This is the Trace Id: d1e33b039d71fcb61a6a12c6e84a0df6
Pereiti prie pagrindinio turinio
Security Insider

Kyla pavojus Jungtinių Amerikos Valstijų sveikatos priežiūros sektoriui: Atsparumo nuo išpirkos reikalaujančių programų atakų stiprinimas

Bendrinti
Grupė medicinos specialistų, žiūrinčių į planšetinį kompiuterį

Sveikatos priežiūros sektorius susiduria su sparčiai augančiu kibernetinio saugumo grėsmių mastu, o išpirkos reikalaujančių programų atakos tampa vienos reikšmingiausių. Dėl vertingų pacientų duomenų, tarpusavyje sujungtų medicinos prietaisų ir mažo IT ir (arba) kibernetinio saugumo operacijų darbuotojų, kurie paskirsto išteklius, skaičiaus sveikatos priežiūros įstaigos gali tapti pagrindiniais grėsmių sukėlėjų taikiniais. Kadangi sveikatos priežiūros sektoriaus operacijos vis labiau skaitmenizuojamos – nuo elektroninių sveikatos įrašų (angl. EHR, electronic health records) iki telemedicinos platformų ir prie tinklo prijungtų medicinos prietaisų – ligoninių atakų pažeidžiama sritis tampa vis sudėtingesnė, todėl jų pažeidžiamumas atakoms didėja.

Tolesniuose skyriuose apžvelgiama dabartinė sveikatos priežiūros sektoriaus kibernetinio saugumo aplinka, pabrėžiama sektoriaus, kaip pagrindinio taikinio, būsena, aptariamas išpirkos reikalaujančių programų atakų dažnėjimas ir rimtos finansinės bei su pacientų priežiūra susijusios pasekmės, kurias šios grėsmės sukelia.

Vaizdo diskusijoje, kuriai vadovavo „Microsoft“ grėsmių žvalgybos strategijos direktorė Sherrod DeGrippo, toliau nagrinėjamos šios svarbios problemos, pateikiamos ekspertų įžvalgos apie grėsmių sukėlėjus, atkūrimo strategijos ir aptariamas sveikatos priežiūros sektoriaus pažeidžiamumas.

„Microsoft“ grėsmių žvalgybos santrauka: Sveikatos priežiūros sektorius

„Microsoft“ grėsmių žvalgybos strategijos direktorė Sherrod DeGrippo veda gyvą apskritojo stalo diskusiją su grėsmių žvalgybos ir sveikatos priežiūros sektoriaus saugumo ekspertais, kurie tiria, kodėl sveikatos priežiūros sektorius yra toks jautrus išpirkos reikalaujančių programų atakoms, kokias taktikas grėsmių sukėlėjų grupės pasitelkia, kaip išlikti atspariems ir kt.
  • „Microsoft“ grėsmių žvalgybos duomenimis, sveikatos priežiūros / visuomenės sveikatos sektorius antrąjį 2024 m. ketvirtį buvo vienas iš 10 labiausiai paveiktų sektorių.1
  • Išpirkos reikalaujančios programos kaip paslaugos (RaaS) sumažino techninių žinių stokojančių užpuolikų kliūtis įsilaužti, o Rusija išpirkos reikalaujančių programų grupėms suteikia saugų prieglobstį. Dėl to nuo 2015 m. išpirkos reikalaujančių programų atakų padaugėjo 300 %.2
  • Šiais fiskaliniais metais nuo išpirkos reikalaujančių programų, dėl kurių buvo išjungtas tinklas, atjungtos sistemos, vėluojama atlikti svarbias medicinines procedūras ir reikėjo perkelti susitikimus, nukentėjo 389 JAV sveikatos priežiūros įstaigos3. Išpuoliai kainuoja brangiai –  vienoje sektoriaus ataskaitoje atskleidžiama, kad vien dėl prastovų sveikatos priežiūros įstaigos per dieną praranda iki 900 000 USD.4
  • Remiantis 99 sveikatos priežiūros įstaigų, kurios pripažino sumokėjusios išpirką ir atskleidė jos sumą, duomenimis, mediana siekė 1,5 mln. USD, o vidutinė sumokėta suma – 4,4 mln. USD.5

Didelis poveikis pacientų priežiūrai

Sveikatos priežiūros sektoriaus operacijų sutrikimas, kurį sukelia išpirkos reikalaujančių programų atakos, gali stipriai paveikti gebėjimą veiksmingai gydyti pacientus – ne tik tose ligoninėse, kurios buvo paveiktos, bet ir esančiose netoliese, kurios priima perkeltus, į skubios pagalbos skyrių atvykusius pacientus.6

Atsižvelgiant į naujausio tyrimo, kuriame atskleidžiama, kaip išpirkos reikalaujančios programos užpuola keturias ligonines (dvi užpultos ir dvi nepaveiktos), išvadas, dviejose nepaveiktose, netoliese esančiose ligoninėse padidėjo pacientų skaičius skubios pagalbos skyriuje, pailgėjo laukimo laikas ir teko didesnis krūvis ištekliams, ypač teikiant priežiūros paslaugas, kuriose labai svarbus laikas, pvz., insulto gydymas.7
Padaugėjo insulto atvejų: Kadangi nepaveiktos ligoninės turėjo priimti pacientus iš ligoninių, kurios nukentėjo, išpirkos reikalaujančių programų atakos labai apsunkino visą sveikatos priežiūros sektoriaus ekosistemą. Insulto kodo aktyvavimas netoliese esančiose ligoninėse beveik padvigubėjo – nuo 59 iki 103, o patvirtintų insultų skaičius išaugo 113,6 % (nuo 22 iki 47 atvejų).
Padaugėjo širdies sustojimų: Ataka sukėlė įtampą sveikatos priežiūros sistemoje, nes širdies sustojimo atvejų nepaveiktoje ligoninėje išaugo nuo 21 iki 38, t.y. 81 %. Tai atspindi vienos sveikatos priežiūros įstaigos pažeidimo kaskadinį poveikį, kuomet netoliese esančios ligoninės turėjo spręsti daugiau kritinių atvejų.
Išgyvenamumo sumažėjimas esant palankiems neurologiniams rezultatams: Išgyvenamumo po ne ligoninėje įvykusių širdies sustojimo atvejų esant palankiems neurologiniams rezultatams rodiklis atakos metu nepaveiktose ligoninėse smarkiai sumažėjo – nuo 40 % prieš ataką iki 4,5 % atakos metu.
Pailgėjo greitosios medicinos pagalbos atvykimo laikas: Atakos metu greitosios medicinos pagalbos (GMP) tarnybų atvykimo laikas į nepaveiktas ligonines pailgėjo 35,2 %, o tai rodo, kad dėl išpirkos reikalaujančių programų sukeltų trikdžių nukentėjusiose ligoninėse greitosios pagalbos srautas turėjo būti nukreiptas.
Pacientų skaičiaus padidėjimas: Kadangi ataka pakenkė keturioms rajono ligoninėms (dvi užpultos ir dvi nepaveiktos), nepaveiktų ligoninių skubios pagalbos skyriai (SPS) patyrė didelį pacientų antplūdį. Kasdienis šiose nepaveiktose ligoninėse esančių pacientų skaičius atakos metu išaugo 15,1 %, palyginti su laikotarpiu prieš ataką.
Papildomi priežiūros sektoriaus sutrikimai: Atakų metu nepaveiktose ligoninėse pastebimai padaugėjo pacientų, kurie išvyko nepriimti, pailgėjo laukimo laikas ir bendra priimtų pacientų apsilankymo trukmė. Pavyzdžiui, vidutinis laukimo laikas pailgėjo nuo 21 minutės prieš ataką iki 31 minutės atakos metu.

