Trace Id is missing

USA tervishoid on ohus: vastupidavam kaitse lunavararünnete eest

Jaga
Rühm meditsiinitöötajaid vaatab tahvelarvutit

Tervishoiusektor seisab silmitsi kiiresti paljunevate küberturbeohtudega. Neist üheks olulisemaks on kerkimas lunavararünded. Kombinatsioon väärtuslikest patsiendiandmetest, omavahel ühendatud meditsiiniseadmetest ja väikesearvulisest IT- või küberturbetoimingute personalist, kellel napib ressursse kõigega tegelemiseks, võib tervishoiuasutused muuta küberohustajate jaoks ahvatlevateks sihtmärkideks. Koos aina enamate tervishoiutoimingute digimaailma kolimisega – see hõlmab kõike, elektroonilistest terviselugudest alustades ning telemeditsiini ja võrku ühendatud meditsiiniseadmetega lõpetades – muutub üha keerukamaks ka haiglate ründepind, mis omakorda suurendab nende haavatavust rünnetele.

Järgmistes lõikudes antakse ülevaade praegusest küberturbe keskkonnast tervishoiuvaldkonnas. Erilist tähelepanu pööratakse selle valdkonna staatusele olulise sihtmärgina, lunavararünnete suurenevale sagedusele ning nende ohtude potentsiaalselt ränkadele tagajärgedele nii rahalises mõttes kui ka patsientide ravi silmas pidades.

Videokeskustelus, mida juhib Microsofti ohuanalüüsistrateegia juht Sherrod DeGrippo, käsitletakse neid kriitilise tähtsusega küsimusi veelgi põhjalikumalt. Eksperdid jagavad oma teadmisi ja seisukohti nii küberohustajate, taastestrateegiate kui ka tervishoiuvaldkonna nõrkustega seoses.

Microsofti ohuanalüüsi infoülevaade: tervishoid

Sherrod DeGrippo, ohuanalüüsistrateegia juht Microsofti ohuanalüüsi osakonnas, juhib elavat ümarlauaarutelu ohuanalüüsi ja tervishoiuvaldkonna turbe spetsialistidega, kes arutavad, mis muudab tervishoiuvaldkonna lunavararünnetele eriti haavatavaks, milliseid taktikaid küberohustajate rühmitused kasutavad, kuidas rünnetele vastu pidada jpm.
  • Microsofti ohuanalüüsi andmetel oli tervishoiu/rahvatervise sektor 2024. aasta teises kvartalis üks kümnest kõige enam mõjutatud valdkonnast.1
  • „Lunavara teenusena“ (RaaS) on teinud sellele turule sisenemise lihtsamaks ka neile ründajatele, kellel puuduvad endal vastavad tehnilised teadmised. Venemaa omakorda pakub lunavararühmitustele peavarju. Seetõttu on lunavararünnete hulk 2015. aastast peale kasvanud lausa 300% võrra.2
  • Käesoleval rahandusaastal tabasid lunavararünded Ameerika Ühendriikides 389 tervishoiuasutust, tuues kaasa võrkude töö peatumise, süsteemide väljalülitumise, viivitused kriitilise tähtsusega raviprotseduuridest ja kokkulepitud visiidiaegade edasilükkamise3. Sellised ründed on kulukad: üks valdkonna aruanne näitab, et ainuüksi rikkeaeg läheb tervishoiuasutustele maksma kuni 900 000 USA dollarit päevas.4
  • Lunaraha maksmist tunnistas ja makstud lunaraha suuruse avaldas 99 tervishoiuasutust. Mediaanmakse oli nendele andmetele toetudes 1,5 miljonit USA dollarit, keskmine makse aga 4,4 miljonit USA dollarit.5

Ränk mõju patsientide ravile

Lunavararünde põhjustatud katkestused tervishoiuteenuse osutamisel võivad mõjutada võimekust patsiente tõhusalt ravida – ja seda mitte üksnes ründe ohvriks langenud haiglates, vaid ka teistes, mis asuvad samas piirkonnas ja peavad tegelema tavapärasest suurema hulga erakorralist ravi vajavate patsientidega.6

Ühes hiljutises uuringus leiti, et nelja haigla vastu suunatud lunavararünne (kaks haiglat langes ründe ohvriks, teised kaks jäid puutumata) viis erakorralise meditsiini osakondades tavapärasest suurema hulga patsientide saabumise ja pikemate ooteaegadeni ning seadis täiendava surve alla nii töötajad kui ka muud ressursid. Eriti suur oli mõju ajatundliku ravi (nt insuldiravi) jaoks neis kahes naaberhaiglas, mis ise ründe ohvriks ei langenud.7
Insuldijuhtumite arvu kasv: lunavararünne avaldas olulist survet üldisele tervishoiu ökosüsteemile, kuna ründest puutumata jäänud haiglad pidid vastu võtma ka ründe ohvriks langenud haiglate patsiendid. Insuldikoodi registreerimine lähedalasuvates haiglates peaaegu kahekordistus, tõustes 59 pealt 103 peale, samas kui kinnitust leidnud insuldijuhtumite arv kasvas 113,6%, kerkides 22 juhtumilt 47 juhtumile.
Südamerabanduste arvu kasv: rünne pani tervishoiusüsteemi surve alla ja haiglas, mida rünne otseselt ei mõjutanud, tõusis südamerabanduste juhtumite arv 21 pealt 38 peale (81% kasv). See illustreerib doominoefekti, mida ühe tervishoiuasutuse langemine ründe ohvriks kaasa toob, sundides teisi sama piirkonna haiglaid tegelema tavapärasest suurema hulga kriitiliste juhtumitega.
Langus positiivse neuroloogilise prognoosiga juhtumite elulemuses: selliste väljaspool haiglat toimunud südamerabanduste ellujäämismäär, mille neuroloogiline prognoos oli soodne, langes ründest puutumata jäänud haiglates ründe ajal märgatavalt. Kui enne rünnet oli selliste juhtumite elulemus 40%, siis ründefaasis kõigest 4,5%.
Kiirabiga saabunud patsientide arvu kasv: ründefaasis jõudis „mõjutamata“ haiglate erakorralise meditsiini osakondadesse tavapärasest 35,2% rohkem patsiente; see osutab kiirabibrigaadide märkimisväärsele ümbersuunamisele, mille põhjustas lunavararündest tingitud töökatkestus mõjutatud haiglates.
Patsientide arvu kasv: erakorralise meditsiini osakondadesse neis kahes haiglas, mida rünne otseselt ei puudutanud, saabus tavapärasest oluliselt rohkem kiiret abi vajavaid patsiente. Seega mõjutas rünne sisuliselt nelja sama piirkonna haiglat, ehkki otseselt langes ründe ohvriks vaid kaks haiglat. Ründest otseselt puutumata haiglates kasvas haiglas viibivate patsientide arv ründe-eelse ajaga võrreldes 15,1%.
Täiendavad katkestused patsientide ravis: rünnete ajal registreeriti ründest puutumata jäänud haiglates tavapärasest rohkem selliseid juhtumeid, mille korral haiglasse saabunud patsiendid ei jõudnud vastuvõttu ära oodata ja lahkusid arsti juurde jõudmata. Lisaks pikenesid ooteajad ja pikenes ka haiglasse võetud patsientide haiglaravi kestus. Ooteruumis keskmiselt viibitud aeg pikenes ründe-eelselt 21 minutilt ründe ajal 31 minutile.

