Trace Id is missing

Amerikansk sundhedspleje på spil: Bestyrkelse af modstandsdygtighed mod ransomwareangreb

Del
En gruppe medicinske fagpersoner ser på en tablet

Sundheds­sektoren står over for en hurtigt voksende række cybersikkerhedstrusler, hvor ransomwareangreb vokser frem som en af de mest betydningsfulde. En kombination af værdifulde patientdata, tværforbundne medicinske enheder og et lavt antal it-/cybersikkerhedsmedarbejdere, som spreder ressourcerne tyndt ud, kan gør sundhedsorganisationer til eftertragtede mål for trusselsaktører. Efterhånden som Sundheds­sektorens drift bliver mere digitaliseret – fra elektroniske patientjournaler (EPJ) til telemedicinske platforme og netværksopkoblede medicinske enheder – bliver hospitalers angrebsoverflade mere kompleks, hvilket yderligere øger deres sårbarhed for angreb.

Følgende afsnit giver en oversigt over Sundheds­sektorens aktuelle cybersikkerhedslandskab, hvor branchens status som et stort mål fremhæves sammen med den øgede frekvens af ransomwareangreb og de alvorlige konsekvenser, disse angreb har både økonomisk og for patientplejen.

En videosamtale ført an af Sherrod DeGrippo, Director of Threat Intelligence Strategy hos Microsoft, udforsker disse kritiske problemstillinger mere dybdegående og tilbyder indsigter fra eksperter om trusselsaktører, genoprettelsesstrategier og Sundheds­sektorens sårbarheder.

The Microsoft Threat Intelligence Briefing: Sundheds­sektoren

Sherrod DeGrippo, Director of Threat Intelligence Strategy hos Microsoft Threat Intelligence, fører en livlig rundbordssamtale med eksperter i efterretninger om cybertrusler og sikkerhed i Sundheds­sektoren, som undersøger, hvad der gør Sundheds­sektoren særligt udsat for ransomwareangreb, hvilke taktikker, trusselsaktørgrupper bruger, hvordan man forbliver modstandsdygtig og meget mere.
  • Ifølge Microsoft Threat Intelligence var Sundheds­sektoren/den offentlige sundhedssektor en af de 10 mest påvirkede brancher i andet kvartal i 2024.1
  • Ransomware-as-a-service (RaaS) har gjort det nemmere for personer med ondsindede hensigter, mens Rusland tilbyder en sikker havn for ransomwaregrupper. Som følge heraf er der sket en stigning på 300 % i ransomwareangreb side n 2015.2
  • I dette regnskabsår blev 389 amerikanske sundhedsinstitutioner ramt af ransomware, hvilket medførte netværksnedlukninger, systemer bragt offline, forsinkelser af vigtige medicinske behandlinger og ombookede aftaler3. Angrebene er omkostningstunge, eftersom en brancherapport viser, at sundhedsorganisationer mister op til 900.000 USD om dagen alene på nedetid.4
  • Ud af de 99 sundhedsorganisationer, der indrømmede at betale løsesummen og afslørede den betalte løsesum, var medianbetalingen 1.5 millioner USD, og den gennemsnitlige betaling var 4,4 millioner USD.5

Alvorlig påvirkning af patientplejen

Forstyrrelsen af Sundheds­sektorens drift som følge af et ransomwareangreb kan for alvor påvirke evnen til at behandle patienter effektivt – ikke kun på påvirkede hospitaler, men også i områder i nærheden, som absorberer den fortrængte volumen af kritiske patienter.6

Overvej resultaterne af et nyligt studie, der viser, hvordan et ransomwareangreb mod fire hospitaler (to angrebne og to upåvirkede) førte til øget volumen af kritiske patienter, længere ventetider og yderligere træk på ressourcer, særligt i tidsfølsom pleje som strokebehandling, på to upåvirkede nabohospitaler.7
Stigning i stroketilfælde: Ransomwareangrebet gav Sundheds­sektorens generelle økosystem betydeligt pres, eftersom upåvirkede hospitaler måtte absorbere patienter fra de påvirkede hospitaler. Stoke-kodeaktiveringer fra hospitaler i nærheden blev næsten fordoblet fra 59 til 103, mens det bekræftede antal strokes steg fra 113,6 %, en stigning fra 22 til 47 tilfælde.
Stigning i hjertestop: Angrebet stressede sundhedssystemet, eftersom antallet af hjertestop på upåvirkede hospitaler steg fra 21 til 38, en stigning på 81 %. Dette afspejler en nedarvet påvirkning fra kompromitteringen af en facilitet, som tvinger hospitaler i nærheden til at håndtere flere kritiske tilfælde.
Fald i overlevelsesgrad med gode neurologiske resultater: Overlevelsesgraden for hjertestop uden for hospitalet med gode neurologiske resultater faldt drastisk for de upåvirkede hospitaler under angrebet, med et fald fra 40 % før angrebet til 4,5 % under angrebsfasen.
Stigning i antal ambulanceankomster: Der var en stigning på 35,2 % i ankomster af akutlægetjenester (EMS) på "upåvirkede" hospitaler i løbet af angrebsfasen, hvilket tyder på en betydelig omledning af ambulancetrafik grundet den ransomwaredrevne forstyrrelse af de påvirkede hospitaler.
Stigninger i patientvolumen: Eftersom angrebet kompromitterede fire hospitaler i området (to påvirkede og to upåvirkede) oplevede akutafdelingerne (ED'er) på de upåvirkede hospitaler en betydelig tilstrømning af patienter. Den daglige optælling på disse upåvirkede hospitaler steg med 15,1 % under angrebsfasen sammenlignet med før angrebsfasen.
Yderligere forstyrrelser af plejen: Under angrebene havde de påvirkede hospitaler betydelige stigninger i antallet af patienter, der forlod hospitalet uden at blive tilset, ventetider og samlet opholdstid for indskrevne patienter. For eksempel steg medianventetiden fra 21 minutter før angrebet til 31 minutter under angrebet.

