This is the Trace Id: ff45c7ed3875027f0f701d297574e86f

Zdravotná starostlivosť v USA v ohrození: Posilnenie odolnosti proti útokom ransomwaru

Zdieľať
Skupina lekárov sa pozerá na tablet

Sektor zdravotníctva čelí rýchlo rastúcemu rozsahu hrozieb pre kybernetickú bezpečnosť, pričom útoky ransomwaru sa ukazujú ako jedny z najvážnejších. Kombinácia cenných údajov o pacientoch, vzájomne prepojených zdravotníckych zariadení a malého počtu personálu operácií IT/kybernetickej bezpečnosti, kde sa zdroje šíria na tenko, je príčinou toho, že zdravotnícke organizácie sa môžu pre aktérov hrozieb stať hlavnými cieľmi. Keďže operácie zdravotnej starostlivosti sa čoraz viac digitalizujú, a to od elektronických zdravotných záznamov (EHR) až po platformy telemedicíny a prepojené zdravotnícke zariadenia, možné miesta útokov v nemocniciach sa stávajú zložitejšími, čo ďalej zvyšuje zraniteľnosť voči útokom.

V nasledujúcich sekciách nájdete prehľad súčasného prostredia kybernetickej bezpečnosti v zdravotníctve s dôrazom na stav tohto odvetvia ako hlavného cieľa, rastúcu frekvenciu útokov ransomwaru a vážne dôsledky týchto hrozieb na financie a starostlivosť o pacientov.

V rámci videodiskusie, ktorú vedie Sherrod DeGrippo, riaditeľ stratégie analýzy hrozieb pre Microsoft, sa ďalej skúmajú tieto kritické problémy a ponúkajú sa pohľady odborníkov na zdroje hrozieb, stratégie obnovy a zraniteľnosti v oblasti zdravotnej starostlivosti.

Prehľad Microsoft Analýzy hrozieb: Zdravotníctvo

Sherrod DeGrippo, riaditeľ stratégie analýzy hrozieb pre Microsoft Analýzu hrozieb, vedie živú diskusiu za okrúhlym stolom s odborníkmi na analýzu hrozieb a zabezpečenie v oblasti zdravotníctve, ktorí skúmajú, prečo je zdravotníctvo jedinečne náchylné na ​​útoky ransomwaru, aké taktiky používajú skupiny aktérov hrozieb, ako si zachovať odolnosť a ďalšie témy.
  • Podľa Microsoft Analýzy hrozieb bol sektor zdravotníctva/verejného zdravotníctva jedným z 10 najviac ovplyvnených odvetví v druhom štvrťroku 2024.1
  • Ransomware ako služba (RaaS) znížil vstupné bariéry pre útočníkov s nedostatkom technickej odbornosti, pričom Rusko poskytuje bezpečný prístav pre ransomwarové skupiny. V dôsledku toho od roku 2015 počet útokov ransomwaru prudko vzrástol o 300 %.2
  • V tomto fiškálnom roku bolo v USA ransomwarom zasiahnutých 389 zdravotníckych inštitúcií, čo spôsobilo vyradenia siete, systémy v režime offline, oneskorenia kritických lekárskych zákrokov a preplánovanie plánovaných činností.3. Útoky sú nákladné, pričom z jednej správy z odvetvia vyplýva, že zdravotnícke organizácie strácajú až 900 000 USD za deň iba na prestojoch.4
  • V prípade 99 zdravotníckych organizácií, ktoré priznali zaplatenie výkupného a zverejnili sumu zaplateného výkupného, bola mediánová platba 1,5 milióna USD a priemerná platba 4,4 milióna USD.5

Závažný vplyv na starostlivosť o pacientov

Narušenie operácií zdravotnej starostlivosti spôsobené útokom ransomwaru môže závažne ovplyvniť schopnosť efektívne liečiť pacientov, a to nielen v zasiahnutých nemocniciach, ale aj v nemocniciach v blízkych oblastiach, ktoré absorbujú množstvo presunutých pacientov na oddelení urgentného príjmu.6

Zvážte zistenia z nedávnej štúdie, ktorá ukazuje, ako ransomwarový útok proti štyrom nemocniciam (dve boli skutočne napadnuté a dve zostali nezasiahnuté) viedol k zvýšeniu počtu pacientov na oddelení urgentného príjmu, predĺženiu čakacích dôb a ďalšiemu zaťaženiu zdrojov, a to najmä v oblasti starostlivosti citlivej na čas, ako je liečba mozgovej príhody, v dvoch nezasiahnutých susedných nemocniciach.7
Nárast počtu prípadov mozgovej príhody: Útok ransomwaru výrazne zaťažil celkový ekosystém zdravotnej starostlivosti, pretože nezasiahnuté nemocnice museli absorbovať pacientov zo zasiahnutých nemocníc. Počet aktivácií kódu mozgovej príhody v blízkych nemocniciach sa takmer zdvojnásobil z 59 na 103, pričom počet potvrdených mozgových príhod vzrástol o 113,6 %, konkrétne z 22 na 47 prípadov.
Zvýšenie počtu zástav srdca: Útok spôsobil tlak na systém zdravotnej starostlivosti, pretože počet prípadov zástavy srdca v nezasiahnutej nemocnici vzrástol z 21 na 38, čo predstavuje zvýšenie o 81 %. To odráža kaskádový vplyv poškodenia jedného zariadenia, v dôsledku ktorého musia blízke nemocnice nutne riešiť viac kritických prípadov.
Zníženie miery prežitia s priaznivými neurologickými výsledkami: Miera prežitia v prípade zástav srdca mimo nemocnice s priaznivými neurologickými výsledkami v nezasiahnutých nemocniciach počas útoku dramaticky klesla, a to zo 40 % pred útokom na 4,5 % počas fázy útoku.
Zvýšenie počtu príchodov sanitiek: Počas fázy útoku počet príchodov záchrannej zdravotnej služby (EMS) do „nezasiahnutých“ nemocníc vzrástol o 35,2 %, čo naznačuje výrazný odklon premávky sanitiek v dôsledku narušenia spôsobeného ransomwarom v zasiahnutých nemocniciach.
Prudký nárast počtov pacientov: Keďže útok ohrozil štyri nemocnice v oblasti (dve boli skutočne napadnuté a dve zostali nezasiahnuté), oddelenia urgentného príjmu (ED) v nezasiahnutých nemocniciach zaznamenali značný prílev pacientov. Denné počty v týchto nezasiahnutých nemocniciach sa počas fázy útoku zvýšili o 15,1 % v porovnaní s fázou pred útokom.
Ďalšie narušenia starostlivosti: Nezasiahnuté nemocnice počas útokov zaznamenali výrazné zvýšenie počtu pacientov, ktorí odchádzali bez vyšetrenia, dĺžky času stráveného v čakární a celkovej dĺžky pobytu prijatých pacientov. Napríklad mediánová dĺžka času stráveného v čakární sa zvýšila z 21 minút pred útokom na 31 minút počas útoku.

