Trace Id is missing

Veszélyben az amerikai egészségügy: a zsarolóvírus-támadásokkal szembeni rugalmasság megerősítése

Megosztás
Egészségügyi szakemberek egy táblagépet néznek

Az egészségügyi ágazat gyorsan sokasodó és egyre többféle kiberbiztonsági fenyegetéssel néz szembe, melyek közül az egyik legfontosabbak a zsarolóvírus-támadások lettek. Az értékes betegadatok, összekapcsolt orvosi eszközök, a kisszámú informatikai/kiberbiztonsági üzemeltető személyzet és a nem elégséges erőforrások az egészségügyi szervezeteket együttesen a fenyegető szereplők elsődleges célpontjává tehetik. Ahogy az egészségügyben a tevékenységek egyre inkább digitalizáltak lesznek – az elektronikus egészségügyi nyilvántartásoktól a távorvoslási platformokon át a hálózatba kapcsolt orvosi eszközökig –, a kórházak támadási felületei is egyre összetettebbé válnak, tovább növelve sérülékenységüket a támadásokkal szemben.

A következő szakaszokban áttekintést adunk az egészségügy jelenlegi kiberbiztonsági környezetéről, különös tekintettel arra, hogy az ágazat elsődleges célpont, valamint a zsarolóvírus-támadások növekvő gyakoriságára és arra, hogy ezek a fenyegetéseknek milyen súlyos következményei lehetnek mind pénzügyileg, mind a betegek ápolására nézve.

Ezeket a kritikus problémákat még alaposabban körüljárja egy videomegbeszélés, melyet Sherrod DeGrippo, a Microsoft Veszélyforrás-intelligencia Stratégia igazgatója vezet, és amelyből megismerhetjük, mi a szakértők véleménye a fenyegető szereplőkről, a helyreállítási stratégiákról és az egészségügy sebezhető pontjairól.

A Microsoft Veszélyforrás-intelligencia összefoglalója: Egészségügy

Sherrod DeGrippo, a Microsoft Veszélyforrás-intelligencia Stratégia veszélyforrás-felderítési igazgatója élénk kerekasztal-beszélgetést vezet a fenyegetések felderítése és az egészségügy biztonsága területén dolgozó szakértőkkel, akik megvizsgálják, miért egyedülállóan sebezhető az egészségügy a zsarolóvírus-támadásokkal szemben, milyen taktikákat használnak a fenyegető szereplők csoportjai, hogyan maradhatunk rugalmasak és sok más témát is.
  • A Microsoft Veszélyforrás-intelligencia szerint az egészségügyi/közegészségügyi ágazat 2024 második negyedévében a 10 leginkább érintett iparág közé tartozott.1
  • A zsarolóvírus mint szolgáltatás (Ransomware-as-a-service, RaaS) csökkentette a belépési küszöböt az olyan támadók számára, akiknek nincs megfelelő műszaki szakértelmük, Oroszország pedig menedéket nyújt a zsarolóvírusokkal foglalkozó csoportoknak. Ennek eredményeképpen a zsarolóvírus-támadások száma 2015 óta 300%-kal nőtt.2
  • Ebben a pénzügyi évben az USA 389 intézményét érte zsarolóvírussal elkövetett támadás, melyek hálózati leállásokat okoztak, rendszerek szakadtak le miattuk a hálózatról, kritikus orvosi eljárások késtek, és vizsgálatokat kellett későbbi időpontra tenni3. A támadások költségesek, és egy iparági jelentés szerint csak a leállások napi 900 000 USD kárt okoznak az egészségügyi szervezeteknek.4
  • Annak a 99 egészségügyi szervezetnek az esetében, amelyek elismerték, hogy kifizették a kizsarolt összeget, és azt is elárulták, hogy mennyit fizettek, az átlagos összeg 4,4 millió USD volt, a medián pedig 1,5 millió USD.5

Súlyos hatás a betegellátásra

Az egészségügyi műveletek zavara a zsarolóvírus-támadások miatt súlyosan befolyásolhatja a betegek hatékony kezelését – nemcsak az érintett kórházakban, hanem a közelben levő kórházakban is, melyeknek fogadnia kell a sürgősségi osztályokról áthelyezett betegeket.6

Ha megnézzük, milyen eredményeket adott egy nemrégiben elvégzett kutatás azzal kapcsolatban, hogy a zsarolóvírusok hogyan érintettek négy kórházat (kettőt megtámadtak és kettőt nem), azt látjuk, hogy a nem érintett két közeli kórházban nőtt a sürgősségi osztályokon a betegek száma, hosszabb lett a várakozási idő, és fokozódott az erőforrásokra nehezedő nyomás, különösen az időérzékeny ellátásokban, például a sztrókos esetek kezelésében.7
A sztrókos esetek növekedése: A zsarolóvírus-támadás jelentősen megterhelte az általános egészségügyi ökoszisztémát, mivel a nem érintett kórházaknak át kellett venniük a betegeket az érintett kórházakból. A közeli kórházakban a sztrók gyanújával bevitt betegek száma csaknem a duplájára, 59-ről 103-ra nőtt, az igazolt sztrókos esetek száma pedig 22-ről 47-re, azaz 113,6%-kal emelkedett.
A szívleállások növekedése: A támadás megterhelte az egészségügyi rendszert, mivel a szívleállásos esetek száma a nem érintett kórházban 21-ről 38-re, vagyis 81%-kal nőtt. Ez azt a továbbgyűrűző hatást tükrözi, hogy ha egy intézmény rendszerébe behatolnak, a közelben levő kórházaknak több kritikus esetet kell kezelniük.
Csökken az olyan túlélések száma, ahol kedvezők a neurológiai kimenetelek: A nem érintett kórházakban drasztikusan csökkent az olyan kórházon kívül bekövetkezett szívleállások száma, melyeknek kedvező neurológiai kimenetele volt, a támadás előtti 40%-os szintről 4,5%-os szintre a támadás közben.
Az érkező mentőautók számának növekedése: A „nem érintett” kórházakba 35,2%-kal több mentőautó érkezett a támadás alatt, ami azt jelzi, hogy jelentős számú mentőautót kellett átirányítani amiatt, hogy a zsarolóvírus fennakadást okozott az érintett kórházakban.
A betegszám növekedése: A támadás négy területi kórház rendszerét károsította (két érintett és két nem érintett kórház), mivel a nem érintett kórházak sürgősségi osztályain jelentős számú beteg érkezését tapasztalták. Ezekben a nem érintett kórházakban a napi esetszám a támadás alatt 15,1%-kal nőtt a támadás előtti időszakhoz viszonyítva.
Az ellátás további zavarai: A támadások alatt a nem érintett kórházakban jelentősen nőtt az olyan betegek száma, akik úgy távoztak, hogy nem vizsgálták meg őket, nőtt a váróban eltöltött idő és a felvett betegek teljes kórházban tartózkodási ideje is. A váróban eltöltött idő például a támadás előtti 21 percről a támadás alatt 31 percre nőtt.

