Trace Id is missing

Sistemul de sănătate din Statele Unite este supus riscului: Consolidarea rezilienței împotriva atacurilor cu ransomware

Distribuiți
Un grup de profesioniști din domeniul medical se uită la o tabletă

Sectorul serviciilor medicale se confruntă cu o gamă din ce în ce mai largă de amenințări de securitate cibernetică, iar atacurile cu ransomware sunt printre cele mai semnificative amenințări. Combinația dintre datele valoroase ale pacienților, dispozitivele medicale interconectate și personalul redus dedicat operațiunilor de securitate cibernetică sau tehnologia informației, cu resurse limitate, poate face din organizațiile medicale o țintă principală pentru actorii de amenințare. Pe măsură ce operațiunile medicale devin din ce în ce mai digitalizate, de la înregistrări medicale electronice la platforme de telemedicină și dispozitive medicale în rețea, suprafața de atac a spitalelor devine tot mai complexă, crescând vulnerabilitatea în fața atacurilor.

Secțiunile ce urmează oferă o prezentare generală a peisajului actual în materie de securitate cibernetică în serviciile medicale, evidențiind poziția acestui sector de activitate ca țintă principală, frecvența crescândă a atacurilor cu ransomware și consecințele grave pe care le au aceste amenințări, atât la nivel financiar, cât și în ceea ce privește îngrijirea pacienților.

O discuție video condusă de Sherrod DeGrippo, Director de strategie în investigarea amenințărilor pentru Microsoft, explorează mai amănunțit aceste probleme esențiale, oferind detalii de la experți cu privire la actorii de amenințare, strategiile de recuperare și vulnerabilitățile serviciilor medicale.

Informare de la Investigarea amenințărilor Microsoft: Servicii medicale

Sherrod DeGrippo, Director de strategie în investigarea amenințărilor pentru Microsoft, poartă o discuție dinamică cu experți în investigarea amenințărilor și securitatea serviciilor medicale, care examinează ce anume face ca serviciile medicale să fie susceptibile în mod deosebit la atacurile cu ransomware, ce tactici utilizează grupurile actorilor de amenințare, cum să vă mențineți reziliența și multe altele.
  • Conform centrului pentru Investigarea amenințărilor Microsoft, sectorul de servicii medicale/sănătate publică a fost în Top 10 cele mai afectate domenii în al doilea trimestru din 2024.1
  • Ransomware-ul ca serviciu (RaaS) a coborât bariera la intrare pentru atacatorii fără expertiză tehnică, în timp ce Rusia oferă un adăpost sigur pentru grupurile ransomware. Drept urmare, atacurile cu ransomware au crescut cu 300% față de 2015.2
  • În acest an fiscal, 389 de instituții medicale din S.U.A. au fost lovite de ransomware, ceea ce a dus la oprirea rețelelor, sisteme offline, întârzieri ale procedurile medicale urgente și programări replanificate3. Atacurile sunt costisitoare, un raport din domeniu indicând că organizațiile medicale pierd până la 900.000 USD în fiecare zi doar pentru inactivitate.4
  • Dintre cele 99 de organizații medicale care au recunoscut că au plătit răscumpărarea și au dezvăluit suma plătită, plata mediană a fost de 1,5 milioane USD, iar plata medie de 4,4 milioane USD.5

Impact grav asupra îngrijirii pacienților

Perturbarea funcționării serviciilor medicale provocată de un atac cu ransomware poate să afecteze grav capacitatea de a trata pacienții cum trebuie, iar asta nu doar la spitalele afectate, ci și la cele din apropriere, care preiau pacienții din departamentele de urgență afectate.6

