Trace Id is missing
Преминаване към основното съдържание
Security Insider

Здраве­опазването в САЩ е в риск: Повишаване на устойчивостта срещу атаки с рансъмуер

Споделяне
Група медицински специалисти, които гледат таблет

Секторът на Здраве­опазването е изправен пред бързо нарастващ брой заплахи за киберсигурността, като атаките с рансъмуер се очертават като едни от най-значимите. Комбинацията от ценни данни за пациенти, взаимосвързани медицински устройства и малък персонал за ИТ / киберсигурност, който разпределя ресурсите, може да превърне здравните организации в основни мишени за заплахите. Тъй като операциите в Здраве­опазването стават все по-цифровизирани – от електронни здравни картони (ЕЗК) до платформи за телемедицина и мрежови медицински устройства – повърхността на атаките срещу болниците става все по-сложна, което допълнително увеличава уязвимостта им към атаки.

В следващите раздели е направен преглед на настоящия пейзаж на киберсигурността в Здраве­опазването, като е подчертан статусът на сектора като основна цел, нарастващата честота на атаките с рансъмуер, както и сериозните финансови последици и последиците за грижите за пациентите, които тези заплахи налагат.

Видеодискусия, водена от Шерод ДеГрипо, директор на отдел „Стратегия за разузнаване на заплахи“ в Microsoft, разглежда допълнително тези критично важни въпроси, като предлага прозрения от експерти за участниците в заплахите, стратегиите за възстановяване и уязвимостите в Здраве­опазването.

Брифинг за набора от ресурси на Microsoft срещу заплахи: Здраве­опазване

Шерод ДеГрипо, директор на отдел „Стратегия за разузнаване на заплахи“ в Microsoft, води оживена дискусия на кръгла маса с експерти по разузнаване на заплахи и защита в Здраве­опазването, които разглеждат причините, поради които Здраве­опазването е уникално податливо на атаки с рансъмуер, какви тактики използват групите извършители, представляващи заплаха, как да се запази устойчивостта, и др.
  • Според набора от ресурси на Microsoft срещу заплахи, секторът на Здраве­опазването / общественото Здраве­опазване е сред 10-те най-засегнати отрасли през второто тримесечие на 2024 г.1
  • Рансъмуерът като услуга (RaaS) е намалил бариерите за навлизане на нападатели, които не разполагат с технически познания, а Русия е сигурно убежище за групи, занимаващи се с рансъмуер. В резултат на това атаките с рансъмуер са се увеличили с 300% от 2015 г. насам.2
  • През тази финансова година 389 здравни заведения в САЩ са били засегнати от рансъмуер, което е довело до спиране на мрежи, изключване на системи, забавяне на критично важни медицински процедури и пренасрочване на прегледи3. Атаките струват скъпо, като според един от докладите за отрасъла здравните организации губят до 900 000 USD на ден само заради престои.4
  • Сред 99-те здравни организации, които са признали, че са платили откуп и са разкрили размера на платения откуп, медианата на плащането е била 1,5 милиона USD, а средната - 4,4 милиона USD.5

Сериозно въздействие върху грижите за пациентите

Прекъсването на здравните дейности, причинено от атака с рансъмуер, може да окаже сериозно въздействие върху способността за ефективно лечение на пациентите не само в засегнатите болници, но и в тези в близките райони, които поемат изместения брой пациенти в спешните отделения.6

Вземете предвид резултатите от неотдавнашно проучване, показващо как атака с рансъмуер срещу четири болници (две атакувани и две незасегнати) е довела до увеличаване на броя на пациентите в спешните отделения, до по-дълго време за чакане и до допълнително натоварване на ресурсите, особено при чувствителни към времето грижи като лечение на инсулт, в две незасегнати съседни болници.7
Ръст на случаите на инсулт: Атаката с рансъмуер е довела до значително натоварване на цялостната екосистема на Здраве­опазването, тъй като се наложи незасегнатите болници да приемат пациенти от засегнатите болници. Активирането на кода за инсулт в близките болници почти се удвоява - от 59 на 103, а потвърдените инсулти се увеличават със 113,6% - от 22 на 47 случая.
Увеличение на случаите на сърдечен арест: Нападението е натоварило здравната система, тъй като случаите на сърдечен арест в незасегнатата болница са нараснали от 21 на 38, което е увеличение с 81%. Това отразява каскадното въздействие на компрометирането на едно лечебно заведение, което принуждава близките болници да поемат повече критични случаи.
Намаляване на преживяемостта при благоприятни неврологични резултати: Процентът на преживяемост при извънболничен сърдечен арест с благоприятен неврологичен изход е спаднал драстично в незасегнатите болници по време на атаката – от 40% преди атаката до 4,5% по време на фазата на атаката.
Увеличава се времето за пристигането на линейки: По време на фазата на атаката се е наблюдавало увеличение с 35,2 % на броя на пристиганията на спешни медицински услуги (EMS) в незасегнатите от атаката болници, което предполага значително пренасочване на трафика на линейки поради предизвиканите от рансъмуер прекъсвания на работата в засегнатите болници.
Скок в количеството на пациентите: Тъй като нападението е засегнало четири болници в района (двете нападнати и двете незасегнати), спешните отделения в незасегнатите болници са изпитали значителен приток на пациенти. Дневният брой на населението в тези незасегнати болници се е увеличил с 15,1% по време на фазата на атаката в сравнение с фазата преди атаката.
Допълнителни прекъсвания на здравните грижи: По време на атаките в незасегнатите болници се е наблюдавало значително увеличение на броя на пациентите, които напускат болницата, без да бъдат прегледани, на времето в чакалнята и на общата продължителност на престоя на приетите пациенти. Например медианата на продължителността на времето в чакалнята се е увеличила от 21 минути преди нападението до 31 минути по време на нападението.