Zsarolóvírusokat bemutató esettanulmányok

A zsarolóvírus-támadásoknak nagyon súlyos következményei lehetnek az egészségügyben, nemcsak a megcélzott szervezeteknél, hanem a betegellátásra és az üzemi stabilitásra nézve is. A következő esettanulmányok megmutatják, milyen messzire nyúló hatásai lehetnek a zsarolóvírusoknak a különböző típusú egészségügyi szervezetekre a nagy kórházi rendszerektől a kis vidéki szolgáltatókig, kiemelve azt, hogy a támadók milyen különféle módokon hatolnak be a hálózatokba, és milyen zavarokat okoz ez az alapvető egészségügyi szolgáltatásokban.
  • A támadók feltört hozzáférési adatokkal jutottak be a hálózatba egy sebezhető távoli átjárón keresztül, melyen nem volt többtényezős hitelesítés. Titkosították a kritikus infrastruktúrát, és érzékeny adatokat juttattak ki; kettős zsarolást alkalmaztak, azzal fenyegetve, hogy ezeket az adatokat közzéteszik, ha nem kapják meg a követelt összeget.

    Hatás:     A támadás fennakadásokat okozott, és az egészségügyi szolgáltatók és gyógyszertárak 80%-a nem tudta ellenőrizni a biztosítási jogviszonyt vagy feldolgozni a kéréseket. 
  • A támadók a kórház egy régi, javításokat nem tartalmazó rendszerének egy sebezhetőségét használták ki, majd laterálisan haladva illetéktelenül hozzáfértek a vizsgálatok időpontjaira vonatkozó információkhoz és a betegek egészségügyi adataihoz. Kettős zsarolást alkalmazva érzékeny adatokat juttattak ki, és azzal fenyegettek, hogy ezeket az adatokat közzéteszik, ha nem kapják meg a követelt összeget.

    Hatás: A támadás zavart okozott a működésben, emiatt vizsgálatokat kellett lemondani, műtéteket elhalasztani, és kézi műveletekre kellett átállni, ami nyomást helyezett a személyzetre, és késlekedéseket okozott az ellátásban. 
  • A támadók adathalász e-mailekkel hozzáférést szereztek a kórház hálózatához, nem javított sérülékenységeket kihasználva zsarolóvírust futtattak, és titkosították az elektronikus egészségügyi nyilvántartásokat és a betegápolási rendszereket. Kettős zsarolást alkalmazva érzékeny betegadatokat és pénzügyi adatokat juttattak ki, és azzal fenyegettek, hogy ezeket az információkat közzéteszik, ha nem kapják meg a követelt összeget. 

    Hatás:     A támadás négy kórházban és több mint 30 klinikán okozott zavarokat, késleltetve az ellátásokat, és a sürgősségi ellátást igénylő páciensek átirányítását téve szükségessé, illetve az adatok nyilvánosságra kerülése is aggodalomra adott okot. 
  • 2021 februárjában egy zsarolóvírus-támadás megbénította egy 44 ágyas vidéki kórház számítógépes rendszereit. Emiatt három hónapon át kézi alapon kellett működniük, és a támadás súlyosan késleltette a biztosítási igényeket is.

    Hatás:     A kórház nem volt képes időben fogadni a befizetéseket, ami anyagi problémákhoz vezetett, és a helyi vidéki közösség nem jutott hozzá kritikus egészségügyi szolgáltatásokhoz. 

Az USA egészségügyi ágazata vonzó célpont a pénzügyileg motivált kiberbűnözők számára, mivel széles támadási felületet nyújt, régi rendszereket is használ, és nincsenek következetes biztonsági protokollok. Az egészségügy digitális technológiákra támaszkodik, érzékeny adatokat kezel, és – gyakran a nagyon alacsony profitráta miatt – korlátozottak az erőforrások, ami sok szervezet esetében csökkentheti azt a képességet, hogy teljes körűen beruházzanak a kiberbiztonságba. Mindez különösen sérülékennyé teszi őket. Ezenkívül az egészségügyi szervezetek mindenáron a betegek ellátását helyezik előtérbe, ami ahhoz vezethet, hogy inkább kifizetik a váltságdíjat, csak hogy elkerülhessék a fennakadásokat.

Hajlandóság a váltságdíj kifizetésére

Az, hogy a zsarolóvírusok ennyire hangsúlyos problémává váltak az egészségügy számára, részben annak a következménye, hogy az ágazatban már nem egy esetben fizettek a zsarolóknak. Az egészségügyi szervezetek a betegek ellátását minden más szempont elé helyezik, és ha a zavarok megakadályozásához több millió dollárt kell fizetniük, gyakran még erre is hajlandók.

