Security Insider

Security Insider

Registrirajte se odmah za gledanje na zahtjev web-seminara koji će sadržavati uvide u Microsoftovo izvješće o digitalnoj zaštiti za 2024.

Američko zdravstvo ugroženo: Jačanje otpornosti od napada ucjenjivačkim softverom

Zajedničko korištenje

Skupina medicinskih stručnjaka gleda u tablet

Zdravstveni sektor se suočava s rastućim opsegom računalnih prijetnji, među kojima napadi ucjenjivačkim softverom postaju jedna od najznačajnijih. Kombinacija dragocjenih podataka pacijenata, umreženih medicinskih uređaja i malog broja osoblja zaduženih za IT/računalnu sigurnost, što dovodi do nedovoljnih resursa, može izložiti zdravstvene organizacije kao glavne mete zlonamjernih aktera. Kako zdravstvene djelatnosti postaju sve više digitalizirane – od elektronskih zdravstvenih kartona (EHR) do telemedicinskih platformi i umreženih medicinskih uređaja – površina bolnica izložena napadima postaje sve složenija, što dalje povećava njihovu ranjivost napadima.

U sljedećim odjeljcima nalazi se pregled trenutačnog okruženja računalne sigurnosti u zdravstvenom sektoru ističući status industrije kao glavne mete napada, rastuću učestalost napada ucjenjivačkim softverom i ozbiljne posljedice koje ove prijetnje ostavljaju na financije i skrb pacijenata.

Video rasprava koju je održao Sherrod DeGrippo, strateški direktor za Microsoftovo obavještavanje o prijetnjama, dalje otkriva kritične probleme, nudi uvide stručnjaka za zlonamjerne aktere, strategije za oporavak te ranjivosti zdravstvenog sektora.

Sažetak Microsoftova obavještavanja o prijetnjama: Zdravstvo

Sherrod DeGrippo, strateški direktor za Microsoftovo obavještavanje o prijetnjama, vodi živahnu raspravu za okruglim stolom sa stručnjacima za obavještavanje o prijetnjama i sigurnost zdravstvenog sektora koji ispituju što to čini zdravstveni sektor jedinstveno podložnim napadima ucjenjivačkim softverom, koje taktike primjenjuju grupe zlonamjernih aktera, kako održati otpornost i ostalo.

Prema Microsoftovu obavještavanju o prijetnjama privatni/javni zdravstveni sektor je jedna od 10 industrija koje su najviše pogođene u drugom tromjesečju 2024.¹
Ucjenjivački softver kao usluga (RaaS) je spustila prepreke za ulaz za napadače koji nisu tehnički stručni, dok Rusija pruža utočište grupama za ucjenjivački softver. Kao rezultat, broj napada ucjenjivačkim softverom povećao se za 300 % od 2015.²
Ove fiskalne godine, 389 zdravstvenih ustanova u SAD-u bilo je pogođeno napadom ucjenjivačkim softverom, što je izazvalo isključivanja mreže, nedostupne sustave, kašnjenja u kritičnim medicinskim procedurama i odgađanje pregleda³. Ovi napadi skupo koštaju; u jednom je izvješću industrije navedeno da zdravstvene organizacije izgube i do 900 000 USD dnevno samo zbog prekida rada.⁴
Od 99 zdravstvenih organizacija koje su priznale plaćanje otkupnine i otkrile plaćenu količinu, srednja vrijednost (medijan) iznosi 1,5 milijuna USD, dok je prosječna otkupnina bila 4,4 milijuna USD.⁵

Ozbiljan utjecaj na skrb pacijenata

Ometanje zdravstvenih djelatnosti izazvano napadom ucjenjivačkim softverom može drastično utjecati na sposobnost učinkovitog liječenja pacijenata – na samo u ugroženim bolnicama, nego i u onima u neposrednoj blizini, koje preuzimaju prekomjerni broj izmještenih pacijenata hitne službe.⁶Pogledajte rezultate nedavnog istraživanja koji pokazuju kako je napad ucjenjivačkim softverom na četiri bolnice (dvije napadnute i dvije netaknute) doveo do uvećanja prekomjernog broja pacijenata hitne službe, dužih vremena čekanja i dodatnog opterećenja resursa, posebno za vremenski kritičnu skrb kao što je liječenje od moždanog udara, u dvije netaknute bolnice u blizini.⁷

Porast u broju slučajeva moždanog udara: Napad ucjenjivačkim softverom dodaje značajno opterećenje na cjelokupan zdravstveni ekosustav zbog toga što netaknute bolnice moraju preuzeti pacijente od ugroženih bolnica. Aktivacije šifre za moždane udare u okolnim bolnicama su se skoro udvostručile, s 59 na 103, dok su se potvrđeni moždani udari uvećali za 113,6 %, povećanjem s 22 na 47 slučajeva.

Povećani broj srčanih udara: Napad je opteretio sustav zdravstvenog sektora dok je broj slučajeva srčanog udara u netaknutim bolnicama skočio s 21 na 38, uvećanje za 81 %. Ovo je primjer kaskadnog utjecaja ugrožavanja jednog objekta, što je prisililo okolne bolnice da preuzmu više kritičnih slučaja.