Конкретни примери за рансъмуер

Атаките с рансъмуер в Здраве­опазването могат да имат опустошителни последици не само за набелязаните за цел организации, но и за грижите за пациентите и оперативната стабилност. Следващите конкретни примери илюстрират мащабните последици от рансъмуер върху различни видове здравни организации – от големи болнични системи до малки доставчици на услуги в селски райони, като акцентират върху различните начини, по които нападателите проникват в мрежите, и произтичащите от това нарушения на основните здравни услуги.
  • Нападателите са използвали компрометирани идентификационни данни за достъп до мрежата чрез уязвим шлюз за отдалечен достъп без многофакторно удостоверяване. Те са шифровали критична инфраструктура и се ексфилтрирали чувствителни данни в двойна схема за изнудване, заплашвайки да ги разгласят, ако не бъде платен откуп.

    Въздействие:     Атаката е довела до прекъсвания, които са попречили на 80% от доставчиците на здравни услуги и аптеките да проверяват застраховката или да обработват исковете. 
  • Нападателите са използвали уязвимост в некоригиран стар софтуер на болницата, като са предизвикали изместване, за да компрометират планирането на пациентите и медицинските досиета. Използвайки тактика на двойно изнудване, те ексфилтрират чувствителни данни и заплашват, че ще ги разгласят, ако не бъде платен откуп.

    Въздействие: Атаката е нарушила работата, предизвиквайки отменяне на посещения за прегледи, забавяне на операции и преминаване към ръчни процеси, което е натоварило персонала и забавило здравните грижи. 
  • Нападателите са използвали фишинг имейли, за да получат достъп до болничната мрежа, и са използвали неотстранени уязвимости, за да разположат рансъмуер, който е криптирал системите за електронните здравни карти и грижи за пациентите. Използвайки тактиката на двойното изнудване, те изнасят чувствителни пациентски и финансови данни, като заплашват да ги разкрият, ако не бъде платен откупът. 

    Въздействие:     Атаката е нарушила работата на четири болници и над 30 клиники, което е довело да забавяне на лечението и пренасочване на спешните пациенти, и е изложило данните на риск. 
  • През февруари 2021 г. атака с рансъмуер изважда от строя компютърните системи на болница с 44 легла в селски район, което налага ръчни операции в продължение на три месеца и сериозно забавя застрахователните искове.

    Въздействие:     Невъзможността на болницата да събира своевременно плащанията е довела до финансови затруднения и е лишила местната селска общност от важни здравни услуги. 

Американският сектор на Здраве­опазването представлява привлекателна цел за финансово мотивирани киберпрестъпници поради широката си повърхност за атаки, наследените системи и непоследователните протоколи за защита. Комбинацията от зависимостта на Здраве­опазването от цифровите технологии, чувствителните данни и ограниченията на ресурсите, с които се сблъскват много организации – често поради изключително ниските ресурси – може да ограничи способността им да инвестират пълноценно в киберсигурност, което ги прави особено уязвими. Освен това здравните организации дават приоритет на грижите за пациентите на всяка цена, което може да доведе до готовност за плащане на откуп, за да се избегнат прекъсвания.

Репутация за плащане на откупи

Част от причините, поради които рансъмуерът се е превърнал в толкова сериозен проблем за Здраве­опазването, са случаите на плащане на откуп в сектора. Организациите в сферата на Здраве­опазването отдават приоритет на грижите за пациентите и ако трябва да платят милиони долари, за да избегнат прекъсвания, често са готови да направят това.