Egy nemrégiben 402 egészségügyi szervezet felmérésével készített jelentés szerint az elmúlt évben 67%-uk tapasztalt zsarolóvírus-támadást. Ezen szervezetek 53%-a elismerte, hogy 2024-ben fizetett a zsarolóknak, míg 2023-ban ugyanez a szám még csak 42% volt. A jelentés azt is kiemeli, hogy milyen pénzügyi hatása volt az elismert átlagosan 4,4 millió USD váltságdíj kifizetésének.12

Korlátozott biztonsági erőforrások és befektetések

Egy másik jelentős kihívás az, hogy a teljes egészségügyi ágazatban korlátozottak a kiberbiztonságra fordítható anyagiak és erőforrások. Egy nemrégiben megjelent, Az egészségügyi kiberbiztonság felülvizsgálatra szorul című jelentés13 szerint, melyet a CSC 2.0 adott ki (ez a kongresszus által felhatalmazott Cyberspace Solarium Commission munkáját folytatja), "amiatt, hogy a költségvetésük feszes, és a szolgáltatóknak elsősorban az alapvető betegellátásra kell költeniük, a kiberbiztonság gyakran alulfinanszírozott, így az egészségügyi szervezetek sebezhetőbbek a támadásokkal szemben."

Ráadásul a probléma súlyos volta ellenére az egészségügyi szolgáltatók nem fektetnek be eleget a kiberbiztonságba. Több összetett tényező miatt, melyek között szerepel a közvetett fizetési modell, amely gyakran az azonnali klinikai igényeket helyezi előtérbe a kevésbé látható igények, például a kiberbiztonság rovására, a kiberbiztonság az elmúlt két évtizedben jelentősen alulfinanszírozott volt az egészségügyben.10

Ezenkívül az egészségügyi biztosítás hordozhatóságáról és felelősségre vonhatóságáról szóló törvény (HIPAA) következményeként az adatok bizalmassága élvezett elsőbbséget, és az adatok védelme és rendelkezésre állása gyakran csak másodlagos szempont volt. Ez a megközelítés azt eredményezheti, hogy kevesebb figyelem jut a szervezeti rugalmasságra, különösen a helyreállítási idővel és helyreállítási ponttal kapcsolatos célkitűzésekre.

A régi rendszerek és az infrastruktúra sérülékenysége

A kiberbiztonság alulfinanszírozottságának az egyik következménye, az, hogy az intézmények elavult, nehezen fenntartható régi rendszerekre támaszkodnak, melyek a támadások elsődleges célpontjaivá váltak. Ezenkívül a nem egységes technológiák használata miatt mozaikos az infrastruktúra, és ennek biztonsági rései fokozzák a támadások kockázatát.

Ezt a sebezhető infrastruktúrát még összetettebbé teszi az egészségügyi iparág utóbbi időben tapasztalható konszolidációs trendje. A kórházak összevonása fokozódik (2022-ben a legmagasabb 23%-os szintet érve el 2020 óta14), emiatt összetett infrastruktúrát használó, több helyszínre kiterjedő szervezetek jönnek létre. Ez az infrastruktúra nagyon sebezhetővé válhat a támadásokkal szemben, ha nem fektetnek be eleget a kiberbiztonságba.

Kiterjedő támadási felület

Az egymáshoz kapcsolt eszközökből álló, klinikailag integrált ellátóhálózatok javítják a kimenetelt a betegek számára, és életeket mentenek meg, azonban a digitális támadási felületet is kiszélesítették – és ezt a fenyegető résztvevők egyre jobban ki is használják.

A kórházak minden korábbinál szorosabban kapcsolódnak az online térhez, CT-szkennereket, betegfigyelő rendszereket, infúziós szivattyúkat és más kritikus orvosi eszközöket csatlakoztatva a hálózatokra, de nem mindig van meg az a láthatósági szint, melyre a betegellátást potenciálisan súlyosan befolyásoló sebezhetőségek azonosítására és mérsékelésére szükség lenne.

Doktor Christian Dameff és Jeff Tully, a University of California San Diego Center for Healthcare Cybersecurity (a Kaliforniai San Diegoi Egyetem Egészségügyi Kiberbiztonsági Központja) alapítói és társigazgatói megjegyzik, hogy a kórházi végpontok átlagosan 70%-a nem számítógép, hanem különböző eszközök.   
Egy kórterem orvosi berendezésekkel, egy fehér fiók és egy kék függöny.

Az egészségügyi szervezetek hatalmas mennyiségű adatot is továbbítanak. Az egészségügyi informatika nemzeti koordinátorának irodája adatai szerint a kórházak több mint 88%-a jelezte, hogy a betegek egészségügyi adatait elektronikusan küldi el vagy kapja meg, és több mint 60%-uk jelentette azt, hogy ezeket az információkat beépítették elektronikus egészségügyi nyilvántartásaikba.15

A kis vidéki szolgáltatók egyedi kihívásokkal szembesülnek

A kritikus elérésű vidéki kórházak különösen sebezhetők a zsarolóvírusos incidensekkel szemben, mert gyakran korlátozott eszközeik vannak a biztonsági kockázatok megelőzésére és kezelésére. Ennek nagyon súlyos hatása lehet a közösségre, mivel ezek a kórházak gyakran az egyetlen egészségügyi intézményt jelentik az általuk ellátott közösségek sok mérföldes körzetében.

Dameff és Tully szerint a vidéki kórházakban jellemzően nincs meg ugyanaz a szintű kiberbiztonsági infrastruktúra vagy szakértelem, mint a nagyobb városi kórházakban. Arra is felhívják a figyelmet, hogy előfordulhat, hogy ezekben a kórházakban az üzletmenet-folytonossági tervek elavultak, és nem felelnek meg a modern kiberbiztonsági fenyegetések, például a zsarolóvírusok kezelésére.

Sok kisméretű és vidéki kórház jelentős pénzügyi korlátozásokkal néz szembe, és nagyon kis profitrátával működik. Ez a pénzügyi valóság megnehezíti a számukra, hogy robusztus kiberbiztonsági intézkedésekbe fektessenek. Ezek az intézmények gyakran egyetlen általános informatikai szakemberre hagyatkoznak – aki szakszerűen képes kezelni a napi műszaki problémákat, de nem rendelkezik szakirányú kiberbiztonsági ismeretekkel.