Pad broja preživjelih u slučajevima s pozitivnim neurološkim ishodom: Postotak preživjelih u slučajevima srčanog udara koji su liječeni izvan bolnice s pozitivnim neurološkim ishodima drastično je pao za netaknute bolnice tijekom napada, spustivši se s 40 % prije napada na 4,5 % tijekom faze napada.

Porast u vremenu dolaska ambulantnih vozila: Javio se porast od 35,2 % u dolasku hitnih ambulantnih službi (EMS) kod „netaknutih” bolnica tijekom faze napada, što ukazuje na značajno preusmjeravanje ambulantnog prometa zbog ometanja koje je napad ucjenjivačkim softverom izazvao u napadnutim bolnicama.

Broj pacijenata naglo raste: Budući da je napad ugrozio četiri bolnice iz istog okruženja (dvije napadnute i dvije nataknute), odjeli hitne službe u netaknutim bolnicama imale su značajan priljev pacijenata. Dnevna procjena u ovim netaknutim bolnicama bila je povećana za 15,1 % tijekom faze napada u usporedbi s fazom prije napada.

Dodatni prekidi u zdravstvenoj skrbi: Tijekom napada netaknute bolnice su iskusile značajno povećanje u broju pacijenata koji su odlazili bez pregleda, povećanje u vremenu čekanja i povećanje u vremenu koje su primljeni pacijenti provodili u bolnici. Na primjer, medijan vrijeme čekanja povećalo se s 21 minute prije napada na 31 minutu tijekom napada.

Studije slučaja s ucjenjivačkim softverom

Napadi ucjenjivačkim softverom u zdravstvenom sektoru mogu imati katastrofalne posljedice, ne samo na ciljne organizacije već i na skrb pacijenata i operativnu stabilnost. Sljedeći istraženi slučajevi pokazuju duboke posljedice napada ucjenjivačkim softverom na razne vrste zdravstvenih organizacija, od velikih kliničkih centara do malih ruralnih ordinacija, ističući razne načine na koje napadači infiltriraju mreže i ometanja osnovnih zdravstvenih službi kao rezultat istih.

Napadači su upotrijebili ugrožene vjerodajnice za pristup mreži kroz izloženi mrežni prolaz za daljinski pristup bez višestruke provjere autentičnosti. Šifrirali su ključnu infrastrukturu i izvukli osjetljive podatke u sklopu dvostrukog plana ucjene, prijeteći da će ih objaviti ako se otkupnina ne plati.

Utjecaj: Napad je doveo do ometanja, što je spriječilo 80 % zdravstvenih ustanova i ljekarni da potvrde osiguranje ili obrade zahtjeve.
Napadači su iskoristili ranjivost nezakrpanog starog bolničkog softvera i kretali se bočno kako bi ugrozili zakazivanje pacijenata i medicinske zapise. Koristeći taktiku duple ucjene, izvukli su osjetljive podatke i prijetili da će ih objaviti ako se otkupnina ne plati.

Utjecaj: Napad je ometao rad, uzrokovao je otkazane preglede, odgođene operacije i prijelaz na ručne procese, što je opteretilo osoblje i usporilo pružanje skrbi.
Napadači su upotrebljavali poruke e-pošte krađe identiteta kako bi pristupili bolničkoj mreži i iskoristili nezakrpanu ranjivost i primijenili ucjenjivački softver i time šifrirali sustave za EHR skrb pacijenata. U taktici duple ucjene izvukli su osjetljive podatke o pacijentima i financijama i prijetili da će ih objaviti ako se otkupnina ne plati.

Utjecaj: Napad je uveo pometnju u četiri bolnice i više od 30 klinika, odgodilo se liječenje i preusmjerili hitni pacijenti, uz brige o izlaganju podataka.
U veljači 2021. napad ucjenjivačkim softverom je onesposobio računalne sustave ruralne bolnice s 44 kreveta, što ih je prisililo na ručne procese tijekom tri mjeseca i ozbiljno usporilo zahtjeve za zdravstveno osiguranje.

Utjecaj: Nemogućnost bolnice da pravovremeno naplati dovelo je do financijskih poteškoća, što je ostavilo seosku zajednicu bez neophodnih zdravstvenih službi.

Američki zdravstveni sektor predstavlja privlačnu metu za financijski motivirane računalne zločince zbog svoje široke površine izložene napadu, zastarjelim sustavima i nedosljednim sigurnosnim protokolima. Kombinacija oslanjanja zdravstvenog sektora na digitalne tehnologije, osjetljive podatke i ograničenost resursa s kojom su suočene mnoge organizacije – često zbog vrlo uskih margina – može ograničiti njihovu mogućnost da potpuno ulože u računalnu sigurnost, što ih čini posebno ranjivima. Dodatno, zdravstvene organizacije daju prioritet skrbi pacijenata pod svaku cijenu, što može dovesti do spremnosti da plate otkupninu kako bi izbjegli prekide u radu.

Reputacija plaćanja otkupnina

Dio razloga zašto je ucjenjivački softver postao toliko izražen problem za zdravstveni sektor je što isti ima povijest plaćanja otkupnina. Zdravstvene organizacije daju prioritet skrbi pacijenata iznad svega ostalog pa ako moraju platiti milijune dolara kako bi izbjegli prekide u radu, često su spremne to napraviti.