Според неотдавнашен доклад, изготвен въз основа на проучване сред 402 здравни организации, 67% от тях действително са били атакувани с рансъмуер през изминалата година. Сред тези организации 53% са признали, че през 2024 г. са платили откуп, в сравнение с 42% през 2023 г. В доклада се подчертава и финансовото въздействие, като средният размер на признатите откупи възлиза на 4,4 милиона USD.12

Ограничени ресурси и инвестиции в областта на сигурността

Друго сериозно предизвикателство са ограничените бюджети и ресурси за киберсигурност в сектора на Здраве­опазването. Според неотдавна публикувания доклад Киберсигурността в Здраве­опазването се нуждае от проверка13 от CSC 2.0 (група, която продължава работата на упълномощената от Конгреса Комисия за киберпространството „Солариум“), "тъй като бюджетите са ограничени и на доставчиците на услуги се налага да приоритизират разходите за основните услуги за пациентите, киберсигурността често е недостатъчно финансирана, което прави здравните организации по-уязвими за атаки."

Освен това въпреки сериозността на проблема доставчиците на здравни услуги не инвестират достатъчно в киберсигурността. Поради редица сложни фактори, включително непрекия модел на плащане, които често водят до приоритизиране на непосредствените клинични нужди пред по-малко видими инвестиции като киберсигурността, през последните две десетилетия Здраве­опазването е инвестирало значително по-малко средства в киберсигурността.10

Освен това Законът за преносимост и отчетност на здравното осигуряване (HIPAA) е довел до приоритизиране на инвестициите за поверителност на данните, често оставяйки целостта и наличността на данните като второстепенни проблеми. Този подход може да доведе до намаляване на фокуса върху устойчивостта на дадена организация, особено при понижаване на целите за време за възстановяване (RTO) и целите за точка на възстановяване (RPO).

Уязвимост на наследените системи и инфраструктура

Един от резултатите от недостатъчните инвестиции в киберсигурността е зависимостта от остарели, трудни за актуализиране наследени системи, които са се превърнали в основни цели за експлоатация. Освен това използването на разнородни технологии води до създаването на инфраструктура за корекции с пропуски в защитата, което увеличава риска от атаки.

Такава уязвима инфраструктура става още по-сложна поради неотдавнашната тенденция към консолидация в здравната индустрия. Ръстът на сливания на болници (с 23% повече през 2022 г. и на най-високите нива от 2020 г. насам14), създава организации със сложни инфраструктури, разположени на различни места. Без достатъчно инвестиции в киберсигурността тези инфраструктури стават силно уязвими за атаки.

Разширяване на повърхността на атаките

Въпреки че клинично интегрираните мрежи за грижи, включващи свързани устройства и медицински технологии, помагат за подобряване на резултатите от лечението на пациенти и спасяването на човешки живот, те също така разширяват повърхността за цифрови атаки – нещо, от което участниците в заплахите се възползват все повече.

Болниците са онлайн повече от когато и да било в миналото, свързвайки критично важни медицински устройства като компютърни томографи, системи за наблюдение на пациенти и инфузионни помпи към мрежи, но невинаги разполагат с необходимото ниво на видимост за идентифициране и намаляване на уязвимостите, които могат да окажат сериозно въздействие върху грижите за пациентите.

Лекарите Кристиан Дамеф и Джеф Тъли, съдиректори и съоснователи на Центъра за киберсигурност в Здраве­опазването към Калифорнийския университет в Сан Диего, отбелязват, че средно 70% от крайните точки в болниците не са компютри, а устройства.   
Болнична стая с медицинско оборудване, бяло шкафче с чекмеджета и синя завеса.

Здравните организации освен това предават огромни количества данни. По данни на Службата на националния координатор за ИТ в Здраве­опазването над 88% от болниците съобщават, че изпращат и получават по електронен път здравна информация за пациентите, а над 60% от тях съобщават, че интегрират тази информация в електронните здравни карти (ЕЗК).15

Малките доставчици на здравни услуги в селските райони са изправени пред уникални предизвикателства

Болници в селски райони с критичен достъп са особено уязвими към инциденти с рансъмуер, тъй като често разполагат с ограничени средства за предотвратяване и премахване на рисковете за защитата. Това може да има опустошителен ефект за местното население, тъй като такива болници често са единствената възможност за здравно обслужване в рамките на много километри в общностите, които обслужват.

Според Дамеф и Тъли болниците в селските райони обикновено не разполагат с нивото на инфраструктурата или опита в областта на киберсигурността на по-големите градски болници. Те също така отбелязват, че плановете за непрекъсваемост на работата на много от тези болници може да са остарели или неадекватни за справяне със съвременните киберзаплахи като рансъмуер.

