This is the Trace Id: fe7ba6efa453c6124cb571ad8151cf5f
דלג לתוכן הראשי
Security Insider

שירותי הבריאות האמריקאיים בסכנה: חיזוק החוסן מפני מתקפות תוכנת כופר

שתף
קבוצה של אנשי מקצוע בתחום הרפואה מביטים על טאבלט

מגזר שירותי הבריאות מתמודד עם היקף הולך וגדל במהירות של איומי אבטחת סייבר, כאשר מתקפות תוכנת כופר מתפתחות כאחד האתגרים המשמעותיים ביותר. שילוב של נתונים יקרי ערך של מטופלים, מכשירים רפואיים מחוברים וצוות תפעולי קטן של IT/אבטחת סייבר, אשר מפיץ משאבים, יכולים לגרום לארגוני שירותי רפואה להפוך ליעדים חשובים עבור גורמי איום. בשעה שפעולות שירותי בריאות הולכים ונהיים יותר ויותר דיגיטליים - החל מרשומות בריאות אלקטרוניות (EHR) ועד לפלטפורמות רפואה טלפונית ומכשירים רפואיים מרושתים - המורכבות של שטח התקיפה של בתי חולים גדלה, ומגבירה את הפגיעות שלהם למתקפות.

הסעיפים הבאים מספקים מבט כולל על נוף אבטחת הסייבר הנוכחי בשירותי הבריאות, תוך הדגשת מצב הענף כיעד גדול, התדירות הגדלה של מתקפות תוכנת כופר וההשלכות החמורות על פעולות פיננסיות וטיפול במטופלים שאיומים אלה מטילים.

דיון בווידאו אותו מובילה שרוד דה-גריפו, מנהלת בכירה של אסטרטגיית בינת איומים עבור Microsoft, מרחיב את החקירה של בעיות קריטיות אלה, מציע תובנות ממומחים לגבי גורמי איום, אסטרטגיות התאוששות ופגיעויות של שירותי הבריאות.

תדרוך בנושא בינת האיומים של Microsoft: שירותי בריאות

שרוד דה-גריפו, מנהלת בכירה של אסטרטגיית בינת איומים עבור בינת האיומים של Microsoft, מובילה דיון עם קבוצתי עם מומחי בינת איומים ואבטחת שירותי בריאות שבוחנים מה הופך את שירותי הבריאות לפגיעים באופן מיוחד למתקפות תוכנת כופר, באילו טקטיקות משתמשות קבוצות של גורמי איום, כיצד לשמור על חוסן ועוד.
  • לפי בינת האיומים של Microsoft, מגזר שירותי הבריאות/שירותי הבריאות הציבוריים היה אחד מ- 10 הענפים המושפעים ביותר ברבעון השני של 2024.1
  • מחסומי הכניסה של תוכנת כופר כשירות (RaaS) עבור תוקפים ללא מומחיות טכנית נמוכים יותר, בעוד שרוסיה מספקת חוף מבטחים עבור קבוצות של תוכנת כופר. כתוצאה מכך, מתקפות כלו ב- 300% משנת 2015.2
  • בשנת כספים זו, 389 מוסדות שירותי בריאות בארה"ב נפגעו על-ידי תוכנת כופר, מה שגרם להשבתת רשת, מעבר של מערכות למצב לא מקוון, עיכובים בהליכים רפואיים קריטיים ותזמון מחדש של תורים3. המתקפות יקרות, כאשר דוח ענף אחד מציג שארגוני שירותי רפואה מפסידים עד USD$900,000 ליום בזמן השבתה בלבד.4
  • מתוך 99 ארגוני שירותי בריאות שהודו כי שילמו את הכופר וחשפו את הכופר ששולם, התשלום החציוני היה USD$1.5 מיליון, והתשלום הממוצע היה USD$4.4 מיליון.5

השפעה חמורה על טיפול במטופלים

השיבושים שמתקפת תוכנת כופר גורמת לתפעול שירותי הבריאות יכולים להשפיע ברמה חמורה על היכולת לטפל ביעילות במטופלים - לא רק בבתי החולים המושפעים, אלא גם בבתי חולים באזורים סמוכים, אשר סופגים את כמות המטופלים של מחלקת החירום שמועברים.6

יש להביא בחשבון את הממצאים ממחקר שנערך לאחרונה שמציג כיצד מתקפות תוכנת כופר נגד ארבעה בתי חולים (שניים הותקפו ושניים לא הושפעו) הובילה לעלייה בכמות המטופלים במחלקת החירום, זמני המתנה ארוכים יותר ודרש מאמץ נוסף של משאבים, במיוחד בטיפול רגיש בזמן כגון טיפול בשבץ, בשני בתים סמוכים שלא הושפעו.7
עלייה במקרי שבץ: מתקפת תוכנת הכופר דורשת מאמץ רב מהאקוסיסטמה הכללית של שירותי בריאות מאחר שבתי החולים שלא הושפעו נאלצו לספוג אליהם מטופלים מבתי החולים שהושפעו. הפעלות של קוד שבץ בבתי החולים הסמוכים כמעט הכפילו את עצמן, מ- 59 ל- 103, בעוד ששיעור מקרי השבץ המאומתים עלה פי 113.6%, כלומר מספר המקרים עלו מ- 22 ל- 47.
עלייה במקרי דום לב: המתקפה הלחיצה את מערכת שירותי הבריאות מאחר שמקרי דום הלב בבתי החולים שלא הושפעו נסק מ- 21 ל- 38, שהיא עלייה של 81%. מגמה זו משקפת את ההשפעה המדורגת של אחת מהפשרות של המתקן, אילוץ בתי חולים בקרבת מקום לטפל ביותר מקרים קריטיים.
ירידה בשיעור השרידות עם תוצאות נוירולוגיות מעודדות: שיעור ההישרדות של מקרי דום לב מחוץ לבית החולים עם תוצאות נוירולוגיות מעודדות ירד בקיצוניות בבתי החולים שאינם מושפעים במהלך המתקפה, עם ירידה מ- 40% שרידות לפני המתקפה ל- 4.5% במהלך שלב המתקפה.
עלייה בהגעה של רכבי אמבולנס: נצפתה עלייה של 35.2% בהגעה של שירותי רפואת חירום (EMS) לבתי חולים "לא מושפעים" במהלך שלב המתקפה, מה שיכול להצביע על הסתה משמעותית של תנועת אמבולנסים עקב שיבוש שנגרם מתוכנת הכופר בבתי החולים המושפעים.
זינוק בכמות המטופלים: מאחר שהמתקפה חשפה לסכנה ארבעה בתי חולים אזוריים (שניים שהותקפו ושניים שלא הושפעו), מחלקות החירום (EDs) בבתי חולים שלא הושפעו חוו שטף משמעותי של מטופלים. כמות האוכלוסייה היומית בבתי חולים אלה שלא הושפעו, עלתה פי 15.1% במהלך שלה המתקפה לעומת השלב שלפי המתקפה.
שיבושים נוספים בטיפול: במהלך המתקפות, בבתי החולים שלא הושפעו הייתה עלייה נכבדת במטופלים שעוזבים מבלי להיבדק, זמני המתנה ארוכים יותר בחדרי המתנה, ומשך שהייה כולל ארוך יותר עבור מטופלים שאושפזו. לדוגמה, זמן ההמתנה החציוני בחד המתנה עלה מ- 21 דקות לפי המתקפה, ל- 31 דקות במהלך המתקפה.

