Trace Id is missing

Apdraudēta veselības aprūpe ASV: noturības pret izspiedējprogrammatūras uzbrukumiem stiprināšana

Koplietošana
Medicīnas speciālistu grupa skatās planšetdatorā

Veselības aprūpes nozare sastopas ar strauji augošu kiberdrošības apdraudējumu diapazonu, kurā viens no būtiskākajiem ir izspiedējprogrammatūras uzbrukumi. Vērtīgie pacientu dati apvienojumā ar savstarpēji saistītām medicīnas ierīcēm un nelielu skaitu IT/kiberdrošības operāciju darbinieku, kuri izplata trūcīgus resursus, var padarīt veselības aprūpes organizācijas par draudu izpildītāju primāro mērķi. Arvien vairāk digitalizējot veselības aprūpes operācijas — no elektroniskiem veselības reģistriem (EHR) līdz telemedicīnas platformām un tīkla medicīnas ierīcēm — slimnīcu uzbrukumu tvērums kļūst sarežģītāks, vēl vairāk palielinot to ievainojamību pret uzbrukumiem.

Tālāk esošajās sadaļās ir sniegts pārskats par pašreizējo kiberdrošības vidi veselības aprūpes nozarē, izceļot faktu, ka šī nozare ir galvenais mērķis arvien biežākiem izspiedējprogrammatūras uzbrukumiem, un nopietnajām finanšu un pacientu aprūpes sekām, ko rada šie draudi.

Video diskusijā, ko vada Šeroda Degrippo (Sherrod DeGrippo), Microsoft draudu informācijas stratēģijas direktore, ir padziļinātāk izklāstītas šīs kritiskās problēmas, piedāvājot ekspertu ieskatus par draudu izpildītājiem, atkopšanas stratēģijām un veselības aprūpes nozares ievainojamībām.

Microsoft draudu informācijas instruktāža: veselības aprūpe

Šeroda Degrippo, Microsoft draudu informācijas stratēģijas direktore, vada dzīvīgu diskusiju ar draudu informācijas un veselības aprūpes drošības ekspertiem, kuri pēta faktorus, kas padara veselības aprūpes nozari uzņēmīgu pret izspiedējprogrammatūras uzbrukumiem, draudu izpildītāju grupu izmantoto taktiku, noturības saglabāšanas veidus un daudz ko citu.
  • Microsoft draudu informācija liecina, ka veselības aprūpes/sabiedrības veselības nozare bija viena no 10 ietekmētākajām jomām 2024. gada otrajā ceturksnī.1
  • Izspiedējprogrammatūras pakalpojums (RaaS) ir samazinājis latiņu uzbrucējiem, kuriem trūkst tehnisku zināšanu, savukārt Krievija kalpo par “drošu ostu” izspiedējprogrammatūras grupām. Tā rezultātā kopš 2015. gada izspiedējprogrammatūras uzbrukumu skaits ir palielinājies par 300%.2
  • Šajā finanšu gadā 389 ASV veselības aprūpes iestādes piedzīvoja izspiedējprogrammatūras uzbrukumus, kas izraisīja tīkla atslēgšanu, sistēmu atvienošanu bezsaistē, kritisku medicīnas procedūru aizkavēšanu un pierakstu pārcelšanu3. Uzbrukumi izmaksā dārgi — kādā nozares ziņojumā redzams, ka veselības aprūpes organizācijas dīkstāves dēļ vien zaudē līdz pat 900 000 USD dienā.4
  • 99 veselības aprūpes organizāciju, kuras piekrita samaksāt izpirkuma maksu un atklāja tās apmēru, vidējais maksājums bija 1,5 miljoni USD un vidējais maksājuma apmērs bija 4,4 miljoni USD.5

Spēcīga pacientu aprūpes ietekme

Izspiedējprogrammatūras uzbrukuma izraisīts veselības aprūpes operāciju traucējums var nopietni ietekmēt spēju efektīvi ārstēt pacientus ne tikai skartajās slimnīcās, bet arī tuvējās slimnīcās, kuras uzņem pārvietoto neatliekamās palīdzības nodaļas pacientu apjomu.6

Aplūkojiet jaunākā pētījuma rezultātus par to, kā izspiedējprogrammatūras uzbrukums četrām slimnīcām (divām tika uzbrukts un divām netika veikts uzbrukums) izraisīja neatliekamās palīdzības nodaļas pacientu skaita pieaugumu, ilgākus gaidīšanas laikus un papildu slodzi resursiem, jo īpaši laika ziņā svarīgā aprūpē, piemēram, triekas ārstēšanā, divās tuvumā esošās slimnīcās, kurām netika veikts uzbrukums.7
Triekas gadījumu pieaugums: Izspiedējprogrammatūras uzbrukums kopumā būtiski noslogoja veselības aprūpes ekosistēmu, jo uzbrukuma neskartajām slimnīcām bija jāuzņem pacienti no uzbrukuma skartajām slimnīcām. Triekas sākumpazīmju gadījumu skaits tuvējās slimnīcās gandrīz divkāršojās — no 59 līdz 103 gadījumiem, savukārt apstiprinātu triekas gadījumu skaits palielinājās par 113,6% — no 22 līdz 47 gadījumiem.
Sirdsdarbības apstāšanās gadījumu skaita pieaugums: Uzbrukums satricināja veselības aprūpes sistēmu — sirdsdarbības apstāšanās gadījumu skaits uzbrukuma neskartajā slimnīcā palielinājās no 21 līdz 38 gadījumiem, kas veido 81% pieaugumu. Tas atspoguļo vienas veselības aprūpes iestādes apdraudējuma lavīnveida ietekmi, liekot tuvējām slimnīcām strādāt ar lielāku skaitu kritisku gadījumu.
Izdzīvošanas rādītāja ar labvēlīgiem neiroloģiskiem iznākumiem kritisks samazinājums: Ārpusstacionāra sirdsdarbības apstāšanās gadījumu ar labvēlīgiem neiroloģiskiem iznākumiem izdzīvošanas rādītājs uzbrukuma laikā “neietekmētajās” slimnīcās krasi samazinājās, sarūkot no 40% pirms uzbrukuma līdz 4,5% uzbrukuma fāzē.
Ātrās palīdzības ierašanās gadījumu skaita pieaugums: Uzbrukuma fāzē “neietekmētajās” slimnīcās par 35,2% pieauga neatliekamās medicīniskās palīdzības dienestu (EMS) ierašanās gadījumu skaits, kas liecina par ievērojamu ātrās palīdzības transporta kustības novirzīšanu izspiedējprogrammatūras izraisīto traucējumu dēļ uzbrukuma skartajās slimnīcās.
Pacientu skaita pieaugums: Uzbrukums apdraudēja četras apgabala slimnīcas (divām tika uzbrukts un divām netika veikts uzbrukums), kā rezultātā neatliekamās palīdzības dienesti uzbrukuma neskartajās slimnīcās piedzīvoja ievērojamu pacientu pieplūdumu. Uzbrukuma fāzē šajās “neietekmētajās” slimnīcās pacientu skaits dienā palielinājās par 15,1% salīdzinājumā ar fāzi pirms uzbrukuma.
Papildu aprūpes traucējumi: Uzbrukumu laikā “neietekmētajās” slimnīcās bija vērojams būtisks to pacientu skaita pieaugums, kuri devās prom bez ārsta apskates, kā arī palielinājās gaidīšanas laiki un uzņemto pacientu kopējais uzturēšanās ilgums. Piemēram, vidējais gaidīšanas laiks palielinājās no 21 minūtes pirms uzbrukuma līdz 31 minūtei uzbrukuma laikā.

