This is the Trace Id: aa1a3542139d71034e6fcf4ab61c74fa

Helsevesenet i USA er i fare: en styrking av motstandsdyktighet mot angrep med løsepengevirus

Del
En gruppe medisinske fagfolk som ser på et nettbrett

Helsesektoren står overfor en raskt voksende mengde cybersikkerhetstrusler, og av disse er angrep med løsepengevirus en de mest betydelige. En kombinasjon av verdifulle pasientopplysninger, sammenkoblede medisinske enheter og små team for IT/cybersikkerhet med begrensede ressurser kan gjøre helsetjenesteorganisasjoner til attraktive mål for trusselaktører. Etterhvert som helsetjenesteoperasjoner blir stadig mer digitalisert – med alt fra elektroniske pasientjournaler til plattformer for telemedisin og medisinske nettverksenheter – blir angrepsoverflaten til sykehusene stadig med kompliserte noe som gjør dem enda mer sårbare for angrep.

De neste avsnittene gir en oversikt over dagens cybersikkerhetslandskap innen helsetjenester og belyser bransjens status som et viktig mål, de stadig hyppigere løsepengevirusangrepene og de alvorlige konsekvensene som disse truslene utgjør for økonomi og pasientbehandling.

En videodiskusjon ledet av Sherrod DeGrippo, sjef for trusselinformasjonstrategien i Microsoft, utforsker disse viktige sakene videre og tilbyr innsikt fra eksperter om trusselaktører, strategier for gjenoppretting og sårbarheter i helsetjenester.

Orientering om Microsoft trusselinformasjon: Helsetjenester

Sherrod DeGrippo, sjef for trusselinformasjonstrategien i Microsoft, leder en livlig rundebordskonferanse med eksperter innen trusselinformasjon og helsetjenestesikkerhet som undersøker hva som gjør helsetjenester spesielt sårbare for løsepengevirusangrep, hvilke taktikker trusselaktører bruker, hvordan man opprettholder motstandsdyktighet, med mer.
  • I følge Microsoft trusselinformasjon var helsetjeneste/folkehelsesektoren en av de ti mest utsatte bransjene i andre kvartal av 2024.1
  • Løsepengevirus som tjeneste har lavere inngangsbarrierer for angripere som mangler teknisk ekspertise, mens Russland fungerer som en trygg havn for grupper som opererer med løsepengevirus. Resultatet er at angrep med løsepengevirus har økt med 300 % siden 2015.2
  • Dette regnskapsåret ble 389 helsetjenesteinstitusjoner i USA rammet av løsepengevirus, noe som forårsaket nettverksstans, frakoblede systemer, forsinkelser i viktige medisinske behandlinger og avtaler som måtte flyttes3. Angrepene er kostbare. Én bransjerapport vier at helsetjenesteinstitusjoner taper opptil USD 900 000 per dag bare i nedetid.4
  • Av de 99 helsetjenesteorganisasjonene som innrømmet å ha betalt løsepengene og fremla beløpet som ble betalt, var medianbeløpet USD 1,5 millioner, og gjennomsnittlig beløp var USD 4,4 millioner.5

Alvorlig innvirkning på pasientbehandling

Forstyrrelsen av helsetjenestedriften forårsaket av angrep med løsepengevirus kan ha en alvorlig innvirkning på evnen til å behandle pasienter på en effektiv måte, ikke bare ved berørte sykehus, men også ved steder i nærheten som tar imot omdirigerte pasienter til akuttmottak.6

Se resultatene fra en nylig undersøkelse som viser hvordan et angrep med løsepengevirus mot fire sykehus (to angrepet og to uberørte) førte til økte pasientantall i akuttmottakene, lengre ventetider og ytterligere press på ressurser, spesielt i tidsfølsom behandling, for eksempel ved slag, ved to uberørte nærliggende sykehus.7
Øking i slagtilfeller: Angrepet med løsepengevirus utgjorde en betydelig påkjenning på det generelle økosystemet til helsetjenestene siden de uberørte sykehusene måtte ta imot pasienter fra de berørte sykehusene. Registrerte koder for slag ved de nærliggende sykehusene ble nesten doblet, fra 59 til 103, mens bekreftede slagtilfeller økte med 113,6 %, en økning fra 22 til 47 tilfeller.
Økning i hjertestans: Angrepet økte presset på helsetjenestesystemet da hjertestanstilfeller ved det uberørte sykehuset økte fra 21 til 38, en økning på 81 %. Dette viser hvordan et angrep på én tjeneste har en gjennomgripende virkning og tvinger nærliggende sykehus til å ta imot flere kritiske tilfeller.
Nedgang i overlevelse med gode nevrologiske resultater: Overlevelsesraten for hjertestans utenfor sykehuset med gode nevrologiske resultater ble dramatisk redusert for de uberørte sykehusene under angrepet. Den falt fra 40 % før angrepet til 4,5 % under angrepet.
Økt ventetid på ambulanse: Det var en 35,2 % økning i antallet ambulanser ved de «uberørte» sykehusene i angrepsperioden, noe som antyder at et betydelig antall ambulanser ble omdirigert på grunn av forstyrrelsene forårsaket av løsepengevirus ved de berørte sykehusene.
Stor økning i pasientantall: Siden angrepet var rettet mot fire regionale sykehus (to angrepet, to uberørte), opplevde akuttavdelingene ved de uberørte sykehusene en stor økning i pasienter. Den daglige opptellingen ved disse uberørte sykehusene økte med 15,1 % i angrepsfasen sammenlignet med før angrepsfasen.
Ytterligere forstyrrelser i behandling: I løpet av angrepene hadde de uberørte sykehusene en merkbar økning i pasienter som forlot sykehuset uten å ha blitt undersøkt, økning i ventetider og i total lengde på oppholdet for innlagte pasienter. For eksempel økte median ventetid fra 21 minutter før angrepet til 31 minutter under angrepet.