Išpirkos reikalaujančių programų atvejų tyrimai

Išpirkos reikalaujančių programų atakos prieš sveikatos priežiūros sektorių gali turėti pražūtingų pasekmių ne tik įstaigoms, į kurias taikomasi, bet ir pacientų priežiūrai bei veiklos stabilumui. Toliau pateikiami atvejų tyrimai iliustruoja platų išpirkos reikalaujančių programų poveikį įvairioms sveikatos priežiūros įstaigoms – nuo didelių ligoninių sistemų iki mažų paslaugų teikėjų kaimuose –  ir atskleidžia įvairius būdus, kaip įsilaužėliai įsiskverbia į tinklus ir taip sutrikdo pagrindinių sveikatos priežiūros paslaugų teikimą.
  • Įsilaužėliai, kad pasiektų tinklą per pažeidžiamą nuotolinės prieigos šliuzą be kelių dalių autentifikavimo, naudojo pažeistą prisijungimo informaciją. Jie, taikydami dvigubą turto prievartavimo schemą, užšifravo svarbią infrastruktūrą ir eksfiltravo slaptus duomenis bei grasino juos atskleisti, nebent bus sumokėta išpirka.

    Poveikis:     Ataka sukėlė trikdžių dėl kurių 80 % sveikatos priežiūros paslaugų teikėjų ir vaistinių negalėjo patikrinti draudimų informacijos ar apdoroti išmokų. 
  • Įsilaužėliai pasinaudojo nepataisytos senstelėjusios ligoninės programinės įrangos pažeidžiamumu ir skverbėsi į sistemas, kad pakenktų pacientų priėmimo planavimui ir medicininiams įrašams. Pasitelkdami dvigubą turto prievartavimo taktiką, jie eksfiltravo slaptus duomenis ir grasino juos atskleisti, nebent bus sumokėta išpirka.

    Poveikis: Ataka sutrikdė operacijas, todėl buvo atšaukti vizitai, atidėtos operacijos ir pereita prie procesų apdorojimo rankiniu būdu, dėl ko personalas patyrė įtampa, o priežiūros paslaugų teikimas vėlavo. 
  • Kad pasiektų ligoninių tinklą, įsilaužėliai pasitelkė sukčiavimo apsimetant el. laiškus, ir, siekdami įdiegti išpirkos reikalaujančią programą, kuri šifruotų elektroninę sveikatos istoriją (ESI) ir pacientų priežiūros sistemas, pasinaudojo esančiomis spragomis. Taikydami dvigubą turto prievartavimo taktiką, jie eksfiltravo slaptus pacientų ir finansinius duomenis, grasindami juos nutekinti, jei išpirka nebus sumokėta. 

    Poveikis:     Ataka sutrikdė keturių ligoninių ir daugiau nei 30 klinikų veiklą, dėl ko, kadangi buvo susirūpinta dėl duomenų atskleidimo, vėlavo gydymas ir pacientai, kuriems buvo reikalinga skubi pagalba, turėjo būti nukreipti kitur. 
  • 2021 m. vasarį išpirkos reikalaujančių programų atakos pažeidė 44 lovas turinčios kaimo ligoninės kompiuterines sistemas, privertė tris mėnesius atlikti operacijas rankiniu būdu ir labai užvilkino draudimo išmokų išmokėjimą.

    Poveikis:     Kadangi ligoninė nesugebėjo laiku surinkti mokėjimų, tai sukėlė finansinių sunkumų, todėl vietos kaimo bendruomenė liko be svarbių sveikatos priežiūros paslaugų. 

Dėl plačios atakos pažeidžiamos srities, senstelėjusios įrangos sistemos ir nuoseklių saugos protokolų Amerikos sveikatos priežiūros sektorius yra patrauklus taikinys finansiškai motyvuotiems kibernetiniams nusikaltėliams. Dėl sveikatos priežiūros sektoriaus priklausomybės nuo skaitmeninių technologijų, slaptų duomenų ir išteklių apribojimų, su kuriais susiduria daugelis įstaigų (dažnai dėl labai mažų maržų), gali būti apribotos galimybes investuoti į kibernetinį saugumą, todėl jis tampa itin pažeidžiamas. Be to, sveikatos priežiūros įstaigos bet kokia kaina pirmenybę teikia pacientų priežiūrai, o tai, siekiant išvengti sutrikimų, gali paskatinti mokėti išpirkas.

Polinkis mokėti išpirkas

Viena iš priežasčių, kodėl išpirkos reikalaujančios programos tapo tokia opia sveikatos priežiūros sektoriaus problema, yra ta, kad praeityje šiame sektoriuje išpirkos buvo sumokėtos. Sveikatos priežiūros įstaigos pirmenybę teikia pacientų priežiūrai ir, jei jos, norėdamos išvengti sutrikimų, turi sumokėti milijonus dolerių, dažnai linkusios tai ir padaryti.