Egy, az Egészségügyi és Szociális Minisztérium (Department of Health and Human Services) egészségügyi iparági kiberbiztonsági munkacsoportja (Health Care Industry Cybersecurity Task Force) által kiadott jelentés (ezt a csoportot a kiberbiztonságról szóló 2015. évi törvény részeként hoztak létre) kiemeli, hogy a kritikus hozzáférésű vidéki kórházak jelentős részében nincs teljes állásban foglalkoztatott kiberbiztonsági szakember, ami hangsúlyozza azt, hogy milyen szélesebb erőforrásokkal kapcsolatos kihívásokkal néznek szembe a kisebb egészségügyi szolgáltatók.

„Ezek az általános informatikai szakemberek gyakran csak a hálózatok és számítógépek kezeléséhez értenek, és általában a »Nem tudok nyomtatni, Nem tudok bejelentkezni, Mi a jelszavam« típusú problémákat oldanak meg” – magyarázza Dameff. „Ezek az emberek nem kiberbiztonsági szakértők. Nincsenek embereik, nincsenek anyagi erőforrásaik, és gyakran azt sem tudják, mivel kellene kezdeni.”

Egy kiberbűnöző támadása jellemzően két lépésben történik: először hozzáférést szerez a hálózathoz, gyakran adathalászattal vagy sebezhetőségek kihasználásával, ezután pedig a zsarolóvírust bevetve titkosítja a kritikus rendszereket és adatokat. Ezek a taktikák fejlődésük során, ideértve a legitim eszközök használatát és az RaaS egyre elérhetőbbé válását is, a támadásokat könnyebbé és gyakoribbá tették.

A zsarolóvírus-támadás kezdeti fázisa: hozzáférés megszerzése a hálózathoz

Jack Mott, aki korábban egy olyan csoportot vezetett a Microsoftnál, mely a vállalatok e-mailes rendszereivel kapcsolatos fenyegetések észlelésének és kivizsgálásának mérnöki megoldásaival foglalkozott, rámutat arra, hogy "Az e-mail továbbra is az egyik legfontosabb vektor a zsarolóvírusokhoz használt rosszindulatú szoftverek és adathalász támadások célba juttatásához.”16

A Microsoft Veszélyforrás-intelligencia 13 kórház rendszerének vizsgálatával végzett elemzése, amely több üzemeltetési rendszerre, köztük vidéki kórházakra is kitért, azzal az eredménnyel zárult, hogy a megfigyelt rosszindulatú kibertevékenységek 93%-a adathalász kampányokhoz és zsarolóvírusokhoz kapcsolódott, és a legnagyobb mértékű tevékenységet az e-mail-alapú fenyegetések jelentették.17
"Az e-mail továbbra is az egyik legfontosabb vektor a zsarolóvírusokhoz használt rosszindulatú szoftverek és adathalász támadások célba juttatásához."
Jack Mott 
Microsoft Veszélyforrás-intelligencia

Az egészségügyi szervezeteket célzó kampányok gyakran nagyon specifikus csalikat használnak. Mott kiemeli például azt, hogy a fenyegető szereplők hogyan írnak egészségügyi szakzsargont tartalmazó e-maileket, amelyek például boncolási jegyzőkönyvekre hivatkoznak, így növelve hitelességüket és sikeresen becsapva az egészségügyi szakembereket. 

Az ehhez hasonló pszichológiailag manipulációs taktikák, különösen az olyan stresszes környezetekben, mint az egészségügy, kihasználják azt, hogy az egészségügyi dolgozóknak gyakran gyorsan kell cselekedniük, ami átmeneti biztonsági hiányosságokhoz vezethet. 

Mott azt is megjegyzi, hogy a támadók egyre kifinomultabb módszereket alkalmaznak, és gyakran "valódi neveket, legitim szolgáltatásokat és az informatikai osztályok által általánosan használt eszközöket (pl. távfelügyeleti eszközök)" használnak ahhoz, hogy elkerüljék a lelepleződést. Ezek miatt a taktikák miatt nehéz feladat a biztonsági rendszerek számára az, hogy különbséget tegyenek a rosszindulatú és legitim tevékenységek között. 

A Microsoft Veszélyforrás-intelligencia adatai azt is mutatják, hogy a támadók gyakran a szervezet szoftvereinek vagy rendszereinek olyan ismert sebezhetőségeit használják ki, melyeket már korábban azonosítottak. Ezek a közös sebezhetőségek és kitettségek jól dokumentálva vannak, és rendelkezésre állnak javítócsomagok és egyéb eszközök a megszüntetésükre, és a támadók gyakran azért veszik célba az ilyen régebbi sebezhetőségeket, mert tudják, hogy sok szervezet nem foglalkozott még ezekkel a gyenge pontokkal.18 

Miután megszerezték a kezdeti hozzáférést, a támadók gyakran felderítik a hálózatot, ami különböző jelek, például szokatlan pásztázási tevékenység alapján azonosítható. Ezek a műveletek segítik a fenyegető szereplőket abban, hogy feltérképezzék a hálózatot, azonosítsák a kritikus rendszereket, és felkészüljenek a támadás következő fázisára, amikor bevetik a zsarolóvírust.

A zsarolóvírus-támadás utolsó fázisa: a zsarolóvírus bevetése a kritikus rendszerek titkosításához

A kezdeti hozzáférés megszerzése után, ami jellemzően adathalász üzenetek vagy rosszindulatú szoftver küldésével történik meg e-mailben, a fenyegető szereplők a második fázisra térnek át: bevetik a zsarolóvírust.