Eksempelstudier om løsepengevirus

Angrep med løsepengevirus i helsetjenester kan ha store konsekvenser, ikke bare for organisasjonene som blir utsatt, men også for pasientbehandling og driftstabilitet. De følgende eksempelstudiene illustrerer de langtrekkene virkningene av løsepengevirus på forskjellige typer helsetjenester, fra store sykehussystemer til små tjenester i distriktet. De viser hvordan angripere infiltrerer nettverkene på forskjellige måter, og hvilke forstyrrelser det resulterer i for viktige helsetjenester.
  • Angripere brukte stjålet påloggingsinformasjon til å få tilgang til nettverket via en sårbar gateway for ekstern pålogging som ikke brukte flerfaktorautentisering. De krypterte viktig infrastruktur og eksfiltrerte sensitive data i en dobbelt utpressingsplan hvor de truet med å frigi informasjonen med mindre løsepengene ble betalt.

    Innvirkning:     Angrepet forårsaket forstyrrelser og forhindret 80 % av helsetjenesteleverandører og apoteker i å verifisere forsikrings- og behandlingskrav. 
  • Angriperne utnyttet en sårbarhet i sykehusets ikke-sikkerhetsoppdaterte eldre programvare og beveget seg lateralt for å bryte seg inn i pasientplaner og pasientjournaler. Ved hjelp av en dobbelt utpressingstaktikk eksfiltrerte de sensitive data og truet med å frigi dem med mindre løsepengene ble betalt.

    Innvirkning: Angrepet forstyrret driften, forårsaket kansellerte avtaler, utsatte operasjoner og flytting til manuelle prosesser, noe som la ekstra press på personalet og skapte forsinkelser i behandlingen. 
  • Angripere brukte phishing-e-post til å få tilgang til sykehusets nettverk og utnyttet ikke-oppdaterte sårbarheter til å rulle ut løsepengevirus og kryptere elektroniske pasientjournaler og pasientbehandlingssystemer. I en dobbelt utpressingstaktikk eksfiltrerte de sensitive pasientopplysninger og økonomiske opplysninger og truet med å lekke opplysningene hvis løsepengene ikke ble betalt. 

    Innvirkning:     Angrepet forstyrret fire sykehus og over 30 klinikker, forsinket behandling og omdirigerte akuttpasienter og skapte frykt for datalekkasje. 
  • I februar 2021 ble datasystemet til et distriktssykehus med 44 sengeplasser lammet i et angrep, noe som gjorde det nødvendig med manuell drift i tre måneder og kraftige forsinkelser i forsikringskrav.

    Innvirkning:     Sykehusets manglende evne til å behandle utbetalinger i tide førte til økonomiske problemer og resulterte i at det lokale bygdesamfunnet var uten viktige helsetjenester. 

Den amerikanske helsetjenestesektoren er et attraktivt mål for økonomisk motiverte nettkriminelle på grunn av den store angrepsoverflaten, eldre systemer og varierende sikkerhetsprotokoller. Kombinasjonen av helsetjenesters avhengighet av digital teknologi, de sensitive opplysningene og ressursbegrensningene som mange organisasjoner lider under – ofte på grunn av syltynne marginer – kan begrense evnen deres til å investere skikkelig i cybersikkerhet, noe som gjør dem spesielt sårbare. I tillegg prioriterer organisasjoner pasientbehandling over alt annet, noe som kan føre til en villighet til å betale løsepenger for å unngå forstyrrelser.

Kjent for betaling av løsepengekrav

En del av grunnen til at løsepengevirus har blitt et så stort problem innen helsetjenester er sektorens villighet til å betale løsepenger. Helsetjenesteinstitusjoner prioriterer pasientbehandling over alt annet, og hvis de må betale millioner av dollar for å unngå forstyrrelser, er de ofte villige til å gjøre det.