Tiesą sakant, remiantis naujausia ataskaita, pagrįsta 402 sveikatos priežiūros įstaigų apklausa, 67 % jų per pastaruosius metus patyrė išpirkos reikalaujančių programų atakas. Iš šių įstaigų 2024 m. 53 % pripažino sumokėjusios išpirką, kai tuo tarpu 2023 m. jų buvo 42 %. Ataskaitoje taip pat pabrėžiamas finansinis poveikis – vidutinė patvirtinta išpirkos suma siekė 4,4 mln. USD.12

Riboti saugumo ištekliai ir investicijos

Kitas svarbus iššūkis – sveikatos priežiūros sektoriuje riboti kibernetiniam saugumui skiriami biudžetas ir ištekliai. Remiantis naujausia CSC 2.0 (grupės, kuri tęsia Kongreso įgaliotos kibernetinės erdvės soliariumo komisijos darbą) Sveikatos priežiūros sektoriaus kibernetiniam saugumui reikia patikrinimo ataskaita13, "kadangi biudžetai yra riboti ir teikėjai turi teikti pirmenybę pagrindinėms pacientų paslaugoms patiriamoms išlaidoms, kibernetiniam saugumui dažnai skiriama nepakankamai lėšų, dėl ko sveikatos priežiūros įstaigos yra labiau pažeidžiamos atakų."

Be to, nepaisant problemos svarbos, sveikatos priežiūros paslaugų teikėjai į kibernetinį saugumą investuoja nepakankamai. Dėl įvairių sudėtingų veiksnių, įskaitant netiesioginio mokėjimo modelį, dėl kurio pirmenybė dažnai teikiama neatidėliotiniems medicininiams poreikiams patenkinti, o ne mažiau pastebimoms investicijoms, pvz., kibernetiniam saugumui, per pastaruosius du dešimtmečius sveikatos priežiūros sektorius į kibernetinį saugumą investavo labai mažai.10

Be to, pagal sveikatos draudimo mobilumo ir atskaitomybės aktą (HIPAA), pirmenybė teikiama investicijoms į duomenų konfidencialumą, tad duomenų vientisumas ir pasiekiamumas lieka antrame plane. Dėl šio požiūrio gali būti skiriamas mažesnis dėmesys organizacijos atsparumui, ypač mažinant atkūrimo laiko ir atkūrimo taškų reikalavimus.

Senstelėjusios įrangos sistemų ir infrastruktūros pažeidžiamumas

Vienas iš nepakankamo investavimo į kibernetinį saugumą rezultatas yra pasikliovimas pasenusiomis, sunkiai atnaujinamomis senstelėjusios įrangos sistemomis, kurios tapo pagrindiniais pažeidžiamais taikiniais. Be to, pasitelkiant skirtingas technologijas, sukuriama netvarkinga infrastruktūra, turinti saugumo spragų, dėl ko padidėja atakų rizika.

Šią pažeidžiamą infrastruktūrą dar labiau apsunkina naujausia sveikatos priežiūros sektoriaus sujungimo tendencija. Dėl augančio susijungiančių ligoninių skaičiaus (23 % daugiau nei 2022 m. ir daugiausiai nuo 2020 m.14), kuriasi įstaigos su sudėtingomis infrastruktūromis, paskirstytomis keliose vietose. Neinvestuojant pakankamai į kibernetinį saugumą, šios infrastruktūros tampa labai pažeidžiamos atakoms.

Išplečiama atakos pažeidžiama sritis

Nors kliniškai integruoti prijungtų prietaisų ir medicinos technologijų priežiūros tinklai padeda pagerinti pacientų gydymo rezultatus ir išgelbėti gyvybes, jie taip pat išplėtė skaitmeninių atakų pažeidžiamas sritis, o tuo grėsmių sukėlėjai naudojasi vis dažniau.

Jungiančios svarbiausius medicinos prietaisus, pvz., kompiuterinės tomografijos (KT) skaitytuvus, pacientų stebėjimo sistemas ir infuzijos pompas prie tinklų, ligoninės yra labiau priklausomos nuo interneto nei kada nors anksčiau, tačiau ne visada gali aiškiai nustatyti ir sumažinti pažeidžiamumą, kuris gali turėti didelės įtakos pacientų priežiūrai.

Gydytojai Christian Dameff ir Jeff Tully – Kalifornijos universiteto San Diego sveikatos priežiūros sektoriaus kibernetinio saugumo centro direktoriai ir įkūrėjai pastebi, kad vidutiniškai 70 % ligoninės galinių punktų yra ne kompiuteriai, o įrenginiai.   
Ligoninės palata, kurioje yra medicininė įranga, baltas stalčius ir mėlynos užuolaidos.

Sveikatos priežiūros įstaigos taip pat perduoda didžiulius duomenų kiekius. Remiantis nacionalinio sveikatos IT koordinatoriaus biuro duomenimis, daugiau nei 88 % ligoninių praneša apie pacientų sveikatos informacijos siuntimą ir gavimą elektroniniu būdu, o daugiau nei 60 % – jog ši informacija integruojama į jų elektroninės sveikatos įrašus (angl. EHR, electronic health records).15

Maži kaimo paslaugų teikėjai susiduria su unikaliais iššūkiais

Kadangi itin svarbios kaimo ligoninės dažnai turi ribotas priemones, leidžiančias išvengti su saugumu susijusių rizikų ir jas pašalinti, jos yra ypač pažeidžiamos išpirkos reikalaujančių programų incidentams. Tai gali būti pražūtinga bendruomenei, nes šios ligoninės dažnai yra vienintelė galimybė pasinaudoti sveikatos priežiūros paslaugomis daugybės mylių atstumu bendruomenėse, kurias jos aptarnauja.

Dameff ir Tully teigimu, kaimo ligoninėms paprastai trūksta tokio paties lygio kibernetinio saugumo infrastruktūros ar patirties, kokias turi didesnių miestų ligoninės. Jie taip pat pažymi, kad daugelis šių ligoninių veiklos tęstinumo planų gali būti pasenę ar netinkami sprendžiant šiuolaikines kibernetines grėsmes, pvz., išpirkos reikalaujančių programų keliamas grėsmes.