Să ne uităm pe descoperirile unui studiu recent care arată cum un atac cu ransomware împotriva a patru spitale (două atacate și două neafectate) a dus la un număr crescut al pacienților la Urgențe, timpi de așteptare mai mari și o presiune suplimentară pe resurse, mai ales în ceea ce privește îngrijirile urgente cum ar fi tratarea unui atac cerebral, în două spitale învecinate neafectate.7
Creșterea numărului de atacuri cerebrale: Atacul ransomware a pus o presiune considerabilă pe ecosistemul de sănătate în ansamblu, întrucât spitalele neafectate au trebuit să preia pacienții de la cele afectate. Activările codului de atac cerebral la spitalele din apropiere aproape că s-a dublat, de la 59 la 103, în timp ce atacurile cerebrale confirmate au crescut cu 113,6%, de la 22 la 47 de cazuri.
Creșterea numărului de stopuri cardiace: Atacul a suprasolicitat sistemul de sănătate, iar cazurile de stop cardiac la spitalul neafectat au crescut cu 81%, de la 21 la 38. Acest lucru reflectă impactul în cascadă al compromiterii unei unități, forțând spitalele din zonă să trateze mai multe urgențe.
Scăderea ratei de supraviețuire cu evoluție neurologică favorabilă: Rata de supraviețuire pentru stopurile cardiace extraspitalicești cu evoluție neurologică favorabilă a scăzut drastic pentru spitalele neafectate pe durata atacului, de la 40% înaintea atacului la 4,5% în faza de atac.
Creșterea numărului de ambulanțe sosite: În timpul fazei de atac, s-a înregistrat o creștere cu 35,2% a volumului de la Primiri urgențe la spitalele „neafectate”, ceea ce sugerează o deviere semnificativă a traficului ambulanțelor din cauza perturbărilor induse de ransomware la spitalele afectate.
Creșterea numărului de pacienți: Întrucât atacul a compromis patru spitale din aceeași zonă (două atacate și două neafectate), departamentele de urgențe de la spitalele neafectate s-au confruntat cu un număr considerabil de pacienți. Numărul înregistrărilor zilnice la aceste spitale neafectate a crescut cu 15,1% în timpul fazei de atac în comparație cu perioada dinaintea atacului.
Perturbări suplimentare ale îngrijirii medicale: În timpul atacurilor, un număr semnificativ mai mare de pacienți au părăsit spitalele neafectate fără să fie consultați, iar timpii din sala de așteptare și durata totală de internare au crescut. De exemplu, timpul de așteptare median a crescut de la 21 de minute înaintea atacului la 31 de minute în timpul acestuia.

Studii de caz despre ransomware

Atacurile cu ransomware asupra serviciilor medicale pot avea consecințe devastatoare, nu numai pentru organizațiile vizate, ci și pentru îngrijirea pacienților și stabilitatea operațională. Următoarele studii de caz ilustrează efectele vaste pe care le are ransomware-ul asupra diferitelor tipuri de organizații medicale, de la sisteme de spitale mari la furnizori mici din zonele rurale, evidențiind diverse moduri prin care atacatorii se infiltrează în rețele și perturbările la care duc în serviciile medicale esențiale.
  • Atacatorii au utilizat informații de conectare compromise pentru a accesa rețeaua prin intermediul unui gateway de acces la distanță vulnerabil fără autentificare multifactor. Au criptat infrastructura critică și au extras date confidențiale într-o schemă de extorcare dublă, amenințând că le publică dacă nu se plătește o răscumpărare.

    Impact:     Atacul a determinat întreruperi, împiedicând 80% dintre farmacii și furnizori de servicii medicale să verifice asigurări sau să proceseze cereri. 
  • Atacatorii au exploatat o vulnerabilitate din software-ul moștenit fără corecții al spitalului și s-au deplasat lateral pentru a compromite programările pacienților și dosarele medicale. Utilizând tactica extorcării duble, au extras date confidențiale și au amenințat că le vor publica dacă nu se plătește răscumpărarea.

    Impact: Atacul a întrerupt operațiuni, a dus la programări anulate, a întârziat operații și a determinat trecerea la procese manuale, solicitând în plus personalul și întârziind îngrijirile. 
  • Atacatorii au folosit e-mailuri de phishing pentru a accesa rețeaua spitalului și au exploatat vulnerabilitățile fără corecții pentru a implementa ransomware, criptând sistemele de înregistrare medicală electronică și pentru îngrijirea pacienților. Folosind tactica extorcării duble, au extras date confidențiale, atât financiare cât și despre pacienți, amenințând că le vor divulga dacă nu se plătește răscumpărarea. 

    Impact:     Atacul a perturbat activitatea din patru spitale și peste 30 de clinici, întârziind tratamentele, redirecționând urgențele și ridicând probleme privind expunerea datelor. 
  • În februarie 2021, un atac cu ransomware a paralizat sistemele unui spital rural cu 44 de paturi, ceea ce a impus trei luni de operațiuni manuale și a întârziat considerabil solicitările de plată a asigurărilor.