Faktisk, i følge en nylig rapport basert på en undersøkelse av 402 helsetjenesteorganisasjoner, opplevde 67 % et angrep med løsepengevirus de siste året. Blant disse organisasjonene innrømmet 53 % at de hadde betalt løsepenger i 2024, en økning fra 42 % i 2023. Rapporten belyste også de økonomiske konsekvensene med en gjennomsnittlig løsepengeutbetaling på USD 4,4 millioner.12

Begrensede ressurser og investeringer i sikkerhet

En annen betydelig utfordring er de begrensede budsjettene og ressursene for cybersikkerhet i hele helsetjenestesektoren. I følge den nylige rapporten Healthcare Cybersecurity Needs a Check-Up 13 av CSC 2.0 (en gruppe som fortsetter arbeidet til den offentlige komiteen Cyberspace Solarium Commission) blir cybersikkerhet ofte mangelfullt finansiert "fordi budsjettene er stramme og leverandører må prioritere å betale for viktige pasienttjenester, noe som gjør helsetjenesteorganisasjoner mer sårbare for angrep."

I tillegg, til tross for problemets alvorlighetsgrad, investerer ikke helsetjenesteleverandører nok i cybersikkerhet. På grunn av flere kompliserte faktorer, blant annet en indirekte betalingsmodell som ofte fører til at øyeblikkelige kliniske behov prioriteres over mindre synlige investeringer, for eksempel cybersikkerhet, har helsetjenester underinvestert i betydelig grad i cybersikkerhet de siste to tiårene.10

I tillegg har den amerikanske loven Health Insurance Portability and Accountability Act ført til prioritering av investering i datakonfidensialitet, noe som ofte betyr at dataintegritet og -tilgjengelighet kommer på andreplass. Denne tilnærmingen kan resultere i redusert fokus på organisasjoners motstandsdyktighet, spesielt når det gjelder å gjenopprettingstid og gjenopprettingspunkt.

Eldre systemer og sårbar infrastruktur

Et resultat av underinvesteringen i cybersikkerhet er en avhengighet av utdaterte, eldre systemer som er vanskelige å oppdatere, og som har blitt yndede mål for nettkriminelle. Dessuten skaper bruken av uforenelig teknologi et lappeteppe av en infrastruktur med hull i sikkerheten, noe som øker risikoen for angrep.

Denne sårbare infrastrukturen gjøres enda mer komplisert av helsetjenestebransjens nylige trend for konsolidering. Sammenslåing av sykehus, som er i fremmarsj (økning på 23 % siden 2022 og på sitt høyeste nivå siden 202014) skaper organisasjoner med komplisert infrastruktur som strekker seg over flere steder. Uten tilstrekkelig investering i cybersikkerhet blir disse infrastrukturene svært sårbare for angrep.

Utvidet angrepsoverflate

Mens helsetjenestenettverker av sammenkoblede enheter og medisinsk teknologi bidrar til å bedre resultatene for pasienter og redde liv, har de også gjorde den digitale angrepsoverflaten større, noe som trusselaktører utnytter i økende grad.

Sykehus er mer nettbaserte enn noen gang før, med medisinske enheter, blant annet CT-undersøkelser, pasientovervåkingssystemer og infusjonspumper koblet til nettverk, men ikke alltid med graden av synlighet som er nødvendig for å identifisere og redusere sårbarheter som kan ha en alvorlig innvirkning på pasientbehandlingen.

Legene Christian Dameff og Jeff Tully, meddirektører og medgründere av University of California San Diego Center for Healthcare Cybersecurity, bemerker at i gjennomsnitt er 70 % av sykehusendepunkter ikke datamaskiner, men enheter.   
Et sykehusrom med medisinsk utstyr, en hvit skuff og en blå gardin.

Helseorganisasjoner overfører også store mengder data. I henhold til data fra Office of the National Coordinator for Health IT, rapporterer over 88 % av sykehus at de sender og mottar pasienters helseopplysninger elektronisk, og mer enn 60 % rapporterer at de integrerer disse opplysningene i de elektroniske pasientjournalene.15

Små distriktstjenester har særskilte utfordringer

Distriktssykehus er spesielt sårbare for løsepengevirushendelser fordi de ofte har begrensede midler til å forhindre og utbedre sikkerhetsrisikoer. Dette kan vært katastrofalt for lokalsamfunnet siden disse sykehusene ofte er den eneste helsetjenesten som er tilgjengelig i området.

I følge Dameff og Tully mangler distriktssykehusene vanligvis det samme nivået infrastruktur og ekspertise innen cybersikkerhet som sine større, urbane motstykker. De bemerker også at mange av disse sykehusenes forretningsplaner kan være utdaterte eller utilstrekkelige for å håndtere moderne datatrusler som løsepengevirus.