Izspiedējprogrammatūras gadījumu izpēte

Izspiedējprogrammatūras uzbrukumi veselības aprūpes nozarē var radīt postošas sekas ne tikai mērķa organizācijām, bet arī pacientu aprūpei un darbības stabilitātei. Tālāk esošā gadījumu izpēte atspoguļo tālejošu izspiedējprogrammatūras ietekmi uz dažāda veida veselības aprūpes organizācijām — no lielām slimnīcu sistēmām līdz maziem lauku reģionu pakalpojumu sniedzējiem, izceļot dažādus paņēmienus, kā uzbrucēji iefiltrējas tīklos, un tādējādi radītos traucējumus svarīgos veselības aprūpes pakalpojumos.
  • Uzbrucēji izmantoja apdraudētus akreditācijas datus, lai piekļūtu tīklam, izmantojot neaizsargātu attālās piekļuves vārteju bez daudzfaktoru autentifikācijas. Viņi šifrēja kritisku infrastruktūru un eksfiltrēja sensitīvus datus divkāršā izspiešanas shēmā, draudot tos izpaust, ja vien netiks samaksāta izpirkuma maksa.

    Ietekme:     Uzbrukums izraisīja traucējumus, liedzot 80% veselības aprūpes pakalpojumu sniedzēju un aptieku pārbaudīt apdrošināšanu vai apstrādāt prasības. 
  • Uzbrucēji izmantoja slimnīcas neielāpotās mantotās programmatūras ievainojamību, pārvietojoties laterāli, lai apdraudētu pacientu pierakstu veidošanu un medicīnas reģistrus. Īstenojot divkāršu izspiešanas taktiku, viņi eksfiltrēja sensitīvus datus un draudēja tos izpaust, ja vien netiks samaksāta izpirkuma maksa.

    Ietekme: Uzbrukums izraisīja darbības traucējumus, kā rezultātā tika atcelti pieraksti, aizkavētas operācijas un notika pāreja uz manuāliem procesiem, noslogojot darbiniekus un aizkavējot aprūpi. 
  • Uzbrucēji nosūtīja pikšķerēšanas e-pasta ziņojumus, lai piekļūtu slimnīcu tīklam, un izmantoja neielāpotas ievainojamības, lai izvietotu izspiedējprogrammatūru, šifrējot EHR un pacientu aprūpes sistēmas. Īstenojot divkāršu izspiešanas taktiku, viņi eksfiltrēja sensitīvus pacientu un finanšu datus, draudot tos nopludināt, ja netiks samaksāta izpirkuma maksa. 

    Ietekme:     Uzbrukums traucēja četru slimnīcu un vairāk nekā 30 klīniku darbību, aizkavējot ārstēšanu un novirzot neatliekamās palīdzības pacientus, kā arī radot bažas par datu izpaušanu. 
  • 2021. gada februārī izspiedējprogrammatūras uzbrukums atspējoja 44 pacientiem paredzētas lauku slimnīcas datorsistēmas, liekot veikt manuālas darbības trīs mēnešus un nopietni aizkavējot darbu ar apdrošināšanas prasībām.

    Ietekme:     Slimnīcas nespēja iekasēt savlaicīgus maksājumus izraisīja finansiālas grūtības, atstājot vietējo lauku kopienu bez kritiskiem veselības aprūpes pakalpojumiem. 

Amerikas veselības aprūpes nozare ir pievilcīgs mērķis finansiāli motivētiem kibernoziedzniekiem tās plašā uzbrukumu tvēruma, mantoto sistēmu un nekonsekvento drošības protokolu dēļ. Veselības aprūpes nozares paļaušanās un digitālajām tehnoloģijām apvienojumā ar tās sensitīvajiem datiem un bieži vien īpaši svārstīgiem resursu ierobežojumiem, ar kuriem sastopas daudzas organizācijas, var ierobežot to spēju pilnā apmērā ieguldīt kiberdrošībā, padarot šīs organizācijas īpaši ievainojamas. Turklāt veselības aprūpes organizācijas jebkurā gadījumā pacientu aprūpi izvirza par prioritāti, kas var radīt vēlmi samaksāt izpirkuma maksas, lai izvairītos no traucējumiem.