Lunavararünnete juhtumiuuringud

Lunavararünnete tagajärjed tervishoiuvaldkonnas võivad olla rängad – mitte ainult sihikule võetud asutuste, vaid ka patsientide ravi ning tegevuse stabiilsuse jaoks. Järgmised juhtumiuuringud illustreerivad lunavararünde kaugeleulatuvat mõju eri tüüpi tervishoiuasutustele, suurtest haiglasüsteemidest alustades ja väikestes maakohtades tegutsevate teenusepakkujatega lõpetades, tõstes esile viisid, kuidas ründajad võrkudesse sisse imbuvad ning kuidas ründed elutähtsate tervishoiuteenuste osutamist halvavad.
  • Ründajad kasutasid varastatud identimisteavet võrgule juurdepääsuks haavatava kaugpöörduslüüsi kaudu, mille jaoks polnud mitmikautentimist kasutusele võetud. Tegemist oli kahekihilisele väljapressimisskeemiga: ründajad krüpteerisid kriitilise taristu ja viisid välja delikaatsed andmed, ähvardades need avalikustada, kui lunaraha ei maksta.

    Mõju:     rünne halvas tööd; 80% tervishoiuteenuste pakkujaid ja apteeke ei saanud kontrollida ravikindlustuse olemasolu või nõudeid töödelda. 
  • Ründajad kasutasid ära nõrkust haigla paikamata pärandtarkvaras. Külgründe abil said nad juurdepääsu patsientide vastuvõtu- ja raviandmetele. Kahekordse väljapressimise taktikat kasutades viisid nad võrgust välja delikaatseid andmeid ja ähvardasid need avalikustada, kui ohver keeldub lunaraha maksmast.

    Mõju: rünne halvas haigla tööd, põhjustades vastuvõttude ärajätmist, operatsioonide edasilükkamist ning vajaduse teha mitmesuguseid muidu automaatseid toiminguid käsitsi, mis pani töötajad surve alla ja tähendas ravi viibimist. 
  • Ründajad said andmepüügimeilide kaudu haigla võrgule juurdepääsu. Seejärel kasutasid nad lunavara juurutamiseks ära paikamata nõrkusi, krüpteerides nii elektrooniline terviselood kui ka patsiendiravisüsteemid. Kahekordse väljapressimise taktikat kasutades viisid nad süsteemist välja delikaatseid patsiendi- ja finantsandmeid, ähvardades need lunaraha maksmata jätmise korral lekitada. 

    Mõju:     rünne halvas ja katkestas tööd neljas haiglas ning enam kui 30 kliinikus. Lisaks raviviivituste põhjustamisele tulid paljud erakorralist ravi vajavad patsiendid mujale ümber suunata. Samuti oli mure andmete riskile avatusega. 
  • Veebruaris 2021 halvas lunavararünne 44 voodikohaga maahaigla arvutisüsteemid. Selle tõttu tuli kolm kuud käsitsi tööd teha ja kindlustusnõuetega tegelemine toimus suure hilinemisega.

    Mõju:     haigla võimetus õigeaegselt makseid koguda viis rahaliste probleemideni, jättes kohaliku maakogukonna kriitilise tähtsusega tervishoiuteenustest ilma. 

Ameerika Ühendriikide tervishoiusektor on rahaliselt motiveeritud küberkurjategijate jaoks ahvatlev sihtmärk nii laia ründepinna, pärandsüsteemide kasutamise kui ka süsteemitute turbeprotokollide tõttu. Tervishoiuasutuste sõltuvus digitaalsetest tehnoloogiatest, delikaatsete andmete käitlemine ja piiratud ressursid, millega paljud asutused (sageli ülinappide kasumimarginaalide tõttu) silmitsi seisavad, moodustavad kombinatsiooni, mis võib piirata nende võimekust küberturbesse investeerida ja muudab need asutused eriti haavatavaks. Lisaks on patsientide eest hoolitsemine tervishoiuasutuste jaoks esmatähtis, mis võib viia valmiduseni töökatkestuste vältimiseks nõutav lunaraha ära maksta.