Mange små sykehus eller distriktssykehus har store økonomiske begrensninger og opererer med svært smale profittmarginer. Denne økonomiske realiteten gjør det utfordrende for dem å investere i solide cybersikkerhetstiltak. Disse fasilitetene er ofte avhengig av én generell IT-person, en som kan ta seg av daglige tekniske problemer, men som mangler spesialkunnskaper i cybersikkerhet.

En rapport fra Department of Health and Human Services Health Care Industry Cybersecurity Task Force, som ble opprettet som en del av loven Cybersecurity Act fra 2015, trekker frem at en stor andel distriktssykehus mangler en fulltidsansatt som spesialiserer seg på cybersikkerhet, noe som understreker de større ressursutfordringene som små helsetjenesteleverandører står overfor.

«Disse generelle IT-personene er ofte noen som er gode på nettverks- og datastyring og er vant til å ta seg av problemer med utskrift, pålogging og passord», forklarer Dameff. «De er ikke eksperter på cybersikkerhet. De har ikke ansatte nok eller penger nok, og de vet ikke engang hvor de skal begynne.»

Et angrep fra en nettkriminell følger vanligvis en totrinnstilnærming: skaffe tilgang til nettverket i første omgang, ofte gjennom phishing eller å utnytte sårbarheter, fulgt av utrulling av løsepengevirus som krypterer viktige systemer og data. Utviklingen av denne taktikken, inkludert bruken av legitime verktøy og spredningen av løsepengevirus som tjeneste, har gjort angrepene mer tilgjengelige og hyppige.

Det første stadiet av et angrep med løsepengevirus: tilgang til helsetjenestens nettverk

Jack Mott, som tidligere ledet et team som spesialiserte seg på utvikling av trusselinformasjon og -oppdagelse i bedrifts-e-post i Microsoft, sier at: "E-post er fortsatt en av de mest brukte måtene å levere skadelig programvare og phishing på for angrep med løsepengevirus.»16

I en analyse av Microsoft trusselinformasjon av 13 sykehussystemer som representerer flere typer tjenester, blant annet distriktssykehus, var 93 % av den skadelige cyberaktiviteten som ble observert, relatert til phishing-kampanjer og løsepengevirus, og det meste av aktiviteten forekom gjennom e-postbaserte trusler.17
"E-post er fortsatt en av de mest brukte måtene å levere skadelig programvare og phishing på for angrep med løsepengevirus."
Jack Mott 
Microsoft trusselinformasjon

Kampanjer rettet mot helsetjenesteorganisasjoner bruker ofte bestemte lokkemidler. Mott nevner for eksempel hvordan trusselaktører skriver e-postmeldinger med helserelatert sjargong, for eksempel referanser til obduksjonsrapporter, for å virke mer troverdige og øke sjansen for å lure helsetjenestepersonell. 

Slike taktikker for sosial manipulering, spesielt i miljøer som har høyt trykk, som helsetjenester har, utnytter det at helsetjenestearbeidere ofte er under tidspress, noe som kan føre til mulige sikkerhetstabber. 

Mott bemerker også at angripere bruker stadig mer sofistikerte metoder, ofte ved å bruke "ekte navn, legitime tjenester og vanlige verktøy i IT-tjenester (for eksempel verktøy for fjernadministrasjon)" for å unngå å bli oppdaget. Disse taktikkene gjør det utfordrende for sikkerhetssystemene å skille mellom skadelig og legitim aktivitet. 

Data fra Microsoft trusselinformasjon viser også at angripere ofte utnytter kjente sårbarheter i organisasjonens programvare eller systemer som er identifisert tidligere. Slike vanlige sårbarheter og eksponeringer er godt dokumenterte og har tilgjengelige sikkerhetsoppdateringer eller løsninger, og angripere benytter seg ofte av disse eldre sårbarhetene fordi de vet at mange organisasjoner ikke ennå har fikset på svakheten.18

Når angripere først har kommet seg inn, utfører de ofte en nettverksrekognosering, noe som kan identifiseres gjennom for eksempel en økning i søkeaktivitet. Disse handlingene hjelper trusselaktører med å få oversikt over nettverket, identifisere viktige systemer og klargjøre til den neste fasen i angrepet: utrullingen av løsepengevirus.

Det siste stadiet av et angrep med løsepengevirus: utrulling av løsepengevirus for å kryptere viktige systemer

Når trusselaktører har fått tilgang, vanligvis gjennom phishing eller skadelig programvare levert over e-post, går de til den andre fasen: utrullingen av løsepengevirus.

