Atacatorii exercită o presiune considerabilă asupra sectorului de sănătate în acest moment, dominând ciclul de știri și punând ransomware-ul și alte atacuri cibernetice pe primul loc. Sectorul sănătății reprezintă o țintă atractivă pentru infractorii cibernetici, având o medie de 1.463 de atacuri pe săptămână (o creștere de 74% față de 2021). În ultimii doisprezece ani, costul unei breșe în sistemul de sănătate a fost mai mare decât în orice altă industrie, ajungând la 10,1 milioane USD în 2022. Și, pe măsură ce tot mai multe sisteme de sănătate trec la tehnologii digitale și conectate, aceste atacuri vor crește și mai mult.
De ce să lovim sistemele de sănătate?
Există mai multe motive pentru care atacatorii se concentrează asupra asistenței medicale. Primul, desigur, este acela că atunci când viețile umane sunt în pericol, organizațiile vizate sunt mai predispuse să plătească răscumpărarea pentru a se putea întoarce la operațiunile obișnuite de afaceri - care constau, de fapt, în furnizarea de îngrijiri urgente, nașterea de copii și îngrijirea continuă a pacienților vulnerabili. Simpla întrerupere a operațiunilor în aceste medii poate pune în pericol viața.
În Ontario, un spital s-a confruntat cu pierderea utilităților, inclusiv a unor necesități precum energia electrică, apa și sistemele critice IT . Numind acest eveniment "cod gri", spitalul a lucrat pentru a furniza servicii spitalicești esențiale, dar a îndemnat pacienții cu afecțiuni mai puțin urgente să caute opțiuni alternative de îngrijire. Chiar și după ce atacul cibernetic se va diminua, sistemul spitalicesc va întâmpina probabil dificultăți în revenirea la operațiunile normale.
Cu doar câteva zile mai devreme, un atac asupra unui sistem de sănătate din Florida a făcut ca Tallahassee Memorial HealthCare (TMH) să își scoată din funcțiune sistemele IT și să suspende procedurile care nu sunt de urgență. Impactul este de amploare pentru sistemul privat de asistență medicală fără scop lucrativ, care oferă spitale de îngrijire acută, spitale de psihiatrie, 38 de cabinete medicale afiliate și mai multe centre de îngrijire de specialitate în Florida și Georgia.
Potrivit Agenției americane pentru securitatea cibernetică și a infrastructurii (CISA), la începutul acestui an, operațiunile nord-coreene de ransomware extorcau fonduri și le foloseau pentru a sprijini prioritățile și obiectivele guvernului nord-coreean la nivel național. Aceste atacuri vizează sănătatea publică și alte sectoare de infrastructură critică. CISA a indicat că hackerii au folosit mai multe tulpini de programe malware de criptare a fișierelor pentru a ataca sistemele de sănătate din Coreea de Sud și din SUA, pe lângă lăcașurile dezvoltate în mod privat.
Pe lângă actorii de stat național care finanțează operațiunile guvernamentale prin atacuri de tip ransomware, un grup hacktivist numit KillNet a vizat în mod activ sectorul sănătății din SUA prin atacuri cibernetice de tip DDoS (distributed denial-of-service), notează Centrul de coordonare a securității cibernetice în sectorul sănătății. Acest grup vizează țările care sprijină Ucraina, lovindu-le cu atacuri distribuite de negare a serviciilor care provoacă întreruperi de servicii care durează ore sau zile. Aceste întârzieri pot duce la întârzieri la programări, la întreruperi ale sistemelor EHR esențiale și la devierea ambulanțelor către alte sisteme de sănătate. Pe măsură ce războiul din Ucraina se prelungește, sectorul sănătății din SUA trebuie să fie și mai vigilent în eforturile sale de a preveni amenințările cibernetice.
Cum pătrund atacatorii?
Sistemele de sănătate sunt ecosisteme incredibil de complexe IT . Achizițiile de spitale mai mici, aplicațiile cloud și SaaS furnizate fără supravegherea echipei de securitate, dispozitivele medicale conectate și mii sau sute de mii de active digitale creează o suprafață de atac care poate fi dificil de gestionat. Împreună cu aceasta, există multe vulnerabilități necunoscute care vor exista întotdeauna și care vor fi valorificate pentru atacuri de tip zero-day, ceea ce face ca orice sistem fără patch-uri să reprezinte un risc incredibil de mare.