Prípadové štúdie ransomwaru

Ransomwarové ​​útoky v zdravotníctve môžu mať ničivé následky, a to nielen pre cieľové organizácie, ale aj pre starostlivosť o pacientov a prevádzkovú stabilitu. Nasledujúce prípadové štúdie ilustrujú ďalekosiahle účinky ransomwaru na rôzne typy zdravotníckych organizácií, od veľkých nemocničných systémov až po malých vidieckych poskytovateľov, pričom dôraz sa kladie na rôzne spôsoby infiltrácie útočníkov do sietí a následné narušenia základných zdravotníckych služieb.
  • Útočníci použili zneužité prihlasovacie údaje na prístup k sieti cez zraniteľnú bránu vzdialeného prístupu bez viacfaktorového overovania. Zašifrovali kritickú infraštruktúru a exfiltrovali citlivé údaje v schéme dvojitého vydierania, pričom sa vyhrážali ich zverejnením, pokiaľ nebude zaplatené výkupné.

    Vplyv:     Útok spôsobil narušenia a zabránil 80 % poskytovateľov zdravotnej starostlivosti a lekární v overovaní poistenia alebo spracovaní nárokov. 
  • Útočníci využili zraniteľnosť v staršom softvéri nemocnice bez opráv a laterálnym pohybom prešli na ohrozenie plánovania návštev pacientov a zdravotných záznamov. Pomocou taktiky dvojitého vydierania exfiltrovali citlivé údaje a vyhrážali sa ich zverejnením, pokiaľ nebude zaplatené výkupné.

    Vplyv: Útok narušil prevádzku a spôsobil zrušenie plánovaných činností, oneskorenie operácií a prechod na manuálne procesy, ktoré vyťažovali personál a oneskorili poskytnutie starostlivosti. 
  • Pomocou phishingových e-mailov útočníci získali prístup do nemocničnej siete, kde využili neopravené zraniteľnosti na nasadenie ransomwaru a zašifrovali systém elektronických zdravotných záznamov a starostlivosti o pacientov. Taktikou dvojitého vydierania exfiltrovali citlivé údaje o pacientoch a financiách, pričom sa vyhrážali ich únikom, ak nebude zaplatené výkupné. 

    Vplyv:     Útok narušil prevádzku štyroch nemocníc a viac ako 30 kliník, pričom došlo k oneskoreniu liečby a odklonu urgentných pacientov a s obavami v súvislosti s únikom údajov. 
  • Vo februári 2021 útok ransomwaru ochromil počítačové systémy 44-lôžkovej vidieckej nemocnice, čo si vynútilo manuálne operácie po dobu troch mesiacov a výrazne oneskorilo poistné nároky.

    Vplyv:     Neschopnosť nemocnice včas vyberať platby viedla k finančným problémom, pričom miestna vidiecka komunita ostala bez kritických zdravotníckych služieb. 

Americký sektor zdravotníctva predstavuje atraktívny cieľ pre finančne motivovaných počítačových zločincov v dôsledku širokého rozsahu možných miest útokov, starších systémov a nekonzistentných protokolov zabezpečenia. Kombinácia závislosti zdravotnej starostlivosti od digitálnych technológií, citlivých údajov a obmedzení zdrojov, ktorým čelia mnohé organizácie (často pre veľmi nízke marže), môže obmedziť ich schopnosť plne investovať do kybernetickej bezpečnosti, v dôsledku čoho budú zvlášť zraniteľné. Zdravotnícke organizácie navyše uprednostňujú starostlivosť o pacienta za každú cenu, čo môže viesť k ochote zaplatiť výkupné, aby predišli narušeniam.

Povesť platenia výkupného

Jedným z dôvodov, prečo sa ransomware stal takým výrazným problémom v zdravotníctve, je doterajšia história platieb výkupného v tomto sektore. Zdravotnícke organizácie nadovšetko uprednostňujú starostlivosť o pacientov a často sú ochotné zaplatiť milióny dolárov, ak tak musia urobiť, aby sa vyhli narušeniam.

