov, pri čemer poudarjajo različne načine, kako napadalci vdrejo v omrežja in posledične motnje osnovnih zdravstvenih storitev.
  • Napadalci so uporabili ogrožene poverilnice za dostop do omrežja prek ranljivega prehoda za oddaljeni dostop brez večkratnega preverjanja pristnosti. Šifrirali so kritično infrastrukturo in izločili občutljive podatke v dvojni shemi izsiljevanja ter zagrozili, da jih bodo izdali, če ne bo plačana odkupnina.

    Vpliv:     Napad je povzročil motnje, zaradi česar 80% ponudnikov zdravstvenih storitev in lekarn ni moglo preveriti zavarovanja ali obdelati zahtevkov. 
  • Napadalci so izkoristili ranljivost bolnišnične nepopravljene starejše programske opreme in se pomaknili stransko, da bi ogrozili načrtovanje terminov pacientov in zdravstvene zapise. Z dvojno izsiljevalsko taktiko so izločili občutljive podatke in zagrozili, da jih bodo izdali, če ne bo plačana odkupnina.

    Vpliv: Napad je prekinil delovanje, povzročil odpovedane termine, odložene operacije in prehod na ročne postopke, kar je obremenilo osebje in odložilo oskrbo. 
  • Napadalci so uporabili e-poštna sporočila lažnega predstavljanja za dostop do bolnišničnega omrežja in izkoristili nepopravljene ranljivosti za namestitev izsiljevalske programske opreme, šifriranje EZZ in sistemov za oskrbo bolnikov. Z dvojno izsiljevalsko taktiko so izločili občutljive bolnikove in finančne podatke ter grozili, da bodo razkriti, če odkupnina ne bo plačana. 

    Vpliv:     Napad je prekinil štiri bolnišnice in več kot 30 klinik, odložil zdravljenje in preusmeril paciente, ki potrebujejo nujno pomoč, kar je povzročilo skrb glede izpostavljenosti podatkov. 
  • Februarja 2021 je napad z izsiljevalsko programsko opremo ohromil računalniške sisteme podeželske bolnišnice s 44 posteljami, zaradi česar so morali tri mesece izvajati ročne postopke in krepko odložiti zavarovalne zahtevke.

    Vpliv:     Nezmožnost bolnišnice, da pravočasno zbere plačila, je povzročila finančne težave, zaradi česar je lokalna podeželska skupnost ostala brez kritičnih zdravstvenih storitev. 

Ameriški zdravstveni sektor predstavlja privlačno tarčo za finančno motivirane kibernetske kriminalce zaradi svoje široke tarče napada, starejših sistemov in nedoslednih varnostnih protokolov. Kombinacija zanašanja zdravstva na digitalne tehnologije, občutljivih podatkov in omejitev virov, s katerimi se soočajo številne organizacije – pogosto zaradi izjemno nizkih marž – lahko omeji njihovo zmožnost polnega vlaganja v kibernetsko varnost, zaradi česar so še posebej ranljive. Poleg tega zdravstvene organizacije dajejo prednost oskrbi pacientov za vsako ceno, kar lahko vodi do pripravljenosti za plačilo odkupnine, da bi se izognili motnjam.

Znani po plačevanju odkupnin

Del razloga, zakaj je izsiljevalska programska oprema postala tako izrazit problem za zdravstvo, je zgodovina tega sektorja pri plačevanju odkupnin. Zdravstvene organizacije dajejo prednost oskrbi pacientov nad vsem drugim, in če morajo plačati milijone dolarjev, da bi se izognile motnjam, so to pogosto pripravljene storiti.

Pravzaprav je glede na nedavno poročilo, ki temelji na raziskavi 402 zdravstvenih organizacij, 67% njih v preteklem letu doživelo napad z izsiljevalsko programsko opremo. Med temi organizacijami jih je 53% priznalo, da so plačale odkupnine v letu 2024, za razliko od 42% leta 2023. Poročilo poudarja tudi finančni vpliv, pri čemer je povprečno priznano plačilo odkupnine znašalo 4,4 milijona USD.12

Omejeni varnostni viri in naložbe

Drug pomemben izziv so omejeni proračuni in viri za kibernetsko varnost v zdravstvenem sektorju. V skladu z nedavnim poročilom Healthcare Cybersecurity Needs a Check-Up report13, ki ga je izdal CSC 2.0 (skupina, ki nadaljuje delo s strani kongresa pooblaščene komisije Cyberspace Solarium), je bila kibernetska varnost pogosto premalo financirana, "ker so proračuni omejeni in morajo ponudniki dajati prednost porabi za osnovne storitve za bolnike, zaradi česar so zdravstvene organizacije bolj ranljive za napade.