Daugelis su labai mažomis pelno maržomis dirbančių mažų ar kaimo ligoninių susiduria su dideliais finansiniais suvaržymais. Dėl šios finansinės situacijos joms sunku investuoti į patikimas kibernetinio saugumo priemones. Dažnai šios priemonės priklauso nuo vieno IT specialisto – asmens, kuris įgudęs spręsti kasdienes technines problemas, tačiau neturi specialių žinių kibernetinio saugumo srityje.

Sveikatos ir žmogiškųjų paslaugų departamento sveikatos priežiūros sektoriaus kibernetinio saugumo grupės, sukurtos pagal 2015 m. kibernetinio saugumo aktą, ataskaitoje pabrėžiama, kad nemažai daliai itin svarbių kaimo ligoninių trūksta į kibernetinį saugumą orientuotų samdomų darbuotojų visu etatu, o tai atskleidžia platesnes su ištekliais susijusias problemas, su kuriomis susiduria mažesni sveikatos priežiūros paslaugų teikėjai.

„Šie IT specialistai dažnai yra tik tie, kurie išmano tinklų ir kompiuterių valdymą, yra įpratę spręsti tokias problemas kaip: „Negaliu atsispausdinti, negaliu prisijungti, koks mano slaptažodis?““ – aiškina Dameff. „Jie nėra kibernetinio saugumo ekspertai. Jie neturi darbuotojų bei biudžeto ir net nežino, nuo ko pradėti.“

Kibernetinių nusikaltėlių atakų procesas paprastai vyksta dviem etapais: įgyjama pradinė prieiga prie tinklo, dažnai sukčiaujant apsimetant arba pasinaudojant pažeidžiamumu, o vėliau įdiegiama išpirkos reikalaujanti programa svarbioms sistemoms ir duomenims užšifruoti. Dėl šių taktikų raidos, įskaitant teisėtų įrankių naudojimą ir išpirkos reikalaujančių programų kaip paslaugų (RaaS) platinimą, atakos tapo prieinamesnės ir dažnesnės.

Pradinis išpirkos reikalaujančių programų atakų etapas: Prieigos prie sveikatos priežiūros įstaigos tinklo įgijimas

Jack Mott, anksčiau vadovavęs komandai, susitelkusiai į įmonės el. pašto grėsmių žvalgybą ir aptikimo inžineriją „Microsoft“, nurodo, kad "„El. paštas tebėra vienas iš pagrindinių vektorių išpirkos reikalaujančių programų atakų metu vykdant kenkėjiškų programų ir sukčiavimų apsimetant atakas.“16

„Microsoft“ grėsmių žvalgybos 13 ligoninių, įskaitant kaimo ligonines, sistemų, apimančių įvairias operacijas, analizėje 93 % pastebėtų kenkėjiškų kibernetinių veiklų buvo susijusios su sukčiavimų apsimetant kampanijomis ir išpirkos reikalaujančiomis programomis, o didžioji dalis atvejų buvo susiję su el. paštu platinamomis grėsmėmis.17
"El. paštas tebėra vienas iš pagrindinių vektorių išpirkos reikalaujančių programų atakų metu vykdant kenkėjiškų programų ir sukčiavimų apsimetant atakas."
Jack Mott 
„Microsoft“ grėsmių žvalgyba

Į sveikatos priežiūros sektorių nukreiptose kampanijose dažnai naudojami labai specifiniai masalai. Pavyzdžiui, Mott pabrėžia, kaip grėsmių sukėlėjai, siekdami atrodyti patikimiau ir sėkmingai apgauti sveikatos priežiūros specialistus, kuria el. laiškus naudodami sveikatos priežiūros sektoriui būdingą žargoną, pavyzdžiui, nuorodas į skrodimo ataskaitas. 

Tokiomis socialinės inžinerijos taktikomis, ypač įtemptoje aplinkoje, pavyzdžiui, sveikatos priežiūros sektoriuje, pasinaudojama tuo, kad sveikatos priežiūros sektoriuje dirbantys darbuotojai dažnai skuba, todėl gali atsirasti saugumo spragų. 

Mott taip pat pažymi, kad įsilaužėlių metodai tampa vis sudėtingesni. Norėdami, kad jų neaptiktų, jie dažnai naudoja "tikrus vardus, teisėtas paslaugas ir IT skyriuose dažniausiai naudojamus įrankius (pvz., nuotolinio valdymo įrankius)". Dėl šių taktikų saugumo sistemoms sunku atskirti kenkėjišką ir teisėtą veiklą. 

„Microsoft“ grėsmių žvalgybos duomenys taip pat rodo, kad įsilaužėliai dažnai naudojasi žinomais, praeityje nustatytais įstaigos programinės įrangos ar sistemų pažeidžiamumais. Šie bendrieji pažeidžiamumai ir nesaugumai (CVE) yra gerai dokumentuoti, gali turėti spragų ar pataisymų, o įsilaužėliai dažnai taikosi į šiuos senesnius pažeidžiamumus, nes žino, kad daugelis įstaigų šių trūkumų dar nepašalino.18 

Įgiję pradinę prieigą, įsilaužėliai dažnai atlieka tinklo žvalgybą, kurią galima atpažinti pagal tokius rodiklius kaip neįprasta nuskaitymo veikla. Šie veiksmai padeda grėsmių sukėlėjams nustatyti tinklą, identifikuoti svarbiausias sistemas ir pasiruošti kitam atakos etapui – išpirkos reikalaujančios programos diegimui.

Paskutinis išpirkos reikalaujančių programų atakų etapas: Išpirkos reikalaujančių programų diegimas svarbioms sistemos užšifruoti

Įgijus pradinę prieigą, paprastai per sukčiavimą apsimetant ar el. paštu siunčiamą kenkėjišką programą, grėsmių sukėlėjai pereina prie antrojo etapo – išpirkos reikalaujančios programos diegimo.