Podľa nedávnej správy, ktorá vznikla na základe prieskumu v 402 zdravotníckych organizáciách, v skutočnosti 67 % z nich v minulom roku zažilo útok ransomwaru. Až 53 % týchto organizácií priznalo zaplatenie výkupného v roku 2024, pričom v roku 2023 ich bolo 42 %. Správa kladie dôraz aj na finančný vplyv, kde priemerná priznaná suma platby výkupného predstavuje 4,4 milióna USD.12

Obmedzené zdroje a investície´v oblasti zabezpečenia

Ďalšou významnou výzvou v rámci celého sektora zdravotníctva sú obmedzené rozpočty a zdroje na kybernetickú bezpečnosť. Podľa nedávnej správy Healthcare Cybersecurity Needs a Check-Up13 (Kybernetická bezpečnosť v zdravotníctve potrebuje dôkladnú kontrolu) od CSC 2.0 (skupina, ktorá pokračuje v práci Kongresom poverenej komisie Cyberspace Solarium Commission) "je kybernetická bezpečnosť často nedostatočne financovaná, pretože rozpočty sú obmedzené a poskytovatelia musia uprednostňovať výdavky na základné služby pre pacientov, v dôsledku čoho sú zdravotnícke organizácie zraniteľnejšie voči útokom."

Okrem toho, poskytovatelia zdravotnej starostlivosti napriek závažnosti problému nedostatočne investujú do kybernetickej bezpečnosti. V dôsledku radu zložitých faktorov vrátane modelu nepriamych platieb, ktorý často vedie k uprednostňovaniu okamžitých klinických potrieb pred menej viditeľnými investíciami, ako je napríklad kybernetická bezpečnosť, zdravotníctvo v posledných dvoch desaťročiach do kybernetickej bezpečnosti investovalo na výrazne nízkej úrovni.10

Aj zákon USA o zodpovednosti za prenos údajov zdravotného poistenia (HIPAA) viedol k uprednostňovaniu investícií do utajenia údajov a integrita a dostupnosť údajov sa často považovali za druhoradý problém. Tento prístup môže mať za následok zníženú úroveň zamerania sa na odolnosť organizácií, najmä nižšiu úroveň cieľov času obnovenia (RTO) a cieľov bodov obnovenia (RPO).

Staršie systémy a zraniteľnosti infraštruktúry

Jedným z výsledkov nedostatočných investícií do kybernetickej bezpečnosti je spoliehanie sa na zastarané staršie systémy, ktoré sa ťažko aktualizujú a stali sa hlavnými cieľmi využívania. Navyše, použitie nezlučiteľných technológií vytvára infraštruktúru „záplat“ s dierami v zabezpečení, čo znamená zvýšené riziko útokov.

Táto zraniteľná infraštruktúra sa stáva ešte zložitejšou v dôsledku nedávneho konsolidačného trendu v odvetví zdravotníctva. Zlúčeniami nemocníc, ktoré sú na vzostupe (o 23 % oproti roku 2022, pričom ide o najvyššiu úroveň od roku 202014), vznikajú organizácie s komplexnou infraštruktúrou rozloženou na viacerých miestach. Ak týmto infraštruktúram chýbajú dostatočné investície do kybernetickej bezpečnosti, sú veľmi zraniteľné voči útokom.

Rozširujúce sa možné miesta útokov

Zatiaľ čo klinicky integrované siete prepojených zariadení a lekárskych technológií pomáhajú zlepšovať výsledky pacientov a zachraňovať životy, rozširujú aj možné miesta digitálnych útokov, a to čoraz viac využívajú aktéri hrozieb.

Nemocnice sú online viac ako kedykoľvek predtým a kritické zdravotnícke zariadenia, ako sú CT skenery, systémy monitorovania pacientov a infúzne pumpy, sa pripájajú k sieťam, no nie vždy majú takú úroveň viditeľnosti, aká je potrebná na identifikáciu a zmiernenie zraniteľností, ktoré môžu vážne ovplyvniť starostlivosť o pacientov.

Lekári Christian Dameff a Jeff Tully, spoluriaditelia a spoluzakladatelia centra University of California San Diego Center for Healthcare Cybersecurity (Centrum pre kybernetickú bezpečnosť v zdravotníctve na Kalifornskej univerzite v San Diegu), upozorňujú, že v priemere 70 % koncových bodov nemocnice nie sú počítače, ale zariadenia.   
Nemocničná izba s lekárskym vybavením, bielou zásuvkou a modrým závesom.

Zdravotnícke organizácie tiež prenášajú obrovské množstvá údajov. Podľa údajov Kancelárie národného koordinátora pre zdravotnícke IT viac ako 88 % nemocníc hlási elektronické odosielanie a získavanie informácií o zdravotnom stave pacientov a viac ako 60 % uvádza, že tieto informácie integrujú do svojich elektronických zdravotných záznamov (EHR).15

Malí vidiecki poskytovatelia čelia jedinečným výzvam

Vidiecke nemocnice s kritickým prístupom sú zvlášť zraniteľné pri ransomwarových incidentoch, pretože ich prostriedky na prevenciu a nápravu bezpečnostných rizík sú často obmedzené. Môže to byť zničujúce pre komunitu, pretože tieto nemocnice sú pre komunitu, ktorej slúžia, často jedinou možnosťou zdravotnej starostlivosti na mnoho kilometrov.

Dameff a Tully tvrdia, že vidieckym nemocniciam zvyčajne chýba rovnaká úroveň infraštruktúry alebo odborných znalostí v oblasti kybernetickej bezpečnosti ako ich väčším náprotivkom v mestách. Upozorňujú aj na to, že mnohé z plánov kontinuity fungovania týchto nemocníc môžu byť zastarané alebo nedostatočné pri riešení moderných kybernetických hrozieb, akou je ransomware.