Jack Mott elmondja, hogy az RaaS modellek elterjedése jelentősen hozzájárult a zsarolóvírus-támadások nagyobb gyakoriságához az egészségügyi ágazatban. "Az RaaS platformok bárki számára hozzáférést biztosítanak a kifinomult zsarolóvírusos eszközökhöz, még a minimális műszaki készségekkel rendelkező személyek számára is lehetővé téve azt, hogy nagyon hatékony támadásokat hajtsanak végre" – jegyzi meg Mott. Ez a modell megkönnyíti a támadók belépését, hozzáférhetőbbé és hatékonyabbá téve a zsarolóvírusos támadásokat.
"Az RaaS platformok bárki számára hozzáférést biztosítanak a kifinomult zsarolóvírusos eszközökhöz, még a minimális műszaki készségekkel rendelkező személyek számára is lehetővé téve azt, hogy nagyon hatékony támadásokat hajtsanak végre.” 
Jack Mott 
Microsoft Veszélyforrás-intelligencia

Mott bővebben is kifejti, hogyan működik az RaaS, és mint mondja: "Ezek a platformok gyakran egy átfogó eszközkészletet tartalmaznak, titkosítószoftverrel, a fizetést feldolgozó modullal, és még ügyfélszolgálati modul is van bennük a váltságdíj megtárgyalásához. Ez a kulcsrakész megközelítés a fenyegető szereplők szélesebb köre számára teszi lehetővé azt, hogy zsarolóvírus-kampányokat hajtsanak végre, ezzel fokozva a támadások számát és súlyosságát."

Ezenkívül Mott ezeknek a támadásoknak a koordinált jellegére is rámutat, kiemelve, hogy "Miután a zsarolóvírust elindították, a támadók jellemzően gyorsan, gyakran órákon belül rátérnek a kritikus rendszerek és adatok titkosítására. A létfontosságú infrastruktúrát, például a betegadatokat, diagnosztikai rendszereket és akár a számlázási tevékenységet veszik célba, hogy maximalizálhassák a hatást és a nyomást az egészségügyi szervezeteken a váltságdíj megfizetésére."

Zsarolóvírus-támadások az egészségügyben: a legfontosabb fenyegető szereplők profilja

Az egészségügyi ágazatban a zsarolóvírus-támadásokat gyakran a fenyegető szereplők magasan szervezett és specializált csoportjai hajtják végre. Ezek a pénzügyileg motivált kiberbűnözőket és kifinomult, nemzetállami fenyegető szereplőket is tartalmazó csoportok fejlett eszközöket és stratégiákat alkalmaznak arra, hogy bejussanak a hálózatokba, titkosítsák az adatokat, és váltságdíjat követeljenek a szervezetektől.

Ezek között a szereplők között az autoriter nemzeti kormányok által pénzelt hekkerek bizonyítottan használtak zsarolóvírusokat, és akár zsarolóprogramokkal foglalkozó csoportokkal is együttműködtek kémkedési céllal. Például a gyanú szerint a kínai kormánnyal kapcsolatban álló fenyegető szereplők egyre nagyobb mértékben használják a zsarolóvírusokat kémkedési tevékenység elfedésére.19

Úgy tűnik, az egészségügyi szervezetek elleni támadások terén 2024-ben az iráni hekkerek a legaktívabbak.20 Az Egyesült Államok kormányzata 2024 augusztusában figyelmeztetést is kiadott az egészségügyi ágazatnak egy iráni, Lemon Sandstorm nevű fenyegető szereplővel kapcsolatban. Ez a csoport „jogosulatlan hálózati hozzáférést használt az USA szervezeteihez, ideértve az egészségügyi szervezeteket is, hogy jövőbeli zsarolóvírus-támadásokat könnyítsenek meg, hajtsanak végre és húzzanak hasznot belőlük, a jelek szerint orosz kötődésű zsarolóvírus-bandákkal együttműködve.”21

A következő profilok információkat nyújtanak a néhány leghírhedtebb, pénzügyileg motivált, az egészségügyet támadó zsarolóvírusos csoporttal kapcsolatban, ismertetve a módszereiket, motivációikat és azt, hogy milyen hatása van a tevékenységüknek az iparágra.
  • A Lace Tempest az egészségügyet célzó, termékeny zsarolóvírusos csoport. Egy RaaS modellt használva másokat tesznek képessé arra, hogy könnyen bevethessenek zsarolóvírusokat. Ez a csoport kórházi rendszerek elleni nagy hatású támadásokkal, kritikus fontosságú betegadatok titkosításával és váltságdíj követelésével hozható kapcsolatba. Ismertek arról, hogy kettős zsarolást használnak, és az adatokat nemcsak titkosítják, de ki is juttatják, és azzal fenyegetnek, hogy érzékeny adatokat hoznak nyilvánosságra, ha nem kapják meg a váltságdíjat.
  • A Sangria Tempest hírhedt szervezet, mely egészségügyi szervezetekkel szemben hajt végre fejlett zsarolóvírus-támadásokat. Kifinomult titkosítást használva csaknem lehetetlenné teszik az adatok visszaállítását a váltságdíj kifizetése nélkül. Kettős zsarolást is használnak, kijuttatva a betegadatokat és azzal fenyegetve, hogy nyilvánosságra hozzák őket. Támadásaik széles körű működési zavarokat okoznak, és arra kényszerítik az egészségügyi rendszereket, hogy átirányítsák erőforrásaikat, ami negatívan hat a betegek ellátására.
  • A Cadenza Tempest elosztott szolgáltatásmegtagadási (DDoS) támadásokról ismert, de egyre jobban az egészségügy ellen indított zsarolóvírusos műveletek irányában mozdul el. Oroszbarát hekker-aktivista csoportként azonosítják, mely az orosz érdekekkel szemben álló régiókban működő egészségügyi rendszereket vesz célba. Támadásaik túlterhelik a kórházi rendszereket, kritikus műveleteket szakítanak meg, és káoszt teremtenek, különösen zsarolóvírus-kampányokkal kombinálva.
  • A pénzügyileg motivált Vanilla Tempest csoport 2022 júliusa óta aktív, és az utóbbi időkben RaaS-szolgáltatók által létrehozott INC zsarolóvírusokat használ az Egyesült Államok egészségügyi rendszereinek támadására. Sebezhetőségeket kihasználva, testre szabott parancsállományok futtatásával és a Windows szabvány eszközeivel azonosító adatokat lopnak, és laterálisan haladva zsarolóvírusokat vetnek be. Ezenkívül a csoport kettős zsarolást is használ, váltságdíjat kérve a rendszerek feloldásáért és azért is, hogy ne hozzák nyilvánosságra az ellopott adatokat.