    Impact:     Incapacitatea spitalului de a colecta plățile la timp a dus la dificultăți financiare, lăsând comunitatea rurală locală fără servicii medicale esențiale. 

Sectorul serviciilor medicale din Statele Unite reprezintă o țintă atractivă pentru infractorii cibernetici motivați financiar, din cauza suprafeței sale de atac extinse, a sistemelor moștenite și a protocoalelor de securitate contradictorii. Combinația dintre dependența serviciilor medicale de tehnologiile digitale, datele sale confidențiale și resursele limitate de care dispun multe organizații, deseori din cauza unor marje de profit foarte scăzute, le poate limita capacitatea de a investi complet în securitatea cibernetică, ceea ce le face extrem de vulnerabile. În plus, organizațiile medicale pun pe primul loc îngrijirea pacienților indiferent de cost, ceea ce poate duce la disponibilitatea de a plăti răscumpărări pentru a evita perturbarea activității.

Reputația de plătitor al răscumpărărilor

Unul dintre motivele pentru care ransomware-ul a devenit o problemă atât de acută pentru serviciile medicale îl reprezintă antecedentele acestui sector de activitate privind plata răscumpărărilor. Organizațiile medicale pun pe primul loc îngrijirea pacienților, iar dacă trebuie să plătească milioane de dolari pentru a evita perturbările, sunt deseori dispuse să facă acest lucru.

De fapt, conform unui raport recent pe baza unui sondaj în 402 organizații medicale, 67% dintre ele s-au confruntat cu un atac ransomware în ultimul an. Dintre aceste organizații, 53% au recunoscut că au plătit răscumpărări în 2024, în creștere de la 42% în 2023. Raportul evidențiază și impactul financiar, iar plata medie recunoscută pentru răscumpărare este de 4,4 milioane USD.12

Investiții și resurse de securitate limitate

O altă provocare semnificativă o reprezintă resursele și bugetele limitate pentru securitatea cibernetică din sectorul medical. Conform raportului recent Securitatea cibernetică a serviciilor medicale are nevoie de un consult13 al CSC 2.0 (un grup ce continuă munca Cyberspace Solarium Commission mandatată de Congres), "întrucât bugetele sunt mici și furnizorii trebuie să stabilească ca prioritate cheltuielile cu serviciile esențiale pentru pacienți, securitatea cibernetică este deseori subfinanțată, ceea ce face organizațiile medicale mai vulnerabile în fața atacurilor."

În ciuda gravității problemei, furnizorii de servicii medicale nu investesc suficient în securitatea cibernetică. Din cauza mai multor factori complecși, inclusiv a unui model de plată indirect care deseori duce la prioritizarea nevoilor clinice imediate în detrimentul investițiilor mai puțin vizibile, așa cum este securitatea cibernetică, serviciile medicale au investit mult prea puțin în securitatea cibernetică în ultimele două decenii.10

De asemenea, Legea privind contabilitatea și portabilitatea pentru asigurările de sănătate (HIPAA) a dus la prioritizarea investițiilor în confidențialitatea datelor, punând de multe ori disponibilitatea și integritatea datelor pe plan secund. Această abordare poate duce la un accent mai redus pe reziliența organizației, mai ales în ceea ce privește Obiectivele timpului de recuperare (RTO) și Obiectivele punctelor de recuperare (RPO).

Sisteme moștenite și vulnerabilitățile infrastructurii

Un rezultat al investițiilor insuficiente în securitatea cibernetică îl reprezintă dependența de sistemele moștenite depășite și dificil de actualizat, care au devenit ținte principale pentru exploatare. În plus, utilizarea unor tehnologii diferite creează o infrastructură cârpită, cu goluri de securitate, ceea ce crește riscul atacurilor.

Această infrastructură vulnerabilă devine și mai complexă odată cu tendința recentă de consolidare din domeniul sănătății. Fuzionarea spitalelor, care este în creștere (cu 23% față de 2022 și la cel mai mare nivel din 202014), creează organizații cu infrastructuri complexe, răspândite în mai multe locații. Fără investiții suficiente în securitatea cibernetică, aceste infrastructuri devin foarte vulnerabile în fața atacurilor.

Extinderea suprafeței de atac

Deși rețelele de dispozitive și tehnologii medicale pentru îngrijire integrată ajută la îmbunătățirea evoluției pacienților și salvează vieți, acestea au extins suprafața de atac digitală, lucru pe care actorii de amenințare îl exploatează din ce în ce mai mult.