Mnohé malé alebo vidiecke nemocnice čelia značným finančným obmedzeniam a fungujú s veľmi nízkymi ziskovými maržami. V takejto finančnej realite je pre ne náročné investovať do robustných kybernetických bezpečnostných opatrení. Tieto zariadenia sa často spoliehajú na jedného všeobecného IT odborníka, teda na niekoho, kto zdatne zvláda spravovanie každodenných technických problémov, ale nemá špecializované znalosti kybernetickej bezpečnosti.

správe pracovnej skupiny pre kybernetickú bezpečnosť v zdravotníctve Ministerstva zdravotníctva a sociálnych služieb, ktorá bola vytvorená v rámci zákona o kybernetickej bezpečnosti z roku 2015, sa zdôrazňuje, že významnej časti vidieckych nemocníc s kritickým prístupom chýba personál na plný úväzok, ktorý by bol zameraný na kybernetickú bezpečnosť, čo len podčiarkuje širšie problémy so zdrojmi, ktorým čelia menší poskytovatelia zdravotnej starostlivosti.

„Títo všeobecní IT odborníci, pričom často ide len o niekoho, kto zdatne zvláda správu siete a počítačov, sú zvyknutí riešiť veci, ako sú napríklad problémy s tlačou, s prihlásením alebo so zabudnutým heslom,“ vysvetľuje Dameff. „Nie sú odborníkmi v oblasti kybernetickej bezpečnosti. Nemajú personál, nemajú rozpočet, a ani nevedia, kde začať.“

Proces útoku počítačového zločinca zvyčajne prebieha v dvoch krokoch: získanie počiatočného prístupu k sieti, čo sa často deje prostredníctvom phishingového útoku alebo využitia zraniteľností, a následné nasadenie ransomwaru na šifrovanie kritických systémov a údajov. V dôsledku vývoja týchto taktík vrátane využívania legitímnych nástrojov a šírenia RaaS sú útoky dostupnejšie a častejšie.

Počiatočná fáza útoku ransomwaru: Získanie prístupu do zdravotníckej siete

Jack Mott, ktorý predtým viedol tím zameraný na analýzu a detekciu hrozieb pre podnikový e-mail v spoločnosti Microsoft, uvádza, že „e-mail zostáva jedným z najväčších vektorov doručovania malvéru a phishingových útokov pre útoky ransomwaru.“16

Podľa analýzy Microsoft Analýzy hrozieb 13 nemocničných systémov predstavujúcich viaceré prevádzky vrátane vidieckych nemocníc súviselo 93 % pozorovanej škodlivej kybernetickej aktivity s kampaňami na neoprávnené získavanie údajov a ransomwarom, pričom väčšinu aktivity predstavovali e-mailové hrozby.17
"E-mail zostáva jedným z najväčších vektorov doručovania malvéru a phishingových útokov pre útoky ransomwaru."
Jack Mott 
Microsoft Analýza hrozieb

V kampaniach zameraných na zdravotnícke organizácie sa často využívajú vysoko špecifické návnady. Mott zdôrazňuje napríklad to, ako aktéri hrozieb vytvárajú e-maily so žargónom, ktorý je špecifický pre zdravotníctvo, napríklad s odkazmi na pitevné správy, aby zneli dôveryhodnejšie a úspešne oklamali zdravotníckych pracovníkov. 

Takéto taktiky sociálneho inžinierstva, a to najmä v prostrediach, ktoré sú pod vysokým tlakom, ako je sektor zdravotníctva, využívajú naliehavosť, ktorú často pociťujú zdravotnícki pracovníci, čo vedie k potenciálnym zlyhaniam zabezpečenia. 

Mott upozorňuje aj na to, že metódy útočníkov sú čoraz sofistikovanejšie, pričom často používajú "skutočné mená, legitímne služby a nástroje, ktoré bežne používajú IT oddelenia (napr. nástroje na vzdialenú správu)", aby unikli detekcii. V dôsledku týchto taktík je pre bezpečnostné systémy rozlišovanie medzi škodlivou a legitímnou činnosťou náročná úloha. 

Z údajov Microsoft Analýzy hrozieb vyplýva aj to, že v softvéri alebo systémoch organizácie útočníci využívajú známe zraniteľnosti, ktoré už boli identifikované v minulosti. Tieto bežné zraniteľnosti a riziká (CVE) sú dobre zdokumentované, sú pre ne k dispozícii záplaty alebo opravy, ale útočníci na tieto staršie zraniteľnosti často cielia s vedomím, že mnohé organizácie tieto slabé miesta zatiaľ neriešili.18 

Po získaní počiatočného prístupu útočníci často vykonávajú prieskum siete, ktorý sa dá identifikovať podľa indikátorov, ako je nezvyčajná aktivita kontrol. Pomocou týchto akcií aktéri hrozieb mapujú sieť, identifikujú kritické systémy a pripravujú sa na ďalšiu fázu útoku: ktorou je nasadenie ransomwaru.

Konečná fáza útoku ransomwaru: Nasadenie ransomwaru na šifrovanie kritických systémov

Po získaní počiatočného prístupu (zvyčajne prostredníctvom phishingového útoku alebo malvéru doručeného cez e-mail) aktéri hrozieb prejdú na druhú fázu, ktorou je nasadenie ransomwaru.