Reputācija, maksājot izpirkuma maksas

Viens no iemesliem, kāpēc izspiedējprogrammatūra ir kļuvusi par tik izteiktu veselības aprūpes nozares problēmu, ir biežā izpirkuma maksājumu veikšana šajā nozarē. Veselības aprūpes organizāciju galvenā prioritāte ir pacientu aprūpe, un, ja tām ir jāsamaksā miljoniem dolāru, lai izvairītos no darbības traucējumiem, tās bieži izvēlas šādi rīkoties.

Faktiski saskaņā ar neseno ziņojumu, kas balstīts uz 402 veselības aprūpes organizāciju aptauju, 67% pēdējā gada laikā piedzīvoja izspiedējprogrammatūras uzbrukumu. 53% no šīm organizācijām 2024. gadā piekrita samaksāt izpirkuma maksu, savukārt 2023. gadā — 42%. Ziņojumā ir arī izcelta finansiālā ietekme — vidējā samaksātā izpirkuma maksa bija 4,4 miljoni USD.12

Ierobežoti drošības resursi un ieguldījumi

Vēl viens būtisks izaicinājums veselības aprūpes nozarē ir ierobežots budžets un resursi kiberdrošībai. Saskaņā ar jaunāko CSC 2.0 (grupa, kas turpina kongresa pilnvarotās Kibertelpas solārija komisijas darbu) ziņojumu Healthcare Cybersecurity Needs a Check-Up 13 "ierobežots budžets un pakalpojumu sniedzēju nepieciešamība prioritizēt līdzekļu izlietojumu pacientu pamata pakalpojumiem kalpo par iemeslu tam, ka kiberdrošībai bieži vien ir nepietiekams finansējums, padarot veselības aprūpes organizācijas neaizsargātas pret uzbrukumu."

Turklāt, neraugoties uz problēmas nopietnību, veselības aprūpes pakalpojumu sniedzēji neveic pietiekamu izpēti kiberdrošības jomā. Ņemot vērā virkni sarežģītu faktoru, tostarp netiešo maksājumu modeli, kas bieži vien noved pie tā, ka neatliekamās klīniskās vajadzības tiek noteiktas kā prioritāras salīdzinājumā ar tādiem mazāk redzamiem ieguldījumiem kā kiberdrošību, veselības aprūpe pēdējo divdesmit gadu laikā ir veikusi niecīgus ieguldījumus kiberdrošībā.10

Arī Likums par veselības apdrošināšanas informāciju (HIPAA) ir izraisījis to, ka tiek prioritizēti ieguldījumi datu konfidencialitātē, bieži atstājot datu integritāti un pieejamību kā sekundāras problēmas. Šī pieeja var izraisīt samazinātu fokusu uz organizācijas noturību, jo īpaši atkopšanas laika mērķu (RTO) un atkopšanas punkta mērķu (RPO) pazemināšanu.

Mantotas sistēmas un infrastruktūras ievainojamības

Veicot nepietiekamus ieguldījumus kiberdrošības jomā, organizācijas paļaujas uz novecojušām, grūti atjaunināmām mantotām sistēmām, kas ir kļuvušas par galveno mērķi. Turklāt būtiski atšķirīgu tehnoloģiju izmantošana rada ielāpotu infrastruktūru ar drošības problēmām, tādējādi palielinot uzbrukumu risku.

Šo neaizsargāto infrastruktūru vēl sarežģītāku padara veselības aprūpes nozares nesenā konsolidācijas tendence. Slimnīcu apvienošanās, kas notiek arvien biežāk (par 23% vairāk nekā 2022. gadā un augstākais līmenis kopš 2020. gada14), rada organizācijas ar sarežģītām infrastruktūrām, kas izveidotas vairākās atrašanās vietās. Bez pietiekamiem ieguldījumiem kiberdrošībā šīs infrastruktūras kļūst īpaši neaizsargātas pret uzbrukumiem.

Uzbrukumu tvēruma paplašināšana

Lai gan savienoto ierīču un medicīnas tehnoloģiju klīniski integrētie aprūpes tīkli palīdz uzlabot pacientu iznākumus un glābt dzīvības, tie ir paplašinājuši arī digitālo uzbrukumu tvērumu, ko aizvien vairāk izmanto draudu izpildītāji.

Slimnīcas darbojas tiešsaistē vairāk nekā jebkad agrāk, savienojot kritiskas medicīnas ierīces, piemēram, datortomogrāfijas skenerus, pacientu uzraudzības sistēmas un infūzijas sūkņus, ar tīkliem, tomēr tām ne vienmēr ir nepieciešamais redzamības līmenis, lai noteiktu un mazinātu ievainojamības, kas var nopietni ietekmēt pacientu aprūpi.

Ārsti Kristians Damefs (Christian Dameff) un Džefs Talijs (Jeff Tully), Kalifornijas Universitātes Veselības aprūpes kiberdrošības Sandjego centra līdzdirektori un līdzdibinātāji, norāda, ka vidēji 70% slimnīcas galapunktu nav datori, bet ierīces.   
Slimnīcas telpa ar medicīnas aprīkojumu, baltām atvilktnēm un ziliem aizkariem.

Arī veselības aprūpes organizācijas pārraida lielu datu apjomu. Veselības IT nacionālā koordinatora biroja dati liecina, ka vairāk nekā 88% slimnīcu nosūta un iegūst pacientu veselības informāciju elektroniski un vairāk nekā 60% integrē šo informāciju savos elektroniskajos veselības reģistros (EHR).15

Nelieli pakalpojumu sniedzēji lauku reģionos sastopas ar unikāliem izaicinājumiem

Lauku kritiskās piekļuves slimnīcas ir īpaši neaizsargātas pret izspiedējprogrammatūras incidentiem, jo tām bieži vien ir ierobežoti līdzekļi, lai novērstu un koriģētu drošības riskus. Tas var būt postoši kopienai, jo šīs slimnīcas bieži ir vienīgā veselības aprūpes iespēja plašā teritorijā tajās kopienās, kurās tās darbojas.