חקרי מקרה של תוכנת כופר

מתקפות תוכנת כופר בשירותי הבריאות יכולות להוביל להשלכות הרות אסון, גם עבור ארגוני שמהווים יעד אך גם טיפול במטופלים וליציבות התפעולית. חקרי המקרה הבאים מדגימים את ההשפעות מרחיקות הלכת של תוכנת כופר על סוגים שונים של ארגוני שירותי בריאות, החל ממערכות בתי חולים גדולים ועל לספקים כפריים קטנים. באופן שמדגיש את הדרכים המגוונות בהן תוקפים חודשים לרשתות ואת השיבושים שנובעים מכך בשירותי בריאות חיוניים.
  • תוקפים השתמשו באישורים שנחשפו לסכנה כדי לגשת לרשת דרך שער גישה מרחוק פגיע שאינו כולל אימות רב-גורמי. הם הצפינו תשתית קריטית וחילצו נתונים רגישים במזימת סחיטה כפולה, ואיימו להפיץ אותה אלא אם ישולם כופר.

    השפעה:     המתקפה גרמה לשיבושים, מנעה מ- 80% מספקי שירותי הבריאות ובתי המרקחת לאמת או לעבד תביעות ביטוח. 
  • התוקפים ניצלו פגיעות בתוכנת דור קודם שלא בית החולים שלא תוקנה, והתקדמו באופן רוחבי לחשוף לסכנה תזמונים ורשומות רפואיות של מטופלים. באמצעות טקטיקת סחיטה כפולה הם חילצו נתונים רגישים ואיימו להפיץ אותם אלא אם ישולם להם כופר.

    השפעה: המתקפה שיבשה פעולות, מה שגרם לביטול תורים, דחיית ניתוחים ושינוי בתהליכים ידניים, ובכך הטילו מאמץ על הצוות ועיכבו טיפול. 
  • תוקפים השתמשו בהודעות דואר אלקטרוני לדיוג כדי לגשת לרשת של בית החולים וניצלו פגיעויות שלא תוקנו כדי לפרוס תוכנת כופר, ובכך להצפין EHR ומערכות טיפול במטופלים.. בטקטיקת סחיטה כפולה, הם חילצו נתונים רגישים של מטופלים ונתונים פיננסיים, ואיימו להדליף אותם אם לא ישולם כופר. 

    השפעה:     המתקפה שיבשה ארבעה בתי חולים ומעל 30 מרפאות, בכך היא עיכבה את הטיפולים והסיטה מטופלי חירום, יחד עם חששות לחשיפת נתונים. 
  • בפברואר 2021, מתקפת תוכנת כופר גרמה לנזק קשה במערכת מחשבים של בית חולים כפרי שכולל 44 מיטות, מה שאילץ את הצוות לפעול באופן ידני במשך שלושה חודשים ועיכב ברמה חמורה את הטיפול בתביעות ביטוח.

    השפעה:     חוסר היכולת של בית החולים לאסוף תשלומים בזמן הובילה למצוקה כלכלית, שהותירה את הקהילה הכפרית המקומית ללא שירותי בריאות קריטיים. 

מגזר שירותי הבריאות האמריקאי מהווה יעד אטרקטיבי עבור פושעי סייבר שמונעים דרך מטרות כספיות בשל שטח התקיפה הרחב שלו, מערכות מדור קודם ופרוטוקולי אבטחה לא עקביים. השילוב של חסינות שירותי הבריאות בטכנולוגיות דיגיטליות, הנתונים הרגישים שלהם ואילוצי המשאבים איתם מתמודדים ארגונים רבים - לעתים קרובות עקב רווח שולי מזערי - יכולים להגביל את היכולת של המגזר להשקיע בצורה מלאה באבטחת סייבר, ולכן שירותי הבריאות פגיעים במיוחד. בנוסף, ארגוני שירותי בריאות מתעדפים את הטיפול במטופל בכל מחיר, מה שיכול להוביל לרצון לשלם כופר כדי להימנע משיבושים.

מוניטין לתשלומי כופר

חלק מהסיבה שתוכנת כופר הפכה לבעיה בולטת כל כך עבור שירותי הבריאות, הוא הישגי העבר של המגזר בביצוע תשלומי כופר. ארגוני שירותי בריאות מתעדפים את הטיפול במטופל מעל לכל דבר אחר, ואם הם חייבים לשלם מיליוני דולרים כדי להימנע משיבושים, לעתים קרובות הם יהיו מוכנים לעשות כן.