Poleg tega ponudniki zdravstvenih storitev kljub resnosti problema ne vlagajo dovolj v kibernetsko varnost. Zaradi vrste zapletenih dejavnikov, vključno z modelom posrednega plačila, ki pogosto vodi do dajanja prednosti takojšnjim kliničnim potrebam pred manj vidnimi naložbami, kot je kibernetska varnost, je zdravstvo v zadnjih dveh desetletjih močno premalo vlagalo v kibernetsko varnost.10

Poleg tega je zakon Health Insurance Portability and Accountability Act (HIPAA) privedel do dajanja prednosti naložbam v zaupnost podatkov, pri čemer sta celovitost in razpoložljivost podatkov pogosto drugotnega pomena. Ta pristop lahko povzroči zmanjšano osredotočenost na organizacijsko odpornost, zlasti pri znižanju ciljev časa obnovitve (RTO) in ciljev točke obnovitve (RPO).

Podedovani sistemi in ranljivosti infrastrukture

Ena od posledic premajhnega vlaganja v kibernetsko varnost je odvisnost od zastarelih podedovanih sistemov, ki jih je težko posodobiti in so postali glavne tarče izkoriščanja. Poleg tega uporaba različnih tehnologij ustvarja pokrpano infrastrukturo z vrzelmi v varnosti, kar povečuje tveganje za napade.

Ta ranljiva infrastruktura je še bolj zapletena zaradi nedavnega trenda zdravstvene panoge h konsolidaciji. Združitve bolnišnic, ki so v porastu (za 23% več kot leta 2022 in na najvišji ravni od leta 202014), ustvarjajo organizacije s kompleksno infrastrukturo, razpršeno po več lokacijah. Brez zadostnih naložb v kibernetsko varnost te infrastrukture postanejo zelo ranljive za napade.

Širitev tarče napada

Medtem ko klinično integrirana omrežja oskrbe s povezanimi napravami in medicinskimi tehnologijami pomagajo izboljšati izide pacientov in rešujejo življenja, so tudi razširila digitalno tarčo napada – nekaj, kar akterji groženj vse bolj izkoriščajo.

Bolnišnice so bolj prisotne na spletu kot kdaj koli prej in povezujejo kritične medicinske naprave, kot so CT skenerji, sistemi za spremljanje bolnikov in infuzijske črpalke, v omrežja, vendar nimajo vedno ravni preglednosti, ki je potrebna za prepoznavanje in ublažitev ranljivosti, ki lahko resno vplivajo na oskrbo bolnikov.

Zdravnika Christian Dameff in Jeff Tully, so-direktorja in soustanovitelja Središča za kibernetsko varnost v zdravstvu kalifornijske univerze San Diego, ugotavljata, da v povprečju 70% končnih točk bolnišnice niso računalniki, ampak naprave.   
Bolniška soba z medicinsko opremo, belim predalom in modro zaveso.

Zdravstvene organizacije prenašajo tudi ogromne količine podatkov. Po podatkih Urada nacionalnega koordinatorja za IT v zdravstvu več kot 88% bolnišnic poroča o elektronskem pošiljanju in pridobivanju zdravstvenih informacij pacientov, več kot 60% pa jih poroča o vključitvi teh informacij v svoje elektronske zdravstvene zapise (EZZ).15

Mali podeželski ponudniki se soočajo z edinstvenimi izzivi

Podeželske bolnišnice s kritičnim dostopom so še posebej ranljive za dogodke z izsiljevalsko programsko opremo, ker imajo pogosto omejena sredstva za preprečevanje in odpravo varnostnih tveganj. To je lahko uničujoče za skupnost, saj so te bolnišnice pogosto edina možnost zdravstvene oskrbe za velika območja na katerih so skupnosti, ki jim služijo.

Po besedah ​​Dameffa in Tullyja podeželske bolnišnice običajno nimajo enake ravni kibernetske varnostne infrastrukture ali strokovnega znanja kot njihove večje, mestne bolnišnice. Ugotavljajo tudi, da je veliko načrtov za neprekinjeno poslovanje teh bolnišnic morda zastarelih ali neustreznih za obravnavo sodobnih kibernetskih groženj, kot je izsiljevalska programska oprema.