Štoviše, prema nedavnom izvješću utemeljenom na anketi 402 zdravstvene organizacije, 67 % njih je iskusilo napad ucjenjivačkim softverom u posljednjih godinu dana. Među ovim organizacijama, 53 % je priznalo plaćanje otkupnine u 2024., što je više u odnosu na 42 % iz 2023. U izvješću se također ističe financijski utjecaj, s prosječnom priznatom otkupninom u visini od 4,4 milijuna USD.¹²

Ograničeni resursi i ulaganja u sigurnost

Još jedan važan izazov su ograničeni proračuni i resursi za računalnu sigurnost kroz u cijelom zdravstvenom sektoru. Prema nedavnom izvješću¹³ „Healthcare Cybersecurity Needs a Check-Up” u kojem je objavljeno da CSC 2.0 (grupa koja nastavlja rad Cyberspace Solarium komisije po direktivi kongresa), "zbog testnih proračuna i davanja prioriteta osnovnim uslugama za pacijente, računalna sigurnost je često nedovoljno financirana, zbog čega su zdravstvene organizacije ranjive na napade."

Nadalje, unatoč ozbiljnosti problema, zdravstvene organizacije ne ulažu dovoljno u računalnu sigurnost. Zbog složenih kompleksnih čimbenika, uključujući i posrednički model plaćanja koji često dovodi do davanja prioriteta trenutačnim kliničkim potrebama umjesto manje vidljivim ulaganjima kao što je računalna sigurnost, zdravstveni sektor je značajno zapostavio ulaganje u istu tijekom posljednja dva desetljeća.¹⁰

Također, „Health Insurance Portability and Accountability Act” (HIPAA) je doveo do davanja prioriteta ulaganjima u povjerljivost podataka, što često ostavlja brigu o integritetu i dostupnosti podataka u drugi plan. Ovaj pristup može uzrokovati umanjeni fokus na otpornost organizacije, posebno kada je u pitanju umanjenje ciljnog vremena oporavka (RTO) i ciljne točke oporavka (RPO).

Zastarjeli sustavi i ranjivosti infrastrukture

Jedna posljedica nedovoljnog ulaganja u računalnu sigurnost je oslanjanje na zastarjele sustave koji se teško ažuriraju i koji su postali primarna meta za zloupotrebu. Dodatno, upotreba različitih tehnologija stvara infrastrukturu od mozaika u sigurnosti. što povećava rizik od napada.

Ova ranjiva infrastruktura još je više postala složena nedavnim trendom zdravstvene industrije ka konsolidaciji. Spajanja bolnica, koja su u porastu (povećanje od 23 % u odnosu na 2022. i najviša razina od 2020.¹⁴), stvara organizacije sa složenim infrastrukturama koje se nalaze na više lokacija. Bez dovoljnog ulaganja u računalnu sigurnost, ove infrastrukture postaju veoma ranjive na napad.

Rastuća površina napada

Dok klinički integrirane mreže povezanih uređaja i medicinskih tehnologija koje služe za skrb pomažu u poboljšanju ishoda slučajeva i spašavaju živote, proširile su i površinu za digitalne napade – nešto što zlonamjerni akteri sve češće zloupotrebljavaju.

Bolnice su u većem broju nego ikada na mreži, povezuju ključne medicinske uređaje kao što su CT skeneri, sustavi za nadzor pacijenata i pumpe za infuziju s mrežama, ali koje nemaju uvijek odgovarajuću razinu preglednosti da identificiraju i umanje ranjivosti koje mogu ozbiljno da ugroziti skrb pacijenata.

Doktori Christian Dameff i Jeff Tully, sudirektori i suosnivači Centra za računalnu sigurnost zdravstva na kalifornijskom sveučilištu u San Diegu, napominju da, u prosjeku, 70 % krajnjih točaka bolnica nisu računala nego uređaji.

Bolnička soba s medicinskom opremom, bijelom ladicom i plavom zavjesom.

Zdravstvene organizacije također razmjenjuju velike količine podataka. Prema podacima iz ureda nacionalnog koordinatora za IT u zdravstvu, više od 88 % bolnica prijavljuje da elektronički šalje i prima zdravstvene informacije pacijenata i više od 60 % prijavljuje da integrira te informacije u svoje elektronske zdravstvene kartone (EHR).¹⁵

Male ruralne ordinacije suočavaju se s jedinstvenim izazovima

Ruralne bolnice za pristup u kritičnom slučaju su posebno ranjive napadima ucjenjivačkim softverom zato što često imaju ograničena sredstva za sprječavanje i saniranje sigurnosnih rizika. Ovo može biti katastrofalno za zajednicu zato što ove bolnice često predstavljaju jedinu opciju zdravstvene skrbi u širokom okrugu zajednica kojima služe.

Kako navode Dameff i Tully, ruralne bolnice nemaju razinu infrastrukture i stručnosti za računalnu sigurnost koju posjeduju veće, gradske alternative. Također napominju da planovi za kontinuitet poslovanja mnogih ovih bolnica mogu biti zastarjeli ili da se nedovoljno bave rješavanjem modernih računalnih prijetnji kao što je ucjenjivački softver.

Mnoge manje ili ruralne bolnice suočene su sa značajno ograničenim financijama i posluju s vrlo malim profitnim marginama. Ova financijska realnost otežava im mogućnost da ulože u jake mjere računalne sigurnosti. Ove službe često se oslanjaju samo na jednog stručnjaka za IT – nekog tko je vješt rješavanju svakodnevnih tehničkih problema, ali ne posjeduje stručno znanje o računalnoj sigurnosti.