Az egyre kifinomultabb zsarolóvírus-támadásokkal szemben az egészségügyi szervezeteknek többszintű megközelítést kell használniuk a kiberbiztonságban. Fel kell készülniük arra, hogy ellenálljanak a kiberbiztonsági incidenseknek, válaszoljanak rájuk, és helyreállítsák a rendszereiket utánuk, miközben fenn kell tartaniuk a folyamatos betegellátást.

A következő útmutató átfogó keretrendszert nyújt a rugalmasság javításához, a gyors helyreállítás biztosításához és olyan munkaerő létrehozásához, melynek a biztonság a legfontosabb, és elősegíti az egészségügy ágazat egészére kiterjedő együttműködést.

Irányítás: A felkészültség és rugalmasság biztosítása

Épület sok ablakkal kék, bárányfelhős ég alatt

A hatékony vezetés az egészségügyi kiberbiztonság terén elengedhetetlen ahhoz, hogy az intézmények felkészüljenek és válaszoljanak a zsarolóvírus-támadásokra. Dameff és Tully a UC San Diego Center for Healthcare Cybersecurity központtól azt javasolja, hogy robusztus kormányzati keretrendszert kell létrehozni világosan meghatározott szerepkörökkel, rendszeres továbbképzéssel és interdiszciplináris együttműködéssel. Ez segíti az egészségügyi szervezeteket abban, hogy javítsák a rugalmasságukat a zsarolóvírus-támadásokkal szemben, és biztosíthassák a folytonos betegellátást, akár komolyabb üzemzavarok esetén is.

E keretrendszer egyik fontos összetevője az, hogy le kell bontani az akadályokat a klinikai személyzet, az informatikai részleg biztonsági csapatai és a vészhelyzeteket kezelő szakemberek között, hogy átfogó incidenselhárítási terveket lehessen kidolgozni. Ez az osztályok közötti együttműködés kulcsfontosságú ahhoz, hogy fenn lehessen tartani a betegek biztonságát és az ellátás minőségét, ha a technológiai rendszereket feltörik.

Dameff és Tully arra is felhívja a figyelmet, hogy szükség van egy dedikált kormányzati testületre vagy tanácsra, mely rendszeresen összeül az incidenselhárítási tervek áttekintésére és aktualizálására. Azt javasolják, hogy ezeket a kormányzati testületeket képessé kell tenni arra, hogy a reagálási terveket realisztikus szimulációkkal és gyakorlatokkal tesztelhessék, biztosítva, hogy minden munkatárs – ideértve a fiatalabb klinikai orvosokat is, akik esetleg nem ismerik a papíralapú nyilvántartásokat – fel legyen készülve arra, hogy digitális eszközök nélkül is hatékonyan működjön.

Ezenkívül Dameff és Tully hangsúlyozza a külső együttműködés jelentőségét is. Olyan regionális és országos keretrendszerek mellett érvelnek, melyek lehetővé teszik, hogy a kórházak támogassák egymást nagy léptékű incidensek esetén, visszhangozva azt az igényt, hogy "szükség van egy stratégiai nemzeti tartalék" technológiára, mely képes átmenetileg helyettesíteni a feltört rendszereket.

Rugalmasság és stratégiai válaszok

A rugalmasság az egészségügyi kiberbiztonságban túlmegy az adatok egyszerű védelmén: arra is kiterjed, hogy a teljes rendszerek képesek legyenek ellenállni a támadásoknak és kiheverni őket. Nagyon fontos a rugalmasság átfogó megközelítése, mely nem csak a betegadatok megőrzésére összpontosít, hanem arra is, hogy a teljes, az egészségügyi műveleteket támogató infrastruktúrát megerősítsük. Ez az egész rendszert magában foglalja: a hálózatot, az ellátási láncot, az orvosi eszközöket stb.

A mélységi védelmet biztosító stratégia alkalmazása kritikus fontosságú ahhoz, hogy többrétegű védelmi állásokat hozhassunk létre, melyek hatékonyan semlegesítik a zsarolóvírus-támadásokat.

A mélységi védelmet biztosító stratégia alkalmazása kritikus fontosságú ahhoz, hogy többrétegű védelmi állásokat hozhassunk létre, melyek hatékonyan semlegesítik a zsarolóvírus-támadásokat. Ez a stratégia az egészségügyi infrastruktúra minden rétegének biztosítására kiterjed, a hálózattól a végpontokon át a felhőig. Ha biztosítjuk a többszintű védelmet, az egészségügyi szervezetek csökkenthetik a sikeres zsarolóvírus-támadások kockázatát.

Ennek a többrétegű megközelítésnek a részeként a Microsoft ügyfelei részére a Microsoft Veszélyforrás-intelligencia csapatai aktívan figyelik az ellenséges viselkedést. Ha ilyen tevékenységet észlelnek, közvetlen értesítést küldenek erről.

Ez nem fizetős vagy többszintű szolgáltatás, a legkisebb vállalkozás is ugyanolyan figyelmet kap. A célunk az, hogy gyorsan riasztást tudjunk küldeni egy esetleges fenyegetés észlelése esetén, ideértve a zsarolóvírusokat is, és segítséget nyújtsunk a szervezet védelméhez szükséges lépések megtételéhez.

Azonkívül, hogy kiépítjük ezeket a védelmi rétegeket, nagyon fontos az is, hogy legyen egy hatékony incidenselhárítási és -észlelési terv. Az azonban kevés, ha pusztán van egy terv; az egészségügyi szervezeteknek fel kell készülniük a hatékony végrehajtására egy tényleges támadás során, hogy minimalizálhassák a kárt, és biztosíthassák a gyors helyreállítást.

Végül pedig egy robusztus incidenselhárító keretrendszer nélkülözhetetlen elemét képezik a folyamatos ellenőrzési és valós idejű észlelési képességek, melyek biztosítják a potenciális fenyegetések azonosítását és gyors kezelését.