Damefs un Talijs apgalvo, ka lauku slimnīcām parasti nav tāda paša līmeņa kiberdrošības infrastruktūras vai zināšanu kā lielākām pilsētu slimnīcām. Viņi arī norāda, ka daudzi šo slimnīcu uzņēmējdarbības nepārtrauktības plāni var būt novecojuši vai nepietiekami, lai novērstu tādus mūsdienu kiberapdraudējumus kā izspiedējprogrammatūru.

Daudzas nelielas vai lauku slimnīcas sastopas ar būtiskiem finansiāliem ierobežojumiem, darbojoties ar pavisam nelielu peļņu. Šī finansiālā realitāte apgrūtina to ieguldījumus spēcīgos kiberdrošības pasākumos. Bieži vien šīs veselības aprūpes iestādes paļaujas uz vienu universālu IT darbinieku — kādu, kurš profesionāli pārvalda ikdienas tehniskās problēmas, bet kuram nav specifisku zināšanu kiberdrošības jomā.

Veselības un labklājības departamenta Veselības aprūpes nozares kiberdrošības darba grupas, kas izveidota saistībā ar 2015. gada Kiberdrošības likumu, ziņojumā ir izcelts, ka lielai daļai lauku kritiskās piekļuves slimnīcu trūkst pilna laika darbinieka, kas koncentrētos uz kiberdrošību, nepietiekami novērtējot plašākas resursu problēmas, ar kurām saskaras mazāki veselības aprūpes pakalpojumu sniedzēji.

“Šie universālie IT darbinieki — bieži vien kāda persona, kas ir kompetenta tīkla un datoru pārvaldībā, — parasti strādā ar tādām problēmām kā “es nevaru izdrukāt”, “es nevaru pieteikties” un “kāda ir mana parole”,” skaidro Damefs. “Viņi nav kiberdrošības eksperti. Viņiem nav darbinieku, viņiem nav budžeta un viņi pat nezina, ar ko lai sāk.”

Kibernoziedznieka uzbrukuma process parasti sastāv no divām daļām: sākotnējās piekļuves iegūšana tīklam, bieži vien pikšķerējot vai izmantojot ievainojamības, kam seko izspiedējprogrammatūras izvietošana, lai šifrētu kritiskas sistēmas un datus. Šo taktiku attīstība, tostarp likumīgu rīku izmantošana un RaaS izplatīšanās, ir padarījusi uzbrukumus pieejamākus un biežākus.

Izspiedējprogrammatūras uzbrukuma sākotnējais posms: piekļuves iegūšana veselības aprūpes tīklam

Džeks Mots (Jack Mott), kurš iepriekš vadīja Microsoft komandu, kas bija orientēta uz uzņēmuma e-pasta draudu informācijas un atklāšanas inženieriju, norāda, ka “e-pasts ir viens no lielākajiem ļaunprogrammatūras un pikšķerēšanas uzbrukumu piegādes vektoriem izspiedējprogrammatūras uzbrukumu ietvaros.”16

Microsoft draudu informācijas analīzē par 13 slimnīcu (tostarp lauku slimnīcu) sistēmām, kas pārstāv vairākas operācijas, 93% no novērotajām ļaunprātīgajām kiberdarbībām bija saistītas ar pikšķerēšanas kampaņām un izspiedējprogrammatūru, kur lielāko daļu darbību veidoja uz e-pastu balstīti apdraudējumi.17
"E-pasts ir viens no lielākajiem ļaunprogrammatūras un pikšķerēšanas uzbrukumu piegādes vektoriem izspiedējprogrammatūras uzbrukumu ietvaros."
Džeks Mots 
Microsoft draudu informācija

Pret veselības aprūpes organizācijām vērstās kampaņās bieži vien tiek izmantoti ļoti specifiski paņēmieni. Mots izceļ veidu, kā draudu izpildītāji veido e-pasta ziņojumus, izmantojot veselības aprūpes nozarei raksturīgu žargonu, piemēram, atsauces uz līķa sekciju ziņojumiem, lai palielinātu ticamību un rezultatīvi apkrāptu veselības aprūpes speciālistus. 

Šāda veida sociālās inženierijas taktika, jo īpaši augsta spiediena vidēs, piemēram, veselības aprūpē, izmanto steidzamību, ko bieži izjūt veselības aprūpes darbinieki, izraisot iespējamus trūkumus drošības jomā. 

Mots arī norāda, ka uzbrucēju metodes kļūst aizvien sarežģītākas, bieži izmantojot "reālus nosaukumus, likumīgus pakalpojumus un IT nodaļās bieži lietotus rīkus (piemēram, attālās pārvaldības rīkus)", lai izvairītos no atklāšanas. Šādu taktiku dēļ drošības sistēmām ir grūti nošķirt ļaunprātīgu un likumīgu darbību. 

Microsoft draudu informācijas dati liecina arī par to, ka uzbrucēji bieži izmanto zināmas, pagātnē noteiktas ievainojamības organizācijas programmatūrā vai sistēmās. Šīs izplatītākās ievainojamības un riskantums (CVE) ir labi dokumentēts, tam ir pieejami ielāpi vai labojumi, un uzbrucēji bieži izvēlas šīs vecākās ievainojamības par mērķi, jo zina, ka daudzas organizācijas vēl nav novērsušas šīs nepilnības.18 

Pēc sākotnējās piekļuves iegūšanas uzbrucēji bieži veic tīkla izlūkošanu, ko var identificēt, piemēram, pēc neparastas skenēšanas darbības. Šīs darbības palīdz draudu izpildītājiem kartēt tīklu, identificēt kritiskas sistēmas un sagatavoties nākamajai uzbrukuma fāzei: izspiedējprogrammatūras izvietošanai.