Jedinica za računalnu sigurnost zdravstvene industrije koju je osnovalo ministarstvo za zdravlje i socijalnu zaštitu kao dio Zakona o računalnoj sigurnosti iz 2015. ističe u izvješću da značajan dio ruralnih bolnica za pristup u kritičnom slučaju nema osobu u stalnom radnom odnosu koja je zadužena za računalnu sigurnost, što naglašava šire probleme s resursima s kojima se suočavaju manje zdravstvene organizacije.

Dameff objašnjava, „Ovi stručnjaci za IT, to je često samo netko tko je vješt s upravljanjem mreža i računala i navikli rješavati probleme kao što su ‚Ne mogu ispisivati, ne mogu se prijaviti, koja mi je lozinka?’” Oni nisu stručnjaci za računalnu sigurnost. Nemaju osoblje, nemaju proračun, a ne znaju ni gdje bi počeli.”

Proces napada jednog računalnog zločinca tipično predstavlja pristup u dva koraka: dobivanje pristupa mreži, često putem krađe identiteta ili zloupotrebom ranjivosti, nakon čega slijedi implementacija ucjenjivačkog softvera kako bi se šifrirali ključni sustavi i podaci. Evolucija ovih taktika, uključujući i upotrebu legitimnih alata i širenje RaaS-a, povećala je dostupnost i učestalost ovih napada.

Početna faza napada ucjenjivačkim softverom: Dobivanje pristupa mreži zdravstvene organizacije

Jack Mott, koji je prethodno vodio tim fokusiran na informacije i tehnike otkrivanja računalnih prijetnji u e-pošti organizacija u Microsoftu, ističe da, "”E-pošta ostaje jedan od glavnih putanji za širenje napada zlonamjernim softverom i krađom identiteta kada su u pitanju napadi ucjenjivačkim softverom.”¹⁶Služba Microsoftovo obavještavanje o prijetnjama je u analizi 13 bolničkih sustava koji predstavljaju više djelatnosti, uključujući i ruralne bolnice, uočila da je 93 % od zapaženih zlonamjernih kibernetičkih aktivnosti bilo je povezano s kampanjama krađe identiteta i napadima ucjenjivačkim softverom, gdje je većina aktivnosti bila u vidu prijetnji preko e-pošte.¹⁷

"E-pošta ostaje jedna od glavnih putanji za širenje napada zlonamjernim softverom i krađom identiteta kada su u pitanju napadi ucjenjivačkim softverom."

Jack Mott
Microsoftovo obavještavanje o prijetnjama

Kampanje usmjerene na zdravstvene organizacije često upotrebljavaju izrazito specifične mamce. Mott izdvaja, na primjer, kako zlonamjerni akteri pišu poruke koristeći žargon koji je specifičan za zdravstveni sektor, kao što su reference na obdukcijske izvještaje, kako bi povećali svoj kredibilitet i uspješno prevarili zdravstvene stručnjake. 

Taktike društvenog inženjeringa poput ovih zloupotrebljavaju hitnost s kojom se zdravstveni radnici često suočavaju, kako bi izazvali potencijalne sigurnosne propuste, posebno u okruženjima pod velikim pritiskom kao što je zdravstvo. 

Mott također navodi da napadači postaju sve sofisticiraniji s metodama, često upotrebljavaju "prava imena, zakonite servise i alate koje IT odjeli obično upotrebljavaju (npr. alati za daljinsko upravljanje)" kako bi izbjegli da budu otkriveni. Ove taktike otežavaju sigurnosnim sustavima da prave razliku između zlonamjernih i zakonitih aktivnosti. 

Podaci Microsoftova obavještavanja o prijetnjama također pokazuju da napadači često zloupotrebljavaju poznate ranjivosti u softveru ili sustavima organizacija koje su bile u prošlosti otkrivene. Ove opće ranjivosti i izloženosti (CVE) pažljivo su dokumentirane, imaju dostupne zakrpe ili ispravke i napadači često ciljaju ove starije ranjivosti zato što znaju da mnoge organizacije još uvijek nisu regulirale ove slabosti.¹⁸

Posle dobivanja početnog pristupa napadači često provode istraživanje mreže, što se može prepoznati pokazateljima kao što je neobična aktivnost skeniranja. Ove radnje pomažu zlonamjernim akterima da mapiraju mrežu, otkriju kritične sustave i da se pripreme za sljedeću fazu napada: implementacija ucjenjivačkog softvera.

Posljednja faza napada ucjenjivačkim softverom: implementacija ucjenjivačkog softvera za šifriranje ključnih sustava

Kada jednom dobiju početni pristup, obično kroz krađu identiteta ili zlonamjerni softver isporučen kroz poruku e-pošte, zlonamjerni akteri prelaze na drugu fazu: implementacija ucjenjivačkog softvera.

Jack Mott objašnjava da je porast RaaS modela značajno pridonio povećanoj učestalosti napada ucjenjivačkim softverom u zdravstvenom sektoru. "RaaS platforme su pružile otvoren pristup složenim alatima ucjenjivačkog softvera, dozvoljavajući i onima s minimalnim tehničkim sposobnostima da pokrenu vrlo učinkovite napade," kaže Mott. Ovaj model spušta ulaznu prepreku za napadače, što čini napade ucjenjivačkim softverom pristupačnijim i učinkovitijim.