Casestudier for ransomware

Ransomwareangreb i Sundheds­sektoren kan have ødelæggende konsekvenser, ikke kun for de organisationer, som målrettes mod, men også for patientpleje og operationel stabilitet. Følgende casestudier illustrerer de langtrækkende resultater af ransomware på forskellige typer sundhedsorganisationer, fra store hospitalssystemer til små udbydere i fjerne egne, og de fremhæver derved forskellige måder, hvorpå personer med ondsindede hensigter infiltrerer netværk og de resulterende forstyrrelser af essentielle sundhedstjenester.
  • Personer med ondsindede hensigter brugte kompromitterede legitimationsoplysninger til at få adgang til netværket via en sårbar gateway til fjernadgang uden multifaktorgodkendelse. De krypterede den kritiske infrastruktur og udtrak følsomme data i et dobbelt afpresningssystem, der truede med at frigivelse af disse, med mindre der blev betalt en løsesum.

    Effekt:     Angrebet medførte forstyrrelser, som forhindrede 80 % af sundhedsudbydere og apoteker i at bekræfte forsikring eller behandle krav. 
  • Personer med ondsindede hensigter udnyttede en sårbarhed i hospitalets ikke-opdaterede forældede software og bevægede sig lateralt for at kompromittere patientplanlægningen og medicinske optegnelser. Med en taktik for dobbelt afpresning udtrak de følsomme data og truede med at frigive dem, med mindre der blev betalt en løsesum.

    Effekt: Angrebet forstyrrede driften, hvilket medførte annullerede aftaler, udskudte kirurgiske behandlinger og et skifte til manuelle processer, hvilket pressede personalet og udskød plejen. 
  • Personer med ondsindede hensigter brugte phishingmails til at opnå adgang til hospitalsnetværket og udnyttede ikke-rettede sårbarheder til at udrulle ransomware, som krypterede EPJ- og patientplejesystemer. I en taktik for dobbelt afpresning udtrak de følsomme patientdata og økonomiske data og truede med at lække dem, hvis løsesummen ikke blev betalt. 

    Effekt:     Angrebet forstyrrede fire hospitaler og over 30 klinikker, hvilket udskød behandlinger og omdirigerede akutte patienter, sammen med bekymringer om dataeksponering. 
  • I februar 2021 nedlagde et ransomwareangreb computersystemerne på et landligt hospital med 44 senge og gennemtvang manuel drift i tre måneder, samtidig med at forsikringskrav blev betydeligt forsinket.

    Effekt:     Hospitalets manglende evne til at indhente betalinger til tiden førte til økonomiske vanskeligheder, hvilket efterlod det fjerne lokalsamfund uden vigtige sundhedstjenester. 

Den amerikanske sundhedssektor er et attraktivt mål for økonomisk motiverede cyberkriminelle på grund af dets brede angrebsoverflade, forældede systemer og inkonsistente sikkerhedsprotokoller. Kombinationen af Sundheds­sektorens afhængighed af digitale teknologier, dens følsomme data og den ressourceknaphed, som mange organisationer har – ofte på grund af meget smalle profitmargener – kan begrænse deres evne til at investere fuldt ud i cybersikkerhed, hvilket gør dem særligt sårbare. Derudover prioriterer organisationer patientpleje for enhver pris, hvilket kan føre til en villighed til at betale løsesummer for at undgå forstyrrelser.

Et ry for at betale løsesummer

En del af grunden til, at ransomware er blevet et så udtalt problem for Sundheds­sektoren, er dens historik for at betale løsesummer. Sundhedsorganisationer prioriterer patientpleje over alt andet, og selv hvis de skal betale millioner af dollars for at undgå forstyrrelser, er de ofte villige til at gøre det.