Lunaraha tasumise maine

Üks põhjus, miks lunavararünded on just tervishoiuasutuste jaoks nii suureks probleemiks saanud, on selles valdkonnas levinud komme lunaraha maksta. Tervishoiuasutuste jaoks on patsientide heaolu olulisem kui kõik muu ning kui nad peavad maksma miljoneid dollareid, et nende töö ei seiskuks, on nad sageli valmis seda tegema.

Ühes hiljutises aruandes, mis põhines 402 tervishoiuasutust hõlmanud uuringul, toodi välja, et eelmise aasta jooksul puutus lunavararündega kokku 67% neist asutustest. 2024. aastal tunnistas neist asutustest lunaraha maksmist 53%; aasta varem oli lunaraha tasuma nõustunud asutusi 42%. Aruandes tõstetakse esile ka finantsmõju: keskmine lunarahamakse, mille tasumist ründe ohvriks langenud asutused tunnistasid, oli 4,4 miljonit USA dollarit.12

Piiratud turberessursid ja investeeringud

Oluline probleem on ka küberturbemeetmete jaoks piiratud eelarved ja ressursid kogu tervishoiusektoris. Hiljutises raportis Healthcare Cybersecurity Needs a Check-Up („Tervishoiusektori küberturve vajab kontrollimist“)13, mille koostas CSC 2.0 (USA Kongressi mandaadiga Cyberspace Solarium Commissioni tööd jätkav rühmitus), nenditakse, et „kuna eelarved on piiratud ja teenusepakkujad peavad prioriseerima kulutusi hädavajalikele patsienditeenustele, on küberturve sageli olnud alarahastatud, mis jätab tervishoiuasutused rünnetele rohkem haavatavaks“.

Probleemi tõsidusele vaatamata ei investeeri tervishoiuteenuste pakkujad endiselt küberturbesse piisavalt. Mitmesuguste keerukate tegurite tõttu, mille seas on ka kaudne maksemudel, mis toob sageli kaasa vahetute kliiniliste vajaduste prioriseerimise vähem nähtavate investeeringute (nt küberturbemeetmete) ees, on tervishoius kahe viimase aastakümne jooksul küberturbesse tehtud vajalikust oluliselt vähem investeeringuid.10

Lisaks on tervisekindlustuse ülekantavuse ja aruandluse seadus (HIPAA) kaasa toonud vajaduse investeerida esmajärjekorras andmete konfidentsiaalsuse tagamisse, mistõttu andmete terviklus ja käideldavus on sageli jäänud tahaplaanile. Sellise lähenemise korral võib väheneda organisatsiooni vastupanuvõimele osutatav tähelepanu; eriti võivad kannatada taaste sihtkestuse (RTO) ja taaste sihtseisu (RPO) eesmärgid.

Pärandsüsteemid ja taristunõrkused

Kui küberturbesse investeeritakse liiga vähe, toob see ühe tagajärjena kaasa sõltuvuse vananenud pärandsüsteemidest, mida on keeruline värskendada ja mida ründajatele meeldib ära kasutada. Lisaks tekib üksteisest eraldiseisvate tehnoloogiate kasutamisel lapitekki meenutav taristu, mille turbemeetmetes on lüngad. Ka see suurendab rünnete ohtu.

Haavatava taristu muudab veelgi keerukamaks tervishoiuvaldkonnas viimasel ajal levinud suund konsolideerimise poole. Haiglate ühinemine on tõusuteel (2022. aastaga võrreldes 23% rohkem ja kõrgeimal tasemel pärast 2020. aastat14), kuid selle tulemusel tekivad suured organisatsioonid, mille keerukad taristud on mitmes asukohas laiali. Kui küberturbesse ei investeerita piisavalt, muutuvad need taristud rünnetele äärmiselt haavatavaks.

Laienev ründepind

Ehkki omavahel seotud seadmeid ja meditsiinitehnoloogiaid ühendavad kliiniliselt integreeritud võrgud aitavad patsiente ravida ja elusid päästa, on need laiendanud ka digitaalset ründepinda – ja küberohustajad kasutavad seda aina rohkem ära.

Haiglad on rohkem võrgustatud kui kunagi varem. Võrkudesse on ühendatud kõikvõimalikud kriitilise tähtsusega meditsiiniseadmed, näiteks kompuutertomograafia skannerid, patsientide jälgimise süsteemid ja infusioonipumbad. Ent sugugi mitte alati ei kaasne sellega piisaval tasemel nähtavust, mida on vaja patsientide ravi potentsiaalselt rängalt halvata võivate nõrkuste tuvastamiseks ja kõrvaldamiseks.

Arstid Christian Dameff ja Jeff Tully (California ülikooli San Diego tervishoiu küberturbe keskuse rajajad) märgivad, et keskeltläbi 70% lõpp-punktidest pole haiglas mitte arvutid, vaid muud seadmed.   
Meditsiiniseadmete, valge sahtli ja sinise kardinaga haiglapalat.

Tervishoiuasutused edastavad ka tohutul hulgal andmeid. Tervishoiualase IT riikliku koordinaatori büroo andmeil toimub patsientide terviseteabe saatmine ja vastuvõtt enam kui 88% haiglatest elektrooniliselt ning rohkem kui 60% haiglaid integreerib selle teabe oma elektroonilistesse terviselugudesse.15

Väikestel maahaiglatel on spetsiifilised mured

Erakorralist abi pakkuvad maahaiglad on lunavararünnetele eriti haavatavad, kuna neil on turberiskide ennetamiseks ja kahjutustamiseks sageli käsutada üksnes piiratud vahendid. Kogukonna jaoks võib sellel olla laastav mõju, kuna need haiglad on sageli suure piirkonna peale ainsad tervishoiuteenust pakkuvad asutused.

Dameffi ja Tully hinnangul puudub maahaiglatel enamasti nii suuremate linnahaiglatega võrreldav küberturbetaristu kui ka vastavad teadmised ja oskused. Samuti märgivad nad, et paljude nende haiglate jätkuvus- ehk talitluspidevuse plaanid võivad olla vananenud või ei suuda tänapäevaseid küberohte (nt lunavara) piisavalt hästi arvesse võtta.