"RaaS platforme su pružile otvoren pristup složenim alatima ucjenjivačkog softvera, dozvoljavajući i onima s minimalnim tehničkim sposobnostima da pokrenu vrlo učinkovite napade.”

Jack Mott
Microsoftovo obavještavanje o prijetnjama

Mott dalje objašnjava kako RaaS funkcionira i kaže: "Ove platforme često uključuju opširni programski paket alata, zajedno sa softverom za šifriranje, obradom uplate, čak i korisničkom uslugom za pregovaranje oko plaćanja otkupnine. Ovaj pristup gotovog rješenja omogućava širem opsegu zlonamjernih aktera provode kampanje ucjenjivačkim softverom, što dovodi do porasta broja i ozbiljnosti napada."

Dodatno, Mott izdvaja koordiniranu prirodu ovih napada, naglašavajući da "Kada se jednom implementira ucjenjivački softver, napadači tipično reagiraju brzo kako bi šifrirali ključne sustave i podatke, često u roku od nekoliko sati. Oni ciljaju ključnu infrastrukturu, kao što su podaci pacijenata, dijagnostički sustava, čak i postupci naplate, kako bi maksimalno povećali utjecaj i pritisak na zdravstvene organizacije da plate otkupninu."

Napadi ucjenjivačkim softverom u zdravstvenom sektoru: Profil glavnih grupa zlonamjernih aktera

Napade ucjenjivačkim softverom u zdravstvenom sektoru često provode veoma organizirane i specijalizirane grupe zlonamjernih aktera. Ove grupe, koje uključuju i financijski motivirane računalne kriminalce i sofisticirane zlonamjerne aktere na državnoj razini, upotrebljavaju napredne alate i strategije kako bi infiltrirali mreže, šifrirali podatke i zahtijevali otkupnine od organizacija.

Među ovim zlonamjernim akterima, hakeri koje financiraju vlasti autoritarnih zemalja navodno su upotrebljavali ucjenjivački softver i čak surađivali s grupama za ucjenjivački softver radi špijunaže. Na primjer, sumnja se da zlonamjerni akteri kineske vlade sve češće upotrebljavaju ucjenjivački softver da prikriju aktivnosti špijunaže.¹⁹Čini se da su iranski zlonamjerni akteri najaktivniji u ciljanju zdravstvenih organizacija tijekom 2024..²⁰ Naime, u kolovozu 2024. vlada SAD-a je izdala upozorenje zdravstvenom sektoru o zlonamjernim akterima iz Irana poznatim kao Lemon Sandstorm. Ova grupa je „upotrebljavala neovlašteni pristup mrežama američkih organizacija, uključujući zdravstvene organizacije, kako bi omogućila, provela i profitirala od budućih napada ucjenjivačkim softverom od strane grupa za ucjenjivački softver koje su navodno povezane s Rusijom.”²¹Sljedeći profili nude uvide u neke od najozloglašenijih financijski motiviranih grupa za ucjenjivački softver koje ciljaju zdravstveni sektor, s detaljima o njihovim metodama, motivacijama i utjecajem njihovih aktivnosti na industriju.

Lace Tempest je uspješna grupa za ucjenjivački softver kojoj je meta zdravstveni sektor. Primjenom RaaS modela ona omogućava suradnicima da s lakoćom implementiraju ucjenjivački softver. Ova grupa je povezana s napadima visokog utjecaja na bolničke sustave, šifriranje ključnih podataka pacijenata i zahtijevanje otkupnine. Poznata po dvostrukoj ucjeni, osim šifriranja podataka ona ih također i izvlači, s prijetnjom da će objaviti povjerljive informacije ako se otkupnina ne plati.
Grupa Sangria Tempest je zloglasna po naprednim napadima ucjenjivačkim softverom na zdravstvene organizacije. Budući da primjenjuju sofisticirano šifriranje, povratak podataka je gotovo nemoguć bez plaćanja otkupnine. Također upotrebljavaju dvostruku ucjenu, izvlačenjem podataka i prijetnjama da će ih otkriti. Njihovi napadi izazivaju rasprostranjene prekide u radu i tako prisiljavaju zdravstvene sustave da preusmjere resurse, što negativno utječe na skrb pacijenata.
Grupa Cadenza Tempest, poznata po napadima radi onemogućavanja usluga (DDoS), sve se više preusmjerava na napade na zdravstveni sektor ucjenjivačkim softverom. Identificirana je kao proruska grupa haktivista, meta su joj zdravstvene sustavi u regijama koje su neprijateljski nastrojene prema ruskim interesima. Njihovi napadi preopterećuju bolničke sustave, ometaju ključne djelatnosti i stvaraju kaos, posebno u kombinaciji s kampanjama ucjenjivačkog softvera.
Aktivna od srpnja 2022., financijski motivirana grupa Vanilla Tempest je skoro počela s upotrebom INC paketa za ucjenjivački softver nabavljenog preko RaaS distributera kako bi za metu imala zdravstveni sektor SAD-a. Zloupotrebljava ranjivosti, upotrebljava prilagođene skripte i iskorištava standardne Windows alate kako bi krala vjerodajnice, kretala se bočno i implementirala ucjenjivački softver. Ta grupa također primjenjuje dvostruku ucjenu, tražeći otkupninu za otključavanje sustava i sprječavanje otkrivanja ukradenih podataka.