Številne majhne ali podeželske bolnišnice se soočajo s precejšnjimi finančnimi omejitvami in poslujejo z zelo nizkimi stopnjami dobička. Zaradi te finančne realnosti težko vlagajo v robustne ukrepe kibernetske varnosti. Pogosto se te zmogljivosti zanašajo na enega samega strokovnjaka za IT – nekoga, ki je vešč upravljanja vsakodnevnih tehničnih težav, vendar nima specializiranega znanja o kibernetski varnosti.

Poročilo delovne skupine za kibernetsko varnost v zdravstveni panogi Ministrstva za zdravje in socialne zadeve, ki je bila ustanovljena kot del zakona o kibernetski varnosti iz leta 2015, poudarja, da velik delež podeželskih kritičnih bolnišnic nima dovolj zaposlenih na področju kibernetske varnosti za polni delovni čas, kar poudarja širše izzivi glede virov, s katerimi se soočajo manjši ponudniki zdravstvenih storitev.

„Ti strokovnjaki za IT, pogosto le nekdo, ki je vešč upravljanja omrežij in računalnikov, se navadijo ukvarjati s stvarmi, kot so: 'Ne morem tiskati, ne morem se prijaviti, kakšno je moje geslo?'“ pojasnjuje Dameff. „Niso strokovnjaki za kibernetsko varnost. Nimajo osebja, nimajo proračuna in sploh ne vedo, kje začeti.”

Postopek napada kibernetskih kriminalcev običajno poteka v dveh korakih: pridobitev začetnega dostopa do omrežja, pogosto z lažnim predstavljanjem ali izkoriščanjem ranljivosti, čemur sledi namestitev izsiljevalske programske opreme za šifriranje kritičnih sistemov in podatkov. Razvoj teh taktik, vključno z uporabo legitimnih orodij in širjenjem RaaS, je naredil napade bolj dostopne in pogoste.

Začetna faza napada z izsiljevalsko programsko opremo: Pridobivanje dostopa do omrežja zdravstvene ustanove

Jack Mott, ki je pred tem vodil ekipo, ki se je osredotočala na obveščanje o grožnjah v e-pošti in inženiring odkrivanja groženj v Microsoftu, navaja, da je "e-pošta še vedno eden največjih prenašalcev zlonamerne programske opreme in napadov z lažnim predstavljanjem za napade z izsiljevalsko programsko opremo.“16

V Microsoftovi analizi obveščanja o grožnjah 13 bolnišničnih sistemov, ki predstavljajo več postopkov, vključno s podeželskimi bolnišnicami, je bilo 93% opažene zlonamerne kibernetske dejavnosti povezane z lažnim predstavljanjem in izsiljevalsko programsko opremo, pri čemer so večino dejavnosti predstavljale grožnje, ki temeljijo na e-pošti.17
"E-pošta ostaja eden največjih prenašalcev napadov zlonamerne programske opreme in lažnega predstavljanja za napade z izsiljevalsko programsko opremo."
Jack Mott 
Obveščanje o grožnjah Microsoft

Kampanje, usmerjene v zdravstvene organizacije, pogosto uporabljajo zelo specifične vabe. Mott, na primer, poudarja kako akterji groženj oblikujejo e-poštna sporočila v žargonu, specifičnim za zdravstveno panogo, kot so sklicevanja na poročila o obdukciji, da povečajo svojo verodostojnost in uspešno zavedejo zdravstvene delavce. 

Taktike socialnega inženiringa, kot je ta, zlasti v okoljih z visokim pritiskom, kot je zdravstvo, izkoriščajo nujnost, ki jo pogosto čutijo zdravstveni delavci, kar vodi do morebitnih varnostnih pomanjkljivosti. 

Mott tudi ugotavlja, da postajajo napadalci vse bolj izpopolnjeni v svojih metodah, pri čemer pogosto uporabljajo "prava imena, zakonite storitve in orodja, ki se običajno uporabljajo v IT oddelkih (npr. orodja za daljinsko upravljanje)", da bi se izognili zaznavanju. Zaradi teh taktik varnostni sistemi težko razlikujejo med zlonamerno in zakonito dejavnostjo. 

Podatki obveščanja o grožnjah Microsoft tudi kažejo, da napadalci pogosto izkoriščajo znane ranljivosti v programski opremi ali sistemih organizacije, ki so bile ugotovljene v preteklosti. Te pogoste ranljivosti in izpostavljenosti (CVE) so dobro dokumentirane, imajo na voljo popravke, napadalci pa pogosto ciljajo na te starejše ranljivosti, ker vedo, da številne organizacije še niso odpravile teh slabosti.18 

Po pridobitvi začetnega dostopa napadalci pogosto izvajajo izvidništvo omrežja, kar je mogoče prepoznati po indikatorjih, kot je nenavadno skeniranje. Ta dejanja akterjem groženj pomagajo izrisati omrežje, identificirati kritične sisteme in se pripraviti na naslednjo fazo napada: uvajanje izsiljevalske programske opreme.