Jack Mott vysvetľuje, že vzostup modelov RaaS výrazne prispel k zvýšeniu frekvencie útokov ransomwaru v sektore zdravotníctva. "Platformy RaaS demokratizovali prístup k sofistikovaným nástrojom na útoky ransomwaru, ktoré aj ľuďom s minimálnymi technickými zručnosťami umožňujú spúšťať vysoko efektívne útoky," upozorňuje Mott. Tento model znižuje prekážku vstupu pre útočníkov a útoky ransomwaru sú tak prístupnejšie a efektívnejšie.
„Platformy RaaS demokratizovali prístup k sofistikovaným nástrojom na útoky ransomwaru, ktoré aj ľuďom s minimálnymi technickými zručnosťami umožňujú spúšťať vysoko efektívne útoky.“ 
Jack Mott 
Microsoft Analýza hrozieb

Mott ďalej vysvetľuje, ako funguje RaaS, a uvádza: "Tieto platformy často obsahujú komplexný balík nástrojov vrátane šifrovacieho softvéru, spracovania platieb a dokonca aj služieb zákazníkom na vyjednávanie platieb výkupného. Pomocou tohto prístupu na kľúč môže širšia škála aktérov hrozieb vykonávať kampane ransomwaru, čo vedie k miernemu nárastu počtu a závažnosti útokov."

Okrem toho Mott kladie dôraz na koordinovanú povahu týchto útokov a zdôrazňuje, že "po nasadení ransomwaru útočníci zvyčajne rýchlo zašifrujú kritické systémy a údaje, čo sa často udeje v priebehu niekoľkých hodín. Cielia na základnú infraštruktúru, ako sú záznamy o pacientoch, diagnostické systémy a dokonca aj fakturačné operácie, aby maximalizovali vplyv a tlak na zdravotnícke organizácie, ktoré majú zaplatiť výkupné."

Útoky ransomwaru v zdravotníctve: Profil hlavných skupín aktérov hrozieb

Útoky ransomwaru v sektore zdravotníctva často vykonávajú veľmi dobre organizované a špecializované skupiny aktérov hrozieb. Tieto skupiny, medzi ktoré patria finančne motivovaní počítačový zločinci, ako aj sofistikovaní národnoštátni aktéri hrozieb, využívajú pokročilé nástroje a stratégie na infiltráciu sietí, šifrovanie údajov a vyžadovanie zaplatenia výkupného od organizácií.

K týmto aktérom hrozieb patria aj vládou sponzorovaní hakeri z autoritárskych štátov, ktorí údajne využívajú ransomware vrátane spolupráce s ransomwarovými skupinami na špionážne účely. Existuje napríklad podozrenie, že čínski vládni aktéri hrozieb v čoraz vyššej miere využívajú ransomware ako zásterku pre špionážne aktivity.19

Zdá sa, že iránski aktéri hrozieb budú v roku 2024 najaktívnejší pri cielení na zdravotnícke organizácie.20 Vláda USA v auguste 2024 v skutočnosti varovala zdravotnícky sektor pred zdrojom hrozby z Iránu, ktorý je známy ako Lemon Sandstorm. Táto skupina „využívala neoprávnený prístup k sieti v organizáciách v USA vrátane zdravotníckych organizácií na uľahčenie vykonania budúcich útokov ransomwaru zo strany ransomwarových gangov, ktoré sú zjavne spojené s Ruskom, a profitovanie z nich“.21

V nasledujúcich profiloch sú uvedené poznatky o niektorých najznámejších finančne motivovaných ransomwarových skupinách, ktorých cieľom je zdravotníctvo, s podrobným popisom metód, motivácií a vplyvu ich aktivít na toto odvetvie.
  • Lace Tempest je početná ransomwarová skupina a cieľom jej útokov je zdravotníctvo. Používa model RaaS, aby umožnila členom jednoducho nasadiť ransomware. Skupina sa spája s vysoko účinnými útokmi na nemocničné systémy, v rámci ktorých šifruje kritické údaje o pacientoch a požaduje výkupné. Je známa dvojitým vydieraním. Okrem šifrovania údajov ich aj exfiltruje a vyhráža sa únikom citlivých informácií, ak nebude zaplatené výkupné.
  • Skupina Sangria Tempest je známa pokročilými útokmi ransomwaru na zdravotnícke organizácie. Používa sofistikované šifrovanie, s ktorým je obnovenie údajov bez zaplatenia výkupného takmer nemožné. Používa aj dvojité vydieranie, exfiltruje údaje o pacientoch a vyhráža sa ich únikom. Útoky tejto skupiny spôsobujú rozsiahle prerušenia prevádzky a nútia systémy zdravotnej starostlivosti presmerovávať zdroje, čo má negatívny vplyv na starostlivosť o pacientov.
  • Skupina Cadenza Tempest je známa distribuovanými útokmi zahltením servera služby (DDoS) a čoraz viac sa zapája do operácií ransomwaru v zdravotníctve. Identifikuje sa ako proruská haktivistická skupina a jej cieľom sú systémy zdravotnej starostlivosti v oblastiach, ktoré sú nepriateľské voči ruským záujmom. Útoky tejto skupiny zahlcujú nemocničné systémy, narúšajú kritické operácie a vytvárajú chaos, a to najmä v kombinácii s kampaňami ransomwaru.
  • Finančne motivovaná skupina Vanilla Tempest je aktívna od júla 2022 a nedávno začala používať ransomware INC získaný prostredníctvom poskytovateľov RaaS, ktorým cieli na zdravotníctvo v USA. Využíva zraniteľnosti, používa vlastné skripty a využíva štandardné nástroje Windowsu na ukradnutie prihlasovacích údajov, laterálny pohyb a nasadenie ransomwaru. Skupina využíva aj dvojité vydieranie a požaduje výkupné za odomknutie systémov a nezverejnenie ukradnutých údajov.