Az Egészségügyi és Szociális Minisztérium további információkat biztosított azzal, hogy önkéntes egészségügyi kiberbiztonsági teljesítménycélokat tett közzé, ezzel segítve az egészségügyi szervezeteket abban, hogy prioritásokat határozzanak meg a nagy hatású kiberbiztonsági gyakorlatok bevezetéséhez.

A kiberbiztonsági teljesítménycélok a köz- és magánintézmények együttműködésével létrehozott közös iparági kiberbiztonsági keretrendszerekkel, irányelvekkel, legjobb gyakorlatokkal és stratégiákkal a kiberbiztonsági gyakorlatok olyan gyűjteményét alkotják, melyeket az egészségügyi szervezetek felhasználhatnak ahhoz, hogy erősítsék felkészültségüket és rugalmasságukat a kibertérben, és védjék a betegek egészségügyi információit és biztonságát.

A működés gyors helyreállításához és a támadás után a biztonság megerősítéséhez szükséges lépések

A zsarolóvírus utáni helyreállítás szisztematikus megközelítést igényel annak biztosítására, hogy gyorsan vissza lehessen térni a normál üzemeltetéshez, miközben a jövőbeni incidenseket is megakadályozzuk. Az alábbiakban olyan gyakorlati lépéseket adunk meg, melyek segítik a kár felmérését, az érintett rendszerek helyreállítását és a biztonsági intézkedések megerősítését. Ezeket az irányelveket követve az egészségügyi szervezetek mérsékelhetik a támadás hatását, és megerősíthetik a védelmüket a jövőbeli fenyegetések ellen.
A hatás felmérése és a támadás lokalizálása

Az érintett rendszereket haladéktalanul válassza le a később továbbterjedés megakadályozására.
Helyreállítás ismert, jó biztonsági másolatokból

A helyreállítási műveletek előtt ellenőrizze, hogy rendelkezésre állnak tiszta biztonsági másolatok, és ellenőrizze őket. A zsarolóvírussal végzett titkosítás megakadályozására tartson fenn offline biztonsági másolatokat.
A rendszerek újraépítése

Mérlegelje azt, hogy a feltört rendszereket a hibajavítás helyett nem érdemesebb-e újraépíteni, így megszabadulva az esetleg a rendszerben maradt rosszindulatú szoftverektől. Használja a Microsoft Incidenskezelés csapatának a rendszerek biztonságos újraépítéséről szóló útmutatóját
A biztonsági ellenőrzések megerősítése a támadás után

A támadás után erősítse meg a védelmi állásokat a sebezhetőségek megszüntetésével, a rendszerek hibajavító csomagjainak telepítésével és a végponti észlelőeszközök fejlesztésével.
Incidens utáni felülvizsgálat elvégzése

Külső biztonsági céggel elemezze a támadást a gyenge pontok azonosításához és a védelem javításához a jövőbeli incidensek ellen.

Olyan munkaerő kialakítása, akiknek a biztonság a legfontosabb

Egy férfi és nő egy nő arcába néz.

Ahhoz, hogy olyan munkaerőt hozhasson létre, melynek a biztonság a legfontosabb, folyamatos interdiszciplináris együttműködésre van szükség.

Ahhoz, hogy olyan munkaerőt hozhasson létre, melynek a biztonság a legfontosabb, folyamatos interdiszciplináris együttműködésre van szükség. Fontos, hogy le kell bontani az akadályokat az informatikai részleg biztonsági csapatai, a vészhelyzeteket kezelő vezetők és a klinikai személyzet között, hogy átfogó incidenselhárítási terveket lehessen kidolgozni. Ilyen együttműködés nélkül a kórház többi része esetleg nem lesz megfelelően felkészült ahhoz, hogy hatékonyan reagálhasson egy kiberincidens esetén.

Oktatás és tudatosság

Az egészségügyi szervezetek számára elengedhetetlen összetevő a hatékony oktatás és erős jelentéstevő kultúra ahhoz, hogy védekezhessenek a zsarolóvírusok ellen. Mivel az egészségügyi szakemberek gyakran a betegek ellátását teszik az első helyre, előfordulhat, hogy szem elől tévesztik a kiberbiztonságot, emiatt fogékonyabbak lehetnek a kiberfenyegetésekre.

Ennek kezelésére a folyamatos képzésnek ki kell térnie a kiberbiztonság alapjaira is, például hogyan lehet észrevenni az adathalász e-maileket, elkerülni azt, hogy gyanús hivatkozásokra kattintsanak, és hogyan lehet felismerni a gyakori pszichológiai manipulációs taktikákat.

Ebben segítségükre lehetnek a Microsoft kiberbiztonsági ismeretekkel kapcsolatos erőforrásai.

"Kulcsfontosságú az, hogy arra kell bátorítani a személyzetet, hogy a biztonsági problémákat a szemrehányástól való félelem nélkül jelentsék" – mondja Mott a Microsofttól. "Minél gyorsabban jelentenek egy adott eseményt, annál jobb. A legszerencsésebb esetben jóindulatú eseményről van szó."

Rendszeres gyakorlatokon és szimulációkban kell modellezni a valós támadásokat, például adathalászatot vagy zsarolóvírust, segítve a személyzetet abban, hogy a választ ellenőrzött környezetben gyakorolhassák.

Az információk megosztása, együttműködés és kollektív védelem

Mivel általánosságban növekszik a zsarolóvírus-támadások gyakorisága (a Microsoft 2,75-szeres növekedést figyelt meg egy év alatt ügyfeleinknél16), kulcsfontosságúvá válik egy közös védelmi stratégia. Az együttműködés – a belső csapatok, a regionális partnerek és a szélesebb országos/globális hálózatok között – kulcsfontosságú az egészségügy működésének és a betegek biztonságának garantálásához.

Ha mindezeket a csoportokat összehozzuk az átfogó incidenselhárítási tervek kialakításához és megvalósításához, megakadályozhatjuk, hogy a támadások során káosz alakuljon ki az üzemeltetésben.