Jack Mott forklarer at veksten i modeller for løsepengevirus som tjeneste har bidratt i betydelig grad til de hyppigere angrepene med løsepengevirus i helsetjenestesektoren. "Plattformer for løsepengevirus som tjeneste betyr at det er lettere å få tilgang til sofistikerte verktøy for løsepengevirus, slik at selv personer med minimale tekniske ferdigheter kan iverksette effektive angrep", påpeker Mott. Denne modellen senker barrieren for angripere å komme seg inn, slik at angrep med løsepengevirus blir mer tilgjengelige og effektive.
"Plattformer for løsepengevirus som tjeneste betyr at det er lettere å få tilgang til sofistikerte verktøy for løsepengevirus, slik at selv personer med minimale tekniske ferdigheter kan iverksette effektive angrep.» 
Jack Mott 
Microsoft trusselinformasjon

Når det gjelder hvordan løsepengevirus som tjeneste fungerer, forklarer Mott videre: "Disse plattformene omfatter ofte rikholdige verktøy, blant annet krypteringsprogramvare, betalingsbehandling og til og med kundeservice for å forhandle betaling av løsepengene. Denne nøkkelferdige tilnærmingen gjør det mulig for et stort antall trusselaktører å utføre løsepengeviruskampanjer, noe som fører til at slike angrep blir både flere og alvorligere."

I tillegg påpeker Mott hvor koordinerte disse angrepene er, og han understreker at: "Når løsepengevirus er rullet ut, handler angriperne vanligvis raskt for å kryptere kritiske systemer og data, ofte på noen timer. De går etter viktig infrastruktur, for eksempel pasientjournaler, diagnosesystemer og til og med fakturasystemer for å få størst mulig innvirkning og legge mest mulig press på helsetjenesteorganisasjonen til å betalte løsepengene."

Angrep med løsepengevirus mot helsetjenester: en profil av større trusselaktørgrupper

Angrep med løsepengevirus i helsetjenestesektoren utføres ofte av svært organiserte og spesialiserte trusselaktørgrupper. Disse gruppene, som omfatter både økonomisk motiverte nettkriminelle og sofistikerte statlige aktører, bruker avanserte verktøy og strategier til å infiltrere nettverk, kryptere data og kreve løsepenger fra organisasjoner.

Blant disse trusselaktørene har statssponsede hackere fra autoritære regimer visstnok brukt løsepengevirus og til og med samarbeidet med løsepengevirusgrupper for spionasjeformål. Trusselaktører knyttet til de kinesiske myndighetene er for eksempel mistenkt for å bruke løsepengevirus i økende grad som dekke for spionasjeaktivitet.19

Iranske trusselaktører fremsto som de mest aktive når det gjaldt angrep mot helsetjenesteorganisasjoner i 2024.20 Faktisk utstedte de amerikanske myndighetene i august 2024 en advarsel til helsesektoren om en Iran-basert trusselaktør kjent som Lemon Sandstorm. Denne gruppen «utnyttet uautorisert nettverkstilgang til amerikanske organisasjoner, blant annet helsetjenesteorganisasjoner, for å legge til rette for, utføre og tjene penger på fremtidige angrep med løsepengevirus av løsepengevirusgjenger som ser ut til å være tilknyttet Russland.»21

De følgende profilene gir innsikt i noen av de mest beryktede, økonomisk motiverte løsepengevirusgruppene som retter angrep mot helsetjenester. De inneholder informasjon om metodene deres, motivasjonen og innvirkningen som aktivitetene deres har på bransjen.
  • Lace Tempest er en effektiv løsepengevirusgruppe som angriper helsetjenester. De bruker modellen løsepengevirus som tjeneste og gjør det mulig for medlemmer å rulle ut løsepengevirus på en enkel måte. Gruppen er koblet til alvorlige angrep på sykehussystemer, kryptering av kritisk pasientdata og krav om løsepenger. De er kjent for å drive dobbelt utpressing og nøyer seg ikke med bare å kryptere data, men eksfiltrerer dem også og truer med å lekke sensitiv informasjon hvis løsepengene ikke betales.
  • Sangria Tempest er beryktet for avanserte angrep med løsepengevirus på helsetjenesteorganisasjoner. De bruker sofistikert kryptering og gjør det nesten umulig å gjenopprette data uten å betale løsepenger. De bruker også dobbelt utpressing, eksfiltrerer pasientdata og truer med å lekke den. Angrepene skaper store driftsavbrudd og tvinger helsetjenestesystemene til å omdirigere ressurser, som har en negativ innvirkning på pasientbehandling.
  • Cadenza Tempest er kjent for å distribuere DDoS (distribuert tjenestenekt)-angrep og har i økende grad gått over til å angripe helsetjenestedrift med løsepengevirus. De er identifiser som en russiskvennlig hacktivistgruppe som retter angrep mot helsetjenestesystemer i områder som er fiendtlige til russiske interesser. Angrepene overvelder sykehussystemer, forstyrrer kritisk drift og skaper kaos, særlig i kombinasjon med løsepengevirus.
  • Den økonomisk motiverte gruppen Vanilla Tempest, om har vært aktiv siden juli 2022, har nylig begynt å bruke INC-løsepengevirus som er anskaffet gjennom leverandører av løsepengevirus som tjeneste, til å angripe helsetjenester i USA. De utnytter sårbarheter, bruker egendefinerte skripter og standard Windows-verktøy til å stjele påloggingsinformasjon, bevege seg lateralt og rulle ut løsepengevirus. Gruppen benytter seg av dobbelt utpressing og krever løsepenger for å frigi systemer og forhindre at stjålne data lekkes.