Suočene sa sve sofisticiranijim napadima ucjenjivačkim softverom, zdravstvene organizacije moraju primijeniti višestruki pristup računalnoj sigurnosti. Moraju biti spremne da izdrže, odgovore na i oporave se od kibernetičkih incidenta dok istovremeno održavaju kontinuitet skrbi pacijenata.

Uputstva koja slijede pružaju opširni radni okvir za poboljšanje otpornosti, osigurani brzi oporavak, poticanje radne snage s fokusom na sigurnost i promoviranje suradnje unutar zdravstvenog sektora.

Upravljanje: osiguravanje pripremljenosti i otpornosti

Zgrada s puno prozora pod plavim nebom s oblacima

Učinkovito upravljanje u računalnoj sigurnosti zdravstva je neophodno za pripravnost i odgovor na napade ucjenjivačkim softverom. Dameff i Tully iz Centra za računalnu sigurnost u zdravstvu kalifornijskog sveučilišta u San Diegu preporučuju uspostavljanje jakog radnog okvira za upravljanje s jasnim ulogama, redovnom obukom i interdisciplinarnom suradnjom. Ovo pomaže zdravstvenim organizacijama da pojačaju otpornost protiv napada ucjenjivačkim softverom i osiguraju kontinuitet skrbi pacijenata, čak i u slučaju značajnih prekida u radu.

Ključni aspekt ovog radnog okvira podrazumijeva uklanjanje silosa između kliničkog osoblja, timova za IT sigurnost i stručnjaka za upravljanje izvanrednim situacijama kako bi se razvili kohezivni planovi za reagiranje na incidente. Ova suradnja između odjela ključna je za održavanje kvaliteta sigurnosti i skrbi pacijenata u slučaju da tehnološki sustavi budu ugroženi.

Dameff i Tully također ističu da je neophodno imati namjensko upravljačko tijelo ili vijeće koje se redovno sastaje da pregleda i ažurira planove za reagiranje na incidente. Oni preporučuju da se omogući ovim upravljačkim tijelima da testiraju planove za reagiranje s pomoću realističnih simulacija i vježbi, a kako bi se osiguralo da svo osoblje bude spremno obavljati djelatnosti učinkovito bez digitalnih alata, uključujući i mlađe kliničko osoblje koje možda nije upoznato sa zapisima u papirnom formatu.

Nadalje, Dameff i Tully ističu važnost vanjske suradnje. Zalažu se za regionalne i nacionalne radne okvire koji dozvoljavaju bolnicama da se podržavaju međusobno tijekom većih incidenta, odražavajući potrebu za "strateškim nacionalnim rezervama" tehnologija koje mogu privremeno zamijeniti kompromitirane sustave.

Otpornost i strateški odgovori

Otpornost računalne sigurnosti zdravstva je više od jednostavne zaštite podataka – ona podrazumijeva osiguranje da cjelokupni sustav može izdržati i oporaviti se od napada. Opširan pristup otpornosti je neophodan, s fokusom na jačanje cjelokupne infrastrukture koja podržava zdravstvene službe, a ne samo na čuvanje podataka pacijenata. Ovo uključuje cjelokupan sustav – mrežu, lanac opskrbe, medicinske uređaje i ostalo.

Primjena strategije dubinske obrane je ključna u stvaranju slojevitog stanja sigurnosti koje može učinkovito spriječiti napade ucjenjivačkim softverom.

Primjena strategije dubinske obrane je ključna u stvaranju slojevitog stanja sigurnosti koje može učinkovito spriječiti napade ucjenjivačkim softverom. Ova strategija podrazumijeva zaštitu svakog sloja zdravstvene infrastrukture – od mreže do krajnjih točaka do oblaka. Osiguravanjem da su višestruki slojevi obrane postavljeni, zdravstvene organizacije mogu umanjiti rizik od uspješnog napada ucjenjivačkim softverom.

Kao dio ovog slojevitog pristupa za Microsoftove klijente, timovi službe Microsoftovo obavještavanje o prijetnjama aktivno prate zlonamjerno ponašanje. Kada se otkrije takva aktivnost, šalje se direktna obavijest.

Ovo nije plaćena ili slojevita usluga – tvrtke raznih veličina dobivaju istu pažnju. Cilj je da se brzo pošalje upozorenje kada se otkrije potencijalna prijetnja, uključujući ucjenjivački softver, kao i da se pomogne s poduzimanjem koraka da se organizacija zaštiti.

Pored implementacije ovih obrambenih slojeva važno je imati učinkovit plan za detekciju i reagiranje na incident. Nije dovoljno samo imati plan; zdravstvene organizacije moraju biti spremne da ga učinkovito provedu tijekom stvarnog napada kako bi umanjile štetu i osigurale brz oporavak.

Konačno, stalno praćenje i mogućnost detekcije u realnom vremenu ključne su komponente jakog radnog okvira za reagiranje na incident, što omogućava brzo otkrivanje i rješavanje potencijalnih prijetnji.