Izspiedējprogrammatūras uzbrukuma nobeiguma posms: izspiedējprogrammatūras izvietošana, lai šifrētu kritiskas sistēmas

Kad ir iegūta sākotnējā piekļuve, parasti izmantojot pikšķerēšanu vai ļaunprogrammatūru, kas piegādāta pa e-pastu, draudu izpildītāji pāriet pie otrās fāzes — izspiedējprogrammatūras izvietošanas.

Džeks Mots skaidro, ka RaaS modeļu izplatība ir būtiski veicinājusi biežākus izspiedējprogrammatūras uzbrukumus veselības aprūpes nozarē. "RaaS platformas ir demokratizējušas piekļuvi sarežģītiem izspiedējprogrammatūras rīkiem, ļaujot pat personām ar minimālām tehniskām prasmēm īstenot augstas efektivitātes uzbrukumus," norāda Mots. Šis modelis pazemina uzbrucēju iekļūšanas barjeru, padarot izspiedējprogrammatūras uzbrukumus pieejamākus un efektīvākus.
“RaaS platformas ir demokratizējušas piekļuvi sarežģītiem izspiedējprogrammatūras rīkiem, ļaujot pat personām ar minimālām tehniskām prasmēm īstenot augstas efektivitātes uzbrukumus.” 
Džeks Mots 
Microsoft draudu informācija

Mots turpmāk izklāsta, kā darbojas RaaS, apgalvojot, ka "šīs platformas bieži vien ietver visaptverošus rīkus komplektus, tostarp šifrēšanas programmatūru, maksājumu apstrādi un pat klientu apkalpošanas dienestu izpirkuma maksu apspriešanai. Šāda darbgatava pieeja ļauj plašākam draudu izpildītāju lokam īstenot izspiedējprogrammatūras kampaņas, izraisot uzbrukumu skaita un nozīmīguma pieaugumu."

Turklāt Mots norāda uz šo uzbrukumu koordinēto raksturu, uzsverot, ka "pēc izspiedējprogrammatūras izvietošanas uzbrucēji parasti darbojas ātri, lai šifrētu kritiskas sistēmas un datus — bieži vien tas notiek dažu stundu laikā. Viņu mērķis ir svarīga infrastruktūra, piemēram, pacientu reģistri, diagnostikas sistēmas un pat norēķinu operācijas, lai maksimizētu ietekmi un piespiestu veselības aprūpes organizācijas samaksāt izpirkuma maksu."

Izspiedējprogrammatūras uzbrukumi veselības aprūpes nozarē: lielāko draudu izpildītāju grupējumu profils

Izspiedējprogrammatūras uzbrukumus veselības aprūpes nozarē bieži vien veic labi organizēti un specializēti draudu izpildītāju grupējumi. Šie grupējumi, kas ietver gan finansiāli motivētus kibernoziedzniekus, gan izsmalcinātas valsts draudu izpildorganizācijas, izmanto uzlabotus rīkus un stratēģijas, lai iefiltrētos tīklos, šifrētu datus un pieprasītu no organizācijām izpirkuma maksas.

Tiek ziņots, ka starp šiem draudu izpildītājiem ir valdības sponsorēti hakeri no autoritārām valstīm, kuri spiegošanas nolūkos ir izmantojuši izspiedējprogrammatūru un pat sadarbojušies ar izspiedējprogrammatūras grupējumiem. Piemēram, Ķīnas valdības draudu izpildītāji tiek turēti aizdomās par arvien biežāku izspiedējprogrammatūras izmantošanu kā aizsegu spiegošanas darbībām.19

Šķiet, ka 2024. gadā veselības aprūpes organizācijas visbiežāk par mērķi izvēlas Irānas draudu izpildītāji.20 Faktiski 2024. gada augustā ASV valdība izdeva brīdinājumu veselības nozarei par Irānā esošu draudu izpildītāju, kas ir pazīstams kā “Lemon Sandstorm”. Šis grupējums “izmantoja nesankcionētu tīkla piekļuvi ASV organizācijām, tostarp veselības aprūpes organizācijām, lai acīmredzami ar Krieviju saistītiem izspiedējprogrammatūras grupējumiem sekmētu izspiedējprogrammatūras uzbrukumus nākotnē, īstenotu tos, kā arī gūtu no tiem peļņu.”21

Tālāk esošie profili sniedz ieskatu par dažiem bēdīgi slavenākajiem finansiāli motivētajiem izspiedējprogrammatūras grupējumiem, kuru mērķis ir veselības aprūpes nozare, detalizēti izklāstot to metodes, motivāciju un darbību ietekmi uz nozari.
  • Lace Tempest ir produktīvs izspiedējprogrammatūras grupējums, kura mērķis ir veselības aprūpes nozare. Izmantojot RaaS modeli, tas nodrošina iespēju saistītajiem partneriem viegli izvietot izspiedējprogrammatūru. Grupējums ir saistīts ar iedarbīgiem uzbrukumiem slimnīcu sistēmām, šifrējot kritiskus pacientu datus un pieprasot izpirkumu. Šis grupējums ir pazīstams ar divkāršas izspiešanas shēmu, un ne tikai šifrē datus, bet arī eksfiltrē tos, draudot nopludināt sensitīvu informāciju, ja izpirkuma maksa netiks samaksāta.
  • Grupējums Sangria Tempest ir bēdīgi slavens ar progresīviem izspiedējprogrammatūras uzbrukumiem veselības aprūpes organizācijām. Izmantojot sarežģītu šifrēšanu, tas padara datu atkopšanu gandrīz neiespējamu, nesamaksājot izpirkuma maksu. Arī šis grupējums īsteno divkāršas izspiešanas shēmu, eksfiltrējot pacientu datus un draudot tos nopludināt. Tā uzbrukumi izraisa plašus darbības traucējumus, liekot veselības aprūpes sistēmām novirzīt resursus, kas negatīvi ietekmē pacientu aprūpi.
  • Grupējums Cadenza Tempest ir pazīstams ar izplatītiem pakalpojumatteices (DDoS) uzbrukumiem un tas aizvien biežāk pievēršas izspiedējprogrammatūras operācijām veselības aprūpes nozarē. Šis grupējums tiek identificēts kā prokrieviska haktīvistu grupa, kas mērķē uz veselības aprūpes sistēmām Krievijas interesēm naidīgos reģionos. Tās uzbrukumi pārslogo slimnīcu sistēmas, traucējot kritiskas operācijas un radot haosu, jo īpaši apvienojumā ar izspiedējprogrammatūras kampaņām.
  • Finansiāli motivēts grupējums Vanilla Tempest, kas darbojas kopš 2022. gada jūlija, pēdējā laikā ir sācis izmantot ar RaaS nodrošinātāju starpniecību iegūtu INC izspiedējprogrammatūru, lai mērķētu uz ASV veselības aprūpes nozari. Šis grupējums izmanto ievainojamības, pielāgotus skriptus, kā arī gūst labumu no standarta Windows rīkiem, lai nozagtu akreditācijas datus, pārvietotos laterāli un izvietotu izspiedējprogrammatūru. Tas arī īsteno divkāršas izspiešanas shēmu, pieprasot izpirkumu, lai atbloķētu sistēmas un novērstu nozagto datu atklāšanu.