למעשה, לפי דוח שנערך לאחרונה ומבוסס על סקר של 402 ארגוני שירותי בריאות, 67% נתקלו במתקפת תוכנת כופר במהלך השנה האחרונה. בין ארגונים אלה, 53% הודו שהם שילמו כופר בשנת 2024, עלייה מ- 42% בשנת 2023. הדוח מדגיש גם את ההשפעה בכספית, כאשר הסכום הממוצע שארגונים הודו ששילמו כופר עלה ל- USD$4.4 מיליון.12

משאבי אבטחה והשקעות מוגבלים

אתגר משמעותי נוסף הוא התקציב והמשאבים המוגבלים לאבטחת סייבר ברחבי מגזר שירותי הבריאות. לפי הדוח האחרון של CSC 2.0 (קבוצה שממשיכה את העבודה של Cyberspace Solarium Commission שקיבלה מנדט מהקונגרס) אבטחת סייבר של שירותי הבריאות זקוקה לבדיקה13, "מאחר שהתקציבים דלים ועל הספקים לתעדף הוצאות על שירותים מרכזיים למטופלים, לעתים קרובות אבטחת סייבר זכתה לתקצוב חסר, מה שהותיר את ארגוני שירותי הבריאות פגיעים יותר למתקפה."

יתר על כן, למרות מידת החומרה של הבעיה, ספקי שירותי בריאות אינם משקיעים מספיק באבטחת סייבר. עקב היקף של גורמים מורכבים, כולל מודל תשלום עקיף שלעתים קרובות מוביל לתעדוף צרכים קליניים מידיים על-פני השקעות פחות גלויות לעין כמו אבטחת סייבר, שירותי הבריאות השקיעו משמעותית פחות באבטחת סייבר במהלך שני העשורים האחרונים.10

בנוסף, חוק היבילות ואחריות הדיווח של ביטוח בריאות (HIPAA) הובילה לתעדוף השקעות בסודיות נתונים, מה שלעתים קרובות הותיר תקינות נתונים וזמינות כחשש משני. גישה זו יכולה להוביל להפחתת המיקוד בחוסן ארגוני, במיוחד בהורדת מטרות זמן התאוששות (RTO) ומטרות נקודת התאוששות (RPO).

פגיעויות של מערכות מדור קודם ותשתית

תוצאה אחת של השקעת חסר באבטחת סייבר היא הסתמכות על מערכות מדור קודם, שאינן עדכניות וקשה לעדכן אותן שהפכו ליעדים עיקריים לניצול. בנוסף, השימוש בטכנולוגיות נפרדות יוצר תשתית בעבודת טלאים עם פערים באבטחה, שמגדילים את הסיכון למתקפה.

תשתית פגיעה זו הופכת למורכבת אף יותר על-ידי המגמה האחרונה של ענף שירותי הבריאות שנעה לעבר איחוד. מיזוגי בתי חולים, שנמצאים בעלייה (עד 23% במהלך 2022 ברמות הגבוהות ביותר משנת 202014), יוצרים ארגונים עם תשתיות שמורכב יותר לפרוס בין מיקומים מרובים. ללא השקעה מספקת באבטחת סייבר, תשתיות אלה הופכות לפגיעות ביותר למתקפות.

הרחבת שטח תקיפה

בעוד שרשתות טיפול של מכשירים מחוברים וטכנולוגיות רפואיות, שמשולבים באופן קליני, עוזרות לשפר את תוצאות המטופל ולהציל חיים, הן גם הרחיבו את שטח התקיפה הדיגיטלי - דבר מה שגורמי איום מנצלים יותר ויותר.

בתי חולים עובדים באופן מקוון יותר מאי-פעם, בכך הם מחברים לרשתות מכשירים רפואיים קריטיים כגון סורקי CT, מערכות ניטור של מטופלים ומשאבות אינפוזיה, אך תמיד יש להם את רמת הניראות שדרושי לזהות ולצמצם פגיעויות שיכולות להשפיע ברמה חמורה על הטיפול במטופל.

הרופאים כריסטיאן דאמף וג'ף טולי, מנהלים שותפים ומקימים שותפים של מרכז אבטחת הסייבר לשירותי הבריאות של אוניברסיטת קליפורניה בסן דייגו, ציינו שבממוצע, 70% מנקודות הקצה של בית חולים אינן מחשבים אלא מכשירים.   
חדר בית חולים עם ציוד רפואי, מגירה לבנה ווילון כחול.

ארגוני שירותי בריאות גם משדרים כמויות נרחבות של נתונים. לפני נתונים שמגיעים מ- Office of the National Coordinator for Health IT, מעל 88% מבתי החולים מדווחים על כך שהם שולחים ומשיגים מידע בריאותי של מטופלים באופן אלקטרוני, ומעל 60% מדווחים על שילוב המידע הזה ברשומות הבריאות האלקטרוניות (EHRs) שלהם.15

ספקים קטנים וכפריים מתמודדים עם אתגרים יחודיים

בתי חולים כפריים עם גישה קריטית פגיעים במיוחד לתקריות של תוכנת כופר מאחר שלעתים קרובות יש להם אמצעים מוגבלים למניעה ותיקון של סכנות אבטחה. עובדה זו יכולה להיות הרסנית עבור קהילת התושבים מאחר שבתי חולים אלה הם לעתים קרובות אפשרות שירותי הבריאות היחידה עבור הקהילות אותה היא משרתת במרחק רב.

לפי דאמף וטולי, לבתי חולים כפריים בדרך כלל אין את אותה רמה של תשתית אבטחת סייבר או מומחיות אבטחת סייבר כמו עמיתיהם העירוניים הגדולים יותר. הם גם ציינו שרבות מתוכניות ההמשכיות העסקית של בתי חולים אלה עשויות להיות מיושנות או בלתי הולמות לטיפול באיומי סייבר מודרניים כגון תוכנת כופר.