Paljude väike- ja maahaiglate rahalised vahendid on äärmiselt piiratud ja nende kasumimarginaal on väga madal. Selle finantsreaalsuse tõttu on neil keeruline investeerida tugevatesse küberturbemeetmetesse. Sageli sõltuvad need asutused ühest IT-töötajast, kes peab kõigega toime tulema: enamasti on see inimene, kes suudab igapäevaseid tehnilisi probleeme pädevalt lahendada, ent kellel puuduvad küberturbega seotud spetsiifilised teadmised.

2015. aasta küberturvalisust käsitleva õigusakti raames loodud USA tervise- ja sotsiaalministeeriumi tervishoiuvaldkonna küberturbe töörühma raportis tõstetakse esile, et märkimisväärsel osal maapiirkondades kriitilist abi pakkuvatest haiglatest pole küberturbele pühendunud täiskohaga töötajat, mis rõhutab väiksemate tervishoiuteenuste pakkujate laiemaid ressursimuresid.

„Need IT-töötajad, kes enamasti on lihtsalt võrgu- ja arvutihalduse asjus pädevad inimesed, on harjunud tegelema selliste probleemidega nagu „Ma ei saa printida, ma ei saa sisse logida, mis on minu parool?“, selgitab Dameff. „Nad ei ole küberturbeasjatundjad. Neil pole töötajaid, neil pole eelarvet ja nad ei oska isegi kuskilt algust teha.“

Küberkurjategija ründeprotsess on enamasti kaheastmeline: esmalt tuleb saada juurdepääs võrgule (sageli andmepüügi kaudu või nõrkusi ära kasutades) ning seejärel juurutatakse lunavara, et kriitilise tähtsusega süsteemid ja andmed krüptida. Nende taktikate areng koos igati legitiimsete tööriistade kasutamise ja RaaS-i populaarsuse plahvatusliku kasvuga on ründed muutnud hõlpsamini kättesaadavaks ja sagedasemaks.

Lunavararünde esimene etapp: tervishoiuasutuse võrgule juurdepääsu saamine

Jack Mott, kes varem juhtis Microsoftis ettevõtete meiliohuanalüüsi ja -tuvastusele keskendunud meeskonda, osutab, et „e-post on endiselt üks peamisi lunavararünnete jaoks kasutatavaid ründevara- ja andmepüügivektoreid“.16

Microsofti ohuanalüüsi eksperdid analüüsisid olukorda 13 haiglasüsteemis, sealhulgas maahaiglates. 93% vaadeldud ründeotstarbelisest kübertegevusest oli seotud andmepüügikampaaniate ja lunavaraga ning suurem osa sellest tegevusest tuli meilipõhiste rünnete kaudu.17
„E-post on endiselt üks peamisi lunavararünnete jaoks kasutatavaid ründevara- ja andmepüügivektoreid.“
Jack Mott 
Microsofti ohuanalüüs

Tervishoiuasutuste vastu suunatud kampaaniates kasutatakse sageli väga spetsiifilisi peibutisi. Mott tõstab esile näiteks seda, kuidas küberohustajad kasutavad meilisõnumeid koostades tervishoiule omast keelt (nt viiteid lahkamisaruannetele), et mõjuda veenvamalt ja tervishoiutöötajaid edukalt ära petta. 

Sellised manipuleerimistaktikad, eriti stressirohketes keskkondades nagu tervishoid, kasutavad ära teadmist, et tervishoiutöötajatel on sageli kiire ja kõik tundub pakiline, mis võib turvalisuses kaasa tuua järeleandmisi. 

Samuti märgib Mott, et ründajate meetodid muutuvad aina keerulisemaks ja täpsemaks: sageli kasutatakse tuvastamise vältimiseks „pärisnimesid, legitiimseid teenuseid ja tööriistu, mille kasutamine on IT-osakondades levinud (nt kaughaldustööriistad)“. Nende taktikate tõttu on turbesüsteemidel keeruline ründetegevust tavapärasest tegevusest eristada. 

Microsofti ohuanalüüsi andmed näitavad ka, et ründajad kasutavad sageli ära juba varem tuvastatud, teadaolevaid nõrkusi organisatsiooni tarkvaras või süsteemides. Need levinud nõrkused ja riskikohad (CVE-d) on hästi dokumenteeritud ja nende jaoks on saadaval paigad või parandused, kuid ründajad võtavad need vanemad nõrkused sageli sihikule teades, et paljud organisatsioonid pole nende nõrkustega tegelnud.18 

Kui esialgne juurdepääs on kätte saadud, on ründajate järgmine samm sageli võrguluure, millele osutab näiteks tavapärasest erinev kontrollimistegevus. Need toimingud aitavad ründajatel võrku kaardistada, kriitilise tähtsusega süsteeme tuvastada ja valmistuda ründe järgmiseks faasiks: lunavara juurutamiseks.

Lunavararünde viimane etapp: lunavara juurutamine kriitiliste süsteemide krüptimiseks

Pärast seda, kui juurdepääs on näiteks andmepüügi või meili kaudu kohale toimetatud ründevara kaudu saadud, liiguvad ründajad teise faasi: lunavara juurutamise juurde.