Jack Mott aiškina, kad išpirkos reikalaujančių programų kaip paslaugų (RaaS) modelių augimas labai prisidėjo prie išpirkos reikalaujančių programų atakų padažnėjimo sveikatos priežiūros sektoriuje. "Išpirkos reikalaujančių programų kaip paslaugų (RaaS) platformos demokratizavo prieigą prie sudėtingų išpirkos reikalaujančių programų įrankių, leidžiančių vykdyti itin efektyvias atakas net ir tiems, kurie turi minimalius techninius įgūdžius" – pažymi Mott. Šis modelis sumažina kliūtis įsilaužti, todėl išpirkos reikalaujančių programų atakos tampa prieinamesnės ir efektyvesnės.
"„Išpirkos reikalaujančių programų kaip paslaugų (RaaS) platformos demokratizavo prieigą prie sudėtingų išpirkos reikalaujančių programų įrankių, leidžiančių vykdyti itin efektyvias atakas net ir tiems, kurie turi minimalius techninius įgūdžius.“ 
Jack Mott 
„Microsoft“ grėsmių žvalgyba

Mott toliau aiškina, kaip išpirkos reikalaujančios programos kaip paslaugos (RaaS) veikia, teigdamas: "Šiose platformose dažnai naudojamas platus įrankių rinkinys, įskaitant šifravimo programinę įrangą, mokėjimų apdorojimo sistemą ir netgi klientų aptarnavimo tarnybą, skirtą deryboms dėl išpirkos mokėjimo. Šis paruoštas naudoti metodas suteikia galimybę daugiau grėsmių sukėlėjų vykdyti išpirkos reikalaujančių programų kampanijas, dėl ko padidėja tiek atakų skaičius, tiek jų sudėtingumas."

Be to, Mott pabrėžia koordinuotą šių atakų pobūdį, teigdamas, kad "Įdiegę išpirkos reikalaujančią programą, įsilaužėliai paprastai greitai užšifruoja svarbias sistemas ir duomenis, dažnai vos per kelias valandas. Norėdami padidinti poveikį ir spaudimą, kad sveikatos priežiūros įstaigos sumokėtų išpirką, jie taikosi į svarbią infrastruktūrą, pvz., pacientų įrašus, diagnostines sistemas ir netgi atsiskaitymo operacijas."

Išpirkos reikalaujančių programų atakos sveikatos priežiūros sektoriuje: Pagrindinių grėsmių sukėlėjų grupių profilis

Išpirkos reikalaujančių programų atakas sveikatos priežiūros sektoriuje dažnai vykdo labai organizuotos ir specializuotos grėsmių sukėlėjų grupės. Siekdamos įsiskverbti į tinklus, iššifruoti duomenis ir reikalauti iš įstaigų išpirkų, šios grupės, kurias apima tiek finansiškai motyvuoti kibernetiniai nusikaltėliai, tiek sudėtingi nacionalinių valstybių grėsmių sukėlėjai, pasitelkia pažangius įrankius ir strategijas.

Tarp šių grėsmių sukėlėjų yra ir vyriausybės remiamų programišių iš autoritarinių valstybių, kurie, kaip pranešama, naudojo išpirkos reikalaujančias programas ir netgi bendradarbiavo su išpirkos reikalaujančių programų grupėmis šnipinėjimo tikslais. Pavyzdžiui, įtariama, kad Kinijos vyriausybės grėsmių sukėlėjai vis dažniau naudoja išpirkos reikalaujančias programas kaip priedangą šnipinėjimo veiklai.19

Panašu, kad Irano grėsmių sukėlėjai 2024 m. į sveikatos priežiūros įstaigas taikėsi aktyviausiai.20 Tiesą sakant, 2024 m. rugpjūčio mėn. JAV vyriausybė įspėjo sveikatos sektorių apie Irane įsikūrusį grėsmių sukėlėją, žinomą kaip „Lemon Sandstorm“. Ši grupė „naudojo neteisėtą prieigą prie JAV organizacijų, įskaitant sveikatos priežiūros įstaigas, tinklo, siekdama palengvinti, vykdyti ir pasipelnyti iš būsimų išpirkos reikalaujančių programų atakų, kurias, kaip manoma, vykdo su Rusija susijusios išpirkos reikalaujančių programų grupuotės.“21

Toliau pateiktuose profiliuose pateikiama įžvalgų apie kai kurias žinomiausias finansiškai motyvuotas išpirkos reikalaujančių programų grupes, nusitaikiusias į sveikatos priežiūros sektorių, išsamiai aprašomi jų modeliai, motyvai ir jų veiklos poveikis sektoriui.
  • „Lace Tempest“ yra žinoma išpirkos reikalaujančių programų grupė, nusitaikiusi į sveikatos priežiūros sektorių. Pasitelkdami išpirkos reikalaujančių programų kaip paslaugų (RaaS) modelį, jie leidžia bendrininkams lengvai įdiegti išpirkos reikalaujančias programas. Ši grupė siejama su didelį poveikį turinčiomis atakomis prieš ligoninių sistemas, kurių metu šifruojami svarbūs pacientų duomenys ir reikalaujama išpirkų. Žinomi dėl dvigubos turto prievartavimo taktikos, jie ne tik šifruoja duomenis, bet ir juos eksfiltruoja, grasindami nutekinti slaptą informaciją, jei išpirka nebus sumokėta.
  • „Sangria Tempest“ garsėja pažangiomis išpirkos reikalaujančių programų atakomis prieš sveikatos priežiūros įstaigas. Naudodami sudėtingą šifravimą, jie padaro taip, kad būtų beveik neįmanoma atkurti duomenų nesumokėjus išpirkos. Jie taip pat pasitelkia dvigubą turto prievartavimo taktiką, eksfiltruoja pacientų duomenis ir grasina juos nutekinti. Jų atakos sukelia plataus masto veiklos sutrikimus, priverčiančius sveikatos priežiūros sistemas nukreipti išteklius, o tai turi neigiamos įtakos pacientų priežiūrai.
  • „Cadenza Tempest“, žinoma dėl paskirstytųjų paslaugų trikdymo (DDoS) atakų, vis labiau pereina prie į sveikatos priežiūros sektorių nukreiptų išpirkos reikalaujančių programų operacijų. Įvardijama kaip prorusiška įsilaužėlių grupuotė, ji taikosi į sveikatos priežiūros sistemas Rusijos interesams priešiškuose regionuose. Jų atakos užvaldo ligoninių sistemas, sutrikdydamos svarbias operacijas ir sukeldamos chaosą, ypač kai jos vykdomos kartu su išpirkos reikalaujančių programų kampanijomis.
  • Aktyvi nuo 2022 m. liepos mėn., finansiškai motyvuota grupė „Vanilla Tempest“, siekdama taikytis į JAV sveikatos priežiūros sektorių, neseniai pradėjo naudoti INC išpirkos reikalaujančią programą, įsigytą per išpirkos reikalaujančių programų kaip paslaugų (RaaS) teikėjus. Siekdami pavogti prisijungimo informaciją, judėti per sistemą ir diegti išpirkos reikalaujančias programas, jie išnaudoja pažeidžiamumus, pasitelkia tinkintus scenarijus ir standartinius „Windows“ įrankius. Grupuotė taip pat pasitelkia dvigubą turto prievartavimo taktiką ir, kad sistemos būtų atrakintos, o pavogti duomenys neatskleisti, reikalauja išpirkos.