בתי חולים קטנים וכפריים רבים מתמודדים עם מגבלות כלכליות משמעותיות, ופועלים עם שולי רווח דלים במיוחד. מציאות כלכלית זו מאתגרת את יכולת ההשקעה שלהם באבטחת סייבר חסינה. לעתים קרובות, מתקנים אלה מסתמכים על איש אשכולות יחיד בתחום ה- IT - מישהו מיומן בניהול בעיות טכניות יומיומיות אך ללא ידע של מומחה באבטחת סייבר.

דוח שהתקבל מ- Department of Health and Human Services Health Care Industry Cybersecurity Task Force, שנוצר כחלק מחוק אבטחת הסייבר של 2015, מדגיש שבחלק משמעותי מבתי החולים הכפריים לגישה קריטית חסר עובדים במשרה מלאה שממוקדים באבטחת סייבר, מה שמדגיש אף יותר את אתגר המשאבים הנרחב יותר שאיתו מתמודדים ספקי שירותים רפואיים קטנים יותר.

"אנשי אשכולות אלה בתחום ה- IT, שיכולים לעתים להיות פשוט אדם מיומן בניהול רשתות ומחשבים, רגילים להתמודד עם דברים כמו 'אני לא מצליח להדפיס, אני לא מצליח להיכנס, מהי הסיסמה שלי?' כך מסביר דאמף. "הם לא מומחים לאבטחת סייבר. אין להם את הצוות, אין להם את התקציב והם אפילו לא יודעים איפה להתחיל."

תהליך מתקפה של פושע סייבר פועל לרוב בהתאם לגישה דו-שלבית: השגת גישה ראשונית לרשת, לעתים קרובות באמצעות דיוג או ניצול פגיעויות, ולאחריה פריסה של תוכנת כופר כדי להצפין מערכות ונתונים קריטיים. ההתפתחות של טקטיקות אלה, כולל השימוש בכלים חוקיים והשגשוג המהיר של RaaS, הפכו את המתקפות לנגישות ותדירות יותר.

השלב הראשוני של מתקפת תוכנת כופר: השגת גישה לרשת של שירותי הבריאות

ג'ק מוט, שבעבר הוביל צוות ממוקד בבינת איומים בדוא"ל ארגוני והנדסת זיהוי ב- Microsoft, מציין כי "דואר אלקטרוני נותר אחד מהווקטורים הגדולים ביותר לשליחת תוכנה זדונית ומתקפות דיוג עבור מתקפות תוכנת כופר."16

בניתוח של בינת האיומים של Microsoft של 13 מערכות בתי חולים שמייצגות פעולות מרובות, כולל בתי חולים כפריים, 93% מפעילות הסייבר הזדונית שנצפתה הייתה קשורה לקמפיינים של דיוג ותוכנת כופר, כשרוב הפעילויות באו לידי ביטוי כאיומים שמבוססים על דוא״ל.17
"דואר אלקטרוני נותר אחד מהווקטורים הגדולים ביותר לשליחת תוכנה זדונית ומתקפות דיוג עבור מתקפות תוכנת כופר."
ג'ק מוט 
בינת איומים של Microsoft

קמפיינים שמכוונים אל ארגוני שירותי בריאות משתמשים לעתים קרובות בפיתויים ספציפיים ביותר. מוט מדגיש, לדוגמה, את האופן שבו גורמי איום יוצרים הודעות דוא"ל שכוללות ז'רגון ספציפי לשירותי בריאות, כגון הפניות לדוחות של נתיחה לאחר המוות, כדי להגדיל את האימות שלהם וכדי להונות בהצלחה אנשי מקצוע מתחום שירותי הבריאות. 

טקטיקות של הנדסה חברתית כגון סביבות אלו של שירותי הבריאות, שהלחץ בהן גבוה, מנצלות את הדחיפות שעובדים בתחום שירותי הבריאות חשים לעתים קרובות, ובכך היא מובילה למעידות אבטחה פוטנציאליות. 

מוט גם מציין שהתחכום בשיטות של התוקפים הולך ומשתכלל, שכן לעתים עם משתמשים "בשמות אמתיים, שירותים חוקיים וכלים שנמצאים בשימוש נפוץ במחלות IT (למשל כלי ניהול מרחוק)" כדי לחמוק מזיהוי. טקטיקות אתה מאתגרות את היכולת של מערכות האבטחה להבדיל בין פעילות זדונית לחוקית. 

הנתונים של בינת האיומים של Microsoft מראים גם שהתוקפים מנצלים לעתים קרובות פגיעויות ידועות בתוכנה או במערכות של הארגון, אשר זוהו בעבר. לפגיעויות וחשיפות נפוצות (CVEs) אלה, שמתועדות היטב, יש תיקונים זמינים ולעתים קרובות תוקפים מציבים את הפגיעויות הישנות האלה כיעד מאחר שהם יודעים שארגונים רבים עדיין לא טיפלו בנקודות חולשה אלה.18

לאחר השגת הגישה הראשונית, תוקפים לעתים קרובות מבצעים איסוף זדוני של מידע על רשת, שניתן לזהותו על-ידי מחוונים כגון פעילות סריקה חריגה. פעולות אלה עוזרות לגורמי איום למפות החוצה את הרשת, לזהות מערכות קריטיות ולהתכונן לקראת השלב הבא של המתקפה: הפריסה של תוכנת הכופר.

השלב הסופי של מתקפת תוכנת כופר: פריסה תוכנת כופר כדי להצפין מערכות קריטיות

לאחר השגת הגישה הראשונית, לרוב באמצעות דיוג או תוכנה זדונית שהועברו בדוא"ל, גורמי איום עוברים לשלב השני: הפריסה של תוכנת כופר.