I følge en nylig rapport, som er baseret på en undersøgelse af 402 sundhedsorganisationer, oplevede 67 % et ransomwareangreb i løbet af det seneste år. Bland disse organisationer indrømmede 53 % at have betalt løsesummer i 2024, en stigning fra 42 % i 2023. Rapporten fremhæver også den økonomiske indvirkning, eftersom den gennemsnitlige løsesumsbetaling er på 4,4 millioner USD.12

Begrænsede sikkerhedsressourcer og -investering

En anden betydelig udfordring er de begrænsede budgetter og ressourcer for cybersikkerhed på tværs af Sundheds­sektoren. Ifølge en nylig Healthcare Cybersecurity Needs a Check-Up-rapport 13 af CSC 2.0 (en gruppe, der fortsætter arbejdet udført af den af kongressen bemyndigede Cyberspace Solarium Commission), "er cybersikkerhed, fordi budgetterne er begrænsede og udbyderne skal prioritere forbruget på vigtige patienttjenester, blevet underfinansieret, hvilket gør sundhedsorganisationer mere sårbare for angreb."

I tillæg hertil investerer sundhedsudbydere ikke nok i cybersikkerhed trods problemets alvorsgrad. På grund af en række komplekse faktorer, herunder en indirekte betalingsmodel, der ofte fører til prioritering af omgående kliniske behov frem for mindre synlige investeringer, såsom i cybersikkerhed, har Sundheds­sektoren betydeligt underinvesteret i cybersikkerhed over de seneste to årtier.10

Desuden har HIPAA (Health Insurance Portability and Accountability Act) ført til prioritering af investeringer i datafortrolighed, hvilket ofte efterlader dataintegritet og -tilgængelighed som sekundære anliggender. Denne tilgang kan medføre reduceret fokus på organisationers modstandsdygtighed, særligt ved at reducere målsætninger for genoprettelsestid (RTO) og genoprettelsespunkt (RPO).

Sårbarheder og i forældede systemer og infrastruktur

Et resultat af underinvestering i cybersikkerhed er en afhængighed af forældede systemer, der er svære at opdatere, som er blevet vigtige udnyttelsesmål. Derudover skaber brugen af særdeles forskellige teknologier en sammenlappet infrastruktur med sikkerhedshuller, der øger risikoen for angreb.

Denne sårbare infrastruktur gøres endnu mere kompleks af Sundheds­sektorens nylige tendens mod konsolidering. Hospitalsfusioner, som er i stigning (steget med 23 % sammenlignet med 2022, og på det højeste niveau siden 202014), skaber organisationer med kompleks infrastruktur spredt over flere placeringer. Uden tilstrækkelig investering i cybersikkerhed bliver disse infrastrukturer særdeles sårbare over for angreb.

En voksende angrebsoverflade

Selvom klinisk integrerede plejenetværk bestående af forbundne enheder og medicinske teknologier hjælper med at forbedre patienternes resultater og redde liv, har de også udvidet den digitale angrebsoverflade – noget, som trusselsaktører i stigende grad udnytter.

Hospitaler er mere online end nogensinde før, hvor de forbinder medicinske enheder såsom CT-scannere, patientovervågningssystemer og infusionspumper til netværk, men de har ikke altid det nødvendige synlighedsniveau til at identificere og afbøde sårbarheder, der for alvor kan påvirke patientplejen.

Lægerne Christian Dameff og Jeff Tully, meddirektører og medstiftere af University of California San Diego Center for Healthcare Cybersecurity, bemærker, at i gennemsnit 70 % af et hospitals slutpunkter ikke er computere, men enheder.   
Et hospitalsrum med medicinsk udstyr, en hvid skuffe og et blåt gardin.

Sundhedsorganisationer overfører også store mængder data. Ifølge data fra Office of the National Coordinator for Health IT rapporterer mere end 88 % af hospitaler at sende og indhente oplysninger om patientsundhed elektronisk, og mere end 60 % rapporterer at integrere disse oplysninger i deres elektroniske sundhedsoptegnelser (EHR'er).15

Små fjerntliggende udbydere står over for unikke udfordringer

Fjerntliggende hospitaler, hvor adgangen er vigtig, er særligt sårbare over for ransomwarehændelser, fordi de ofte har begrænsede midler til at forebygge og afhjælpe sikkerhedsrisici. Det kan være ødelæggende for at lokalsamfund, fordi disse hospitaler ofte er den eneste mulighed for sundhedspleje i mange kilometers omkreds for de lokalsamfund, de betjener.

Ifølge Dameff og Tully mangler fjerntliggende hospitaler ofte det samme niveau af cybersikkerhedsinfrastruktur og ekspertise som deres større modparter i byområder. De bemærker også, at mange af disse hospitalers planer for forretningskontinuitet kan være forældede eller utilstrækkelige med hensyn til at adressere moderne cybertrusler såsom ransomware.