Spitalele sunt online mai mult ca oricând, conectând la rețele dispozitive medicale critice, cum sunt cele de tomografie computerizată, sistemele de monitorizare a pacienților și pompele de perfuzie, dar fără să aibă tot timpul nivelul de vizibilitate necesar pentru identificarea și atenuarea vulnerabilităților care pot afecta serios îngrijirea pacienților.

Doctorii Christian Dameff și Jeff Tully, codirectori și cofondatori ai Centrului pentru securitate cibernetică în serviciile medicale al Universității din California, San Diego, remarcă faptul că, în medie, 70% dintre punctele finale ale unui spital nu sunt computere, ci dispozitive.   
Un salon de spital cu echipament medical, sertare albe și o perdea albastră.

De asemenea, organizațiile medicale transmit cantități mari de date. Conform datelor de la Biroul coordonatorului național pentru tehnologia informației în sănătate, peste 88% dintre spitale raportează trimiterea și obținerea informațiilor privind sănătatea pacienților în mod electronic și peste 60% raportează integrarea acelor informații în înregistrările lor medicale electronice (EHR).15

Furnizorii rurali mici întâmpină provocări unice

Spitalele rurale esențiale sunt în mod special vulnerabile în fața incidentelor cu ransomware, deoarece au mijloace deseori limitate pentru împiedicarea și remedierea riscurilor de securitate. Acest lucru poate fi de-a dreptul devastator pentru comunitatea locală, întrucât aceste spitale sunt, de cele mai multe ori, singura opțiune de servicii medicale pe întregi kilometri în comunitatea deservită.

Conform lui Dameff și Tully, spitalelor rurale nu au de obicei același nivel de expertiză sau infrastructură de securitate cibernetică ca alte spitale mai mari, din mediul urban. Tot ei observă că multe dintre planurile de continuare a activității ale acestor spitale sunt învechite sau nepotrivite pentru adresarea amenințărilor cibernetice moderne, cum este ransomware-ul.

Multe spitale mici sau rurale au constrângeri financiare semnificative, funcționând cu marje de profit foarte scăzute. Această realitate financiară le face dificilă investirea în măsuri de securitate cibernetică solide. Deseori, aceste unități se bazează pe un singur angajat în tehnologia informației, o persoană care se descurcă să rezolve problemele tehnice de zi cu zi, dar care nu are cunoștințe specializate de securitate cibernetică.

Un raport al echipei de securitate cibernetică în domeniul serviciilor medicale din Departamentul de sănătate și servicii sociale, creată ca parte a Legii securității cibernetice din 2015, menționează că o proporție însemnată a spitalelor rurale esențiale nu au niciun angajat cu normă întreagă axat pe securitatea cibernetică, subliniind provocările ample în materie de resurse cu care se confruntă micii furnizori de servicii medicale.

„Acești generaliști în tehnologia informației, deseori având doar cunoștințe de gestionare a computerelor și a rețelei, sunt obișnuiți cu probleme de genul «nu pot imprima, nu mă pot conecta, mi-am uitat parola»”, explică Dameff. „Nu sunt experți în securitate cibernetică. Nu au personalul necesar, bugetul necesar și nici măcar nu știu de unde să înceapă.”

Procesul de atac al unui infractor cibernetic urmează, de obicei, o abordare în doi pași: obținerea accesului inițial la rețea, deseori prin intermediul unor vulnerabilități de exploatare sau phishing, urmată de implementarea de ransomware pentru criptarea datelor și a sistemelor critice. Evoluția acestor tactici, inclusiv utilizarea unor instrumente legitime și proliferarea RaaS, a făcut ca atacurile mai accesibile și mai frecvente.

Faza inițială a unui atac cu ransomware: Obținerea accesului la rețeaua de servicii medicale

Jack Mott, care a condus în trecut o echipă axată pe ingineria detectării și investigarea amenințărilor prin e-mail de întreprindere la Microsoft, spune că "E-mailul rămâne unul dintre principalii vectori de livrare a atacurilor de phishing și malware pentru atacurile ransomware.”16

Într-o analiză efectuată de Investigarea amenințărilor Microsoft asupra a 13 sisteme de spitale cu multiple operațiuni, inclusiv spitale rurale, 93% din activitatea cibernetică rău intenționată a fost legată de campanii de phishing și ransomware, majoritatea activității constând în amenințări pe bază de e-mail.17
"E-mailul rămâne unul dintre principalii vectori de livrare a atacurilor de phishing și malware pentru atacurile ransomware."
Jack Mott 
Investigarea amenințărilor Microsoft

Campaniile direcționate spre organizațiile medicale utilizează deseori momeli foarte precise. În acest sens, Mott subliniază că actorii de amenințare creează mesaje de e-mail cu jargon specific serviciilor medicale, de exemplu, referiri către rapoarte de autopsii, pentru a le crește credibilitatea și a reuși să păcălească personalul medical. 