Vis sudėtingesnių išpirkos reikalaujančių programų akivaizdoje sveikatos priežiūros įstaigos turi vadovautis įvairiapusiu požiūriu į kibernetinį saugumą. Jie turi būti pasirengę atlaikyti kibernetinius incidentus, į juos reaguoti ir po jų atsigauti bei tuo pačiu metu užtikrinti pacientų priežiūros tęstinumą.

Šiose gairėse pateikiama išsami strategijos sistema, skirta visame sveikatos priežiūros sektoriuje padidinti atsparumą, užtikrinti greitą atkūrimą, ugdyti darbuotojus pirmiausią orientuotis į saugumą bei skatinti bendradarbiavimą.

Valdymas: Pasirengimo ir atsparumo užtikrinimas

Pastatas su daugybe langų po mėlynu debesuotu dangumi

Veiksmingas sveikatos priežiūros sektoriaus kibernetinio saugumo valdymas yra būtinas norint pasiruošti išpirkos reikalaujančių programų atakoms ir į jas reaguoti. Dameff ir Tully iš Kalifornijos universiteto San Diego sveikatos priežiūros kibernetinio saugumo centro rekomenduoja sukurti tvirtą valdymo strategijos sistemą su aiškiais vaidmenimis, reguliariais mokymais ir tarpdisciplininiu bendradarbiavimu. Tai padės sveikatos priežiūros įstaigoms padidinti atsparumą išpirkos reikalaujančių programų atakoms ir užtikrinti pacientų priežiūros tęstinumą, net ir susidūrus su dideliais sutrikimais.

Pagrindinis šios strategijos sistemos aspektas yra sugriauti barjerus tarp klinikos personalo, IT saugos komandų ir ekstremalių situacijų valdymo specialistų, kas leistų parengti nuoseklius reagavimo į incidentus planus. Šis bendradarbiavimas tarp skyrių yra gyvybiškai svarbus siekiant užtikrinti, kad pažeidus technologijų sistemas pacientai išliks saugūs ir bus išlaikyta priežiūros kokybė.

Dameff ir Tully taip pat pabrėžia, kad būtina turėti tam skirtą valdymo organą ar tarybą, kuri reguliariai susirinktų peržiūrėti reagavimo į incidentus planus ir juos atnaujintų. Jie rekomenduoja suteikti šiems valdymo organams įgaliojimus išbandyti reagavimo planus taikant realistines simuliacijas ir mokymus, kas leistų užtikrinti, kad visi darbuotojai, įskaitant jaunesnius gydytojus, kurie galbūt nėra susipažinę su popieriniais įrašais, būtų pasirengę efektyviai veikti be skaitmeninių įrankių.

Be to, Dameff ir Tully pabrėžia išorinio bendradarbiavimo svarbą. Jie pasisako už regionines ir nacionalines strategijos sistemas, kurios leidžia ligoninėms remti viena kitą didelio masto incidentų metu, o tai patvirtina "strateginių nacionalinių technologinių atsargų", galinčių laikinai pakeisti pažeistas sistemas, poreikį.

Atsparumas ir strateginis atsakas

Sveikatos priežiūros sektoriaus kibernetinio saugumo atsparumas neapsiriboja vien duomenų apsauga – tai apima ir užtikrinimą, kad visos sistemos gali atlaikyti atakas ir po jų atsigauti. Būtinas visapusiškas požiūris į atsparumą, sutelkiant dėmesį ne tik į pacientų duomenų apsaugą, bet ir į visos infrastruktūros, palaikančios sveikatos priežiūros sektoriaus operacijas, stiprinimą. Tai apima visą sistemą: tinklą, tiekimo grandinę, medicinos prietaisus ir kt.

Išsamios gynybos strategijos priėmimas yra labai svarbus kuriant daugiasluoksnę saugos būseną, kuri gali veiksmingai užkirsti kelią išpirkos reikalaujančių programų atakoms.

Išsamios gynybos strategijos priėmimas yra labai svarbus kuriant daugiasluoksnę saugos būseną, kuri gali veiksmingai užkirsti kelią išpirkos reikalaujančių programų atakoms. Ši strategija apima kiekvieno sveikatos priežiūros sektoriaus infrastruktūros sluoksnio apsaugą – nuo tinklo iki galinių punktų iki debesies. Užtikrindamos, kad įdiegti keli apsaugos sluoksniai, sveikatos priežiūros įstaigos gali sumažinti sėkmingų išpirkos reikalaujančių programų atakų riziką.

Taikant šį „Microsoft“ klientams skirtą daugiasluoksnį metodą, „Microsoft“ grėsmių žvalgybos komanda aktyviai stebi priešišką elgesį. Aptikus tokią veiklą, išsiunčiamas tiesioginis pranešimas.

Tai nėra mokama ar pakopinė paslauga – įvairaus dydžio įmonės sulaukia vienodo dėmesio. Tikslas – nedelsiant įspėti, kai aptinkamos galimos grėsmės, įskaitant išpirkos reikalaujančias programas, ir padėti imtis įstaigą apsaugoti leisiančių veiksmų.

Be šių gynybos sluoksnių įgyvendinimo, labai svarbu turėti veiksmingą reagavimo į incidentus ir jų aptikimo planą. Vien turėti planą neužtenka; norėdamos sumažinti žalą ir užtikrinti greitą atsigavimą, sveikatos priežiūros įstaigos turi būti pasirengusios efektyviai jį vykdyti realios atakos metu.

Galiausiai, nuolatinio stebėjimo ir aptikimo realiuoju laiku galimybės yra esminės patikimos reagavimo į incidentus strategijos sistemos sudedamosios dalys, užtikrinančios, kad galimas grėsmes būtų galima nustatyti ir greitai jas pašalinti.