Saskaroties ar arvien sarežģītākiem izspiedējprogrammatūras uzbrukumiem, veselības aprūpes organizācijām ir jāīsteno daudzšķautņaina pieeja kiberdrošībai. Tām ir jābūt gatavām izturēt kiberincidentus, reaģēt uz tiem un atkopties no tiem, nepārtraucot pacientu aprūpi.

Tālāk esošās norādes sniedz visaptverošu struktūru noturības uzlabošanai, ātras atkopšanas nodrošināšanai, uz drošību orientēta darbaspēka sekmēšanai un sadarbības veicināšanai veselības aprūpes nozarē.

Pārvaldība: sagatavotības un noturības nodrošināšana

Ēka ar daudziem logiem; virs tās ir zilas, mākoņainas debesis

Efektīva pārvaldība veselības aprūpes kiberdrošībā ir būtiska, lai sagatavotos izspiedējprogrammatūras uzbrukumiem un reaģētu uz tiem. Damefs un Talijs no Kalifornijas Universitātes Veselības aprūpes kiberdrošības Sandjego centra iesaka ieviest stabilu pārvaldības struktūru ar skaidrām lomām, regulāru apmācību un starpnozaru sadarbību. Tas palīdz veselības aprūpes organizācijām uzlabot to noturību pret izspiedējprogrammatūras uzbrukumiem un nodrošināt nepārtrauktu pacientu aprūpi, pat saskaroties ar nozīmīgiem traucējumiem.

Šīs struktūras galvenais aspekts ietver izolētības mazināšanu starp slimnīcu darbiniekiem, IT drošības komandām un neatliekamās palīdzības pārvaldības speciālistiem, lai izstrādātu vienotus plānus atbildei uz incidentiem. Šī starpnodaļu sadarbība ir ārkārtīgi svarīga pacientu drošības un aprūpes kvalitātes uzturēšanai, kad tehnoloģiju sistēmas ir apdraudētas.

Damefs un Talijs uzsver arī nepieciešamību pēc īpašas pārvaldības struktūras vai padomes, kas regulāri satiekas, lai pārskatītu un atjauninātu plānus atbildei uz incidentiem. Viņi iesaka sniegt šīm pārvaldības struktūrām iespēju testēt plānus atbildei uz incidentiem ar reālu simulāciju un apmācību palīdzību, nodrošinot, ka visi darbinieki, tostarp jaunākie ārsti, kuri var nezināt par papīra reģistriem, ir sagatavoti efektīvi darboties bez digitāliem rīkiem.

Turklāt Damefs un Talijs uzsver ārējās sadarbības nozīmi. Viņi iestājas par reģionālām un nacionālām struktūrām, kas ļauj slimnīcām atbalstīt vienai otru plaša mēroga incidentu laikā, atsaucoties uz vajadzību pēc "stratēģiska nacionāla tehnoloģiju krājuma", kas var īslaicīgi aizstāt apdraudētās sistēmas.

Noturība un stratēģiska reaģēšana

Noturība veselības aprūpes kiberdrošībā nenozīmē vien datu aizsardzību — tā ietver visu sistēmu spēju izturēt uzbrukumus un atkopties no tiem. Ir svarīga visaptveroša pieeja noturībai, koncentrējoties ne tikai uz pacientu datu aizsardzību, bet arī uz visas infrastruktūras stiprināšanu, kas atbalsta veselības aprūpes darbības. Tas ietver veselu sistēmu — tīklu, piegādes ķēdi, medicīnas ierīces un daudz ko citu.

Rūpējoties par daudzlīmeņu drošības stāvokli, ir būtiski īstenot padziļinātas aizsardzības stratēģiju, kas var efektīvi novērst izspiedējprogrammatūras uzbrukumus.

Rūpējoties par daudzlīmeņu drošības stāvokli, ir būtiski īstenot padziļinātas aizsardzības stratēģiju, kas var efektīvi novērst izspiedējprogrammatūras uzbrukumus. Šāda stratēģija ietver katra veselības aprūpes infrastruktūras līmeņa aizsardzību — no tīkla līdz galapunktiem mākonī. Nodrošinot vairāku aizsardzības līmeņu ieviešanu, veselības aprūpes organizācijas var samazināt sekmīga izspiedējprogrammatūras uzbrukuma risku.

Īstenojot šo daudzlīmeņu pieeju Microsoft klientiem, Microsoft draudu informācijas komandas aktīvi pārrauga ļaundaru darbības. Tiklīdz tiek noteiktas šādas darbības, tiek sniegts tiešs paziņojums.

Tas nav maksas vai augstāka līmeņa pakalpojums — visu lielumu uzņēmumi saņem vienādu uzmanību. Mērķis ir nekavējoties brīdināt, kad tiek noteikti iespējami apdraudējumi, tostarp izspiedējprogrammatūra, un palīdzēt veikt darbības organizācijas aizsardzībai.