Голям брой от болниците в селските райони или малки болници се сблъскват със значителни финансови ограничения и работят с много малки маржове на печалба. Тази финансова реалност е предизвикателство пред инвестирането в надеждни мерки за киберсигурност. Често тези болнични заведения разчитат само на един ИТ специалист – човек, който умее да се справя с ежедневните технически проблеми, но не притежава специализирани познания в областта на киберсигурността.

Доклад на работната група за киберсигурност в сектора на Здраве­опазването към Министерството на Здраве­опазването и социалните грижи, създаден като част от Закона за киберсигурността от 2015 г., акцентира върху факта, че значителна част от болниците в селските райони с критичен достъп нямат назначен служител на пълен работен ден, който да се фокусира върху киберсигурността, което подчертава мащаба на предизвикателствата, свързани с ресурсите, пред които са изправени по-малките доставчици на здравни услуги.

Дамеф обяснява: Такива ИТ специалисти, които често са просто хора, обучени да управляват мрежи и компютри, са свикнали да се справят с проблеми като: „Не мога да разпечатам, не мога да вляза в системата, каква е паролата ми“?. „Те не са експерти по киберсигурност. Персоналът е недостатъчен, няма бюджет и дори не е ясно откъде да се започне.“

Процесът на атака от страна на киберпрестъпниците обикновено се състои от две стъпки: първоначален достъп до мрежата, често чрез фишинг или използване на уязвимости, последван от инсталиране на рансъмуер, който криптира критично важни системи и данни. Еволюцията на тези тактики, включително използването на легитимни инструменти и разпространението на RaaS, е направило атаките по-достъпни и чести.

Начален етап на атака с рансъмуер: Получаване на достъп до мрежата на Здраве­опазването

Джак Мот, който преди това е ръководил екип, фокусиран върху разузнаването и техниките за откриване на заплахи по електронна поща в Microsoft, посочва, че "имейлите остават един от най-големите вектори за разпространение на зловреден софтуер и фишинг атаки за атаки с рансъмуер.”16

В анализ на 13 болнични системи, проведен от „Набор от ресурси на Microsoft срещу заплахи“, отразяващ множество дейности, включително в болници в селски райони, 93% от наблюдаваните злонамерени кибердейности са били свързани с фишинг кампании и рансъмуер, като повечето дейности са представлявали заплахи, базирани на имейли.17
"Имейлите остават един от най-големите вектори за разпространение на зловреден софтуер и фишинг атаки за атаки с рансъмуер."
Джак Мот 
Набор от ресурси на Microsoft срещу заплахи

Кампаниите, насочени към организации в Здраве­опазването, често използват много специфични примамки. Мот акцентира например върху това как участниците в заплахите създават имейли със специфичен за Здраве­опазването жаргон, например препратки към доклади от аутопсии, за да повишат достоверността и успешно да заблудят здравните специалисти. 

Подобни тактики за социално инженерство, особено в среди с напрегната работа, например в Здраве­опазването, се възползват от спешността, която често изпитват здравните работници, което води до потенциални пропуски в защитата. 

Мот също така отбелязва, че атакуващите все повече усъвършенства методите си, като често използват "истински имена, легитимни услуги и инструменти, които обикновено се използват в ИТ отделите (напр. инструменти за отдалечено управление)", за да избегнат откриването. Тези тактики затрудняват системите за защита при разграничаването на злонамерената от легитимната дейност. 

Данните на набора от ресурси на Microsoft срещу заплахи също така показват, че атакуващите често използват известни уязвимости в софтуера или системите на организацията, които са били идентифицирани в миналото. Тези често срещани уязвимости и слабости (CVE) са добре документирани, за тях са достъпни корекции или поправки, и нападателите често се насочват към тези по-стари уязвимости, защото знаят, че много организации все още не са обърнали внимание на тези слабости.18 

След като получат първоначален достъп, атакуващите често провеждат разузнаване на мрежата, което може да бъде установено по индикатори, например необичайна активност на сканиране. Тези действия помагат на извършителите, представляващи заплаха, да създадат карта на мрежата, да идентифицират критичните системи и да се подготвят за следващата фаза на атаката: внедряването на рансъмуер.

Крайният етап на атака с рансъмуер: Разполагане на рансъмуер за шифроване на критично важни системи

След като бъде получен първоначален достъп, обикновено чрез фишинг или зловреден софтуер, доставен по имейл, извършителите, представляващи заплаха, преминават към втората фаза: внедряване на рансъмуер.