Zdravotnícke organizácie čelia čoraz sofistikovanejším útokom ransomwaru, preto musia ku kybernetickej bezpečnosti zaujať komplexný prístup. Musia byť pripravené odolávať kybernetickým incidentom, odpovedať na ne a obnoviť po nich funkčnosť, a zároveň zachovať kontinuitu starostlivosti o pacientov.

Nasledujúce usmernenia poskytujú komplexný rámec na vylepšenie odolnosti, zabezpečenie rýchleho obnovenia, presadzovanie komunity pracovníkov so zabezpečením na prvom mieste, a posilnenie spolupráce v celom sektore zdravotníctva.

Riadenie: Zabezpečenie pripravenosti a odolnosti

Budova s veľkým množstvom okien pod modrou oblohou s oblakmi

Efektívne riadenie kybernetickej bezpečnosti v zdravotníctve je nevyhnutné na prípravu a odpovedanie na ​​útoky ransomwaru. Dameff a Tully z Centra pre kybernetickú bezpečnosť v zdravotníctve na Kalifornskej univerzite v San Diegu odporúčajú vytvorenie robustného rámca riadenia s jasnými rolami, pravidelnými školeniami a medziodborovou spoluprácou. Zdravotníckym organizáciám to pomôže vylepšiť odolnosť proti útokom ransomwaru a zabezpečiť kontinuitu starostlivosti o pacientov, a to aj v prípade výrazných narušení.

Kľúčovým aspektom tohto rámca je rozdelenie síl medzi klinickým personálom, tímami zabezpečenia IT a odborníkmi na núdzovú správu s cieľom vytvoriť kohézne plány odozvy na incidenty. Táto spolupráca medzi oddeleniami je životne dôležitá pre zachovanie bezpečnosti pacientov a kvality starostlivosti v prípade zneužitia technologických systémov.

Dameff a Tully kladú dôraz aj na potrebu mať vyhradený správny orgán alebo radu s pravidelnými stretnutiami na preskúmanie a aktualizovanie plánov odozvy na incidenty. Odporúčajú splnomocniť tieto riadiace orgány na testovanie plánov odozvy prostredníctvom realistických simulácií a cvičení, čím sa zabezpečí, že celý personál vrátane mladších lekárov, ktorí nemusia byť oboznámení s papierovými záznamami, bude pripravený na efektívnu prevádzku bez digitálnych nástrojov.

Dameff a Tully ďalej kladú dôraz na dôležitosť externej spolupráce. Podporujú regionálne a národné rámce, ktoré umožnia nemocniciam navzájom sa podporovať počas rozsiahlych incidentov, čo odráža potrebu "strategických štátnych zásob" technológií, ktoré dokážu dočasne nahradiť zneužité systémy.

Odolnosť a strategické odpovede

Odolnosť v oblasti kybernetickej bezpečnosti v zdravotníctve znamená viac než jednoduchú ochranu údajov – zahŕňa zabezpečenie toho, aby celé systémy dokázali odolať útokom a obnoviť sa po nich. Nevyhnutnosťou je komplexný prístup k odolnosti, ktorý je zameraný nielen na ochranu údajov o pacientoch, ale aj na posilnenie celej infraštruktúry, ktorá podporuje operácie zdravotnej starostlivosti. Týka sa to celého systému – siete, dodávateľského reťazca, zdravotníckych pomôcok atď.

Prijatie stratégie hĺbkovej ochrany je rozhodujúce pri vytváraní vrstvenej úrovne zabezpečenia, ktorá dokáže účinne prekaziť útoky ransomwaru.

Prijatie stratégie hĺbkovej ochrany je rozhodujúce pri vytváraní vrstvenej úrovne zabezpečenia, ktorá dokáže účinne prekaziť útoky ransomwaru. Táto stratégia sa týka zabezpečenia každej vrstvy infraštruktúry zdravotnej starostlivosti, a to od siete cez koncové body až po cloud. Pomocou zavedených viacerých vrstiev ochrany dokážu zdravotnícke organizácie znížiť riziko úspešného útoku ransomwaru.

V rámci tohto vrstveného prístupu pre zákazníkov spoločnosti Microsoft tímy Microsoft Analýzy hrozieb aktívne monitorujú nepriateľské správanie. Keď zistia takúto aktivitu, poskytnú o nej priame oznámenie.

Nejde tu o platenú ani vrstvenú službu – podnikom všetkých veľkostí sa venuje rovnaká pozornosť. Cieľom je pohotovo upozorniť na zistenie potenciálnych hrozieb vrátane ransomwaru a pomôcť pri vykonávaní krokov na ochranu organizácie.

Okrem implementácie týchto ochranných vrstiev je dôležité mať účinný plán odozvy na incidenty a detekcie incidentov. Mať plán však nestačí; zdravotnícke organizácie musia byť pripravené na jeho efektívne vykonanie počas skutočného útoku, aby minimalizovali škody a zabezpečili rýchle obnovenie.

Nakoniec, nepretržité monitorovanie a funkcie detekcie v reálnom čase sú základnými komponentmi robustného rámca odozvy na incidenty, ktorý zabezpečí pohotovú identifikáciu a riešenie hrozieb.