Papildus šo aizsardzības slāņu ieviešanai ir būtiski izstrādāt efektīvu plānu atbildei uz incidentiem un to noteikšanai. Ar plāna esamību nepietiek — veselības aprūpes organizācijām ir jābūt gatavām to efektīvi īstenot faktiska uzbrukuma laikā, lai minimizētu bojājumus un nodrošinātu ātru atkopšanu.

Visbeidzot, nepārtraukta pārraudzība un reāllaika noteikšanas iespējas ir būtiski komponenti stabilā struktūrā atbildei uz incidentiem, nodrošinot, ka potenciālos apdraudējumus var nekavējoties identificēt un novērst.

Plašākai informācijai par kibernoturību veselības aprūpes nozarē Veselības un labklājības departaments publicēja brīvprātīgus uz veselības aprūpi attiecināmus Kiberdrošības veiktspējas mērķus (CPG), lai palīdzētu veselības aprūpes organizācijām par prioritāti noteikt iedarbīgu kiberdrošības prakšu ieviešanu.

CPG, kas veidoti publiskā/privātā sektora savstarpējas sadarbības procesā, izmantojot kopīgas nozares kiberdrošības struktūras, vadlīnijas, paraugprakses un stratēģijas, ietver kiberdrošības prakšu apakškopu, ko veselības aprūpes organizācijas var izmantot, lai stiprinātu sagatavotību kibervidē, uzlabotu kibernoturību un aizsargātu pacientu veselības informāciju un drošību.

Norādes ātrai darbības atjaunošanai un drošības stiprināšanai pēc uzbrukuma

Lai atkoptos no izspiedējprogrammatūras uzbrukuma, ir nepieciešama sistemātiska pieeja, nodrošinot ātru atgriešanos pie normālām darbībām un vienlaikus novēršot incidentus nākotnē. Tālāk ir izklāstītas praktiskas darbības, lai palīdzētu novērtēt bojājumus, atjaunotu ietekmētās sistēmas un stiprinātu drošības pasākumus. Ievērojot šīs vadlīnijas, veselības aprūpes organizācijas var palīdzēt mazināt uzbrukuma ietekmi un stiprināt savu aizsardzību pret apdraudējumiem nākotnē.
Ietekmes novērtēšana un uzbrukuma apturēšana

Nekavējoties izolējiet skartās sistēmas, lai novērstu turpmāku izplatību.
Atjaunošana no pārbaudītiem dublējumiem

Pirms atjaunošanas darbībām nodrošiniet, ka ir pieejami tīri un pārbaudīti dublējumi. Uzturiet bezsaistes dublējumus, lai izvairītos no izspiedējprogrammatūras šifrēšanas.
Sistēmu pārveide

Apsveriet iespēju pārveidot apdraudētās sistēmas, nevis tās ielāpot, lai novērstu jebkādu iekļuvušu ļaunprogrammatūru. Izmantojiet pakalpojuma Microsoft atbilde uz incidentu komandas norādes par sistēmu drošu pārveidi. 
Drošības vadīklu stiprināšana pēc uzbrukuma

Stipriniet drošības stāvokli pēc uzbrukuma, novēršot ievainojamības, ielāpojot sistēmas un uzlabojot galapunktu atklāšanas rīkus.
Pārskatīšanas veikšana pēc incidenta

Sadarbojoties ar ārēju drošības pakalpojumu sniedzēju, analizējiet uzbrukumu, lai noteiktu vājos punktus un uzlabotu aizsardzību turpmāku incidentu gadījumā.

Uz drošību orientēta darbaspēka izveide

Vīrietis un sieviete skatās sievietes sejā.

Uz drošību orientēta darbaspēka izveidei nepieciešama nepārtraukta sadarbība starp nozarēm.

Uz drošību orientēta darbaspēka izveidei nepieciešama nepārtraukta sadarbība starp nozarēm. Ir svarīgi mazināt izolētību starp IT drošības komandām, neatliekamās palīdzības vadītājiem un slimnīcu darbiniekiem, lai izstrādātu vienotus plānus atbildei uz incidentiem. Bez šīs sadarbības pārējā slimnīcas daļa var nebūt pietiekami labi sagatavota efektīvai reaģēšanai kiberindicenta laikā.

Izglītošana un informētība

Efektīva apmācība un stingra ziņošanas kultūra ir būtiski komponenti veselības aprūpes organizāciju aizsardzībā pret izspiedējprogrammatūru. Ņemot vērā, ka veselības aprūpes speciālistu prioritāte bieži vien ir pacientu aprūpe, viņi ne vienmēr var būt piesardzīgi attiecībā uz kiberdrošību, kas var padarīt viņus mazāk aizsargātus pret kiberapdraudējumiem.

Lai novērstu šo problēmu, pastāvīgā apmācībā ir jāietver kiberdrošības pamatinformācija, piemēram, informācija par pikšķerēšanas e-pasta ziņojumu noteikšanu, neklikšķināšanu uz aizdomīgām saitēm un vispārējas sociālās inženierijas atpazīšanu.

Šajā sakarā var palīdzēt Microsoft Kiberdrošības apzināšanās resursi.

"Visa pamatā ir personāls, kurš aicina ziņot par drošības problēmām, neradot bailes no atbildības," skaidro Mots no Microsoft. "Jo agrāk varat par kaut ko ziņot, jo labāk. Labākajā gadījumā tas nav nekas ļaunprātīgs."

Arī regulārām apmācībām un simulācijām vajadzētu imitēt reālus uzbrukumus, piemēram, pikšķerēšanu vai izspiedējprogrammatūru, palīdzot darbiniekiem praktizēt savu reakciju kontrolētā vidē.