Zaključna faza napada z izsiljevalsko programsko opremo: Uvedba izsiljevalske programske opreme za šifriranje kritičnih sistemov

Ko je pridobljen začetni dostop, običajno z lažnim predstavljanjem ali zlonamerno programsko opremo, dostavljeno po e-pošti, akterji groženj preidejo v drugo fazo: uvajanje izsiljevalske programske opreme.

Jack Mott pojasnjuje, da je porast modelov RaaS znatno prispeval k povečani pogostosti napadov izsiljevalske programske opreme v zdravstvenem sektorju. "Platforme RaaS so demokratizirale dostop do sofisticiranih orodij za izsiljevalsko programsko opremo, kar omogoča tudi tistim z minimalnimi tehničnimi znanji, da sprožijo zelo učinkovite napade," ugotavlja Mott. Ta model zmanjšuje vstopno oviro za napadalce, zaradi česar so napadi z izsiljevalsko programsko opremo bolj dostopni in učinkoviti.
"Platforme RaaS so demokratizirale dostop do sofisticiranih orodij za izsiljevalsko programsko opremo, kar omogoča tudi tistim z minimalnimi tehničnimi znanji, da sprožijo zelo učinkovite napade.” 
Jack Mott 
Obveščanje o grožnjah Microsoft

Mott nadalje pojasnjuje, kako deluje RaaS, in navaja, "da te platforme pogosto vključujejo obsežno zbirko orodij, vključno s programsko opremo za šifriranje, obdelavo plačil in celo storitve za stranke za pogajanja o plačilih odkupnine. Ta pristop na ključ omogoča širšemu krogu akterjev groženj, da izvajajo kampanje z izsiljevalsko programsko opremo, kar vodi do povečanja števila in resnosti napadov."

Poleg tega Mott izpostavlja usklajeno naravo teh napadov in poudarja, da "ko je izsiljevalska programska oprema uvedena, napadalci običajno hitro začnejo šifrirati kritične sisteme in podatke, pogosto v nekaj urah. Ciljajo na ključno infrastrukturo, kot so zapisi o pacientih, diagnostični sistemi in celo postopki zaračunavanja, da bi povečali učinek in pritisk na zdravstvene organizacije, da plačajo odkupnino."

Napadi z izsiljevalsko programsko opremo v zdravstvu: Profil glavnih skupin akterjev groženj

Napade z izsiljevalsko programsko opremo v zdravstvenem sektorju pogosto izvajajo visoko organizirane in specializirane skupine akterjev groženj. Te skupine, ki vključujejo tako finančno motivirane kibernetske kriminalce kot sofisticirane akterje groženj nacionalnih držav, uporabljajo napredna orodja in strategije za vdor v omrežja, šifriranje podatkov in zahteve po odkupnini s strani organizacij.

Med temi akterji groženj naj bi bili hekerji iz avtoritarnih držav pod sponzorstvom vlade, ki uporabljajo izsiljevalsko programsko opremo in celo sodelujejo s skupinami izsiljevalske programske opreme za namene vohunjenja. Sumi se, na primer, da Kitajski vladni akterji groženj vse pogosteje uporabljajo izsiljevalsko programsko opremo kot krinko za vohunsko dejavnost.19

Zdi se, da so iranski akterji groženj leta 2024 najbolj dejavni pri napadih na zdravstvene organizacije.20 Dejansko je avgusta 2024 ameriška vlada izdala opozorilo zdravstvenemu sektorju glede groženj z izvorom v Iranu, znanega kot Lemon Sandstorm. Ta skupina je „izkoriščala nepooblaščen dostop do omrežja ameriških organizacij, vključno z zdravstvenimi organizacijami, da bi omogočila, izvedla in izkoristila prihodnje napade z izsiljevalsko programsko opremo očitno s strani z Rusijo povezanih združb z izsiljevalsko programsko opremo.“21