Dameff és Tully hangsúlyozza annak fontosságát, hogy egyesíteni kell a belső csapatokat, például az orvosokat, a vészhelyzeteket kezelő menedzsereket és az informatikai részlegek biztonsági alkalmazottait, akik gyakran egymástól elszigetelve dolgoznak. Ha mindezeket a csoportokat összehozzuk az átfogó incidenselhárítási tervek kialakításához és megvalósításához, megakadályozhatjuk, hogy a támadások során káosz alakuljon ki az üzemeltetésben.

Regionális szinten az egészségügyi szervezeteknek olyan partneri kapcsolatokat kell kialakítaniuk, melyek lehetővé teszik a kapacitások és erőforrások megosztását, biztosítva, hogy a betegellátás még akkor is folytatódhasson, ha néhány kórházat zsarolóvírus-támadás ért. Ez a fajta kollektív védelem egy kórház befogadóképességénél több beteg érkezésére is megoldást jelent, és eloszthatja a terhelést az egészségügyi szolgáltatók között.

A regionális együttműködésen túl az országos és globális információmegosztó hálózatok is sarkalatos pontok. Az ISAC (információmegosztó és -elemző központ, Information Sharing and Analysis Centers) intézmények, például Health-ISAC platformot biztosítanak ahhoz, hogy az egészségügyi szervezetek megoszthassák egymással a fenyegetésekre vonatkozó kulcsfontosságú információkat. Errol Weiss, a Health-ISAC biztonsági igazgatója ezeket a szervezeteket "virtuális szomszédsági figyelőprogramokhoz"hasonlítja, melyekben a tagok gyorsan megoszthatják a támadásokkal kapcsolatos információkat és jól bevált mérséklő technikákat. Az információk megosztása segíti a többieket abban, hogy felkészüljenek a hasonló fenyegetésekre vagy megakadályozzák őket, nagyobb léptékben erősítve a kollektív védelmet.

  1. [1]
    A Microsoft fenyegetésekre vonatkozó belső felderítési adatai, 2024, 2. negyedév
  2. [2]
    (Az informatikai biztonsági vezetők számára készült vezetői összefoglaló: A jelenlegi és várható kiberfenyegetések környezete az egészségügyben; a Health-ISAC és az Amerikai Kórházak Szervezete (AHA))  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    TRANSCRIPT: Házi bizottsági meghallgatás a Microsoft kiberbiztonsági hiányosságainak felmérésére,” Tech Policy Press, 2024. június 15.
  4. [4]
    Az egészségügyi szervezetek átlagosan napi 900 000 dollárt veszítenek el a zsarolóvírus-támadások miatt elszenvedett leállások következtében,” Comparitech, 2024. március 6.
  5. [5]
    Tovább növekszik a zsarolóvírus-támadások száma és súlyossága,” The HIPAA Journal, 2024. szeptember
  6. [6]
    Darabokra hekkelve? A zsarolóvírus-támadások hatása a kórházakra és a betegekre; https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    A zsarolóvírus-támadások és üzemzavarok a szomszédos sürgősségi osztályokon az Egyesült Államokban; A zsarolóvírus-támadások és üzemzavarok a szomszédos sürgősségi osztályokon az Egyesült Államokban | Emergency Medicine | JAMA Network Open | JAMA Network
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    A fokozódó zsarolóvírus-támadások akadályozzák a pénzügyi helyreállítást,” The HIPPA Journal, 2024. szeptember 20.
  10. [10]
    A UC San Diego Health elleni adathalász támadásban betegadatok kerültek nyilvánosságra,” The HIPPA Journal, 2024. március 13.
  11. [11]
    A zsarolóvírus kulcsfontosságú tényező egy Illinois állambeli vidéki kórház bezárásáról szóló döntésben,” The HIPPA Journal, 2023. június 14.
  12. [12]
    Tovább növekszik a zsarolóvírus-támadások száma és súlyossága,” The HIPAA Journal, 2024. szeptember
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    2023-ban több kórházat összevontak, és a pénzügyi problémák miatt egyre több ilyen döntés várható (chiefhealthcareexecutive.com)
  15. [15]
    Együttműködési képesség és cseremódszerek a kórházak között 2021-ben | HealthIT.gov
  16. [16]
    A Microsoft 2024-es digitális védelmi jelentése, Microsoft, 27. oldal
  17. [17]
    A Microsoft Veszélyforrás-intelligencia telemetriai adatai, 2024
  18. [18]
    Az ismert kihasznált sérülékenységek katalógusa,” CISA, 2024
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    A Microsoft Veszélyforrás-intelligencia adatai az egészségügyi ágazat kiberfenyegetéseiről, 2024
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
Zsarolóvírusok Kiberbűnözés

További biztonsági anyagok

Kiberrugalmassági higiéniai útmutató

Az alapvető kiberhigiénia továbbra is a legjobb módszer arra, hogy megvédje egy szervezet identitásait, eszközeit, adatait, alkalmazásait, infrastruktúráját és hálózatait az összes kiberfenyegetés 98%-ával szemben. Fedezze fel a gyakorlati tippeket egy átfogó útmutatóban.
További információ

A kórházak működését megzavaró és életeket veszélyeztető hekkerek elleni harc belülről

Ismerje meg a legújabb fenyegetéseket a Microsoft fenyegetési adataiból és kutatásaiból. Elemzést olvashat a trendekről, és gyakorlati útmutatást kaphat az első védelmi vonal megerősítéséhez.
További információ

A bizalmi gazdaság kihasználása: pszichológiai manipulációs csalás

Megismerheti a változó digitális környezetet, ahol a bizalom egyszerre számít értéknek és sebezhetőségnek. Ismerje meg a kibertámadók által leggyakrabban alkalmazott pszichológiai manipulációs csalási taktikákat, és tekintse át azokat a stratégiákat, amelyek segítségével felismerheti és kicselezheti az emberi természet manipulálását célzó pszichológiai manipulációs fenyegetéseket.
További információ

A Microsoft Biztonság követése