Ak chcete získať ďalšie informácie o kybernetickej odolnosti v zdravotníctve, Ministerstvo zdravotníctva a sociálnych služieb (HHS) zverejnilo ciele výkonu kybernetickej bezpečnosti (CPG) týkajúce sa dobrovoľnej zdravotnej starostlivosti, aby pomohlo zdravotníckym organizáciám uprednostniť implementáciu vysoko účinných postupov kybernetickej bezpečnosti.

Ciele výkonu kybernetickej bezpečnosti sú vytvorené prostredníctvom procesu spolupráce medzi verejného a súkromného partnerstva pomocou spoločných rámcov, usmernení, osvedčených postupov a stratégií kybernetickej bezpečnosti a obsahujú podskupinu postupov kybernetickej bezpečnosti, ktoré môžu zdravotnícke organizácie použiť na posilnenie kybernetickej pripravenosti, vylepšenie kybernetickej odolnosti a ochranu informácií o zdravotnom stave pacientov.

Kroky na rýchle obnovenie operácií a posilnenie zabezpečenia po útoku

Vykonanie obnovenia po útoku ransomwaru si vyžaduje systematický prístup, ktorým sa zabezpečí rýchly návrat k bežnej prevádzke, a zároveň sa zabráni budúcim incidentom. Nižšie sú uvedené užitočné kroky, ktoré pomôžu posúdiť poškodenie, obnoviť zasiahnuté systémy a posilniť bezpečnostné opatrenia. Ak sa tieto usmernenia dodržia, zdravotnícke organizácie dokážu zmierniť vplyv útoku a posilniť ochranu pred budúcimi hrozbami.
Posúdenie vplyvu a potlačenie útoku

Ihneď izolujte zasiahnuté systémy, aby sa zabránilo ďalšiemu šíreniu.
Obnovenie zo známych dobrých záloh

Pred obnovením operácií skontrolujte, či sú k dispozícii overené čisté zálohy. Udržiavajte offline zálohy, aby sa predišlo ich šifrovaniu počas útoku ransomwaru.
Prebudovanie systémov

Namiesto opráv zvážte prebudovanie zneužitých systémov, aby sa odstránil všetok pretrvávajúci malvér. Využite usmernenia tímu Microsoft Odozvy na incidenty na bezpečné prebudovanie systémov. 
Posilnenie ovládacích prvkov zabezpečenia po útoku

Posilnite úroveň zabezpečenia po útoku riešením zraniteľností, opravou systémov a vylepšením nástrojov na detekciu koncových bodov.
Vykonanie kontroly po incidente

V spolupráci s externým dodávateľom zabezpečenia analyzujte útok, aby ste identifikovali slabé miesta a vylepšili ochranu pre budúce incidenty.

Budovanie komunity pracovníkov so zabezpečením na prvom mieste

Muž a žena sa pozerajú na ženskú tvár.

Vytváranie komunity pracovníkov so zabezpečením na prvom mieste si vyžaduje neustálu medziodborovú spoluprácu.

Vytváranie komunity pracovníkov so zabezpečením na prvom mieste si vyžaduje neustálu medziodborovú spoluprácu. Dôležité je rozdeliť silá medzi tímy zabezpečenia IT, manažérov núdzových situácií a klinický personál, aby sa vytvorili kohézne plány odozvy na incidenty. Bez tejto spolupráce nemusí byť zvyšná časť nemocnice dostatočne pripravená účinne reagovať počas kybernetického incidentu.

Vzdelávanie a zvyšovanie povedomia

Účinné školenia a silná kultúra nahlasovania sú základnými súčasťami ochrany zdravotníckych organizácií proti ransomwaru. Vzhľadom na skutočnosť, že zdravotnícki pracovníci často uprednostňujú starostlivosť o pacienta, nemusia vždy dostatočne dbať na kybernetickú bezpečnosť, čím sa zvyšuje ich zraniteľnosť voči kybernetickým hrozbám.

V súvislosti s týmto problémom musia priebežné školenia zahŕňať základy kybernetickej bezpečnosti, napríklad ako rozpoznať e-maily s neoprávneným získavaním údajov, ako sa vyhnúť kliknutiu na podozrivé prepojenie a ako rozpoznať bežné taktiky sociálneho inžinierstva.

Pomôžu vám s tým zdroje zvyšovania povedomia o kybernetickej bezpečnosti spoločnosti Microsoft.

"Kľúčom je podporiť zamestnancov, aby hlásili problémy so zabezpečením bez pocitu strachu z viny za ne," vysvetľuje Mott zo spoločnosti Microsoft. "Čím skôr sa problém nahlási, tým lepšie. Ak bude neškodný, je to ten najlepší scenár."

Pravidelné cvičenia a simulácie by tiež mali napodobňovať skutočné útoky, ako sú phishingové útoky alebo útoky ransomwaru, pretože to personálu pomôže precvičiť si odpoveď na útok v riadenom prostredí.

Zdieľanie informácií, spolupráca a kolektívna obrana

Keďže frekvencia útokov ransomwaru sa všeobecne zvyšuje (spoločnosť Microsoft zaznamenala medziročný nárast o 2,75 u zákazníkov16), stratégia kolektívnej obrany je nevyhnutná. Spolupráca (medzi internými tímami, regionálnymi partnermi a širšími celoštátnymi alebo celosvetovými sieťami) je kľúčová pre zabezpečenie operácií zdravotnej starostlivosti a bezpečnosti pacientov.

Spojením týchto skupín s cieľom navrhnúť a implementovať komplexné plány odozvy na incidenty sa dá zabrániť prevádzkovému chaosu počas útokov.