Naslednji profili ponujajo vpogled v nekatere najbolj razvpite skupine izsiljevalskih programov, ki so finančno motivirane in ciljajo zdravstvo, s podrobnostmi o njihovih metodah, motivaciji in vplivu njihovih dejavnosti na panogo.
  • Lace Tempest je plodna skupina izsiljevalskih programov, ki cilja zdravstvene ustanove. Z uporabo modela RaaS podružnicam omogočajo preprosto uvajanje izsiljevalske programske opreme. Skupina je povezana z napadi z velikim učinkom na bolnišnične sisteme, šifriranjem kritičnih podatkov o bolnikih in zahtevanjem odkupnine. Znani po dvojnem izsiljevanju, ne le šifrirajo podatke, ampak jih tudi izločijo, pri čemer grozijo z uhajanjem občutljivih informacij, če odkupnina ne bo plačana.
  • Sangria Tempest je znana po naprednih napadih z izsiljevalsko programsko opremo na zdravstvene organizacije. Z uporabo sofisticiranega šifriranja je obnovitev podatkov brez plačila odkupnine skoraj nemogoča. Uporabljajo tudi dvojno izsiljevanje, pri čemer izločijo podatke o bolnikih in grozijo, da bodo razkriti. Njihovi napadi povzročajo obsežne motnje delovanja, kar prisili zdravstvene sisteme, da preusmerijo vire, kar negativno vpliva na oskrbo bolnikov.
  • Cadenza Tempest, znana po porazdeljenih napadih zavrnitve storitev (DDoS), se vse bolj preusmerja v delovanje z izsiljevalsko programsko opremo v zdravstvu. Identificirani kot proruska haktivistična skupina ciljajo na sisteme zdravstvene oskrbe v regijah, ki so sovražne ruskim interesom. Njihovi napadi preplavijo bolnišnične sisteme, motijo ​​kritične postopke in ustvarjajo kaos, zlasti v kombinaciji s kampanjami izsiljevalske programske opreme.
  • Finančno motivirana skupina Vanilla Tempest, ki je dejavna od julija 2022, je pred kratkim začela uporabljati izsiljevalsko programsko opremo INC, nabavljeno prek ponudnikov RaaS, za ciljanje na ameriške zdravstvene ustanove. Izkoriščajo ranljivosti, uporabljajo prilagojene scenarije in uporabljajo standardna orodja Windows za krajo poverilnic, stransko premikanje in uvajanje izsiljevalske programske opreme. Skupina uporablja tudi dvojno izsiljevanje, saj zahteva odkupnino za odklepanje sistemov in preprečitev objave ukradenih podatkov.

Spričo vse bolj prefinjenih napadov z izsiljevalsko programsko opremo morajo zdravstvene organizacije sprejeti večplasten pristop k kibernetski varnosti. Pripravljeni morajo biti vzdržati kibernetske dogodke, se nanje odzvati in se po njih obnoviti, hkrati pa ohraniti kontinuiteto oskrbe pacientov.

Naslednje smernice zagotavljajo celovit okvir za povečanje odpornosti, zagotavljanje hitre obnovitve, spodbujanje delovne sile, ki ji je na prvem mestu varnost, in spodbujanje sodelovanja v zdravstvenem sektorju.

Upravljanje: Zagotavljanje pripravljenosti in odpornosti

Stavba s številnimi okni pod modrim nebom z oblaki

Učinkovito upravljanje kibernetske varnosti v zdravstvu je bistvenega pomena za pripravo in odzivanje na napade z izsiljevalsko programsko opremo. Dameff in Tully iz Središča za kibernetsko varnost v zdravstvu na Univerzi v Kaliforniji, San Diego, priporočata vzpostavitev robustnega okvira upravljanja z jasnimi vlogami, rednim usposabljanjem in meddisciplinarnim sodelovanjem. To pomaga zdravstvenim organizacijam povečati njihovo odpornost proti napadom z izsiljevalsko programsko opremo in zagotoviti neprekinjenost oskrbe pacientov, tudi ob večjih motnjah.

Ključni vidik tega okvira vključuje razbijanje silosov med kliničnim osebjem, ekipami za varnost IT in strokovnjaki za upravljanje v izrednih razmerah, da se razvijejo kohezivni načrti odzivanja na dogodke. To medoddelčno sodelovanje je bistvenega pomena za ohranjanje varnosti pacientov in kakovosti oskrbe, ko so ogroženi tehnološki sistemi.

Dameff in Tully prav tako poudarjata potrebo po posebnem upravnem organu ali svetu, ki se redno sestaja in pregleduje in posodablja načrte odzivanja na dogodke. Priporočata, da se tem upravnim organom podeli pooblastilo za preizkušanje odzivnih načrtov z realističnimi simulacijami in vajami, s čimer se zagotovi, da je vse osebje, vključno z mlajšimi zdravniki, ki jim morda ni poznano delo s papirnatimi zapisi, pripravljeno na učinkovito delovanje brez digitalnih orodij.