Jack Mott selgitab, et teenusena pakutava lunavara ehk RaaS-mudelite levik on lunavararünnete sagenemisele tervishoiusektoris märkimisväärselt kaasa aidanud. „RaaS-i platvormid on teinud juurdepääsu keerukatele lunavaratööriistadele pea kõigile kättesaadavaks, võimaldades väga tõhusaid ründeid korraldada ka neil, kelle enda tehnilised oskused on minimaalsed,“ nendib Mott. See mudel teeb sisenemise ründajate jaoks varasemaga võrreldes lihtsamaks ning lunavararünded kergemini kasutatavaks ja tõhusamaks.
„RaaS-i platvormid on teinud juurdepääsu keerukatele lunavaratööriistadele pea kõigile kättesaadavaks, võimaldades väga tõhusaid ründeid korraldada ka neil, kelle enda tehnilised oskused on minimaalsed.“
Jack Mott 
Microsofti ohuanalüüs

Mott kirjeldab RaaS-i tööpõhimõtteid täpsemalt: „Need platvormid hõlmavad sageli põhjalikku tööriistakomplekti, sealhulgas krüptimistarkvara, maksetöötlust ja koguni klienditeenindust lunarahamaksete läbirääkimiseks. Selline võtmevalmis lahendus võimaldab enamatel ründajatel lunavarakampaaniaid läbi viia, mis omakorda tähendab, et ründeid tuleb aina rohkem ja neid on üha keerulisem tõrjuda.

Lisaks tõstab Mott esile selliste rünnete koordineeritust, rõhutades: „Kui lunavara on juurutatud, liiguvad ründajad enamasti edasi väga kiiresti, et kriitilised süsteemid ja andmed krüptida. Sageli kulub selleks vaid mõni tund. Nad võtavad sihikule olulise taristu, näiteks patsientide andmed, diagnostikasüsteemid ja koguni maksetoimingud, et ründe mõju oleks võimalikult suur ja tervishoiuasutusele avaldatav surve sunniks neid lunaraha tasuma.“

Lunavararünded tervishoiuvaldkonnas: olulisemate küberohustajate rühmituste profiil

Tervishoiusektori vastu suunatud lunavararündeid korraldavad sageli spetsialiseerunud küberohustajate rühmitused, kes on väga hästi organiseeritud. Need rühmitused, mis hõlmavad nii rahaliselt motiveeritud küberkurjategijaid kui ka riiklikult mahitatud küberohustajaid, kasutavad võrkudesse sisse imbumiseks, andmete krüptimiseks ja organisatsioonidelt lunaraha nõudmiseks keerukaid tööriistu ja strateegiaid.

Autoritaarsetes riikides tegutsevad häkkerid, kellel on oma valitsuse toetus, on väidetavalt kasutanud lunavara ja isegi lunavararühmitustega koostööd teinud ka spioneerimiseks. Hiina valitsuse toetatud küberründajaid näiteks kahtlustatakse lunavara aina sagedasemas kasutamises luuretegevuse varjamiseks.19

Iraani küberohustajad näivad olevat 2024. aastal tervishoiuasutuste sihtimisel kõige aktiivsemad.20 Augustis 2024 andis USA valitsus tervishoiusektorile isegi välja hoiatuse Iraanis tegutseva küberohustaja Lemon Sandstorm kohta. See rühmitus „kasutas ära loata võrgujuurdepääsu USA organisatsioonidele, sealhulgas tervishoiuasutustele, et võimaldada ja läbi viia tulevasi lunavararündeid, mille taga on arvatavalt Venemaaga seostatud lunavarajõugud, ja nende pealt teenida“.21

Järgmistes profiilides antakse ülevaade mõnest kõige kurikuulsamast tervishoiuvaldkonda sihtivast rahaliselt motiveeritud lunavararühmitusest, kirjeldades üksikasjalikult nende meetodeid, motivatsiooni ja nende tegevuse mõju valdkonnale.
  • Lace Tempest on laia haardega lunavararühmitus, kelle sihtmärgiks on tervishoiuasutused. RaaS-mudelit kasutades võimaldavad nad oma partneritel hõlpsasti lunavara juurutada. Rühmitus on seotud suure mõjuga rünnetega haiglasüsteemidele, kriitilise tähtsusega patsiendiandmete krüptimisega ja lunaraha nõudmisega. Teadaolevalt kasutavad nad sageli kahekordset väljapressimist: lisaks andmete krüptimisele viivad nad need ka välja, ähvardades delikaatset teavet lekitada, kui lunaraha ei maksta.
  • Sangria Tempest on kurikuulus tervishoiuasutuste vastu korraldatud oskuslike lunavararünnete poolest. Keerukat krüptimist kasutades muudavad nad andmete taastamise lunaraha maksmata sisuliselt võimatuks. Samuti kasutavad nad kahekordset väljapressimist, viies patsiendiandmed välja ja ähvardades need lekitada. Nende ründed põhjustavad ulatuslikke töökatkestusi, mis sunnivad tervishoiusüsteeme ressursse ümber suunama; see omakorda mõjub negatiivselt patsientide ravile.
  • Hajusate ummistusrünnete (DDoS) poolest tuntud Cadenza Tempest tegeleb viimasel ajal aina enam tervishoiuvaldkonda sihtivate lunavararünnetega. See Venemaad toetavaid häktiviste ühendav rühmitus sihib tervishoiusüsteeme piirkondades, mis on Venemaa huvide jaoks vaenulikud. Nende ründed koormavad haiglasüsteemid üle, halvates kriitilise tähtsusega töö ja tekitades kaose, eriti siis, kui need on kombineeritud lunavarakampaaniatega.
  • Rahaliselt motiveeritud rühmitus Vanilla Tempest, kes on tegutsenud alates 2022. aasta juulist, on viimasel ajal hakanud USA tervishoiuasutuste sihtimiseks kasutama RaaS-teenuse pakkujate kaudu hangitud INC lunavara. Nad ekspluateerivad nõrkusi ning kasutavad kohandatud skripte ja standardseid Windowsi tööriistu identimisteabe varastamiseks, süsteemides külgliikumiseks ja lunavara juurutamiseks. Lisaks kasutab rühmitus kahekordset väljapressimist, nõudes süsteemide lukust avamise ja varastatud andmete avaldamise vältimise eest lunaraha.