Za više informacija o računalnoj otpornosti u zdravstvu, ministarstvo za zdravlje i socijalnu zaštitu (HHS) je objavilo dobrovoljne ciljeve učinka računalne sigurnosti (CPG) specifično za zdravstvo kako bi pomogli zdravstvenim organizacijama da daju prednost uvođenju izuzetno utjecajnih praksi računalne sigurnosti.

Stvoreni kroz proces suradnje javnih/privatnih partnerstva, primjenom standardnih radnih okvira za računalnu sigurnost iz industrije, vodiča, najboljih praksi i strategija, CPG-ovi se sastoje od skupa praksi za računalnu sigurnost koje zdravstvene organizacije mogu primijeniti kako bi ojačale računalnu pripravnost, poboljšali računalnu otpornost i zaštitili zdravstvene informacije i sigurnost pacijenata.

Koraci za brzu obnovu djelatnosti i jačanje sigurnosti nakon napada

Oporavak od napada ucjenjivačkim softverom zahtijeva sustavan pristup kako bi se osigurao brz povratak normalnim djelatnostima i sprječavanje budućih incidenata. Ispod su akcijski koraci koji pomažu u procjeni štete, oporavku ugroženih sustava i ojačavanju sigurnosnih mjera. Praćenjem ovih smjernica, zdravstvene organizacije mogu umanjiti utjecaj napada i pojačati svoju obranu protiv budućih prijetnji.

Procijenite utjecaj i suzbijte napad

Izolirajte ugrožene sustave odmah kako biste spriječili daljnje širenje.

Obnovite stanje iz dobrih sigurnosnih kopija

Osigurajte da čiste sigurnosne kopije budu dostupne i provjerene prije obnove djelatnosti. Održavajte sigurnosne kopije izvan mreže kako biste izbjegli šifriranje ucjenjivačkim softverom.

Obnovite sustave

Razmotrite obnovu ugroženih sustava umjesto primjene zakrpa, kako biste uklonili cijeli preostali zlonamjerni softver. Primjenjujte smjernice tima službe Microsoftova odgovora na incident o tome kako sigurno ponovno izgraditi sustave.

Ojačajte sigurnosne kontrole nakon napada

Ojačajte stanje sigurnosti nakon napada otklanjanjem ranjivosti, primjenom zakrpa na sustavima i poboljšanjem alata za otkrivanje krajnjih točaka.

Provedite recenziju nakon incidenta

Radeći s vanjskim dobavljačem usluge sigurnosti, analizirajte napad kako biste otkrili slabe točke i pojačali obranu od budućih incidenata.

Formiranje radne snage s fokusom na sigurnost

Muškarac i žena gledaju u lice žene.

Formiranje radne snage s fokusom na sigurnost zahtijeva trajnu suradnju različitih disciplina.

Formiranje radne snage s fokusom na sigurnost zahtijeva trajnu suradnju različitih disciplina. Važno je ukloniti silose između IT timova za sigurnost, upravitelja za izvanredne situacije i kliničkog osoblja kako bi se razvili kohezivni planovi za reagiranje na incidente. Bez ove suradnje, ostatak bolnice neće biti adekvatno pripremljen za učinkovito reagiranje tijekom računalnog napada.

Educiranje i podizanje svijesti

Učinkovita obuka i jaka kultura izvješćivanja ključne su komponente obrane jedne zdravstvene organizacije protiv napada ucjenjivačkim softverom. S obzirom da zdravstveni stručnjaci često daju prioritet skrbi pacijenata, možda nisu uvijek pažljivi u vezi računalne sigurnosti, što ih čini podložnijim računalnim prijetnjama.

Da bi se to riješilo, redovna obuka mora sadržavati osnovne principe računalne sigurnosti, kao što je kako prepoznati poruke e-pošte s krađom identiteta, izbjeći klikanje sumnjivih veza i prepoznati uobičajene taktike društvenog inženjeringa.

Microsoftovi resursi za osviještenost o računalnoj sigurnosti ovdje mogu biti od pomoći.

"Ključno je osoblja da prijavljuju sigurnosne probleme bez straha da će snositi krivnju," objašnjava Mott iz Microsofta. "Što se ranije nešto prijavi, tim bolje. Ako je bezazleno, to je najbolji scenarij."

Redovne vježbe i simulacije također bi trebale imitirati realistične napade kao što su krađa identiteta ili ucjenjivački softver, kako bi pomogli osoblju da vježba reagiranje u kontroliranom okruženju.

Dijeljenje informacija, suradnja i kolektivna obrana

Budući da su napadi ucjenjivačkim softverom generalno sve učestaliji (Microsoft je primijetio uvećanje od 2,75 tijekom godine dana među našim klijentima¹⁶), kolektivna obrambena strategija postaje neophodna. Suradnja – između internih timova, regionalnih partnera i širih nacionalnih/globalnih mreža – ključna je kako bi se zaštitile zdravstvene službe i sigurnost pacijenata.

Objedinjavanjem ovih grupa kako bi dizajnirale i provele opširne planove za reagiranje na incidente može se spriječiti operativni kaos tijekom napada.

Dameff i Tully naglašavaju važnost ujedinjavanja internih timova, kao što su doktori, upravitelji za izvanredne situacije i IT osoblje za sigurnost, koji često rade odvojeno. Objedinjavanjem ovih grupa kako bi dizajnirale i provele opširne planove za reagiranje na incidente može se spriječiti operativni kaos tijekom napada.