ג'ק מוט מסביר שהעליה במודלים של RaaS תרמה רבות לעלייה בתדירות של מתקפות תוכנת כופר במגזר שירותי הבריאות. "פלטפורמות RaaS הפכו את הגישה לכלי תוכנת כופר מתוחכמים לדמוקרטיות, מה שהתיר אפילו לבעלי מיומנויות טכניות מינימליות להפעיל מתקפות ביעילות גבוהה," מציין מוט. מודל זה מנמיך את מחסום הכניסה עבור תוקפים, ובכך הופך מתקפות תוכנת כופר לנגישות ויעילות יותר.
"פלטפורמות RaaS הפכו את הגישה לכלי תוכנת כופר מתוחכמים לדמוקרטיות, מה שהתיר אפילו לבעלי מיומנויות טכניות מינימליות להפעיל מתקפות ביעילות גבוהה." 
ג'ק מוט 
בינת איומים של Microsoft

מוט ממשיך ומרחיב לגבי אופן הפעולה של RaaS, "פלטפורמות אלה לעתים קרובות כוללות חבילה מקיפה של כלים, ביניהם תוכנת הצפנה, עיבוד תשלום ואפילו שירות לקוחות לצורך ניהול משא ומתן לגבי תשלומי כופר. גישה מוכנה לשימוש זו מאפשרת לטווח רחב יותר של גורמי איום להוציא לפועל קמפיינים של תוכנת כופר, שמובילים לגידול במספר המתקפות ובמידת החומרה שלהן."

בנוסף, מוט מדגיש את האופי המתואם של מתקפות אלה, תוך הדגשה מיוחד כי "לאחר פריסה של תוכנת כופר, התוקפים לרוב זזים במהירות להצפנת מערכות ונתונים קריטיים, לעתים קרובות תוך שעות ספורות. הם מציבים כיעד תשתית חיונית, כגון רשומות מטופלים, מערכות אבחון ואפילו תפעול של הבניין, כדי למקסם את ההשפעה וללחוץ על ארגוני שירותי בריאות לשלם את הכופר."

מתקפות תוכנת כופר בשירותי הבריאות: פרופיל של קבוצות גורמי איום גדולות

מתקפות של תוכנת כופר במגזר שירותי הבריאות מבוצעות לעתים קרובות על-ידי קבוצות גורמי איום מאורגנות ומומחיות. קבוצות אלה, שכוללות פושעי סייבר שמונעים ממניעים כספיים וגורמי איום מדינת לאום מתוחכמים, פורסות כלים מתקדמים ואסטרטגיות מתקדמות כדי לחדר לרשתות, להצפין נתונים ולדרוש כופר מארגונים.

בין גורמי איום אלה, דווח כי האקרים במימון ממשלות ממדינות בעלות משטר סמכותני השתמש בתוכנת כופר ואפילו שיתפו פעולה עם קבוצות תוכנת כופר למטרות ריגול. לדוגמה, גומי איום ממשלתיים סיניים חשודים בשימוש הולך וגדל של תוכנת כופר ככיסוי לפעילות ריגול.19

נראה שגורמי איום איראניים הם הפעילים ביותר בהצבת ארגוני שירותי בריאות כיעד בשנת 2024.20 למעשה, באוגוסט 2024, ממשל ארצות הברית הוציא אזהרה למגזר הבריאות לגבי גורם איום שממוקם באיראן, אשר מוכר בשם Lemon Sandstorm. קבוצה זו "מינפה גישה בלתי מורשית לרשתות של ארגונים אמריקאיים, כולל ארגוני שירותי בריאות, כדי לייעל, להוציא לפועל ולהרוויח ממתקפות תוכנת כופר עתידיות על-ידי כנופיות תוכנת כופר שמקושרות לרוסיה כפי הנראה."21

הפרופילים הבאים מספקים תובנות לתוך כמה מהקבוצות הידועות לשמצה ביותר של תוכנת כופר שמונעים ממניעים כלכליים, ומציבים שירותי בריאות כיעד, בהם אנו נפרט את השיטות, המוטיבציות וההשפעה שלהן על הפעילויות שלהן בענף.
  • Lace Tempest היא קבוצת תוכנת כופר פורה שמציבה כיעד את שירותי הבריאות. באמצעות מודל RaaS, הקבוצה מאפשרת לעמיתים לפרוס בקלות תוכנת כופר. הקבוצה מקושרת למתקפות רבות השפעה על מערכות של בתי חולים, הצפנת נתונים מטופלים קריטיים ודרישת כופר. הקבוצה שידועה במתקפות הסחיטה הכפולה, לא רק מצפינה נתונים אלא גם מחלצת אותם, ומאיימת להדליף מידע רגיש אם הכופר לא ישולם.
  • Sangria Tempest ידועה לשמצה בשל מתקפות תוכנת כופר מתקדמות על ארגוני שירותי בריאות. באמצעות הצפנה מתוחכמת, הם הופכים את שחזור הנתונים לכמעט בלתי אפשרי אם הכופר לא ישולם. הם גם משתמשים בסחיטה כפולה, מחלצים נתונים של מטופלים ומאיימים להדליף אותם. המתקפות שלהם גורמות לשיבושים תפעוליים נרחבים, שמאלצים את מערכות שירותי הבריאות להסיט משאבים, ובכך גורמים להשפעות שליליות על הטיפול במטופלים.
  • Cadenza Tempest ידועה בהפצת מתקפות מניעת שירות מבוזרות (DDoS), עברה עוד ועוד לפעולות תוכנת כופר של שירותי בריאות. הקבוצה שמזוהה  כקבוצת האקטיביטיים פרו-רוסיים, הציבה כיעד מערכות שירותי בהירות באזורים עוינים לאינטרסים רוסיים. המתקפות של הקבוצה הדהימו מערכות של בתי חולים, בכך שהן שיבשו פעולות קריטיות ויצרו כאוס, במיוחד בעת שילוב עם קמפיינים של תוכנת כופר.
  • קבוצת Vanilla Tempest, שפעילה מיולי 2022 והמוטיבציה שלה היא כלכלית, התחילה לאחרונה להשתמש בתוכנת הכופר INC שנרכשה באמצעות ספקי RaaS, כדי להתמקד בשירותי בריאות אמריקאיים. הקבוצה מנצלת פגיעויות, משתמשת בקבצי Script מותאמים אישית וממנפת כלי Windows רגילים כדי לגנוב אישורים, לנוח באופן רוחבי ולפרוס תוכנת כופר. הקבוצה גם פורסת סחיטה כפולה, דורשת כופר כדי לבטל נעילה של מערכת ולמנוע הפצה של נתונים גנובים.