Джак Мот обяснява, че възходът на моделите на RaaS е допринесъл значително за увеличаването на честотата на атаките с рансъмуер в сектора на Здраве­опазването. "Платформите RaaS са улеснили достъпа до усъвършенствани инструменти за рансъмуер, което позволява дори на хора с минимални технически умения да извършват високоефективни атаки," отбелязва Мот. Този модел намалява бариерата за навлизане на атакуващите, което прави атаките с рансъмуер по-достъпни и ефективни.
"Платформите RaaS се улеснили достъпа до усъвършенствани инструменти за рансъмуер, което позволява дори на хора с минимални технически умения да извършват високоефективни атаки.“ 
Джак Мот 
Набор от ресурси на Microsoft срещу заплахи

Мот доразвива начина на функциониране на RaaS, като заявява: "Тези платформи често включват цялостен набор от инструменти, включително софтуер за шифроване, обработка на плащания и дори обслужване на клиенти за договаряне на плащания на откупи. Този готов за използване подход позволява на по-широк кръг участници в заплахи да извършват кампании с рансъмуер, което води до увеличаване на броя и сериозността на атаките."

Освен това Мот акцентира върху координирания характер на тези атаки като подчертава, че "след внедряването на рансъмуер нападателите обикновено бързо преминават към криптиране на критични системи и данни, често в рамките на няколко часа. Те се насочват към основна инфраструктура като досиета на пациенти, диагностични системи и дори операции по фактуриране, за да увеличат максимално въздействието и натиска върху здравните организации да платят откупа."

Атаки с рансъмуер в Здраве­опазването: Профил на основните групи извършители, представляващи заплаха

Атаките с рансъмуер в сектора на Здраве­опазването често се извършват от високоорганизирани и специализирани групи от извършители, представляващи заплаха. Такива групи, които включват както финансово мотивирани киберпрестъпници, така и опитни извършители, насочвани от държави, прилагат усъвършенствани инструменти и стратегии, за да проникват в мрежи, да шифроват данни и да изискват откуп от организации.

Съобщава се, че сред тези извършители, представляващи заплаха, има спонсорирани от правителствата хакери от авторитарни държави, които използват рансъмуер и дори си сътрудничат с групи за рансъмуер с цел шпионаж. Така например има подозрения, че китайските правителствени извършители, представляващи заплаха, все по-често използват рансъмуер като прикритие за шпионска дейност.19

Изглежда, че през 2024 г. иранските участници в заплахи са най-активни в атаките срещу здравни организации.20 Всъщност през август 2024 г. правителството на САЩ е отправило предупреждение към сектора на Здраве­опазването за базиран в Иран извършител, представляващ заплаха, известен като Lemon Sandstorm. Тази група „е използвала неоторизиран достъп до мрежата на американски организации, включително здравни организации, за да улеснява, изпълнява и печели от бъдещи атаки с рансъмуер от очевидно свързани с Русия банди за рансъмуер.“21

Следващите профили предоставят информация за някои от най-известните финансово мотивирани групи за рансъмуер, насочени към Здраве­опазването, като подробно описват техните методи, мотивацията и въздействието на дейността им върху този отрасъл.
  • Lace Tempest е резултативна група за рансъмуер, насочена към Здраве­опазването. Използвайки модел за RaaS, те дават възможност на партньорите си лесно да разполагат рансъмуер. Групата е свързана с атаки със силно въздействие срещу болнични системи, при които се шифроват критични данни на пациенти и се иска откуп. Известна с тактиката на двойното изнудване, тя не само шифрова данни, но и ги извлича, като заплашва да разкрие чувствителна информация, ако не бъде платен откупът.
  • Sangria Tempest е известна с разширените си атаки с рансъмуер срещу организации в областта на Здраве­опазването. Използвайки сложно шифроване, те правят възстановяването на данните почти невъзможно без заплащане на откуп. Те използват и тактиката на двойно изнудване като изнасят данни за пациенти и заплашват, че ще ги разгласят. Техните атаки предизвикват широкообхватни прекъсвания на работата и принуждават здравните системи да пренасочват ресурси, което се отразява негативно на грижите за пациентите.
  • Cadenza Tempest, известни с атаките за отказ на услуги (DDoS), все повече се пренасочват към операции с рансъмуер в Здраве­опазването. Идентифицирани като проруска група активисти, те се насочват към здравните системи в региони, враждебни на руските интереси. Техните атаки претоварват болничните системи, прекъсват критични операции и създават хаос, особено когато са комбинирани с кампании за рансъмуер.
  • Действаща от юли 2022 г., финансово мотивираната група Vanilla Tempest наскоро започна да използва рансъмуер INC, придобит чрез доставчици на RaaS, за да атакува Здраве­опазването в САЩ. Те се възползват от уязвимостите, използват персонализирани скриптове и стандартни инструменти на Windows, за да крадат идентификационни данни, да се придвижват странично и да внедряват рансъмуер. Групата използва и двойно изнудване като иска откуп за отключване на системите и предотвратяване на разкриването на откраднати данни.