Siekiant suteikti daugiau informacijos apie kibernetinį atsparumą sveikatos priežiūros sektoriuje, sveikatos ir žmogiškųjų paslaugų (HHS) departamentas paskelbė savanoriškus sveikatos priežiūros sektoriaus kibernetinio saugumo veiksmingumo tikslus, kad padėtų sveikatos priežiūros įstaigoms pirmenybę teikti didelio poveikio kibernetinio saugumo praktikos įgyvendinimui.

Sukurti bendradarbiaujant viešajam ir (arba) privačiajam sektoriui, naudojant bendras sektoriaus kibernetinio saugumo strategijos sistemas ir gaires, pasitelkiant geriausią praktiką ir strategijas, kibernetinio saugumo veiksmingumo tikslai sudaro kibernetinio saugumo praktikų, kurias sveikatos priežiūros įstaigos gali naudoti siekdamos sustiprinti kibernetinį pasirengimą, pagerinti kibernetinį atsparumą ir apsaugoti informaciją apie pacientų sveikatą bei užtikrinti jų saugumą, poaibį.

Veiksmai, skirti greitai atkurti operacijas ir sustiprinti saugumą po atakos

Norint atsigauti po išpirkos reikalaujančių programų atakų, reikalingas sistemingas požiūris, kuris leistų grįžti prie įprastų operacijų ir išvengti incidentų ateityje. Toliau pateikiami konkretūs veiksmai, padėsiantys įvertinti žalą, atkurti paveiktas sistemas ir sustiprinti saugos priemones. Laikydamosis šių gairių, sveikatos priežiūros įstaigos galės sušvelninti atakos poveikį ir sustiprinti apsaugą nuo grėsmių ateityje.
Įvertinkite poveikį ir sustabdykite ataką

Nedelsdami izoliuokite paveiktas sistemas, taip išvengdami tolesnio plitimo.
Atkurkite iš patikimų atsarginių kopijų

Prieš atkurdami operacijas įsitikinkite, kad atsarginės kopijos yra nepaveiktos ir patikrintos. Norėdami išvengti išpirkos reikalaujančių programų šifravimo, saugokite atsargines kopijas neprisijungę prie interneto.
Atstatykite sistemas

Norėdami pašalinti bet kokią likusią kenkėjišką programą, apsvarstykite galimybę pažeistas sistemas atkurti, o ne jas taisyti. Pasinaudokite „Microsoft“ atsako į incidentus komandos nurodymais, kaip sistemas saugiai atkurti. 
Po atakos sustiprinkite saugos valdiklius

Sustiprinkite saugos būseną po atakos pašalindami pažeidžiamumus, pataisydami sistemas ir patobulindami galinių punktų aptikimo įrankius.
Po incidento įvertinkite

Bendradarbiaudami su išoriniu saugumo tiekėju, išanalizuokite ataką, kad nustatytumėte silpnąsias vietas ir patobulintumėte gynybą nuo incidentų ateityje.

Darbuotojų ugdymas pirmiausia orientuotis į saugumą

Vyras ir moteris, žiūrintys į moters veidą.

Norint užtikrinti, kad darbuotojai pirmiausia orientuotųsi į saugumą, būtinas nuolatinis bendradarbiavimas įvairiose srityse.

Norint užtikrinti, kad darbuotojai pirmiausia orientuotųsi į saugumą, būtinas nuolatinis bendradarbiavimas įvairiose srityse. Svarbu sugriauti barjerus tarp IT saugos komandų, ekstremalių situacijų valdymo specialistų ir klinikos personalo, kas leistų parengti nuoseklius reagavimo į incidentus planus. Be šio bendradarbiavimo likusi ligoninės dalis gali būti nepakankamai pasirengusi veiksmingai reaguoti kibernetinio incidento metu.

Švietimas ir sąmoningumas

Veiksmingi mokymai ir tvirta ataskaitų teikimo kultūra yra esminės sveikatos priežiūros įstaigos gynybos nuo išpirkos reikalaujančių programų sudedamosios dalys. Atsižvelgiant į tai, kad sveikatos priežiūros sektoriaus specialistai dažnai pirmenybę teikia pacientų priežiūrai, jie ne visada suvokia kibernetinio saugumo svarbą, dėl ko tampa labiau pažeidžiami kibernetinių grėsmių.

Siekiant išspręsti šią problemą, nuolatiniai mokymai turi apimti kibernetinio saugumo pagrindus, pvz., sukčiavimo apsimetant el. laiškų atpažinimą, vengimą spustelėti įtartinas nuorodas ir dažniausiai naudojamų socialinės inžinerijos taktikų atpažinimą.

Šiuo klausimu gali padėti „Microsoft“ kibernetinio saugumo sąmoningumo šaltiniai.

"Labai svarbu skatinti darbuotojus pranešti apie saugumo problemas, nebijant būti apkaltintais" – aiškina „Microsoft“ ekspertas Mott. "Kuo anksčiau galėsite pranešti apie ką nors, tuo geriau. Geriausias galimas scenarijus, jei tai bus nekenksminga."

Reguliarūs mokymai ir simuliacijos taip pat turi imituoti realias atakas, pvz., sukčiavimus apsimetant ar išpirkos reikalaujančias programas, taip padedant darbuotojams mokytis reaguoti kontroliuojamoje aplinkoje.

Dalijimasis informacija, bendradarbiavimas ir kolektyvinė gynyba

Kadangi išpirkos reikalaujančių programų atakos dažnėja („Microsoft“ pastebėjo, kad per metus jų tarp mūsų klientų padaugėjo 2,75 karto16), kolektyvinės gynybos strategija tampa būtina. Siekiant užtikrinti sveikatos priežiūros sektoriaus operacijų ir pacientų saugumą, labai svarbus bendradarbiavimas tarp vidinių komandų, regioninių partnerių ir platesnių nacionalinių / visuotinių tinklų.

Suvienijus šias grupes, kad būtų sukurti ir įgyvendinti visapusiški reagavimo į incidentus planai, atakų metu galima išvengti chaoso.

Dameff ir Tully pabrėžia, kad svarbu suvienyti vidines komandas, tokias kaip gydytojai, ekstremalių situacijų valdymo specialistai ir IT saugos darbuotojai, kurios dažnai dirba atskirai. Suvienijus šias grupes, kad būtų sukurti ir įgyvendinti visapusiški reagavimo į incidentus planai, atakų metu galima išvengti chaoso.