אל מול מתקפות תוכנת הכופר שהולכות ונהיות מתוחכמות יותר, ארגוני שירותי בריאות חייבים לאמץ גישה רבת פנים לאבטחת סייבר. הם חייבים להיות מוכנים לעמוד בתקריות סייבר, להגיב להן ולהתאושש מהן תוך שמירה על המשכיות הטיפול במטופלים.

ההדרכה הבאה מספקת מסגרת מקיפה לשיפור חוסן, הבטחת התאוששות מהירה, אימוץ כוח שמציב את האבטחה במקום הראשון, וקידום שיתוף פעולה ברחבי מגזר שירותי הבריאות.

פיקוח: הבטחת מוכנות וחוסן

בניין עם חלונות רבים תחת שמיים כחולים עם עננים

פיקוח יעיל באבטחת סייבר של שירותי הבריאות הוא חיוני להכנה לקראת מתקפות תוכנת כופר ותגובה אליהן. דאמף וטולי מהמרכז האמריקאי בסן דייגו עבור אבטחת סייבר לשירותי בריאות, המליצו להקים מסגרת פיקוח חסינה בעלות תפקידים ברורים, הדרכה קבועה ושיתוף פעולה חוצה דיסציפלינות. המלצות אלה עוזרות לארגוני שירותי בריאות לשפר את החוסן שלהם מפני מתקפות תוכנת כופר ולהבטיח את ההמשכיות של הטיפול במטופלים, אפילו אל מול שיבושים משמעותיים.

היבט חשוב של מסגרת עבודה זו קשור בפירוק יחידות מנותקות בין צוות קליני, צוותי אבטחת IT ואנשי מקצוע בניהול חירום לפיתוח תוכניות מקיפות של תגובה לתקריות. שיתוף פעולה חוצה מחלקות זה הוא חיוני עבור שמירה על בטיחות המטופלים ועל איכות הטיפול כאשר מערכות טכנולוגיה נחשפות לסכנה.

דאמף וטולי גם מדגישים את ההכרח של גוף פיקוח ייעודים או ועידת פיקוח ייעודית שעומדות בדרישות לסקירה ועדכון של תוכניות תגובה לתקריות באופן קבוע. הם ממליצים לעודד גופי פיקוח אלה לבדוק תוכניות תגובה באמצעות הדמיות ותרגולים מציאותיים, כדי להבטיח שכל הצוות, כולל קלינאים צעירים יותר שייתכן שאינם מכירים את רשומות הנייר, מוכנים לפעול ביעילות ללא כלי דיגיטליים.

יתר על כן, דאמף וטולי מדגישים את החשיבות של שיתוף פעולה חיצוני. הם תומכים במסגרות עבודה אזוריות ולאומיות שמאפשרות לבתי חולים לתמוך זה בזה במהלך תקריות בקנה מידה גדול, באופן שמהדהד את הצורך "במצבור אסטרטגי לאומי" של טכנולוגיה שיכול להחליף באופן זמני מערכות שנחשפו לסכנה.

חסינות ותגובות אסטרטגיות

חוסן באבטחת סייבר של שירותי בריאות הוא מעבר להגנה פשוטה על נתונים - הוא קשור בהבטחה שכל המערכות כולן יכולות לעמוד במתקפות ולהתאושש מהן. חיוני לתפוס גישה מקיפה לחוסן שמתמקדת, מעבר להגנה על נתונים מטופלים, גם בחיזוק התשתית כולה שתומכת בפעולות של שירותי הבריאות. זה כולל את המערכת כולה - רשת, שרשרת אספקה, מכשירים רפואיים ועוד.

אימוץ אסטרטגיית הגנה מעמיקה היא קריטית ביצירת מצב אבטחה כולל מחולק לשכבות שיכול לסכל ביעילות מתקפות תוכנת כופר.

אימוץ אסטרטגיית הגנה מעמיקה היא קריטית ביצירת מצב אבטחה כולל מחולק לשכבות שיכול לסכל ביעילות מתקפות תוכנת כופר. אסטרטגיה זו קשורה באבטחה של כל שכבה של תשתית שירותי הבריאות - החל מהרשת ועד לנקודות הקצה לענן. על-ידי הבטחת הצבה של שכבות הגנה מרובות במקומן, ארגוני שירותי בריאות יכולים לצמצם את הסיכון של מתקפת תוכנת כופר מוצלחת.

כחלק מגישה מחולקת לשכבות זו של לקוחות Microsoft, צוותי בינת האיומים של Microsoft מנטרים באופן פעיל לאיתור אופן פעולה של יריבים. כאשר מזוהה פעילות מסוג זה, מסופקת התראה ישירה.

שירות זה אינו כרוך בתשלום ואינו שכבתי - עסקים בכל הגדלים מקבלים את אותה תשומת הלב. המטרה היא לספק התראה באופן מידי כאשר איומים פוטנציאליים, כולל תוכנת כופר, מזוהים ולסייע בנקיטת צעדים להגנה על הארגון.

בנוסף להטמעת שכבות הגנה אלה, קריטי גם להחזיק בתוכנית יעילה לתגובה לתקריות וזיהוי תקריות. תוכנית לבדה אינה מספיקה; ארגוני שירותי בריאות חייבים להיות מוכנים להוציא אותה לפועל ביעילות במהלך מתקפה בפועל כדי למזער את הנזק ולהבטיח התאוששות מהירה.