Пред лицето на все по-усъвършенствани атаки с рансъмуер здравните организациите в областта на Здраве­опазването трябва да възприемат многостранен подход към киберсигурността. Те трябва да са подготвени да противодействат, да реагират и да се възстановяват от киберинциденти, като същевременно запазват непрекъснатостта на грижите за пациентите.

Следващите насоки предоставят цялостна рамка за подобряване на устойчивостта, осигуряване на бързо възстановяване, насърчаване на работната сила, ориентирана към защитата, и стимулиране на сътрудничеството в сектора на Здраве­опазването.

Управление: Осигуряване на готовност и устойчивост

Сграда с много прозорци под синьо небе с облаци

Ефективното управление на киберсигурността в Здраве­опазването е от съществено значение за подготовката и реагирането на атаки с рансъмуер. Дамеф и Тъли от Центъра за киберсигурност в Здраве­опазването на Калифорнийския университет в Сан Диего препоръчват да се създаде стабилна рамка за управление с ясни роли, редовно обучение и интердисциплинарно сътрудничество. Това помага на здравните организации да повишат устойчивостта си срещу атаки с рансъмуер и да осигурят непрекъснатост на грижите за пациентите, дори при значителни прекъсвания.

Ключов аспект на тази рамка е преодоляването на разделението между клиничния персонал, екипите по ИТ защита и специалистите по управление на извънредни ситуации, за да се разработят съгласувани планове за отговор на инциденти. Това сътрудничество между различните отдели е жизненоважно за поддържане на безопасността на пациентите и качеството на грижите, когато технологичните системи са компрометирани.

Дамеф и Тъли също така акцентират върху необходимостта от съществува специален орган за управление или съвет, който редовно да се събира, за да преглежда и актуализира плановете за отговор на инциденти. Те препоръчват да се предоставят правомощия на тези органи за управление да тестват планове за реакция чрез реалистични симулации и тренировки, за да се гарантира, че целият персонал, включително по-младите лекари, които може да не са запознати с воденето на досиета на хартия, са подготвени да работят ефективно без цифрови инструменти.

Освен това Dameff и Tully подчертават значението на външното сътрудничество. Те призовават за регионални и национални рамки, които да дават възможност на болниците да се подкрепят взаимно по време на мащабни инциденти, като подчертават необходимостта от "стратегически национален запас от технологии", които могат временно да заменят компрометираните системи.

Устойчивост и стратегически отговори

Устойчивостта на киберсигурността в Здраве­опазването не се изчерпва само със защитата на данните – тя включва гарантиране, че целите системи могат да издържат и да се възстановяват от атаки. Цялостният подход към устойчивостта е от съществено значение, като той се фокусира не само върху защитата на данните на пациентите, но и върху укрепването на цялата инфраструктура, която поддържа здравните дейности. Това включва цялата система – мрежата, веригата за доставки, медицинските изделия и др.

Възприемането на стратегия за защита в дълбочина е от решаващо значение за създаването на многопластова позиция за защита, която може ефективно да осуетява атаките с рансъмуер.

Възприемането на стратегия за защита в дълбочина е от решаващо значение за създаването на многопластова позиция за защита, която може ефективно да осуетява атаките с рансъмуер. Тази стратегия включва защита на здравната инфраструктура на всички нива – от мрежата до крайните точки и облака. След като осигурят множество нива на защита, здравните организации могат да намалят риска при успешна атака с рансъмуер.

Като част от този съставен от няколко слоя подход към клиентите на Microsoft, екипите на набора от ресурси на Microsoft срещу заплахи активно следят поведението на противника. При откриване на такава дейност се изпраща директно известяване.

Това не е платена или многостепенна услуга – всички предприятия, независимо от размера си, получават еднакво внимание. Целта е своевременно да се подава предупреждение при откриване на потенциални заплахи, включително рансъмуер, и да се съдейства за предприемането на стъпки за защита на организацията.

В допълнение към прилагането на тези нива на защита е изключително важно да има ефективен план за откриване и отговор на инциденти. Наличието на план не е достатъчно; организациите в областта на Здраве­опазването трябва да са подготвени да го изпълняват ефективно по време на реална атака, за да сведат до минимум щетите и да осигурят бързо възстановяване.

И накрая, непрекъснатото мониториране и възможностите за откриване в реално време са основни компоненти на стабилната рамка за отговор на инциденти, която гарантира, че потенциалните заплахи могат да бъдат идентифицирани и адресирани незабавно.

За допълнителна информация относно киберустойчивостта в Здраве­опазването Министерството на Здраве­опазването и човешките ресурси (HHS) публикува незадължителни конкретни цели за постигане на киберсигурност в Здраве­опазването, за да помогне на здравните организации да определят приоритетите си при прилагането на практики за киберсигурност с голямо въздействие.