Aina keerukamaks muutuvate lunavararünnetega toime tulekuks peavad tervishoiuasutused omaks võtma mitmetahulise lähenemise küberturbele. Nad peavad olema valmis küberturbeintsidentidele vastu seisma, neile reageerima ja neist taastuma, tagades samas patsientide ravi järjepidevuse.

Järgmised suunised pakuvad põhjalikku raamistikku vastupidavuse suurendamiseks, kiireks taastumiseks, turvalisust tähtsustava töötajaskonna toetamiseks ning tervishoiusektoris koostöö edendamiseks.

Juhtimine: valmisoleku ja vastupanuvõime tagamine

Paljude akendega hoone sinise taeva all, kus on mõned pilved

Tervishoiuasutuste küberturbe tõhus juhtimine on hädavajalik nii lunavararünneteks valmistumise kui ka neile reageerimise jaoks. Dameff ja Tully California ülikooli San Diego tervishoiu küberturbe keskusest soovitavad kasutusele võtta selgeid rolle, regulaarset koolitust ja valdkondadevahelist koostööd hõlmava töökindla juhtimisraamistiku. See aitab tervishoiuasutustel tugevdada vastupanuvõimet lunavararünnetele ja tagada patsientide ravi järjepidevuse ka oluliste töökatkestuste korral.

Üks selle raamistiku olulisemaid aspekte hõlmab kliinilise personali, IT-turbemeeskondade ja hädaolukordade halduse spetsialistide eraküksuste likvideerimist, et töötada välja sidusad intsidentidele reageerimise plaanid. Selline osakondadevaheline koostöö on patsientide turvalisuse ja ravikvaliteedi tagamiseks hädavajalik, kui tehnoloogiasüsteemid langevad ründe ohvriks.

Dameff ja Tully tõstavad esile ka vajadust spetsiaalse juhtimisorgani või nõukogu järele, kes tuleks regulaarselt kokku, et intsidentidele reageerimise plaanid läbi vaadata ja vajaduse korral uuendada. Nad soovitavad anda nendele juhtimisorganitele kõik vajalikud õigused selleks, et reageerimisplaanid realistlike matkimiste ja õppuste kaudu proovile panna ning tagada, et kõik töötajad (sh nooremad töötajad, kes ei pruugi paberipõhise andmehaldusega tuttavad olla) oleksid valmis tõhusalt töötama ka siis, kui digitaalsed tööriistad pole kättesaadavad.

Lisaks rõhutavad Dameff ja Tully välise koostöö olulisust. Nad soovitavad kasutusele võtta piirkondlikud ja üleriigilised raamistikud, mis võimaldaksid haiglatel ulatuslike intsidentide korral üksteist toetada, toonitades vajadust strateegilise üleriigilise tehnikavaru järele, millega saaks ründe ohvriks langenud süsteemid ajutiselt asendada.

Elastsus ja strateegiline reageerimine

Tervishoiuvaldkonna küberturbe vastupanuvõime ei piirdu pelgalt andmete kaitsmisega. Selle ülesanne on ka tagada, et terved süsteemid suudaksid rünnetele vastu seista ja neist taastuda. Elastsust ehk vastupanuvõimet arendades on oluline pöörata tähelepanu lisaks patsiendiandmete kaitsmisele ka kogu tervishoiutoiminguid toetava taristu tugevdamisele. See hõlmab tervet süsteemi – võrku, tarneahelat, meditsiiniseadmeid ja palju muud.

Lunavararünnete tõhusaks nurjamiseks võimelise kihilise turbeseisundi loomiseks on kindlasti vaja kasutusele võtta mitmekihilise kaitse strateegia.

Lunavararünnete tõhusaks nurjamiseks võimelise kihilise turbeseisundi loomiseks on kindlasti vaja kasutusele võtta mitmekihilise kaitse strateegia. See strateegia tähendab tervishoiutaristu iga kihi turvamist, võrgust alustades ning lõppseadmete ja pilvkeskkonnaga lõpetades. Mitme kaitsekihi kasutamine võimaldab tervishoiuasutustel eduka lunavararünde ohtu vähendada.

Osana sellest kihilisest lähenemisest jälgivad Microsofti ohuanalüüsi meeskonnad Microsofti klientide süsteeme vaenuliku käitumise tuvastamiseks aktiivselt. Sellise tegevuse tuvastamise korral saadetakse kliendile otseteatis.

See ei ole tasuline ega lepingutasemest sõltuv teenus – iga ettevõte, suur või väike, saab ühtviisi palju tähelepanu. Eesmärk on potentsiaalsete ohtude (sh lunavara) tuvastamisest kohe teada anda ning pakkuda kliendile organisatsiooni kaitsmiseks abi.

Lisaks nende kaitsekihtide juurutamisele on oluline kasutada tõhusat intsidentidele reageerimise ja tuvastamise plaani. Pelgalt plaani olemasolust ei piisa: tervishoiuasutused peavad olema valmis selle tegeliku ründe ajal ka tõhusalt ellu viima, et kahjusid minimeerida ja tagada kiire taastumine.

Töökindla intsidentidele reageerimise raamistiku hädavajalikeks komponentideks on ka pidev seire ja reaalajas tuvastamise võimekus, mis aitavad tagada potentsiaalsete ohtude kiire tuvastamise ja kõrvaldamise.

Kui soovite küberelastsuse kohta tervishoiuvaldkonnas täpsemat teavet, tasub tutvuda USA tervise- ja sotsiaalministeeriumi (HHS) avaldatud vabatahtlike tervishoiukohaste küberturbe jõudluseesmärkidega (CPG-d), mis aitavad tervishoiuasutustel prioriseerida suure mõjuga küberturbetavade juurutamist.

Need CPG-d on loodud avaliku ja erasektori koostööl põhineva partnerluse kaudu, kasutades valdkonnas levinud küberturberaamistikke, suuniseid, häid tavasid ja strateegiaid, ning need moodustavad küberturbetavade alamhulga, mis aitab tervishoiuasutustel küberohtudeks paremini valmistuda, küberelastsust suurendada ning patsientide terviseteavet ja ohutust kaitsta.