Poleg tega Dameff in Tully poudarjata pomen zunanjega sodelovanja. Zagovarjata regionalne in nacionalne okvire, ki bolnišnicam omogočajo medsebojno podporo med obsežnimi dogodki, kar odraža potrebo po "strateški nacionalni zalogi" tehnologije, ki lahko začasno nadomesti ogrožene sisteme.

Odpornost in strateški odzivi

Odpornost kibernetske varnosti v zdravstvu presega zgolj preprosto zaščito podatkov – vključuje zagotavljanje, da lahko celotni sistemi zdržijo napade in si od njih opomorejo. Bistven je celovit pristop k odpornosti, ki se ne osredotoča samo na varovanje podatkov o pacientih, temveč tudi na krepitev celotne infrastrukture, ki podpira delovanje zdravstvene oskrbe. To vključuje celoten sistem – omrežje, dobavno verigo, medicinske pripomočke in drugo.

Sprejetje strategije poglobljene obrambe je ključnega pomena pri ustvarjanju večplastnega stanja varnosti, ki lahko učinkovito prepreči napade z izsiljevalsko programsko opremo.

Sprejetje strategije poglobljene obrambe je ključnega pomena pri ustvarjanju večplastnega stanja varnosti, ki lahko učinkovito prepreči napade z izsiljevalsko programsko opremo. Ta strategija vključuje varovanje vsake plasti zdravstvene infrastrukture – od omrežja, končnih točk do oblaka. Z zagotavljanjem večplastne obrambe lahko zdravstvene organizacije zmanjšajo tveganje za uspešen napad z izsiljevalsko programsko opremo.

Kot del tega večplastnega pristopa za Microsoftove stranke skupine obveščanja o grožnjah Microsoft aktivno spremljajo vedenje nasprotnikov. Ko je takšna dejavnost zaznana, je za neposredno obvestilo poskrbljeno.

To ni plačljiva ali stopenjska storitev – podjetja vseh velikosti so deležna enake pozornosti. Cilj je zagotoviti opozorilo takoj, ko so odkrite morebitne grožnje, vključno z izsiljevalsko programsko opremo, ter pomagati pri sprejemanju ukrepov za zaščito organizacije.

Poleg uvajanja teh obrambnih plasti je ključnega pomena imeti učinkovit odziv na dogodke in načrt za zaznavanje. Imeti načrt ni dovolj. Zdravstvene organizacije morajo biti pripravljene na učinkovito izvedbo med dejanskim napadom, da zmanjšajo škodo in zagotovijo hitro obnovitev.

Nenazadnje sta zmožnosti stalnega spremljanja in sprotnega odkrivanja bistveni sestavini robustnega ogrodja za odzivanje na dogodke, ki zagotavljata, da je potencialne grožnje mogoče prepoznati in takoj obravnavati.

Za dodatne informacije o kibernetski odpornosti v zdravstvu je Ministrstvo za zdravje in socialne zadeve (HHS) objavilo prostovoljne cilje uspešnosti kibernetske varnosti (CPG), specifične za zdravstvo, da bi zdravstvenim organizacijam pomagali prednostno razvrstiti izvajanje praks kibernetske varnosti z velikim učinkom.

CPG-ji, ki so bili ustvarjeni s procesom sodelovalnega javno-zasebnega partnerstva z uporabo skupnih panožnih okvirov kibernetske varnosti, smernic, najboljših praks in strategij, sestavljajo podskupino praks kibernetske varnosti, ki jih zdravstvene organizacije lahko uporabijo za krepitev kibernetske pripravljenosti, izboljšanje kibernetske odpornosti ter zaščito podatkov o zdravju pacientov in varnost.

Koraki za hitro obnovitev delovanja in okrepitev varnosti po napadu

Okrevanje po napadu z izsiljevalsko programsko opremo zahteva sistematičen pristop, da se zagotovi hitra vrnitev v normalno delovanje in hkrati prepreči prihodnje dogodke. Spodaj so navedeni koraki, ki vam bodo pomagali oceniti škodo, obnoviti prizadete sisteme in okrepiti varnostne ukrepe. Z upoštevanjem teh smernic lahko zdravstvene organizacije ublažijo vpliv napada in okrepijo svojo obrambo pred prihodnjimi grožnjami.
Ocenite vpliv in zamejite napad

Prizadete sisteme nemudoma osamite, da preprečite nadaljnje širjenje.
Obnovite iz znanih dobrih varnostnih kopij

Zagotovite, da so čiste varnostne kopije na voljo in preverjene pred obnovitvijo postopkov. Ohranjajte varnostne kopije brez povezave, da se izognete šifriranju izsiljevalske programske opreme.
Obnovite sisteme