Na regionalnoj razini zdravstvene organizacije bi trebale sklapati partnerstva koja omogućavaju zdravstvenim ordinacijama da dijele kapacitet i resurse, što će osigurati da se skrb pacijenata nastavi čak i u slučaju da su neke bolnice ugrožene napadom ucjenjivačkim softverom. Ovaj oblik kolektivne obrane može pomoći s upravljanjem viškom pacijenata i raspodjelom tereta drugim zdravstvenim službama.

Osim regionalne suradnje, ključne su mreže za dijeljenje informacija na nacionalnoj i globalnoj razini. ISAC-ovi (centri za dijeljenje i analizu informacija), kao što je Health-ISAC, služe kao platforme da zdravstvene organizacije razmjenjuju ključne informacije o prijetnjama. Errol Weiss, glavni direktor za sigurnost za Health-ISAC, upoređuje ove organizacije s "programima za virtualni nadzor susjedstva," gdje članovi organizacije mogu brzo podijeliti detalje o napadima i provjerenim tehnikama ublažavanja. Ova razmjena informiranosti pomaže drugima da se pripreme za ili uklone slične prijetnje, što jača kolektivnu obranu na višoj razini.

[1]
Interni podaci službe Microsoftovo obavještavanje o prijetnjama za drugu četvrtinu 2024.
[2]
Sažetak izvješća za glavne direktore za sigurnost informacija: Current and Emerging Healthcare Cyber Threat Landscape; Health-ISAC and the American Hospital Association (AHA))
(https://go.microsoft.com/fwlink/?linkid=2293307)
[3]
“TRANSKRIPT: House Committee Hearing to Assess Microsoft’s Cybersecurity Shortfalls,” Tech Policy Press, 15. lipnja 2024.
[4]
„U prosjeku, zdravstvene organizacije dnevno gube 900 000 USD zbog prekida u radu uslijed napada ucjenjivačkim softverom,” Comparitech, 6. ožujka 2024.
[5]
„Healthcare Ransomware Attacks Continue to Increase in Number and Severity,” The HIPAA Journal, rujan 2024.
[6]
Hacked to Pieces? The Effects of Ransomware Attacks on Hospitals and Patients; https://go.microsoft.com/fwlink/?linkid=2292916
[7]
Ransomware Attack Associated With Disruptions at Adjacent Emergency Departments in the US; Ransomware Attack Associated With Disruptions at Adjacent Emergency Departments in the US | Hitna medicina | JAMA Network Open | JAMA Network
[8]
https://go.microsoft.com/fwlink/?linkid=2293508
[9]
„Ascension Ransomware Attack Hurts Financial Recovery,” The HIPPA Journal, 20. rujna 2024.
[10]
„Patient Data Exposed in Phishing Attack on UC San Diego Health,” The HIPPA Journal, 13. ožujka 2024.
[11]
„Ransomware Attack Key Factor in Decision to Close Rural Illinois Hospital,” The HIPPA Journal, 14. lipnja 2023.
[12]
„Healthcare Ransomware Attacks Continue to Increase in Number and Severity,” The HIPAA Journal, rujan 2024.
[13]
https://go.microsoft.com/fwlink/?linkid=2293219
[14]
Bilo je više spajanja bolnica 2023. godine i financijske poteškoće potiču više sklopljenih poslova (chiefhealthcareexecutive.com)
[15]
Interoperability and Methods of Exchange among Hospitals in 2021 | HealthIT.gov
[16]
Microsoftovo izvješće o digitalnoj zaštiti, 2024., Microsoft, stranica 27.
[17]
Telemetrija Microsoftova obavještavanje o prijetnjama, 2024.
[18]
„Known Exploited Vulnerabilities Catalog,” CISA, 2024.
[19]
https://go.microsoft.com/fwlink/?linkid=2293016
[20]
Podaci službe Microsoftovo obavještavanje o prijetnjama o računalnim prijetnjama u zdravstvenom sektoru, 2024.
[21]
https://go.microsoft.com/fwlink/?linkid=2293213

Ucjenjivački softver Računalni zločin

Više iz sigurnosti

Vodič za higijenu u kibernetičkoj otpornosti

Osnovna računalna higijena i dalje je najbolji način obrane identiteta, uređaja, podataka, aplikacija, infrastrukture i mreža tvrtke ili ustanove protiv 98 % svih računalnih prijetnji. Otkrijte praktične savjete u sveobuhvatnom vodiču.

Uvid u borbu protiv hakera koji poremetili rad bolnica i ugrozili živote

Saznajte više o najnovijim računalnim prijetnjama iz podataka i istraživanja o računalnim prijetnjama koje pruža Microsoft. Dobijte analizu trendova i uputstva temeljem kojih možete djelovati, a s pomoću kojih ćete ojačati svoju prvu liniju obrane.

Profitiranje ekonomijom povjerenja: prijevare društvenim inženjeringom

Istražite razvijajući digitalni krajolik gdje je povjerenje i valuta i ranjivost. Otkrijte taktiku prijevare društvenim inženjeringom koju računalni napadači najviše primjenjuju i pregledajte strategije koje vam mogu pomoći u identifikaciji i nadmudrivanju prijetnji društvenim inženjeringom koje su dizajnirane za manipuliranje ljudskom prirodom.

Pratite Microsoft Security