Mange små og fjerntliggende hospitaler møder betydelige økonomiske begrænsninger og opererer med små overskudsmargener. Denne økonomiske virkelighed gør det udfordrende for det at investere i robuste cybersikkerhedsforanstaltninger. Ofte afhænger disse faciliteter af én it-generalist – en, der kan administrere dagligdagens tekniske problemer, men mangler specialiseret viden om cybersikkerhed.

En rapport fra Department of Health and Human Services Health Care Industry Cybersecurity Task Force, oprettet som en del af Cybersecurity Act of 2015, fremhæver, at en betydelig andel af fjerntliggende hospitaler, hvor adgang er vigtig, mangler en fuldtidsansat med fokus på cybersikkerhed, hvilket understreger de generelle ressourceudfordringer, som små sundhedsudbydere står over for.

"Disse it-generalister, som ofte blot gode til netværks- og computeradministration, er vant til at håndtere ting som 'Jeg kan ikke printe', 'Jeg kan ikke logge ind', 'Hvad er min adgangskode?'", forklarer Dameff. "De er ikke cybersikkerhedseksperter. De har ikke personalet, de har ikke budgettet, og de ved ikke engang, hvor de skal begynde".

En cyberkriminels angrebsproces følger normalt en tilgang med to trin: opnåelse af indledende adgang til netværket, ofte via phishing eller udnyttelse af sårbarheder, efterfulgt af udrulning af ransomware for at kryptere systemer og data. Udviklingen af disse taktikker, herunder brugen af legitime værktøjer og udbredelsen af RaaS, har gjort angreb mere tilgængelige og hyppige.

Det indledende trin i et ransomwareangreb: At få adgang til sundhedsnetværket

Jack Mott, som tidligere har ledt et team, der fokuserede på oplysninger om trusler og registreringsudvikling for virksomhedsmail hos Microsoft, peger på, at "mail stadig er en af de største vektorer for levering af malware og phishingangreb til ransomwareangreb16

I en Microsoft Threat Intelligence-analyse af 13 hospitalssystemer, der repræsenterer flere driftsformer, herunder hospitaler på landet, var 93 % af den observerede ondsindede aktivitet relateret til phishingkampagner og ransomware, hvor mest aktivitet bestod i mailbaserede trusler.17
"Mail er stadig en af de største vektorer til at levere malware og phishingangreb til ransomwareangreb."
Jack Mott 
Microsoft Threat Intelligence

Kampagner rettet mod sundhedsorganisationer bruger ofte særdeles specifik lokkemad. Mott fremhæver f.eks. hvordan trusselsaktører udfærdiger mails med sprogbrug, der er specifikt for Sundheds­sektoren, f.eks. referencer til obduktionsrapporter, for at øge deres troværdighed og lykkes med at narre sundhedsfagpersoner. 

Social engineering-taktikker som disse udnytter, særligt i miljøer med stort pres, såsom Sundheds­sektoren, den uopsættelighed, som medarbejdere i Sundheds­sektoren ofte føler, hvilket fører til potentielle sikkerhedsudfald. 

Mott bemærker også, at personer med ondsindede hensigter bliver stadig mere sofistikerede med hensyn til deres metoder, ved at de ofte bruger "rigtige navne, legitime tjenester og værktøjer, der ofte bruges i it-afdelinger (f.eks. værktøjer til fjernadministration)" for at undgå at blive opdaget. Disse taktikker gør det svært for sikkerhedssystemer at adskille ondsindet fra legitim aktivitet. 

Microsoft Threat Intelligence-data viser også, at personer med ondsindede hensigter ofte udnytter kendte sårbarheder i organisationens software eller systemer, der tidligere er blevet identificeret. Disse CVE'er (Common Vulnerabilities and Exposures) er veldokumenterede, har tilgængelige fejlrettelser eller løsninger, og personer med ondsindede hensigter målretter ofte mod disse ældre sårbarheder, fordi de ved, at mange organisationer endnu ikke har adresseret disse svagheder.18

Når personer med ondsindede hensigter har fået adgang, foretager de ofte netværksrekognoscering, som kan identificeres ved hjælp af indikatorer såsom usædvanlig scanningsaktivitet. Disse handlinger hjælper trusselsaktører med at kortlægge netværket, identificere kritiske systemer og forberede til angrebets næste fase: udrulningen af ransomware.

Det sidste trin i et ransomwareangreb: Udrulning af ransomware for at kryptere vigtige systemer

Når den indledende adgang er opnået, som regel via phishing eller malware leveret via mail, går trusselsaktører til den næste fase: udrulningen af ransomware.