Namesto namestitve popravkov razmislite o obnovi ogroženih sistemov, da odstranite vso dolgotrajno zlonamerno programsko opremo. Uporabite smernice Microsoftove ekipe za odzivanje na dogodke o varni obnovi sistemov. 
Okrepite varnostne upravljalne elemente po napadu

Okrepite stanje varnosti po napadu z odpravljanjem ranljivosti, namestitvijo popravkov sistemov in izboljšanjem orodij za zaznavanje končnih točk.
Izvedite pregled po dogodku

V sodelovanju z zunanjim dobaviteljem varnosti analizirajte napad, da prepoznate šibke točke in izboljšate obrambo za prihodnje dogodke.

Ustvarjanje delovne sile, ki je osredotočena na varnost

Moški in ženska gledata v obraz ženske.

Ustvarjanje delovne sile, ki je osredotočena na varnost, zahteva stalno sodelovanje med področji.

Ustvarjanje delovne sile, ki je osredotočena na varnost, zahteva stalno sodelovanje med področji. Pomembno je razbiti silose med skupinami za varnost IT, vodji za nujne primere in kliničnim osebjem, da razvijemo trdne načrte za odzivanje na dogodke. Brez tega sodelovanja preostala bolnišnica morda ne bo ustrezno pripravljena za učinkovit odziv med kibernetskimi dogodki.

Izobraževanje in ozaveščenost

Učinkovito usposabljanje in močna kultura poročanja sta bistveni sestavini obrambe zdravstvene organizacije pred izsiljevalsko programsko opremo. Glede na to, da zdravstveni delavci pogosto dajejo prednost oskrbi bolnikov, morda niso vedno tako pozorni na kibernetsko varnost, zaradi česar so lahko bolj dovzetni za kibernetske grožnje.

Da bi to rešili, mora nenehno usposabljanje vključevati osnove kibernetske varnosti, na primer, kako odkriti e-poštna sporočila z lažnim predstavljanjem, se izogniti klikanju sumljivih povezav in prepoznati pogoste taktike socialnega inženiringa.

Pri tem lahko pomagajo Microsoftovi viri Ozaveščenost o kibernetski varnosti.

"Spodbujanje osebja, da poroča o varnostnih težavah brez strahu pred obtožbami, je ključno," pojasnjuje Mott iz Microsofta. "Prej ko lahko nekaj prijaviš, tem bolje. Če je nenevarno, je pa to najboljši možni scenarij."

Redne vaje in simulacije bi morale posnemati tudi napade resničnega sveta, kot sta lažno predstavljanje ali izsiljevalska programska oprema, kar osebju pomaga pri vaji njihovega odziva v nadzorovanem okolju.

Deljenje informacij, sodelovanje in kolektivna obramba

Ker so napadi z izsiljevalsko programsko opremo na splošno vedno pogostejši (Microsoft opaža 2,75-kratno letno povečanje pri svojih strankah16), postane strategija skupne obrambe nujna. Sodelovanje – med notranjimi ekipami, regionalnimi partnerji in širšimi nacionalnimi/globalnimi omrežji – je ključnega pomena za zagotavljanje delovanja zdravstvene oskrbe in varnosti bolnikov.

Združevanje teh skupin za oblikovanje in izvajanje celovitih načrtov za odzivanje na dogodke lahko prepreči kaos v delovanju med napadi.

Dameff in Tully poudarjata pomen združevanja notranjih ekip, kot so zdravniki, vodje nujnih primerov in varnostno osebje za IT, ki pogosto delajo ločeno. Združevanje teh skupin za oblikovanje in izvajanje celovitih načrtov za odzivanje na dogodke lahko prepreči kaos v delovanju med napadi.

Na regionalni ravni bi morale zdravstvene organizacije oblikovati partnerstva, ki bi zdravstvenim ustanovam omogočila delitev zmogljivosti in virov, s čimer bi zagotovili, da se oskrba pacientov nadaljuje, tudi če nekatere bolnišnice prizadene izsiljevalska programska oprema. Ta oblika skupne obrambe lahko pomaga tudi pri obvladovanju presežka pacientov in porazdelitvi bremena med ponudnike zdravstvenih storitev.