Juhised töö kiireks taastamiseks ja turvalisuse tugevdamiseks pärast rünnet

Lunavararündest taastumine nõuab süsteemset lähenemist, mis tagab kiire naasmise tavatöö juurde, hoides samas ära edaspidiseid intsidente. Allpool leiate praktilised juhised, mis aitavad hinnata kahju ulatust, mõjutatud süsteemid taastada ja turbemeetmeid tugevdada. Neid suuniseid järgides saavad tervishoiuasutused leevendada ründe tagajärgi ja muuta oma kaitse tulevikule mõeldes tugevamaks.
Hinnake ründe mõju ja ohjeldage rünne

Edasise leviku tõkestamiseks isoleerige mõjutatud süsteemid viivitamatult.
Taastage süsteemid teadaolevalt töökorras varukoopiate põhjal

Veenduge, et puhtad varukoopiad oleksid saadaval ja enne töösüsteemide taastamist ka kontrollitud. Lunavarakrüptimise vältimiseks ärge hoidke varukoopiaid võrgus.
Ehitage süsteemid uuesti üles

Kaaluge võimalust ründe ohvriks langenud süsteemid paikamise asemel uuesti üles ehitada. Nii saate olla kindel, et ükski ründevarajupp pole sinna peitu jäänud. Süsteemi turvaliselt uuesti üles ehitamisel on abiks Microsofti intsidentidele reageerimise teenuse meeskonna suunised
Tugevdage turbemeetmeid pärast rünnet

Turbeseisundi tugevdamiseks pärast rünnet kõrvaldage nõrkused, installige vajalikud paigad ja täiustage lõppseadmetes tuvastustööriistu.
Viige läbi intsidendijärgne ülevaatus

Koostöös mõne välise turbeteenuse pakkujaga analüüsige rünnet, et teha kindlaks nõrgad kohad ja kaitset tulevastele intsidentidele mõeldes tugevamaks muuta.

Turvalisusele pühendunud töötajaskond

Mees ja naine vaatavad naisenägu.

Kui soovite tagada, et kogu teie töötajaskond seaks turvalisuse esiplaanile, nõuab see pidevat valdkondadevahelist koostööd.

Kui soovite tagada, et kogu teie töötajaskond seaks turvalisuse esiplaanile, nõuab see pidevat valdkondadevahelist koostööd. Oluline on jälgida, et IT-turbemeeskonnad, hädaolukordade haldurid ja kliiniline personal ei tegutseks igaüks omaette, vaid välja töötada sidusad intsidentidele reageerimise plaanid. Ilma selle koostööta ei pruugi ülejäänud haigla olla küberintsidendi ajal piisavalt valmis tõhusalt reageerima.

Haridus ja teadlikkus

Põhjalik väljaõpe ja tugev juhtimiskultuur on olulised lülid tervishoiuasutuste kaitses lunavara eest. Kuna tervishoiutöötajad seavad enamasti esiplaanile patsientide ravi, ei pruugi nad alati pidevalt küberturbele mõelda. See aga võib nad muuta küberohtudele vastuvõtlikumaks.

Selle probleemi lahendamiseks peab pidev väljaõpe hõlmama ka küberturbe põhiteavet – näiteks seda, kuidas teha kindlaks andmepüügisõnumeid, vältida kahtlaste linkide klõpsamist ja tunda ära levinumaid manipuleerimistaktikaid.

Microsofti küberturbeteadlikkuse ressursid saavad sellega aidata.

„Töötajate innustamine turbeprobleemidest teada andma nii, et sellega ei kaasneks hirmu ega häbi, on väga oluline,“ selgitab Mott Microsofti seisukohta. „Mida varem millestki teatada saab, seda parem. Kui probleem osutub väikeseks, on see parim, mis võib juhtuda.“

Regulaarsed õppused ja matkimised peaksid samuti jäljendama reaalselt juhtuda võivaid ründeid (nt andmepüügi- või lunavararündeid), et töötajad saaksid reageerimist kontrollitud keskkonnas harjutada.

Teabe jagamine, koostöö ja kollektiivne kaitse

Kuna lunavararünnete sagedus üldiselt kasvab (Microsoft on meie klientide hulgas täheldanud 2,75 kasvu aastas16), on kollektiivse kaitse strateegia muutunud hädavajalikuks. Koostöö – asutusesiseste meeskondade, piirkondlike partnerite ja laiemalt nii riiklike kui ka ülemaailmsete võrgustike vahel – on tervishoiuasutuste töö ja patsientide ohutuse tagamiseks äärmiselt oluline.

Kui kõik need rühmad põhjalike intsidentidele reageerimise plaanide väljatöötamiseks ja kasutusele võtmiseks kokku tuua, aitab see ära hoida rünnetega kaasneda võivat kaost.

Dameff ja Tully toonitavad, kui oluline on ühendada sageli üksteisest eraldi töötavate asutusesiseste meeskondade, näiteks arstide, hädaolukordade juhtide ja IT-turbetöötajate jõud. Kui kõik need rühmad põhjalike intsidentidele reageerimise plaanide väljatöötamiseks ja kasutusele võtmiseks kokku tuua, aitab see ära hoida rünnetega kaasneda võivat kaost.

Piirkondlikul tasandil peaksid tervishoiuorganisatsioonid looma partnerlusi, mis lubavad tervishoiuasutustel ressursse ja võimsust jagada, tagades, et patsientide ravi jätkub ka siis, kui lunavararünne mõne haigla tööd mõjutab. Selline kollektiivne kaitse aitab vältida ka patsientide liigset kuhjumist ühte haiglasse ning jaotab koormuse tervishoiuteenuse pakkujate vahel ühtlasemalt.