Stilt overfor stadig mer sofistikerte angrep med løsepengevirus må helsetjenesteorganisasjoner innføre en mangefasettert tilnærming til cybersikkerhet. De må være forberedt på å motstå, svare på og gjenopprette fra cyberhendelser mens de samtidig opprettholder pasientbehandlingen.

Følgende veileding gir et solid rammeverk for å oppnå større motstandsdyktighet, sikre rask gjenoppretting, innprente viktigheten av sikkerhet hos arbeidsstyrken og oppmuntre til samarbeid i helsetjenestesektoren.

Styring: sikring av beredskap og motstandsdyktighet

En bygning med mange vinduer under en blå himmel med skyer

Effektiv styring innen cybersikkerhet for helsetjenester er viktig for å bli beredt å svare på angrep med løsepengevirus. Dameff og Tully fra UC San Diego Center for Healthcare Cybersecurity anbefaler å opprette et solid styringsrammeverk med tydelige roller, jevnlig opplæring og samarbeid på tvers av disipliner. Dette hjelper helsetjenesteorganisasjoner med å bli mer motstandsdyktige mot angrep fra løsepengevirus og bedre i stand til å sikre pasientbehandling uten avbrudd, selv stilt overfor betydelige forstyrrelser.

En viktig del av dette rammeverket er å bryte ned siloer mellom klinisk personale, IT-sikkerhetsteam og ledelsen for akuttjenester for å utvikle sammenhengende planer for svar på hendelser. Dette samarbeidet på tvers av avdelinger er viktig for å opprettholde pasientsikkerhet og behandlingskvalitet når teknologiske systemene blir utsatt.

Dameff og Tully understreker også nødvendigheten av å ha et eget styringsorgan eller -råd som møtes jevnlig for å se gjennom og oppdatere planene for svar på hendelser. De anbefaler at disse styringsorganene får muligheten til å teste svarplaner gjennom realistiske simuleringer og øvelser for å sikre at alt personell, inkludert yngre personell som kanskje ikke er vant med papirjournaler, er i stand til å operere på en effektiv måte uten digitale verktøy.

Dameff og Tully understreker dessuten viktigheten av eksternt samarbeid. De går inn for regionale og nasjonale systemer som lar sykehus støtte hverandre under større hendelser i tråd med behovet for et "strategisk nasjonalt forråd" av teknologi som kan midlertidig erstatte kompromitterte systemer.

Motstandsdyktighet og strategiske svar

Cybermotstandsdyktigheten til helsetjenester handler om mer enn bare å beskytte dataene. Det dreier seg om å sikre at hele systemer kan motstå angrep og gjenopprettes etterpå. Det er viktig å ha en omfattende tilnærming til motstandsdyktighet og ikke bare fokusere på sikring av pasientdata, men også på å styrke hele infrastrukturen som støtter driften av helsetjenester. Dette omfatter hele systemet – nettverk, forsyningskjede, medisinske enheter med mer.

Det er avgjørende å innføre en dyp forsvarsstrategi for å skape en lagdelt sikkerhetsstatus som på en effektiv måte kan stoppe angrep med løsepengevirus.

Det er avgjørende å innføre en dyp forsvarsstrategi for å skape en lagdelt sikkerhetsstatus som på en effektiv måte kan stoppe angrep med løsepengevirus. Denne strategien består av å sikre hvert eneste lag av infrastrukturen til helsetjenesten – fra nettverket til endepunktene til skyen. Ved å sikre at det er flere forsvarslag på plass, kan helsetjenesteorganisasjoner redusere risikoen for et vellykket angrep med løsepengevirus.

Som en del av denne lagdelte tilnærmingen for Microsoft-kunder overvåker Microsoft trusselinformasjon aktivt etter tegn til fiendtlig virksomhet. Når slik aktivitet oppdages, sendes det ut et direkte varsel.

Dette er ikke en betalt eller trinnvis tjeneste. Bedrifter av alle størrelser får samme oppmerksomhet. Målet er å sende et varsel med én gang når mulige trusler, inkludert løsepengevirus, oppdages, og hjelpe med å iverksette tiltak for å beskytte organisasjonen.

I tillegg til å iverksette disse forsvarslagene er det viktig å ha en effektiv plan for oppdagelse og svar på hendelser. Det holder ikke bare å ha en plan, helsetjenesteorganisasjoner må være forberedt på å utføre den på en effektiv måte under et virkelig angrep for å redusere skaden til et minimum og sikre rask gjenoppretting.

Til slutt er funksjoner for overvåking og oppdaging i sanntid viktig for et robust system for svar på hendelser for å sikre at mulige trusler kan identifiseres og håndteres omgående.

