A támadók jelenleg jelentős nyomást gyakorolnak az egészségügyi ágazatra, uralják a hírciklust, és a zsarolóvírusok és más kibertámadások kerülnek a figyelem középpontjába. Az egészségügyi ágazat vonzó célpontot jelent a kiberbűnözők számára, átlagosan heti 1463 támadással (ami 2021-hez képest 74%-os növekedést jelent). Az elmúlt tizenkét évben az egészségügyi ellátásban elkövetett betörések költségei minden más iparágnál magasabbak voltak, és 2022-ben elérik a 10,1 millió dollárt. És ahogy egyre több egészségügyi rendszer áll át a digitális és összekapcsolt technológiákra, ezek a támadások még tovább fognak nőni.
Miért az egészségügyi rendszerek?
A támadók több okból is az egészségügyre összpontosítanak. Az első természetesen az, hogy amikor emberi életek vannak veszélyben, a megtámadott szervezetek nagyobb valószínűséggel fizetik ki a váltságdíjat, hogy visszatérhessenek a szokásos üzleti tevékenységükhöz - ami valójában a kritikus sürgősségi ellátás, a csecsemők kihordása és a veszélyeztetett betegek folyamatos ellátása. Egyszerűen a műveletek megzavarása ezekben a beállításokban életveszélyes lehet.
Ontarióban egy kórházban elvesztek a közművek, beleértve az olyan szükséges dolgokat, mint az áram, a víz és a kritikus IT rendszerek. A kórház "szürke kódú" eseménynek nevezte ezt az esetet, és a kritikus kórházi szolgáltatások nyújtásán dolgozott, de a kevésbé sürgős állapotú betegeket arra kérte, hogy keressenek alternatív ellátási lehetőségeket. A kórházi rendszer a kibertámadás lecsengése után is valószínűleg kihívásokkal fog szembesülni a normál működéshez való visszatérés során.
Néhány nappal korábban egy floridai egészségügyi rendszer elleni támadás miatt a Tallahassee Memorial HealthCare (TMH) offline állapotba helyezte az IT rendszereit, és felfüggesztette a nem sürgősségi eljárásokat. A hatások széleskörűek a magán, nonprofit egészségügyi rendszerre, amely akut ellátást nyújtó kórházakat, pszichiátriai kórházakat, 38 társult orvosi rendelőt és több speciális ellátóközpontot működtet Floridában és Georgiában.
Az amerikai Cybersecurity & Infrastructure Security Agency (CISA) szerint az év elején az észak-koreai zsarolóprogram-műveletekkel pénzt zsaroltak ki, és azt az észak-koreai kormány nemzeti szintű prioritásainak és céljainak támogatására használták fel. Ezek a támadások a közegészségügyet és más kritikus infrastrukturális ágazatokat célozzák. A CISA jelezte, hogy a hackerek többféle fájltitkosító kártevőtörzset használtak a magánfejlesztésű zárolók mellett dél-koreai és amerikai egészségügyi rendszerek megtámadására is.
A nemzetállami szereplők mellett, akik zsarolóvírus-támadásokkal finanszírozzák a kormányzati műveleteket, a KillNet nevű hacktivista csoport aktívan támadja az amerikai egészségügyi ágazatot elosztott szolgáltatásmegtagadási (DDoS) kibertámadásokkal - jegyzi meg az Egészségügyi Szektor Kiberbiztonsági Koordinációs Központ. Ez a csoport az Ukrajnát támogató országokat veszi célba, és olyan elosztott szolgáltatásmegtagadási támadásokkal sújtja őket, amelyek órákig vagy napokig tartó szolgáltatáskieséseket okoznak. Ezek a késések időpontok késését, a kritikus EHR-rendszerek leállását és a mentők más egészségügyi rendszerekhez való átirányítását eredményezhetik. Az ukrajnai háború elhúzódásával az amerikai egészségügyi ágazatnak még éberebben kell fellépnie a kiberfenyegetések megelőzése érdekében.
Hogyan jutnak be a támadók?
Az egészségügyi rendszerek hihetetlenül összetett IT ökoszisztémák. A kisebb kórházi felvásárlások, a biztonsági csapat felügyelete nélkül biztosított felhő- és SaaS-alkalmazások, a csatlakoztatott orvosi eszközök és a több ezer-százezer digitális eszköz mind olyan támadási felületet jelentenek, amelynek kezelése kihívást jelenthet. Ehhez párosul még számos ismeretlen sebezhetőség, amelyek mindig is létezni fognak, és nulladik napi támadásokhoz használhatók fel, így minden javítatlan rendszer hihetetlenül nagy kockázatot jelent.
A biztosítási információkhoz és a betegadatokhoz való hozzáférés sokféle pontja miatt az IT csapatoknak nehézséget okoz mindezek biztosítása. Tovább bonyolítja a helyzetet, hogy az orvosok, gyógytornászok, orvosasszisztensek, ápolók és maguk a betegek is több tucat végponttal érintkeznek, de ezek az egyének ritkán kifinomult felhasználók. Megoszthatják a jelszavakat, vagy könnyen kitalálható jelszavakat használnak, és valószínűleg kevesen alkalmazzák hatékonyan a többfaktoros hitelesítési képességeket. A kompromittált hitelesítő adatok és a laza személyazonosság-ellenőrzés a támadók számára utat nyit az egészségügyi rendszer hálózataiba, alkalmazásaiba és adataiba.