Tacticile de inginerie socială ca acestea, mai ales în medii cu presiune mare, așa cum sunt serviciile medicale, exploatează urgența simțită deseori de personalul medical, ducând la eventuale breșe de securitate. 

De asemenea, Mott menționează că atacatorii utilizează metode din ce în ce mai sofisticate, folosind adesea "nume reale, servicii legitime și instrumente utilizate în departamentele de tehnologia informației (de exemplu, instrumente de administrare)" pentru a evita detectarea. Aceste tactici îngreunează diferențierea activității legitime de cea rău intenționată de către sistemele de securitate. 

Datele de investigare a amenințărilor Microsoft arată și că atacatorii exploatează deseori vulnerabilitățile cunoscute din software-ul organizației sau sistemele care au fost identificate în trecut. Aceste Vulnerabilități și riscuri comune (CVE) sunt bine documentate, au disponibile corecții sau remedieri, iar atacatorii țintesc adesea aceste vulnerabilități vechi, pentru că știu că multe organizații nu au adresat încă aceste puncte slabe.18 

După obținerea accesului inițial, atacatorii efectuează deseori o recunoaștere a rețelei, care poate fi identificată prin indicatori precum o activitate neobișnuită de scanare. Aceste acțiuni ajută actorii de amenințare să mapeze rețeaua, să identifice sistemele critice și să se pregătească pentru următoarea fază de atac: implementarea de ransomware.

Faza finală a unui atac cu ransomware: Implementarea de ransomware pentru criptarea sistemelor critice

După ce obțin accesul inițial, de obicei prin phishing sau malware livrat pe e-mail, actorii de amenințare trec la cea de-a doua fază: implementarea ransomware-ului.

Jack Mott explică faptul că ascensiunea modelelor RaaS a contribuit semnificativ la frecvența crescută a atacurilor ransomware în sectorul serviciilor medicale. "Platformele RaaS au democratizat accesul la instrumente ransomware sofisticate, permițându-le chiar și celor cu competențe tehnice minime să lanseze atacuri foarte eficiente," precizează Mott. Acest model coboară bariera la intrare pentru atacatori, făcând atacurile cu ransomware mai accesibile și mai eficiente.
"Platformele RaaS au democratizat accesul la instrumente ransomware sofisticate, permițându-le chiar și celor cu competențe tehnice minime să lanseze atacuri foarte eficiente.” 
Jack Mott 
Investigarea amenințărilor Microsoft

Mott dezvoltă în continuare cum funcționează RaaS, precizând că "Aceste platforme deseori includ o suită cuprinzătoare de instrumente, inclusiv software de criptare și procesarea a plăților, ba chiar și servicii pentru clienți pentru negocierea plății răscumpărării. Această abordare de livrare la cheie permite unui număr mult mai mare de actori de amenințare să execute campanii cu ransomware, ceea ce duce la o creștere a numărului și a gravității atacurilor."

În plus, Mott evidențiază natura coordonată a acestor atacuri, subliniind că "Odată ce ransomware-ul este implementat, de obicei, atacatorii se mișcă rapid pentru a cripta datele și sistemele critice, adesea în numai câteva ore. Aceștia vizează infrastructura esențială, cum ar fi înregistrările pacienților, sistemele de diagnoză, până și operațiunile de facturare, pentru a maximiza impactul și presiunea asupra organizațiilor medicale să plătească răscumpărarea."

Atacuri cu ransomware asupra serviciilor medicale: Profilul principalelor grupuri de actori de amenințare

Atacurile cu ransomware din sectorul serviciilor medicale sunt deseori efectuate de grupuri de actori de amenințare specializate și foarte bine organizate. Aceste grupuri, care includ atât infractori cibernetici motivați financiar, cât și actori de amenințare statali sofisticați, utilizează strategii și instrumente complexe pentru a se infiltra în rețele, a cripta date și a solicita răscumpărări de la organizații.