Dameff a Tully zdôrazňujú dôležitosť zjednotenia interných tímov, ako sú lekári, manažéri núdzových situácií a personál zabezpečenia IT, ktorí často pracujú izolovane. Spojením týchto skupín s cieľom navrhnúť a implementovať komplexné plány odozvy na incidenty sa dá zabrániť prevádzkovému chaosu počas útokov.

Na regionálnej úrovni by zdravotnícke organizácie mali vytvárať partnerstvá, ktoré zdravotníckym zariadeniam umožnia zdieľať kapacity a zdroje, aby sa zabezpečila kontinuita starostlivosti o pacientov aj v prípade zasiahnutia niektorých nemocníc ransomwarom. Táto forma kolektívnej obrany pomôže aj zvládnuť priveľa pacientov a rozložiť záťaž medzi poskytovateľov zdravotnej starostlivosti.

Okrem regionálnej spolupráce sú veľmi dôležité aj celoštátne a celosvetové siete na zdieľanie informácií. Centrá ISAC (centrá zdieľania a analýzy informácií), ako je napríklad Health-ISAC, slúžia ako platformy pre zdravotnícke organizácie na výmenu dôležitých analýz hrozieb. Errol Weiss, CSO centra Health-ISAC, porovnáva tieto organizácie s "programami sledovania virtuálneho okolia", kde môžu členské organizácie rýchlo zdieľať podrobnosti o útokoch a osvedčené techniky zmierňovania. Takéto zdieľanie informácií pomôže ostatným pripraviť sa na podobné hrozby alebo ich eliminovať a posilniť kolektívnu obranu vo väčšom rozsahu.

  1. [1]
    Interné údaje analýzy hrozieb spoločnosti Microsoft, 2. štvrťrok 2024
  2. [2]
    (Zhrnutie pre hlavných manažérov informačnej bezpečnosti: Súčasné a vznikajúce prostredie kybernetických hrozieb v zdravotníctve; Health-ISAC a AHA (Americká asociácia nemocníc))  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    PREPIS: Vypočutie Snemovne reprezentantov na posúdenie nedostatkov spoločnosti Microsoft v oblasti kybernetickej bezpečnosti,“ Tech Policy Press, 15. júna 2024
  4. [4]
    Zdravotnícke organizácie strácajú v priemere 900 000 USD denne na prestojoch v dôsledku útokov ransomwaru,“ Comparitech, 6. marca 2024
  5. [5]
    Počet a závažnosť útokov ransomwaru na zdravotníctvo sa neustále zvyšuje,“ The HIPAA Journal, september 2024
  6. [6]
    Rozložil vás na kusy hakerský útok? Účinky útokov ransomwaru na nemocnice a pacientov; https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    Útok ransomwaru spojený s narušeniami na priľahlých oddeleniach urgentného príjmu v USA; Útok ransomwaru spojený s narušeniami na priľahlých oddeleniach urgentného príjmu v USA | Urgentná medicína | JAMA Network Open | JAMA Network
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    Útok ransomwaru na Ascension poškodil finančné obnovenie,“ The HIPPA Journal, 20. septembra 2024
  10. [10]
    Údaje o pacientoch ohrozil phishingový útok na UC San Diego Health,“ The HIPPA Journal, 13. marca 2024
  11. [11]
    Útok ransomwaru je kľúčovým faktorom rozhodovania o zatvorení vidieckej nemocnice v štáte Illinois,“ The HIPPA Journal, 14. júna 2023
  12. [12]
    Počet a závažnosť útokov ransomwaru na zdravotníctvo sa neustále zvyšuje,“ The HIPAA Journal, september 2024
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    V roku 2023 došlo k viacerým zlúčeniam nemocníc a finančná tieseň vedie k uzatváraniu ďalších dohôd (chiefhealthcareexecutive.com)
  15. [15]
    Interoperabilita a metódy výmen medzi nemocnicami v roku 2021 | HealthIT.gov
  16. [16]
    Microsoft Správa o digitálnej ochrane z roku 2024, Microsoft, strana 27
  17. [17]
    Microsoft Analýza hrozieb – telemetria, 2024
  18. [18]
    Katalóg známych využívaných zraniteľností,“ CISA, 2024
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    Údaje Microsoft Analýzy hrozieb o kybernetických hrozbách v zdravotníctve, 2024
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
Ransomware Počítačový zločin

Viac od zabezpečenia

Príručka ochrany pre kybernetickú odolnosť

Základná kybernetická ochrana je naďalej najlepším spôsobom zabezpečenia identít, zariadení, údajov, aplikácií, infraštruktúry a sietí organizácie pred 98 % všetkých kybernetických hrozieb. Objavte praktické tipy v komplexnom návode.
Ďalšie informácie

Zo zákulisia boja proti hakerom, ktorí narušili činnosť nemocníc a ohrozili životy

Získajte informácie o najnovších vznikajúcich hrozbách z údajov o hrozbách a ich výskumu spoločnosti Microsoft. Získajte analýzu trendov a užitočné usmernenia na posilnenie prvej obrannej línie.
Ďalšie informácie

Žije z ekonomiky dôvery: podvod v oblasti sociálneho inžinierstva

Preskúmajte vyvíjajúce sa digitálne prostredie, v ktorom je dôvera menou aj zraniteľnosťou. Objavte taktiky podvodov sociálneho inžinierstva, ktoré kybernetickí útočníci používajú najčastejšie, a prečítajte si o stratégiách, ktoré vám pomôžu identifikovať a prekonať hrozby sociálneho inžinierstva zamerané na manipuláciu s ľudskou povahou.
Ďalšie informácie

Sledujte zabezpečenie od spoločnosti Microsoft