לבסוף, ניטור מתמשך ויכולות זיהוי בזמן אמת הם רכיבים חיוניים של מסגרת תגובה לתקריות חסינה, אשר מבטיחים יכולת זיהוי וטיפול מידי באיומים פוטנציאלים.

לקבלת מידע נוסף אודות חסינות סייבר בשירותי הבריאות, Department of Health and Human Services ‏(HHS) פרסמה מרצונה מטרות ביצועי אבטחת סייבר (CPGs) ספציפיות לשירותי הבריאות כדי לעזור לארגוני שירותי הבריאות לתעדף הטמעה של נהלי אבטחת סייבר רבי השפעה.

מטרות ביצועי אבטחת הסייבר (CPGs) שנוצרו באמצעות תהליך שותפות ציבורי/פרטי שיתופי, באמצעות מסגרות אבטחת סייבר נפוצות בענף, קווים מנחים, שיטות עבודה מומלצות ואסטרטגיות, כוללות קבוצת משנה של נהלי אבטחת סייבר בהם ארגוני שירותי בריאות יכולים להשתמש כדי לחזק את המוכנות שלהם מפני סייבר, לשפר את חסינות הסייבר ולהגן על המידע הבריאותי ועל הבטיחות של מטופלים.

שלבים לשחזור מהיר של פעולות וחיזוק האבטחה לאחר מתקפה

התאוששות ממתקפת תוכנת כופר דורשת גישה סיסטמטית כדי להבטיח חזרה מהירה לפעולות רגילות תוך מניעת תקריות עתידיות. להלן שלבים ניתנים לפעולה כדי לעזור להעריך את הנזק, לשחזר מערכות שהושפעו ולחזק אמצעי אבטחה. על-ידי ביצוע קווים מנחים אלה, ארגוני שירותי בריאות יכולים לעזור לצמצם את ההשפעה של מתקפה ולחזק את ההגנות שלהם מפני איומים עתידיים.
הערכת ההשפעה ותכולת המתקפה

בודד מיד את המערכות המושפעות כדי למנוע המשך הפצה.
שחזור מגיבויים מוכרים וטובים

וודא שישנם גיבויים נקיים זמינים ומאומתים לפני שחזור פעולות. שמור גיבויים באופן לא מקוון כדי להימנע מהצפנת תוכנת כופר.
בנייה מחדש של מערכות

שקול לבנות מחדש מערכות שנחשפו לסכנה במקום לתקן, כדי למנוע תוכנה זדונית מתמהמהת. השתמש בהדרכה של צוות תגובת Microsoft לתקריות לגבי בניית מחדש של מערכות בצורה מאובטחת. 
חיזוק בקרות אבטחה לאחר מתקפה

חזק את מצב האבטחה הכולל לאחר מתקפה על-ידי טיפול בפגיעויות, ביצוע תיקונים למערכות ושיפור כלי זיהוי של נקודת קצה.
ביצוע סקירה לאחר תקרית

בזמן עבודה עם ספק אבטחה חיצוני, נתח את המתקפה כדי לזהות נקודות חולשה ולשפר הגנות עבור תקריות עתידיות.

בניית כוח עבודה שמציב את האבטחה במקום הראשון

איש ואישה מסתכלים על פנים של אישה.

יצירת כוח עבודה שמציב את האבטחה במקום הראשון דורשת שיתוף פעולה מתמשך בין דיסציפלינות.

יצירת כוח עבודה שמציב את האבטחה במקום הראשון דורשת שיתוף פעולה מתמשך בין דיסציפלינות. חשוב לפרק יחידות מנותקות בין צוותי אבטחה של מחלקת IT, מנהלי חירום וצוות קליני כדי לפתח תוכניות תגובה מקיפות לתקריות. ללא שיתוף פעולה זה,  ייתכן ששאר בית החולים לא יהיה מוכן כראוי להגיב ביעילות במהלך תקרית סייבר.

חינוך ומודעות

הדרכה יעילה ותרבות דיווח חזקה הם רכיבים חיוניים של הגנה של ארגון שירותי בריאות מפני תוכנת כופר. בהינתן שאנשי מקצוע מתחום שירותי הבריאות מתעדפים לעתים קרובות טיפול במטופל, ייתכן שהם לא תמיד יהיו מודעים לאבטחת סייבר, מה שיכול להפוך אותם לפגיעים יותר לאיומי סייבר.

כדי לטפל בעניין זה, הדרכה מתמשכת חייבת לכלול את היסודות של אבטחת סייבר, כגון כיצד לזהות הודעות דוא"ל של דיוג, הימנעות מלחיצה על קישורים חשודים וזיהוי טקטיקות נפוצות של הנדסה חברתית.

משאבי המודעות לאבטחת סייבר של Microsoft יכולים לעזור בזה.

"עידוד צוות לדווח על בעיות אבטחה מבלי לחשוש מפני האשמה הוא המפתח," כך מסביר מוט מ- Microsoft. "דיווח מוקדם ככל שניתן, מיטיב עם המצב. התרחיש הטוב ביותר הוא תקרית שאינה מזיקה."

תרגולות והדמיות באופן קבוע צריכות גם לדמות מתקפות בעולם האמתי, כגון דיוג או תוכנת כופר, בכך הן עוזרות לצוות לתרגל את התגובה שלהם בסביבה מבוקרת.

שיתוף מידע, שיתוף והגנה קולקטיבית

מאחר שמתקפות תוכנת כופר גדלות באופן כללי בהיבט תדירות (Microsoft צפתה בעלייה של 2.75 כעבור שנה בקרה הלקוחות שלנו16), אסטרטגיית הגנה קולקטיבית הופכת לחיונית. שיתוף פעולה - בין צוותים פנימיים, שותפים אזוריים ורשתות לאומיות/גלובליות רחבות יותר - הוא חיוני לאבטחת פעולות שירותי בריאות ובטיחות המטופלים.

חיבור הקבוצות האלו זו לזה כדי לעצב ולהטמיע תוכניות מקיפות לתגובה לתקריות יכול למנוע כאוס תפעולי במהלך מתקפות.