Támadási potenciál és hatás mérséklése
A világ egyre inkább összekapcsolódik, és a biztonsági terveknek és protokolloknak alkalmazkodniuk kell ehhez a valósághoz. Az egészségügyi rendszerek úgy készülhetnek fel a támadásokra, hogy jól meghatározott és begyakorolt reagálási terveket állítanak fel arra az esetre, ha támadásra kerül sor. A rendszeres kiberbiztonsági gyakorlatok elvégzése annak biztosítása érdekében, hogy a protokollok jól összehangoltak és naprakészek legyenek, segíthet a biztonsági csapatoknak felkészülni a látszólag elkerülhetetlen támadásokra.
Bár a költségvetés és a személyzeti erőforrások korlátozottak lehetnek, a további bizalmatlan technológiákba való befektetés nagymértékben csökkentheti a fenyegetettségi felületet. Az egészségügyi ágazat a mindennapi kommunikációban nagymértékben támaszkodik az e-mailekre, a fájlok és a betegadatok megosztására és feltöltésére pedig a webes alkalmazásportálokra. Mindkettő azonban komoly kockázatot jelent a zsarolóvírusok, az adatlopás, a megfelelési problémák és egyéb kockázatok szempontjából. Az adatok szanálását, a proaktív adatvesztés-megelőzést az érzékeny adatok eltávolítására, valamint a többszörös szkennelést többféle kártevőirtó motorral kihasználó, zéró bizalmat élvező e-mail- és fájlfeltöltési megoldások már most is nagymértékben csökkentik a rosszindulatú szoftverek és a nulladik napi támadások kockázatát.
Az ilyen összetett környezetek esetében a zéró bizalmi hozzáférés-szabályozás bevezetése lehetővé teszi a kevésbé kifinomult felhasználók számára is, hogy a szervezet biztonsági szabályzatának megfelelő biztonsági ellenőrzéseket végezzenek, mielőtt hozzáférést biztosítanának egy rendszerhez. A zéró bizalmi hálózati hozzáférés révén az egészségügyi intézmények biztosíthatják a felhő-, távoli és helyi hozzáférést, azonnali rálátást nyerhetnek arra, hogy ki csatlakozik a hálózathoz, észlelhetik a sebezhetőségeket és automatikus javításokat telepíthetnek, valamint szükség esetén érvényesíthetik a végpontok jogszabályi megfelelőségét és frissítéseit. A vállalati adatokhoz való jogosulatlan hozzáférés megakadályozása segíthet a szervezeteknek abban is, hogy megfeleljenek a HIPAA-követelményeknek, amelyek az érzékeny betegadatok védelmére és a támadókkal szembeni védelmére vonatkoznak.
Támadásból való felépülés
A támadásra való felkészülés a legfontosabb módja annak, hogy egy szervezet gyorsan felépüljön egy kibertámadásból. Mivel minden egészségügyi rendszer sajátos igényekkel és erőforrásokkal rendelkezik, elengedhetetlen a vezetők, a biztonsági és az IT szakértők, a jogi csapatok és a kommunikációs csapatok bevonása a megvalósítható és kipróbált incidensreakciós folyamat kialakításába. A gyanús tevékenység korai észlelése és kivizsgálása fontos első lépés, valamint az EDR engedélyezése. Akár külső incidensreagálási csoportot, akár belső erőforrásokat vonnak be, elengedhetetlen a technikai elemzés elvégzése az incidens okának azonosítása és az IR-terv elindítása, valamint a biztonsági megoldások engedélyezése a végpontokon. Fontos a támadók megfékezése, miközben törvényszéki adatokat gyűjtenek a folyamatban lévő vizsgálatokhoz, valamint a helyi, állami és szövetségi bűnüldöző szervek értesítése. A jogi, az IT, és a kommunikációs csapatoknak együtt kell működniük annak érdekében, hogy biztosítsák az előírások betartását, és korlátozzák a kritikus incidens lehetséges jogi és hírnevet érintő hatásait.
A támadás terjedelme hatással van a helyreállítási folyamatra és a jogsértésről szóló bejelentési követelményekre. A zsarolóvírus vagy DDoS-támadás felszámolása után a szervezeteknek vissza kell állítaniuk az adatokat a biztonsági mentésekből, és ki kell küszöbölniük a biztonsági hiányosságokat. A támadásból levont tanulságok felhasználásával az egészségügyi rendszerek kiigazíthatják IR-tervüket, és olyan taktikákat és biztonsági megoldásokat vezethetnek be, amelyek megkönnyítik a jövőbeli támadások észlelését és gyorsabb megfékezését.
Szeretné megtudni, hogyan segíthet az OPSWAT ?