Създадени чрез процес на сътрудничество между публичния и частния сектор и с използване на общи за индустрията рамки, указания, най-добри практики и стратегии, целите за постигане на киберсигурност в Здраве­опазването представляват подгрупа от практики в областта на киберсигурността, които организациите в областта на Здраве­опазването могат да използват за повишаване на киберготовността, подобряване на киберустойчивостта и защитата на здравната информация и безопасността на пациентите.

Стъпки за бързо възстановяване на операциите и укрепване на защитата след атака

Възстановяването след атака с рансъмуер изисква систематичен подход, за да се гарантира бързото възстановяване на нормалната работа и същевременно да се предотвратят бъдещи инциденти. По-долу са описани свързани с действия стъпки в помощ на оценяването на щетите, възстановяването на засегнатите системи и засилване на мерките за защита. Следвайки тези насоки, организациите в областта на Здраве­опазването могат да намалят въздействието на атаката и да подсилят защитата си срещу бъдещи заплахи.
Оценка на въздействието и ограничаване на атаката

Незабавно изолирайте засегнатите системи, за да предотвратите по-нататъшното им разпространение.
Възстановяване от резервни копия, за които е известно, че са добри

Уверете се, че са налични и проверени чисти резервни копия, преди да възстановите работата. Поддържайте резервни копия офлайн, за да избегнете шифроване с рансъмуер.
Преработване на системите

Обмислете възможността за преработване на компрометираните системи, вместо да ги поправяте, за да елиминирате какъвто и да било остатъчен зловреден софтуер. Използвайте указанията за защитено преработване на системи на екипа за реакция за инцидент на Microsoft. 
Засилете контролите на защитата след атака

Подсилете защитата след атака като отстраните уязвимостите, обновите системите и подобрите инструментите за откриване в крайните точки.
Извършете преглед след инцидента

В сътрудничество с външен доставчик на системи за защита анализирайте атаката, за да идентифицирате слабите места и да подобрите защитата при бъдещи инциденти.

Изградете работна сила, ориентирана към защитата

Мъж и жена, които гледат лице на жена.

Създаването на работна сила, ориентирана към защитата, изисква постоянно сътрудничество между различни дисциплини.

Създаването на работна сила, ориентирана към защитата, изисква постоянно сътрудничество между различни дисциплини. Важно е да се преодолее разделението между екипите по ИТ защита, ръководителите на аварийни ситуации и клиничния персонал, за да се разработят съгласувани планове за отговор на инциденти. Без такова сътрудничество останалата част от болницата може да не е адекватно подготвена да реагира ефективно по време на киберинцидент.

Образование и осведоменост

Ефективното обучение и високата култура на докладване са основни компоненти на защитата на здравната организация срещу рансъмуер. Като се има предвид, че здравните специалисти често дават приоритет на грижите за пациентите, те може да не обръщат толкова внимание на киберсигурността, което може да ги направи по-податливи на киберзаплахи.

За да се предприемат мерки за това, непрекъснатото обучение трябва да включва основи на киберсигурността, например как да забелязваме фишинг имейли, да не щракваме върху подозрителни връзки и как да разпознаваме обичайните тактики на социалното инженерство.

Ресурсите на Microsoft за информираност за киберсигурността могат да помогнат да се постигне това.

"Насърчаването на персонала да докладва за проблеми със сигурността, без да се страхува да бъде обвинен за тях, е от ключово значение", обяснява Мот от Microsoft. "Колкото по-скоро съобщите за нещо, толкова по-добре. Ако проблемът не е опасен, това е най-добрият сценарий."

Редовните тренировки и симулации трябва да имитират реални атаки като фишинг или рансъмуер, помагайки на служителите да упражняват отговорите в контролирана среда.

Споделяне на информация, сътрудничество и колективна защита

Тъй като атаките с рансъмуер като цяло възникват все по-често (Microsoft наблюдава 2,75 увеличение на годишна база сред нашите клиенти 16), колективната стратегия за защита придобива съществено значение. Сътрудничеството между вътрешни екипи, регионални партньори и по-широки национални / глобални мрежи е от решаващо значение за гарантиране на дейностите в Здраве­опазването, както и безопасността на пациентите.

Обединяването на тези групи за целите на разработване и прилагане на всеобхватни планове за реакция при инциденти може да предотврати оперативния хаос по време на атаки.

Дамеф и Тъли акцентират върху значението на обединяването на вътрешните екипи, например лекари, ръководители на аварийни операции и служители по ИТ защитата, които често работят изолирано. Обединяването на тези групи за целите на разработване и прилагане на всеобхватни планове за реакция при инциденти може да предотврати оперативния хаос по време на атаки.