דאמף וטולי מדגישים את החשיבות של איחוד צוותים פנימיים כגון רופאים, מנהלי מרכזי חירום וצוות אבטחת IT, שלעתים קרובות עובדים בבידוד. חיבור הקבוצות האלו זו לזה כדי לעצב ולהטמיע תוכניות מקיפות לתגובה לתקריות יכול למנוע כאוס תפעולי במהלך מתקפות.

ברמה האזורית, ארגוני שירותי בריאות צריכים לעצב שותפויות שמאפשרות למתקני שירותי בריאות לשתף קיבולת ומשאבים, באופן שמבטיח שהטיפול שלהם במטופלים ממשיך אפילו כאשר בתי חולים מסוימים מושפעים מתוכנת כופר. צורה זו של הגנה שיתופים יכול גם לעזור לנהל עודף מטופלים ולחלק את הנטל על-פני ספקי שירותי בריאות.

מעבר לשיתוף פעולה אזורי, גם רשתות שיתוף מידע לאומיות וגלובליות הן מכריעות. מרכזי ISAC (מרכזי שיתוף וניתוח מידע), כגון Health-ISAC, פועלים כפלטפורמות לארגוני שירותי בריאות בהן עם חולקים בינת איומים נחוצה. ארול וייס, מנהל אבטחה בכיר ב- Health-ISAC, משווה את הארגונים האלה "לתוכנית שמירה שכונתיות וירטואליות," בהן ארגונים חברים יכולים לשתף במהירות פרטים לגבי מתקפות וטכניקות צמצום מוכחות. שיתוף בינה זה עוזר לאחרים להתכונן לקראת איומים דומים או למנוע איומים דומים, באופן שמחזר הגנה קולקטיבית בקנה מידה גדול יותר.

  1. [1]
    נתוני בינת איומים פנימית של Microsoft, רבעון 2, 2024
  2. [2]
    תקציר המנהלים עבור מנהלי CISO: הנוף הקיים והמתפתח של איומי סייבר על שירותי הבריאות; Health-ISAC ו- American Hospital Association‏ (AHA))  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    "תעתיק: שימוע של ועדת הבית להערכת חסרונות אבטחת הסייבר של Microsoft," Tech Policy Press, 15 ביוני 2024
  4. [4]
    "בממוצע, ארגוני שירותי בריאות מפסידים USD$900,000 ליום על השבתה שנגרמת ממתקפות תוכנת כופר, Comparitech, 6 במרץ 2024
  5. [5]
    "מתקפות תוכנת כופר על שירותי בריאות ממשיכות לגדול בהיבטי מספר ומידת חומרה, The HIPAA Journal, ספטמבר 2024
  6. [6]
    פרצו לך את הצורה? ההשפעות של מתקפות תוכנת כופר על בתי חולים ועל מטופלים; https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    מתקפת תוכנת כופר משויכת לשיבושים במחלקות חירום סמוכות בארה"ב; מתקפת תוכנת כופר משויכת לשיבושים במחלקות חירום סמוכות בארה"ב | רפואה חירום | רשת JAMA פתוחה | רשת JAMA
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    "מתקפת תוכנת כופר עולה פוגעת בהתאוששות הכלכלית,"The HIPPA Journal, 20 בספטמבר 2024
  10. [10]
    "נתוני מטופלים נחשפו במתקפת דיוג על מחלקת הבריאות האמריקאית בסן דייגו," The HIPPA Journal , 13 במרץ 2024
  11. [11]
    "גורם חשוב של מתקפת תוכנת כופר בהחלטה לסגור בית חולים כפרי באילינוי," The HIPPA Journal, 14 ביוני 2023
  12. [12]
    "מתקפות תוכנת כופר על שירותי בריאות ממשיכות לגדול בהיבטי מספר ומידת חומרה, The HIPAA Journal, ספטמבר 2024
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    בשנת 2023 אירעו יותר מיזוגי בתי חולים, והלחץ הכספי הניע יותר עסקות (chiefhealthcareexecutive.com)
  15. [15]
    יכולת פעולה הדדית ושיטות חליפין בקרב בתי חולים בשנת 2021 | HealthIT.gov
  16. [16]
    דוח ההגנה הדיגיטלית של Microsoft לשנת 2024, Microsoft, עמוד 27
  17. [17]
    מדידת שימוש של בינת האיומים של Microsoft, ‏2024
  18. [18]
    "קטלוג פגיעויות מנוצלות ידועות," CISA, ‏2024
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    נתונים של בינת האיומים של Microsoft לגבי איומי סייבר על מגזר שירותי הבריאות, 2024
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
תוכנות כופר פשע סייבר

מידע נוסף על אבטחה

המדריך להיגיינת חוסן סייבר

היגיינת סייבר בסיסית נותרה הדרך הטובה ביותר להגן על הזהויות, המכשירים, הנתונים, האפליקציות, התשתית והרשתות של ארגון, מפני 98% של כל איומי הסייבר. גלה אצות שימושיות במדריך מקיף.
מידע נוסף

הצצה לתוך המאבק נגד האקרים שמשבשים בתי חולים ומסכנים חיים

קבל מידע אודות האיומים החדשים העדכניים ביותר מהנתונים ומחקר האיומים של Microsoft. קבל ניתוח של מגמות והדרכה שמאפשרת פעולה לחיזוק קו ההגנה הראשון שלך.
מידע נוסף

ניצול של כלכלת האמון: הונאת ההנדסה החברתית

בוא לגלות נוף דיגיטלי מתפתח שבו האמון הוא גם הון וגם פגיעות. גלה את טקטיקות ההונאה של הנדסה חברתית שבהן משתמשים תוקפי סייבר יותר מכל היתר, וסקור אסטרטגיות שיכולות לעזור לך לזהות איומי הנדסה חברתית שנועדו לתמרן את הטבע האנושי, ולהערים עליהם.
מידע נוסף

עקוב אחר 'האבטחה של Microsoft'