Hvis du vil ha mer informasjon om cybermotstandsdyktighet for helsetjenester, har Department of Health and Human Services (HHS) publisert ytelsesmål for cybersikkerhet spesielt for uavhengige helsetjenester for å hjelpe organisasjoner med å prioritere iverksetting av effektiv cybersikkerhetspraksis.

Ytelsesmålene ble utviklet gjennom et samarbeid mellom offentlige og private aktører ved hjelp av vanlige rammer, retningslinjer, anbefalte fremgangsmåter og strategier for cybersikkerhet, og de består av en undergruppe cybersikkerhetsmetoder som helsetjenesteorganisasjoner kan bruke til å styrke cybermotstandsdyktigheten og beskytte pasientopplysninger og sikkerheten.

Trinn for rask gjenoppretting og styrking av sikkerheten etter et angrep

Gjenoppretting etter et angrep med løsepengevirus krever en systematisk tilnærming for å sikre en rask tilbakevending til vanlig drift og samtidig at fremtidige hendelser forhindres. Nedenfor finner du praktiske trinn som kan brukes til å vurdere skaden, gjenopprette berørte systemer og forsterke sikkerhetstiltak. Ved å følge disse retningslinjene kan helsetjenesteorganisasjoner bidra til å redusere innvirkningen av et angrep og styrke forsvaret mot fremtidige trusler.
Vurder innvirkningen og begrens angrepet

Isoler berørte systemer umiddelbart for å forhindre spredning.
Gjenopprett fra gode sikkerhetskopier

Sikre at gode sikkerhetskopier er tilgjengelige og bekreftet før gjenopprettingsoperasjonen begynner. Oppretthold frakoblede sikkerhetskopier for å unngå at de krypteres av løsepengevirus.
Gjenoppbygg systemer

Vurder å gjenoppbygge kompromitterte systemer istedenfor å oppdatere for å fjerne mulig skadelig programvare som ligger igjen. Bruk veiledningen fra Microsoft svar på hendelser om sikker gjenoppbygging av systemer. 
Forsterk sikkerhetskontroller etter angrepet

Styrk sikkerhetsstatus etter angrepet ved å ta tak i sårbarheter, sikkerhetsoppdatere systemer og forbedre verktøy for oppdagelse i endepunkter.
Utfør en gjennomgang etter hendelsen

Jobb med en ekstern sikkerhetsleverandør, og analyser angrepet for å identifisere svake punkter og forbedre forsvaret for fremtidige hendelser.

Utvikling av en sikkerhetskyndig arbeidsstyrke

En mann og en kvinne som ser på ansiktet til en kvinne.

Å skape en sikkerhetskyndig arbeidsstyrke krever pågående samarbeid på tvers av disipliner.

Å skape en sikkerhetskyndig arbeidsstyrke krever pågående samarbeid på tvers av disipliner. Det er viktig å bryte ned siloer mellom IT-sikkerhetsteam, ledere for akuttjenester og medisinsk personell for å utvikle sammenhengende planer for svar på hendelser. Uten dette samarbeidet kan det hende resten av sykehuset ikke er tilstrekkelig forberedt på å svare effektivt under en cyberhendelse.

Opplæring og bevissthet

Effektiv opplæring og en sterk rapporteringskultur er viktige elementer i helsetjenesteorganisasjonens forsvar mot løsepengevirus. Med tanke på at helsetjenestearbeidere ofte prioriterer pasientbehandlingen, er de ikke alltid like opptatt av cybersikkerhet, noe som kan gjøre dem mer sårbare for cybertrusler.

For å ta tak i dette må opplæringen omfatte det grunnleggende innen cybersikkerhet, for eksempel hvordan man gjenkjenner phishing-e-post, unngår å klikke på mistenkelige koblinger og gjenkjenner vanlige taktikker for sosial manipulering.

Microsofts ressurser for bevisstgjøring om cybersikkerhet kan hjelpe med dette.

"Det er viktig å oppmuntre ansatte til å melde fra om sikkerhetsproblemer uten frykt for kritikk", forklarer Microsofts Mott. "Jo før du kan melde fra om noe, desto bedre. Hvis det viser seg å være falsk alarm, er det å foretrekke."

Jevnlige øvelser og simuleringer burde også etterligne virkelige angrep, for eksempel phishing eller løsepengevirus, for å hjelpe ansatte med å praktisere svarene i kontrollerte former.

Informasjonsdeling, samarbeid og felles forsvar

Fordi angrep med løsepengevirus generelt er på økende front (Microsoft observerer en økning på 2,75 per år hos kundene våre16), er det viktig å ha en felles forsvarsstrategi. Samarbeid – mellom interne team, regionale partnere og større nasjonale/globale nettverk – er avgjørende for å sikre driften av helsetjenester og pasientenes sikkerhet.