На регионално ниво здравните организации трябва да създават партньорства, които да дават възможност на здравните заведения да споделят капацитет и ресурси като гарантират, че грижите за пациентите ще продължат дори когато някои болници са засегнати от рансъмуер. Тази форма на колективна защита може също така да помогне за справяне с препълването с пациенти и да разпределя натоварването между доставчиците на здравни услуги..

Освен регионалното сътрудничество, ключово значение имат националните и глобалните мрежи за обмен на информация. ISAC (Центрове за обмен и анализ на информация), като Health-ISAC, играят ролята на платформи за обмен на важна информация за заплахи между здравните организации. Ерол Вайс, който е главен директор по сигурността в Health-ISAC, сравнява тези организации с "виртуални програми за наблюдение на квартали", в които членуващите организации могат бързо да обменят информация за атаки и доказани техники за смекчаване на последиците. Споделянето на разузнавателна информация помага на другите да се подготвят или да елиминират подобни заплахи, което засилва колективната защита в по-голям мащаб.

  1. [1]
    Данни на „Набор от ресурси на Microsoft срещу заплахи“, трим. 2, 2024 г.
  2. [2]
    (Резюме за ръководителите на CISO: Пейзаж на текущите и нововъзникващите киберзаплахи в Здраве­опазването; Health-ISAC и Американската асоциация на болниците (AHA))  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    ПРЕПИС: Изслушване в комисията на Камарата на представителите за оценка на недостатъците на киберсигурността на Microsoft,” Tech Policy Press, 15 юни 2024 г.
  4. [4]
    Здравните организации губят средно по 900 000 USD на ден от престои заради атаки с рансъмуер,” Comparitech, 6 март 2024 г.
  5. [5]
    Атаките с рансъмуер в Здраве­опазването продължават да се увеличават по брой и сериозност,“ The HIPAA Journal, септември 2024 г.
  6. [6]
    Хакнат на парчета? Ефекти от атаките с рансъмуер върху болници и пациенти; https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    Атака с рансъмуер, свързана с нарушения в съседни спешни отделения в САЩ; Атака с рансъмуер, свързана с нарушения на работата в съседни спешни отделения в САЩ | Спешна медицина | Отваряне на мрежата JAMA | Мрежа JAMA
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    Атаката с рансъмуер на Ascension вреди на финансовото възстановяване,“ The HIPPA Journal, 20 септември 2024 г.
  10. [10]
    Данни за пациенти, разкрити при фишинг атака срещу UC San Diego Health,“ The HIPPA Journal, 13 март 2024 г.
  11. [11]
    Атаката с рансъмуер е ключов фактор при решението за закриване на болница в селски район в Илинойс,“ The HIPPA Journal, 14 юни 2023 г.
  12. [12]
    Атаките с рансъмуер в Здраве­опазването продължават да се увеличават по брой и сериозност,“ The HIPAA Journal, септември 2024 г.
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    През 2023 г. е имало повече сливания на болници, а финансовите затруднения са причината за повече сделки (chiefhealthcareexecutive.com)
  15. [15]
    Оперативна съвместимост и методи за обмен между болниците през 2021 г. | HealthIT.gov
  16. [16]
    Отчет за дигитална защита на Microsoft за 2024 г. Microsoft, стр. 27
  17. [17]
    Телеметрия на набора от ресурси на Microsoft срещу заплахи, 2024 г.
  18. [18]
    Каталог на известните експлоатирани уязвимости“, CISA, 2024 г.
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    Данни на набора от ресурси на Microsoft срещу заплахи за киберзаплахите в сектора на Здраве­опазването, 2024 г.
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
Рансъмуер Киберпрестъпност

Повече от „Защита“

Ръководство за хигиена на кибериздръжливостта

Основната киберхигиена остава най-добрият начин за защита на идентичността, устройствата, данните, приложенията, инфраструктурата и мрежите на организацията срещу 98% от всички киберзаплахи. Открийте практически съвети в изчерпателно ръководство.
Научете повече

Навътре в борбата срещу хакерите, които прекъсваха работата на болниците и застрашаваха живота на хората

Научете повече за най-новите нововъзникващи заплахи от данните и изследванията на Microsoft за заплахите. Получете анализ на тенденциите и водещи до действия указания за укрепване на първата линия на защитата.
Научете повече

Подхранвана от доверието икономика: измами със социално инженерство

Запознайте се с променящия се цифров пейзаж, в който доверието е едновременно валута и уязвимост. Открийте тактиките за измама чрез социално инженерство, които кибератаките използват най-често, и разгледайте стратегиите, които могат да ви помогнат да разпознаете и изпреварите заплахите от социално инженерство, предназначени да манипулират човешката природа.
Научете повече

Следвайте Microsoft Security