Jack Mott forklarer, at fremkomsten af RaaS-modeller har bidraget i betydelig grad til den øgede hyppighed af ransomwareangreb i Sundheds­sektoren. "RaaS-platforme har demokratiseret adgang til sofistikerede ransomwareværktøjer, hvilket lader selv personer med begrænsede tekniske færdigheder iværksætte særdeles effektive angreb," bemærker Moss. Denne model reducerer indgangsbarrieren for personer med ondsindede hensigter og gør ransomwareangreb mere tilgængelige og effektive.
"RaaS-platforme har demokratiseret adgang til sofistikerede ransomwareværktøjer, hvilket lader selv personer med begrænsede tekniske færdigheder iværksætte særdeles effektive angreb". 
Jack Mott 
Microsoft Threat Intelligence

Mott forklarer videre, hvordan RaaS fungerer, hvor han erklærer, at "disse platforme ofte inkluderer en omfattende værktøjspakke, herunder krypteringssoftware, betalingsbehandling og endda kundeservice til at forhandle betalinger af løsesum. Denne nøglefærdige tilgang muliggør, at et større udvalg af trusselsaktører kan udføre ransomwarekampagner, hvilket fører til en stigning i antallet og alvorsgraden af angreb."

Mott fremhæver også disse angrebs koordinerede natur, hvor han bemærker, at "når først ransomware er udrullet, rykker personer med ondsindede handlinger hurtigt for at kryptere kritiske systemer og data, ofte i løbet af få timer. De målretter mod grundlæggende infrastruktur, f.eks. patientoptegnelser, diagnostiske systemer og endda faktureringsdrift for at maksimere presset på sundhedsorganisationer for at betale løsesummen."

Ransomwareangreb i Sundheds­sektoren: En profil af de største trusselsaktørgrupper

Ransomwareangreb i Sundheds­sektoren udføres ofte er særdeles organiserede og specialiserede trusselsaktørgrupper. Disse grupper, som inkluderer både økonomisk motiverede cyberkriminelle og sofistikerede trusselsaktører på nationalstatsniveau gør brug af avancerede værktøjer og strategier for at infiltrere netværk, kryptere data og kræve løsesummer fra organisationer.

Blandt disse trusselsaktører har regeringssponsorerede hackere fra autoritære nationer angiveligt brugt ransomware og endda samarbejdet med ransomwaregrupper med henblik på spionage. For eksempel mistænkes trusselsaktører fra den kinesiske regering for i øget grad at bruge ransomware som et dække for spionageaktivitet.19

Iranske trusselsaktører ser ud til at være de mest aktive med hensyn til at målrette mod sundhedsorganisationer i 2024.20 I august 2024 udsendte den amerikanske regering endda en advarsel til Sundheds­sektoren om en iransk-baseret trusselsaktør kendt som Lemon Sandstorm. Denne gruppe "gjorde brug af uautoriseret netværksadgang til amerikanske organisationer, herunder sundhedsorganisationer, til at facilitere, udføre og tjene på fremtidige ransomwareangreb udført af tilsyneladende russisk-forbundne ransomwarebander".21

Følgende profiler giver indsigt i nogle af de mest berygtede økonomisk motiverede ransomwaregrupper, der målretter mod Sundheds­sektoren, udspecificerer deres metoder, motiver og virkningen af deres aktiviteter på branchen.
  • Lace Tempest er en profileret ransomwaregruppe, der målretter mod Sundheds­sektoren. Ved hjælp af en RaaS-model gør de partnere i stand til nemt at udrulle ransomware. Denne gruppe er forbundet med effektfulde angreb på hospitalssystemer, som krypterer vigtige patientdata og kræver en løsesum. De er kendt for dobbelt afpresning ved, at de ikke kun krypterer data, men også udtrækker dem, og truer med at lække følsomme oplysninger, hvis løsesummen ikke betales.
  • Sangria Tempest er berygtet for avancerede ransomwareangreb på sundhedsorganisationer. Ved hjælp af sofistikeret kryptering gør de datagendannelse næsten umulig uden at betale en løsesum. De bruger også dobbelt afpresning, hvor de udtrækker patientdata og truer med at lække dem. Deres angreb medfører udbredte driftsforstyrrelser og tvinger sundhedssystemer til at omlede ressourcer, hvilket har en negativ indvirkning på patientplejen.
  • Cadenza Tempest, der er kendt for DDoS-angreb (distributed denial-of-services), har i stigende grad skiftet til ransomwarehandlinger rettet mod Sundheds­sektoren. Der er identificeret som en pro-russisk hacktivistgruppe, der målretter mod sundhedssystemer i områder, er modarbejder russiske interesser. Deres angreb overvælder hospitalssystemer, forstyrrer vigtig drift og skaber kaos, særligt når kombineret med ransomwarekampagner.
  • Den økonomisk motiverede gruppe Vanilla Tempest har været aktiv siden juli 2022 og er for nylig begyndt at bruge INC-ransomware produceret via RaaS-udbydere for at målrette mod den amerikanske sundhedssektor. De udnytter sårbarheder, bruger tilpassede scripts og anvender standard-Windows-værktøjer til at stjæle legitimationsoplysninger, bevæge sig lateralt og udnytte ransomware. Gruppen gør også brug af dobbelt afpresning, hvor de kræver en løsesum for at låse op for systemerne og undgå frigivelse af stjålne data.