Lisaks piirkondlikule koostööle on väga oluline roll ka riiklikel ja rahvusvahelistel teabejagamisvõrgustikel. Teabe jagamise ja analüüsi keskused (Information Sharing and Analysis Center – ISAC) ehk lihtsalt teabekeskused, näiteks Health-ISAC, toimivad platvormidena, kus tervishoiuasutused saavad omavahel vahetada olulist ohuteavet. Health-ISAC-i turbejuht Errol Weiss võrdleb neid organisatsioone „virtuaalsete naabrivalveprogrammidega“, kus liikmesorganisatsioonid saavad rünnete ja end tõestanud leevendustehnikate kohta kiiresti üksikasjalikku teavet jagada. Selline teabevahetus aitab teistel sarnasteks ohtudeks valmistuda või neid kõrvaldada, mis omakorda tugevdab kollektiivset kaitset suuremas ulatuses.

  1. [1]
    Microsofti sisemised ohuanalüüsiandmed, 2. kvartal, 2024
  2. [2]
    (Kommenteeritud kokkuvõte infoturbejuhtide jaoks: Current and Emerging Healthcare Cyber Threat Landscape; Health-ISAC and the American Hospital Association (AHA) („Praegused ja uued tervishoiuvaldkonna küberohud, Health-ISAC ja Ameerika haiglate assotsiatsioon (AHA)“)  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    TRANSCRIPT: House Committee Hearing to Assess Microsoft’s Cybersecurity Shortfalls“ („Transkriptsioon: Esindajatekoha komitee kuulamine Microsofti küberturbe puudujääkide hindamiseks“), Tech Policy Press, 15. juuni 2024
  4. [4]
    On average, healthcare organizations lose USD$900,000 per day to downtime from ransomware attacks“ („Keskmiselt kaotavad tervishoiuasutused lunavararünnete põhjustatud rikkeaja tõttu 900 000 USA dollarit päevas“), Comparitech, 6. märts 2024
  5. [5]
    Healthcare Ransomware Attacks Continue to Increase in Number and Severity“ („Lunavararünnete arv ja raskusaste tervishoiuvaldkonnas on tõusuteel“), The HIPAA Journal, september 2024
  6. [6]
    Hacked to Pieces? The Effects of Ransomware Attacks on Hospitals and Patients („Tükkideks raiutud? Lunavararünnete mõju haiglatele ja patsientidele“); https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    Ransomware Attack Associated With Disruptions at Adjacent Emergency Departments in the US („Lunavararünnet seostatakse USA-s töö halvamisega lähedalasuvate erakorralise meditsiini osakondadega“); Ransomware Attack Associated With Disruptions at Adjacent Emergency Departments in the US | Emergency Medicine | JAMA Network Open | JAMA Network
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    Ascension Ransomware Attack Hurts Financial Recovery“ („Ascensioni lunavararünne takistab rahalist taastumist“), The HIPPA Journal, 20. september 2024
  10. [10]
    Patient Data Exposed in Phishing Attack on UC San Diego Health“ („Patsiendiandmed tehti UC San Diego Healthi vastu korraldatud andmepüügiründes avalikuks“), 13. märts 2024
  11. [11]
    Ransomware Attack Key Factor in Decision to Close Rural Illinois Hospital“ („Lunavararünne viis otsuseni Illinoisi maahaigla sulgeda“), The HIPPA Journal, 14. juuni 2023
  12. [12]
    Healthcare Ransomware Attacks Continue to Increase in Number and Severity“ („Lunavararünnete arv ja raskusaste tervishoiuvaldkonnas on tõusuteel“), The HIPAA Journal, september 2024
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    „There were more hospital mergers in 2023, and financial distress is driving more deals“ („2023. aastal oli rohkem haiglate ühinemisi ning rahalised mured viivad uute tehingute sõlmimiseni“) (chiefhealthcareexecutive.com)
  15. [15]
    „Interoperability and Methods of Exchange among Hospitals in 2021“ („Haiglate koostalitlusvõime ja teabevahetusmeetodid 2021. aastal“) | HealthIT.gov
  16. [16]
    Microsofti digikaitsearuanne 2024, Microsoft, lk 27
  17. [17]
    Microsofti ohuanalüüsi telemeetria, 2024
  18. [18]
    Known Exploited Vulnerabilities Catalog“ („Teadaolevate ärakasutatud nõrkuste kataloog“), CISA, 2024
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    Microsofti ohuanalüüsi andmed tervishoiusektori küberohtude kohta, 2024
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
Lunavara Küberkuritegevus

Lisateavet turvalisuse kohta

Kübervastupanuvõime hügieeni juhend

Elementaarne küberhügieen on endiselt parim viis, kuidas organisatsiooni kasutajaidentiteete, seadmeid, andmeid, rakendusi, taristut ja võrku kaitsta 98% küberohtude eest. Põhjalikust juhendist leiate praktilised näpunäited.
Lisateave

Pilguheit võitlusele haiglate tööd halvanud ja inimelusid ohtu seadnud häkkerite vastu

Lugege Microsofti ohuandmetel ja uuringutel põhinevat värskeimat teavet uute ohtude kohta. Siit leiate trendide analüüsi ja praktilised näpunäited, mis aitavad teil oma esimest kaitseliini tugevamaks muuta.
Lisateave

Usalduspõhise majanduse ekspluateerimine: manipuleerimispettus

Tutvuge areneva digitaalse maastikuga, kus usaldusest on saanud nii väärtuslik valuuta kui ka nõrkus. Uurige, millised on sotsiaalse manipuleerimise pettuse taktikad, mida küberründajad enim kasutavad, ja vaadake üle strateegiad, mis aitavad teil tuvastada ja üle kavaldada inimlikke apsakaid ära kasutava sotsiaalse manipuleerimise ohte.
Lisateave

Jälgige Microsofti turbeteenust