Poleg regionalnega sodelovanja so ključna nacionalna in globalna omrežja za skupno rabo informacij. ISAC (centri za izmenjavo in analizo informacij), kot je Health-ISAC, služijo kot platforme za zdravstvene organizacije za izmenjavo pomembnih informacij o kibernetskih grožnjah. Errol Weiss, vodja varnostne službe pri Health-ISAC, te organizacije primerja z "navideznimi programi spremljanja soseske," kjer lahko organizacije članice hitro delijo podrobnosti o napadih in dokazanih tehnikah ublažitve. Ta izmenjava obveščevalnih podatkov pomaga drugim, da se pripravijo na podobne grožnje ali jih odpravijo, s čimer se krepi skupna obramba v večjem obsegu.

  1. [1]
    Microsoftovi notranji podatki obveščanja o grožnjah, drugo četrtletje, 2024
  2. [2]
    (Izvršni povzetek za vodje informacijske varnosti: Trenutno in nastajajoče okolje kibernetskih groženj v zdravstvu; Health-ISAC in American Hospital Association (AHA))  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    PREPIS: Zaslišanje predstavniškega odbora za oceno pomanjkljivosti Microsoftove kibernetske varnosti,“ Tech Policy Press, 15. junij 2024
  4. [4]
    V povprečju zdravstvene organizacije izgubijo 900.000 USD na dan zaradi izpadov povzročenih z napadi z izsiljevalsko programsko opremo,“ Comparitech, 6. marec 2024
  5. [5]
    Napadi z izsiljevalsko programsko opremo v zdravstvu še naprej naraščajo po številu in resnosti,« The HIPAA Journal, september 2024
  6. [6]
    Vdrto v vse kotičke? Učinki napadov z izsiljevalsko programsko opremo na bolnišnice in bolnike; https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    Napad z izsiljevalsko programsko opremo, povezan z motnjami na sosednjih oddelkih za nujne primere v ZDA; Napad z izsiljevalsko programsko opremo, povezan z motnjami na sosednjih oddelkih za nujne primere v ZDA | Urgentna medicina | Odprto omrežje JAMA | Omrežje JAMA
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    Napad z izsiljevalsko programsko opremo Ascension škoduje finančnemu okrevanju,“ The HIPPA Journal, 20. september 2024
  10. [10]
    Podatki o pacientih, izpostavljeni v napadu z lažnim predstavljanjem na UC San Diego Health,“ The HIPPA Journal, 13. marec 2024
  11. [11]
    Napad z izsiljevalsko programsko opremo je ključni dejavnik pri odločitvi za zaprtje podeželske bolnišnice v državi Illinois,“ The HIPPA Journal, 14. junij 2023
  12. [12]
    Napadi z izsiljevalsko programsko opremo v zdravstvu še naprej naraščajo po številu in resnosti,« The HIPAA Journal, september 2024
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    Leta 2023 je bilo več združitev bolnišnic in finančne težave spodbujajo več poslov (chiefhealthcareexecutive.com)
  15. [15]
    Interoperabilnost in metode izmenjave med bolnišnicami v letu 2021 | HealthIT.gov
  16. [16]
    Poročilo o digitalni obrambi Microsoft 2024, Microsoft, stran 27
  17. [17]
    Telemetrija obveščanja o grožnjah Microsoft, 2024
  18. [18]
    Katalog znanih že izkoriščenih ranljivosti,“ CISA, 2024
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    Microsoftovi podatki obveščanja o kibernetskih grožnjah zdravstvenemu sektorju, 2024
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
Izsiljevalska programska oprema Kibernetski kriminal

Več iz Varnosti

Vodnik za higieno kibernetske odpornosti

Osnovna kibernetska higiena je še vedno najboljši način za zaščito identitet, naprav, podatkov, aplikacij, infrastrukture in omrežij organizacije pred 98% vseh kibernetskih groženj. Odkrijte praktične nasvete v celovitem vodniku.
Več informacij

V zakulisju boja proti hekerjem, ki so oteževali delo v bolnišnicah in ogrožali življenja

Na podlagi Microsoftovih podatkov in raziskav o grožnjah se seznanite z najnovejšimi nastajajočimi grožnjami. Pridobite analizo trendov in izvedljive usmeritve za okrepitev prve obrambne linije.
Več informacij

Ohranjanje gospodarstva zaupanja: goljufije s socialnim inženiringom

Raziščite razvijajočo se digitalno pokrajino, kjer je zaupanje hkrati valuta in ranljivost. Odkrijte taktike goljufij s socialnim inženiringom, ki jih kibernetski napadalci najpogosteje uporabljajo, in si oglejte strategije, s katerimi lahko prepoznate in premagate grožnje socialnega inženiringa, namenjene manipuliranju s človeško naravo.
Več informacij

Spremljajte Microsoftovo varnost