I mødet med stadigt mere sofistikerede ransomwareangreb skal sundhedsorganisationer indføre en flersidet tilgang til cybersikkerhed. De må være forberedt på at modstå, reagere på og genoprette fra cyberhændelser, mens patientplejens kontinuitet opretholdes.

Følgende vejledning giver en omfattende struktur til at opretholde modstandsdygtighed, sikre hurtig genoprettelse, fremme en arbejdsstyrke, der sætter sikkerheden først, og promovere samarbejde på tværs af Sundheds­sektoren.

Styring: Sikring af parathed og modstandsdygtighed

En bygning med mange vinduer under en blå himmel med skyer

Effektiv styring for cybersikkerhed i Sundheds­sektoren er afgørende for at forberede til og reagere på ransomwareangreb. Dameff og Tully fra UC San Diego Center for Healthcare Cybersecurity anbefaler at etablere en robust struktur for styring med tydelige roller, regelmæssig oplæring og samarbejde på tværs af discipliner. Dette hjælper sundhedsorganisationer med at forbedre deres modstandsdygtighed mod ransomwareangreb og sikre patientplejens kontinuitet, selv ved mødet med betydelige forstyrrelser.

En vigtig del af denne struktur involverer at nedbryde siloer mellem klinisk personale, it-sikkerhedsteams og fagpersoner inden for krisestyring for at udvikle sammenhængende planer for svar på hændelse. Dette samarbejde på tværs af afdelinger er afgørende for at opretholde patientsikkerhed og plejekvalitet, når teknologiske systemer kompromitteres.

Dameff og Tully fremhæver også nødvendigheden af at have et dedikeret styringsråd, der regelmæssigt mødes for at gennemse og opdatere planer for svar på hændelse. De anbefaler at bemægtige disse styringsråd til at teste responsplaner via realistiske simuleringer og tests, som sikrer, at alt personale, herunder yngre klinikere, som muligvis ikke er kendt med optegnelser på papir, er klar til at arbejde effektivt uden digitale værktøjer.

Desuden fremhæver Dameff og Tully vigtigheden af eksternt samarbejde. De er fortalere for regionale og nationale strukturer, der lader hospitaler støtte hinanden ved hændelser i stor skala, og gentager derved behovet for et "strategisk nationalt lager" af teknologi, der midlertidigt kan erstatte kompromitterede systemer.

Modstandsdygtighed og strategiske svar

Modstandsdygtighed for cybersikkerhed inden for Sundheds­sektoren er mere end blot at beskytte data – det involverer at sikre, at hele systemet kan modstå og genoprette fra angreb. En omfattende tilgang til modstandsdygtighed er afgørende, hvor der ikke kun fokuseres på at beskytte patientdata, men også på at bestyrke hele infrastrukturen, der understøtter Sundheds­sektorens drift. Dette inkluderer hele systemet – netværket, forsyningskæden, medicinske enheder og meget mere.

Ibrugtagning af en dybdegående forsvarsstrategi er afgørende for at opnå et lagdelt sikkerhedsniveau, der effektivt kan modarbejde ransomwareangreb.

Ibrugtagning af en dybdegående forsvarsstrategi er afgørende for at opnå et lagdelt sikkerhedsniveau, der effektivt kan modarbejde ransomwareangreb. Denne strategi involverer sikring af hele Sundheds­sektorens infrastruktur – fra netværket til slutpunkterne til skyen. Ved at sikre, at der er flere forsvarslag på plads, kan sundhedsorganisationer reducere risikoen for et vellykket ransomwareangreb.

Som en del af denne lagdelte tilgang for Microsoft-kunder overvåger Microsoft Threat Intelligence-teams aktivt for fjendtlig adfærd. Når sådan aktivitet registreres, leveres der en direkte notifikation.

Dette er ikke en betalt eller niveaudelt tjeneste – virksomheder af alle størrelser får samme opmærksomhed. Målet er at give en underretning, når der registreres potentielle trusler, herunder ransomware, og hjælpe med at tage skridt mod at beskytte organisationen.

Ud over at implementere disse forsvarslag er det afgørende at have en effektiv plan for svar på hændelse og registrering. Det er ikke nok at have en plan: sundhedsorganisationer skal være forberedte på at eksekvere den effektivt under et faktisk angreb for at minimere skaden og sikre en hurtig genoprettelse.

Endelig er funktionaliteter til kontinuerlig overvågning og registrering i realtid afgørende komponenter i en robust struktur for svar på hændelse, som sikrer, at potentielle trusler kan identificeres og adresseres med det samme.