Informācijas kopīgošana, sadarbība un kopīga aizsardzība

Kopumā izspiedējprogrammatūras uzbrukumi notiek arvien biežāk (Microsoft novēro 2,75 reižu pieaugumu ik gadu mūsu klientu vidū16), tāpēc kopīgai aizsardzības stratēģijai ir liela nozīme. Sadarbība starp iekšējām komandām, reģionālajiem partneriem un plašākiem valsts/globālajiem tīkliem ir būtiska veselības aprūpes operāciju un pacientu drošības aizsardzībā.

Šo grupu apvienošana, lai izstrādātu un ieviestu visaptverošus plānus atbildei uz incidentiem, var novērst darbības haosu uzbrukumu laikā.

Damefs un Talijs uzsver iekšējo komandu, piemēram, ārstu, neatliekamās palīdzības vadītāju un IT drošības speciālistu, kuri bieži strādā nošķirti, apvienošanas nozīmi. Šo grupu apvienošana, lai izstrādātu un ieviestu visaptverošus plānus atbildei uz incidentiem, var novērst darbības haosu uzbrukumu laikā.

Reģionālā līmenī veselības aprūpes organizācijām vajadzētu veicināt partnerības, kas ļauj veselības aprūpes iestādēm dalīt noslodzi un koplietot resursus, nodrošinot, ka pacientu aprūpe netiek pārtraukta pat tad, ja daļu slimnīcu ietekmē izspiedējprogrammatūra. Šī kopīgās aizsardzības forma var arī palīdzēt pārvaldīt pārmērīgu pacientu daudzumu un sadalīt slogu starp veselības aprūpes pakalpojumu sniedzējiem.

Papildu reģionālajai sadarbībai īpašs aspekts ir valsts un globālie informācijas koplietošanas tīkli. ISAC (informācijas koplietošanas un analīzes centri), piemēram, Health-ISAC, kalpo kā platformas, kur veselības aprūpes organizācijas var apmainīties ar svarīgu draudu informāciju. Erols Vaiss (Errol Weiss), Health-ISAC galvenais drošības speciālists, salīdzina šīs organizācijas ar "virtuālām kaimiņu vērošanas programmām", kur dalīborganizācijas var ātri kopīgot detalizētu informāciju par uzbrukumiem un pārbaudītām to novēršanās tehnikām. Šī informācijas kopīgošana palīdz citiem sagatavoties līdzīgiem apdraudējumiem vai novērst tos, stiprinot kopīgu aizsardzību lielākā mērogā.

  1. [1]
    Microsoft iekšējie draudu informācijas dati, 2024. gada 2. ceturksnis
  2. [2]
    (Executive Summary for CISOs: Current and Emerging Healthcare Cyber Threat Landscape; Health-ISAC un Amerikas Slimnīcu apvienība (AHA))  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    TRANSCRIPT: House Committee Hearing to Assess Microsoft’s Cybersecurity Shortfalls,” Tech Policy Press, 2024. gada 15. jūnijs
  4. [4]
    On average, healthcare organizations lose USD$900,000 per day to downtime from ransomware attacks,” Comparitech, 2024. gada 6. marts
  5. [5]
    Healthcare Ransomware Attacks Continue to Increase in Number and Severity,” The HIPAA Journal, 2024. gada septembris
  6. [6]
    Hacked to Pieces? The Effects of Ransomware Attacks on Hospitals and Patients;  https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    Ransomware Attack Associated With Disruptions at Adjacent Emergency Departments in the US; Ransomware Attack Associated With Disruptions at Adjacent Emergency Departments in the US | Emergency Medicine | JAMA Network Open | JAMA Network
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    Ascension Ransomware Attack Hurts Financial Recovery,” The HIPPA Journal, 2024. gada 20. septembris
  10. [10]
    Patient Data Exposed in Phishing Attack on UC San Diego Health,” The HIPPA Journal,  2024. gada 13. marts
  11. [11]
    Ransomware Attack Key Factor in Decision to Close Rural Illinois Hospital,” The HIPPA Journal, 2023. gada 14. jūnijs
  12. [12]
    Healthcare Ransomware Attacks Continue to Increase in Number and Severity,” The HIPAA Journal, 2024. gada septembris
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    There were more hospital mergers in 2023, and financial distress is driving more deals (chiefhealthcareexecutive.com)
  15. [15]
    Interoperability and Methods of Exchange among Hospitals in 2021 | HealthIT.gov
  16. [16]
    2024. gada Microsoft digitālās aizsardzības pārskats, Microsoft, 27. lpp
  17. [17]
    Microsoft draudu informācijas telemetrija, 2024. gads
  18. [18]
    Known Exploited Vulnerabilities Catalog,” CISA, 2024. gads
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    Microsoft draudu informācijas dati par veselības aprūpes nozares kiberapdraudējumiem, 2024. gads
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
Izspiedējprogrammatūra Kibernoziegums

Vairāk par drošību

Kibernoturības higiēnas rokasgrāmata

Kiberhigiēnas pamatpasākumi joprojām ir labākais veids, kā pasargāt organizācijas identitātes, ierīces, datus, programmas, infrastruktūru un tīklus no 98% visu kiberdraudu. Atklājiet praktiskus padomus visaptverošā ceļvedī.
Papildinformācija

Cīņā pret hakeriem, kas kavēja slimnīcu darbu un apdraudēja dzīvības

Uzziniet par jaunākajiem apdraudējumiem no Microsoft apdraudējumu datiem un pētījumiem. Iegūstiet tendenču analīzi un norādes jūsu pirmās aizsardzības līnijas stiprināšanai.
Papildinformācija

Sociālās inženierijas krāpniecība, kas balstās uz uzticamu ekonomiku

Izpētiet mainīgo digitālo vidi, kur uzticēšanās ir gan “valūta”, gan ievainojamība. Atklājiet sociālās inženierijas krāpniecības taktiku, kuru kiberuzbrucēji izmanto visbiežāk, un pārskatiet stratēģijas, kas var jums palīdzēt identificēt un pārspēt sociālās inženierijas apdraudējumus, kas radīti, lai manipulētu ar cilvēka dabu.
Papildinformācija

Sekot Microsoft drošībai