Å samle disse gruppene for å utvikle og iverksette omfattende planer for svar på hendelser kan forhindre driftkaos under angrep.

Dameff og Tully understreker viktigheten av å samle interne team, for eksempel leger, ledere for akuttjenesten og IT-sikkerhetsansatte, som ofte jobber hver for seg. Å samle disse gruppene for å utvikle og iverksette omfattende planer for svar på hendelser kan forhindre driftkaos under angrep.

På regionalt nivå burde helsetjenesteorganisasjoner danne partnerskap som gjør at helsetjenestefasiliteter kan dele kapasitet og ressurser og sikre at pasientbehandlingen fortsetter selv når enkelte sykehus berøres av løsepengevirus. Denne formen for kollektivt forsvar kan også bidra til å administrere pasientoverskudd og fordele byrden på helsetjenesteleverandører.

Ut over regionalt samarbeid er det vesentlig å ha nasjonale og globale informasjonsdelingsnettverk. ISAC (Information Sharing and Analysis Center)-sentre, for eksempel Health-ISAC, tjener som plattformer hvor helsetjenesteorganisasjoner kan utveksle viktig trusselinformasjon. Errol Weiss, sikkerhetsansvarlig ved Health-ISAC, sammenligner disse organisasjonene med "virtuelle nabovakter," hvor medlemsorganisasjoner raskt kan dele informasjon om angrep og teknikker for å redusere risikoen. Denne informasjondelingen hjelper andre med å forberede seg på eller fjerne lignende trusler og styrker det kollektive forsvaret i større skala.

  1. [1]
    Microsoft trusselinformasjon, interne data, andre kvartal 2024
  2. [2]
    (Executive Summary for CISOs: Current and Emerging Healthcare Cyber Threat Landscape; Health-ISAC and the American Hospital Association (AHA))  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    «TRANSCRIPT: House Committee Hearing to Assess Microsoft’s Cybersecurity Shortfalls», Tech Policy Press, 15. juni 2024
  4. [4]
    «On average, healthcare organizations lose USD$900,000 per day to downtime from ransomware attacks», Comparitech, 6. mars 2024
  5. [5]
    «Healthcare Ransomware Attacks Continue to Increase in Number and Severity», The HIPAA Journal, september 2024
  6. [6]
    Hacked to Pieces? The Effects of Ransomware Attacks on Hospitals and Patients; https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    Ransomware Attack Associated With Disruptions at Adjacent Emergency Departments in the US; Ransomware Attack Associated With Disruptions at Adjacent Emergency Departments in the US | Emergency Medicine | JAMA Network Open | JAMA Network
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    «Ascension Ransomware Attack Hurts Financial Recovery», The HIPPA Journal, 20. september 2024
  10. [10]
    «Patient Data Exposed in Phishing Attack on UC San Diego Health», The HIPPA Journal, 13. mars 2024
  11. [11]
    «Ransomware Attack Key Factor in Decision to Close Rural Illinois Hospital», The HIPPA Journal, 14. juni 2023
  12. [12]
    «Healthcare Ransomware Attacks Continue to Increase in Number and Severity», The HIPAA Journal, september 2024
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    There were more hospital mergers in 2023, and financial distress is driving more deals (chiefhealthcareexecutive.com)
  15. [15]
    Interoperability and Methods of Exchange among Hospitals in 2021 | HealthIT.gov
  16. [16]
    Microsoft-rapport om digitalt forsvar 2024, Microsoft, side 27
  17. [17]
    Microsoft trusselinformasjon-telemetri, 2024
  18. [18]
    «Known Exploited Vulnerabilities Catalog», CISA, 2024
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    Data fra Microsoft trusselinformasjon om cybertrusler for helsetjenester, 2024
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
Løsepengevirus Nettkriminalitet

Mer fra Sikkerhet

Hygieneveiledning for cybermotstandsdyktighet

Grunnleggende cyberhygiene er fremdeles den beste måten å beskytte organisasjonens identiteter, enheter, data, apper, infrastruktur og nettverk på, mot 98 % av alle datatrusler. Få praktiske tips i en omfattende veiledning.
Mer informasjon

På innsiden av kampen mot hackere som er ansvarlige for forstyrrelser på sykehus og har satt liv i fare

Mer informasjon om de nyeste fremvoksende truslene fra trusseldata og forskning fra Microsoft. Få analyser av trender og praktisk veiledning for å styrke første forsvarslinje.
Mer informasjon

Svindel gjennom sosial manipulering får næring fra tillitsøkonomien

Utforsk et digitalt landskap i endring, hvor tillit er både en valuta og en sårbarhet. Oppdag svindeltaktikken med sosial manipulering som cyberangripere bruker mest, og se gjennom strategier som kan hjelpe deg med å utmanøvrere trusler fra sosial manipulering, som har til hensikt å lure mennesker.
Mer informasjon

Følg Microsoft Sikkerhet