For at give yderligere oplysninger om cybersikkerhed i Sundheds­sektoren har Department of Health and Human Services (HHS) udgivet frivillige specifikke Cybersecurity Performance Goals (CPG'er) for at hjælpe sundhedsorganisationer med at prioritere implementering af effektfulde praksisser for cybersikkerhed.

CPG'er blev oprettet via en samarbejdsdrevet offentlig/privat partnerskabsproces, der gør brug af almindelige cybersikkerhedsstrukturer, retningslinjer, bedste praksisser og strategier, og de udgør en delmængde af praksisser for cybersikkerhed, som sundhedsorganisationer kan bruge til at styrke cyberparathed, forbedre cybermodstandsdygtighed og beskytte patienters sundhedsoplysninger og sikkerhed.

Trin til hurtigt at genoprette drift og bestyrke sikkerheden efter et angreb

Genoprettelse fra et ransomwareangreb kræver en systematisk tilgang for at sikre en hurtig tilbagevenden til normal drift, mens fremtidige hændelser forebygges. Nedenfor findes der handlingsrettede trin til at hjælpe med at vurdere skaden, genoprette de påvirkede systemer og bestyrke sikkerhedsforanstaltninger. Ved at følge disse retningslinjer kan sundhedsorganisationer hjælpe med at afbøde indvirkningen af et angreb og bestyrke deres forsvar mod fremtidige angreb.
Vurder indvirkningen, og inddæm angrebet

Isoler påvirkede systemer med det samme for at undgå yderligere spredning.
Gendan fra sikkerhedskopier, som du ved er gode

Sørg for, at rene sikkerhedskopier er tilgængelige og bekræftede, før gendannelse genoprettelse af drift. Oprethold offline sikkerhedskopier for at undgå ransomwarekryptering.
Genopbyg systemer

Overvej at genopbygge kompromitterede systemer i stedet for at opdatere for at eliminere tilbageværende malware. Brug Microsoft svar på hændelse-teamets retningslinjer om sikker genopbygning af systemer. 
Bestyrk sikkerhedskontrollerne efter angrebet

Bestyrk sikkerhedsniveauet efter angrebet ved at adressere sårbarheder, opdatere systemer og forbedre værktøjerne til slutpunktsregistrering.
Foretag et gennemsyn efter hændelsen

Sammen med en udefrakommende sikkerhedsleverandør skal du analysere angrebet for at identificere svaghedspunkter og forbedre forsvaret mod fremtidige hændelser.

Opbyggelse af en arbejdsstyrke, der sætter sikkerheden først

En mand og en kvinde kigger på en kvindes ansigt.

Opbyggelse af en arbejdsstyrke, der sætter sikkerheden først, kræver samarbejde på tværs af discipliner.

Opbyggelse af en arbejdsstyrke, der sætter sikkerheden først, kræver samarbejde på tværs af discipliner. Det er vigtigt at nedbryde siloer mellem it-sikkerhedsteams, krisemanagere og klinisk personale for at udvikle sammenhængende planer for svar på hændelse. Uden dette samarbejde er resten af hospitalet muligvis ikke tilstrækkelig forberedt på at reagere effektivt under en cyberhændelse.

Uddannelse og opmærksomhed

Effektiv oplæring og en stærk rapporteringskultur er vigtige komponenter i en sundhedsorganisations forsvar mod ransomware. Eftersom sundhedsfagpersoner ofte prioriterer patientplejen, er de måske ikke altid lige så opmærksomme på cybersikkerhed, hvilket kan gøre dem mere udsatte for cybertrusler.

For at adressere dette må kontinuerlig oplæring inkludere det grundlæggende om cybersikkerhed, f.eks. hvordan man spotter phishingmails, undgår at klikke på mistænkelige links og genkender almindelige social engineering-taktikker.

Microsoft ressourcer om opmærksomhed på cybersikkerhed kan hjælpe med dette.

"Det er afgørende at tilskynde personalet til at rapportere sikkerhedsproblemer uden frygt for bebrejdelse," forklarer Microsofts Mott. "Jo hurtigere, du kan rapportere noget, jo bedre. Hvis det er godartet, er det selvfølgelig det bedste."

Regelmæssige øvelser og simuleringer skal også ligne angreb fra den virkelige verden, f.eks. phishing eller ransomware, hvilket hjælper personalet med at øve deres respons i et kontrolleret miljø.

Deling af oplysninger, samarbejde og kollektivt forsvar

Eftersom ransomwareangreb generelt bliver mere hyppige (Microsoft observerer en 2,75-foldig forøgelse fra år til år blandt vores kunder16) bliver en kollektiv forsvarsstrategi afgørende. Samarbejde – mellem interne teams, regionale partnere og bredere nationale/globale netværk – er afgørende for at sikre Sundheds­sektorens drift og patientsikkerheden.

Samling af disse grupper for at designe og implementere omfattende planer for svar på hændelse kan forebygge driftskaos under angreb.