Regioniniu lygmeniu, sveikatos priežiūros įstaigos turėtų megzti partnerystes, kurios leistų sveikatos priežiūros įstaigoms dalytis pajėgumais ir ištekliais, taip užtikrinant, kad pacientų priežiūra nenutrūktų net ir tada, jei kai kurios ligoninės būtų paveiktos išpirkos reikalaujančių programų. Ši kolektyvinės gynybos forma taip pat gali padėti valdyti perteklinius pacientų srautus ir paskirstyti sveikatos priežiūros paslaugų teikėjams tenkančią naštą.

Be regioninio bendradarbiavimo, svarbų vaidmenį atlieka nacionaliniai ir visuotiniai informacijos dalijimosi tinklai. ISAC (informacijos dalijimosi ir analizės centrai), pvz., „Health-ISAC“, yra platformos sveikatos priežiūros įstaigoms dalytis gyvybiškai svarbia informacija apie grėsmių žvalgybą. Errol Weiss, „Health-ISAC“ vyriausiasis saugumo pareigūnas, lygina šias įstaigas su "virtualiomis kaimynystės stebėjimo programomis", kuriose įstaigos narės gali greitai pasidalyti informacija apie atakas ir patikrintais jų švelninimo būdais. Šis dalijimasis žvalgybos duomenimis padeda kitiems pasirengti panašioms grėsmėms ar jas pašalinti ir didesniu mastu stiprinti kolektyvinę gynybą.

  1. [1]
    „Microsoft“ vidinių grėsmių žvalgybos duomenys, 2024 m. II ketvirtis
  2. [2]
    (Santrauka, skirta vyriausiesiems informacijos saugos pareigūnams (CISO)): Esamų ir besivystančių sveikatos priežiūros sektoriaus kibernetinių grėsmių aplinka; „Health-ISAC“ ir Amerikos ligoninių asociacija (AHA)  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    NUORAŠAS: Atstovų rūmų komiteto posėdis, skirtas „Microsoft“ kibernetinio saugumo trūkumams įvertinti, „ Tech Policy Press“, 2024 m. birželio 15 d.
  4. [4]
    Kai įvykus išpirkos reikalaujančių programų atakoms turi būti paskelbtos prastovos, sveikatos priežiūros įstaigos vidutiniškai praranda 900 000 USD per dieną, „ Comparitech “, 2024 m. kovo 6 d.
  5. [5]
    Į sveikatos priežiūros sektorių nukreiptų išpirkos reikalaujančių programų atakų skaičius ir sunkumas ir toliau didėja“, „The HIPAA Journal“, 2024 m. rugsėjo mėn.
  6. [6]
    Visiškai pažeista sistema? Išpirkos reikalaujančių programų atakų poveikis ligoninėms ir pacientams; https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    Išpirkos reikalaujančių programų atakos susijusios su sutrikimais gretimuose skubios pagalbos skyriuose JAV; Išpirkos reikalaujančių programų atakos susijusios su sutrikimais gretimuose skubios pagalbos skyriuose JAV | Skubioji medicina | JAMA Network Open | JAMA Network
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    „Ascension“ išpirkos reikalaujančių programų atakos sutrikdo finansinį atsigavimą“, „The HIPPA Journal“, 2024 m. rugsėjo 20 d.
  10. [10]
    Pacientų duomenys, atskleisti sukčiavimo apsimetant atakos metu Kalifornijos Universiteto San Diego sveikatos priežiūros centre“, „The HIPPA Journal“, 2024 m. kovo 13 d.
  11. [11]
    Pagrindinis išpirkos reikalaujančių programų atakų veiksnys priimant sprendimą uždaryti Ilinojaus kaimo ligoninę“, „The HIPPA Journal“, 2023 m. birželio 14 d.
  12. [12]
    Į sveikatos priežiūros sektorių nukreiptų išpirkos reikalaujančių programų atakų skaičius ir sunkumas ir toliau didėja“, „The HIPAA Journal“, 2024 m. rugsėjo mėn.
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    2023 m. susijungė daugiau ligoninių, o finansiniai sunkumai skatina sudaryti daugiau sandorių (chiefhealthcareexecutive.com)
  15. [15]
    Veikimo suderinamumas ir dalijimosi tarp ligoninių būdai 2021 m. | HealthIT.gov
  16. [16]
    „Microsoft“ skaitmeninės gynybos ataskaita 2024 m. „Microsoft“, 27 puslapis
  17. [17]
    „Microsoft“ grėsmių žvalgybos telemetrija, 2024 m.
  18. [18]
    Žinomų išnaudotų pažeidžiamumų katalogas“, „CISA“, 2024 m.
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    „Microsoft“ grėsmių žvalgybos duomenys apie sveikatos priežiūros sektoriaus kibernetines grėsmes, 2024 m.
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
Išpirkos reikalaujančios programos Kibernetiniai nusikaltimai

Daugiau iš saugos

Kibernetinio atsparumo higienos vadovas

Bazinė kibernetinė higiena išlieka efektyviausiu būdu apsaugoti organizacijos tapatybes, įrenginius, duomenis, programas, infrastruktūrą ir tinklus nuo 98 % visų kibernetinių grėsmių. Sužinokite praktinius patarimus, pateiktus išsamiame vadove.
Sužinokite daugiau

Kova su įsilaužėliais, sutrikdžiusiais ligoninių veiklą ir sukėlusiais pavojų gyvybei

Sužinokite apie naujausias kylančias grėsmes iš „Microsoft“ duomenų ir tyrimų apie grėsmes. Gaukite tendencijų analizę ir veiksmingų gairių, kad sustiprintumėte savo pirmąją gynybos liniją.
Sužinokite daugiau

Naudojimasis pasitikėjimo ekonomika: socialinės inžinerijos sukčiavimas

Susipažinkite su besikeičiančia skaitmenine aplinka, kurioje pasitikėjimas yra ir valiuta, ir pažeidžiamumas. Sužinokite, kokias socialinės inžinerijos sukčiavimo taktikas kibernetiniai įsilaužėliai naudoja dažniausiai, ir peržiūrėkite strategijas, padėsiančias atpažinti ir įveikti socialinės inžinerijos grėsmes, kuriomis siekiama manipuliuoti žmogaus prigimtimi.
Sužinokite daugiau

Stebėkite „Microsoft“ saugą