Cu atât de multe puncte de acces la informațiile de asigurare și la datele pacienților, echipele IT se străduiesc să le securizeze pe toate. Pentru a complica și mai mult lucrurile, medicii, fizioterapeuții, asistenții medicali, asistentele medicale și pacienții înșiși interacționează acum cu zeci de puncte finale, dar aceste persoane sunt rareori utilizatori sofisticați. Este posibil ca acestea să împartă parolele sau să le folosească pe cele ușor de ghicit, iar puține dintre ele sunt susceptibile de a utiliza eficient capacitățile de autentificare cu mai mulți factori. Datele de acreditare compromise și verificarea laxă a identității oferă atacatorilor o cale de acces în rețelele, aplicațiile și datele sistemului de sănătate.
Atenuarea potențialului de atac și a impactului
Lumea este din ce în ce mai conectată, iar planurile și protocoalele de securitate trebuie să se adapteze la această realitate. Sistemele de sănătate se pot pregăti pentru atacuri punând în aplicare planuri de răspuns bine definite și exersate în cazul în care are loc un atac. Efectuarea de exerciții regulate de securitate cibernetică pentru a se asigura că protocoalele sunt bine coordonate și actualizate poate ajuta echipele de securitate să se pregătească pentru atacurile aparent inevitabile.
În timp ce bugetele și resursele de personal pot fi limitate, investiția în tehnologii suplimentare de încredere zero poate reduce considerabil suprafața de amenințare. Sectorul sănătății se bazează foarte mult pe e-mailuri pentru comunicarea zilnică și pe portaluri de aplicații web pentru a partaja și încărca fișiere și date despre pacienți. Cu toate acestea, ambele prezintă riscuri majore pentru ransomware, furt de date, probleme de conformitate și multe altele. Soluțiile de e-mail și de încărcare a fișierelor de încredere zero care valorifică igienizarea datelor, prevenirea proactivă a pierderilor de date pentru a elimina datele sensibile și scanarea multiplă cu mai multe motoare anti-malware ajută deja la reducerea considerabilă a riscului de malware și de atacuri de tip zero-day.
Implementarea controlului accesului de încredere zero pentru aceste medii complexe poate permite, de asemenea, ca utilizatorii mai puțin sofisticați să dispună de o modalitate transparentă de a efectua verificări de securitate în conformitate cu politica de securitate a organizației înainte de a acorda acces la un sistem. Prin intermediul accesului la rețea de încredere zero, instituțiile din domeniul sănătății pot securiza accesul în cloud, la distanță și la fața locului, pot obține o vizibilitate instantanee asupra persoanelor conectate la rețea, pot detecta vulnerabilitățile și pot implementa patch-uri automate, precum și pot impune conformitatea și actualizări ale punctelor finale atunci când este necesar. Prevenirea accesului neautorizat la datele corporative poate ajuta, de asemenea, organizațiile să îndeplinească cerințele HIPAA pentru securizarea și protejarea datelor sensibile ale pacienților împotriva atacatorilor.
Recuperarea în urma unui atac
Pregătirea pentru un atac este cel mai important mod în care o organizație se poate recupera rapid în urma unui atac cibernetic. Deoarece fiecare sistem de sănătate are nevoi și resurse specifice, este esențial să se implice cadrele executive, experții în securitate și IT , echipele juridice și echipele de comunicare în crearea unui proces de răspuns la incidente care să poată fi pus în aplicare și testat. Depistarea timpurie a activităților suspecte și investigarea acestora reprezintă un prim pas important, precum și asigurarea faptului că EDR este activat. Indiferent dacă acest lucru implică o echipă externă de răspuns la incidente sau resurse interne, este esențial să se efectueze o analiză tehnică pentru a identifica cauza incidentului și pentru a iniția planul de RI și a activa soluțiile de rezervă pe punctele finale. Este important să stăpânești atacatorii în timp ce colectezi date criminalistice pentru investigațiile în curs de desfășurare, precum și să notifici agențiile de aplicare a legii locale, statale și federale. Echipele juridice, IT, și de comunicare trebuie să colaboreze pentru a se asigura că sunt respectate reglementările și pentru a limita potențialul impact juridic și reputațional al unui incident critic.
Amploarea atacului are un impact asupra procesului de recuperare și asupra cerințelor de notificare a breșei. Odată ce atacul ransomware sau DDoS a fost eradicat, organizațiile trebuie să restabilească datele din copiile de rezervă și să remedieze orice lacune de securitate. Utilizând lecțiile învățate în urma atacului, sistemele de sănătate își pot ajusta planul de RI și pot pune în aplicare tactici și soluții de securitate care să faciliteze detectarea și să rețină mai rapid atacurile viitoare.
Doriți să aflați cum vă poate ajuta OPSWAT ?