Dameff og Tully understreger vigtigheden af at forene interne teams, f.eks. læger, kriseledere og it-sikkerhedspersonale, som ofte arbejder isoleret. Samling af disse grupper for at designe og implementere omfattende planer for svar på hændelse kan forebygge driftskaos under angreb.

På det regionale niveau skal sundhedsorganisationer udforme partnerskaber, der lader sundhedsfaciliteter dele kapacitet og ressourcer, som sikrer, at patientplejen fortsætter, selv når nogle hospitaler påvirkes af ransomware. Denne form for kollektivt forsvar kan også hjælpe med at håndtere patientoverløb og fordele byrden på tværs af sundhedsudbydere.

Ud over regionalt samarbejde er nationale og globale netværk til deling af oplysninger afgørende. ISAC'er (Information Sharing and Analysis Centers),f.eks. Health-ISAC, tjener som platforme for sundhedsorganisationer til deling af afgørende oplysninger om trusler. Errol Weiss, Chief Security Officer hos Health-ISAC, sammenligner disse organisationer med "virtuelle nabohjælpsprogrammer," hvor medlemsorganisationer hurtigt kan dele detaljer om personer med ondsindede hensigter og afprøvede afbødningsteknikker. Denne deling af oplysninger hjælper andre med at forberede sig på eller eliminere lignende trusler, hvilket styrker det kollektive forsvar i større skala.

  1. [1]
    Microsoft Threat Intelligence-data, 2. kvt. 2024
  2. [2]
    (Sammenfatning for CISO'er: Det aktuelle og fremvoksende cybertrusselslandskab for Sundheds­sektoren; Health-ISAC og American Hospital Association (AHA))  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    "TRANSSKRIPTION: House Committee Hearing to Assess Microsoft’s Cybersecurity Shortfalls," Tech Policy Press, 15. juni, 2024
  4. [4]
    "Sundhedsorganisationer mister i gennemsnit 900.000 USD om dagen på grund af nedetid som følge af ransomwareangreb", Comparitech, 6. marts 2024
  5. [5]
    "Ransomwareangreb mod Sundheds­sektoren fortsætter med at stige i antal og alvorsgrad", The HIPAA Journal, september 2024
  6. [6]
    Hacket i stykker? Virkningen af ransomwareangreb på hospitaler og patienter: https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    Ransomwareangreb forbundet med forstyrrelser hos nabo-akutafdelinger i USA: Ransomwareangreb forbundet med forstyrrelser hos nabo-akutafdelinger i USA | Akutmedicin | JAMA Network Open | JAMA Network
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    "Ransomwareangreb mod Ascension skader den økonomiske genopretning", The HIPPA Journal, 20. september 2024
  10. [10]
    "Patientdata eksponeret i phishingangreb mod UC San Diego Health", The HIPPA Journal, 13. marts 2024
  11. [11]
    Ransomwareangreb er en nøglefaktor i beslutningen om at lukke landligt hospital i Illinois", The HIPPA Journal, 14. juni 2023
  12. [12]
    "Ransomwareangreb mod Sundheds­sektoren fortsætter med at stige i antal og alvorsgrad", The HIPAA Journal, september 2024
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    Der var flere hospitalsfusioner i 2023, og økonomiske vanskeligheder fremmer flere aftaler (chiefhealthcareexecutive.com)
  15. [15]
    Interoperabilitet og udvekslingsmetoder mellem hospitaler i 2021 | HealthIT.gov
  16. [16]
    Microsoft-rapport over digitalt forsvar 2024, Microsoft, side 27
  17. [17]
    Microsoft Threat Intelligence-telemetri, 2024
  18. [18]
    "Katalog over kendte udnyttede sårbarheder", CISA, 2024
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    Microsoft Threat Intelligence-data om cybertrusler for Sundheds­sektoren, 2024
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
Ransomware Cyberkriminalitet

Mere fra Sikkerhed

Vejledning til Cyber Resilience-hygiejne

Grundlæggende cyberhygiejne er stadig den bedste metode til at forsvare en organisations identiteter, enheder, data, apps, infrastruktur og netværk mod 98 % af alle cybertrusler. Få praktiske tip i en omfattende guide.
Få mere at vide

Få indblik i kampen mod hackere, der forstyrrede hospitaler og bragte liv i fare

Få mere at vide om de seneste fremvoksende trusler fra Microsofts trusselsdata og research. Få analyser om tendenser og handlingsrettet vejledning for at bestyrke din første forsvarslinje.
Få mere at vide

Lever af tillidsøkonomien: social engineering-svindel

Udforsk et digitalt landskab under udvikling, hvor tillid både er en valuta og en sårbarhed. Opdag de social engineering-svindeltaktikker, som cyberangribere bruger mest, og gennemse strategier, der kan hjælpe dig med at identificere og udmanøvrere social engineering-trusler, der er designet til at manipulere den menneskelige natur.
Få mere at vide

Følg Microsoft Security