Din rândul acestor actori de amenințare, conform rapoartelor, hackerii sponsorizați de guvernele unor națiuni autoritare au utilizat ransomware și chiar au colaborat cu grupuri de ransomware în scopuri de spionaj. De exemplu, actorii de amenințare ai guvernului chinez sunt suspectați de utilizarea ransomware-ului tot mai mult ca acoperire pentru activități de spionaj.19

Actorii de amenințare iranieni par să fie cei mai activi în ceea ce privește vizarea organizațiilor medicale în 2024.20 În august 2024, de exemplu, guvernul Statelor Unite a emis o avertizare pentru sectorul serviciilor medicale în legătură cu un actor de amenințare din Iran cunoscut ca Lemon Sandstorm. Acest grup a „valorificat accesul neautorizat la rețeaua unor organizații din Statele Unite, inclusiv organizații medicale, pentru a facilita, executa și profita de pe urma atacurilor cu ransomware viitoare de către bande de ransomware aparent afiliate Rusiei.”21

Următoarele profiluri oferă detalii despre cele mai notorii grupuri de ransomware motivate financiar care vizează serviciile medicale, detaliindu-le metodele, motivațiile și impactul activităților asupra acestui sector de activitate.
  • Lace Tempest este un grup ransomware prolific ce vizează serviciile medicale. Utilizând un model RaaS, acesta permite afiliaților să implementeze cu ușurință ransomware. Grupul este asociat unor atacuri cu impact ridicat asupra sistemelor spitalicești, cu criptarea datelor esențiale despre pacienți și solicitarea unei răscumpărări. Cunoscuți pentru extorcarea dublă, aceștia nu doar criptează datele, ci le și extrag, amenințând cu divulgarea informațiilor confidențiale dacă nu se plătește răscumpărarea.
  • Sangria Tempest este un grup notoriu pentru atacuri ransomware complexe asupra organizațiilor medicale. Folosind o criptare sofisticată, grupul face recuperarea datelor aproape imposibilă fără plata unei răscumpărări. Și actorii acestui grup folosesc extorcarea dublă, extrăgând datele pacienților și amenințând că le vor divulga. Atacurile lor provoacă perturbări operaționale de amploare, forțând sistemele medicale să devieze resursele, ceea ce are un impact negativ asupra îngrijirii pacienților.
  • Cadenza Tempest, un grup cunoscut pentru atacuri distribuite de refuzare a serviciilor (DDoS), și-a mutat tot mai mult atenția asupra operațiunilor cu ransomware în serviciile medicale. Identificat ca grup de hacktiviști pro-rus, vizează sistemele medicale din regiunile ostile intereselor Rusiei. Atacurile sale copleșesc sistemele medicale, perturbând operațiunile critice și creând haos, mai ales atunci când sunt combinate cu campanii ransomware.
  • Activ din iulie 2022, grupul motivat financiar Vanilla Tempest a început recent să folosească ransomware INC procurat prin intermediul furnizorilor RaaS pentru a viza serviciile medicale din Statele Unite. Actorii acestui grup exploatează vulnerabilități, folosesc scripturi personalizate și valorifică instrumentele Windows standard pentru furt de acreditări, deplasare laterală și implementare de ransomware. Grupul folosește și extorcarea dublă, solicitând o răscumpărare pentru a debloca sistemele și a împiedica publicarea datelor furate.

În fața atacurilor cu ransomware tot mai sofisticate, organizațiile medicale trebuie să adopte o abordare multilaterală a securității cibernetice. Acestea trebuie să fie pregătite să reziste incidentelor cibernetice, să răspundă la acestea și să se recupereze în urma lor, asigurând totodată continuitatea îngrijirii pacienților.

Următoarea îndrumare oferă un cadru de lucru cuprinzător pentru îmbunătățirea rezilienței, asigurarea unei recuperări rapide, formarea unei forțe de muncă ce pune pe primul loc securitatea și promovarea colaborării în sectorul serviciilor medicale.

Guvernanță: Asigurarea pregătirii și a rezilienței

O clădire cu multe ferestre sub cerul albastru cu nori

Guvernanța eficientă în securitatea cibernetică a serviciilor medicale este esențială în pregătirea pentru atacuri ransomware și răspunsul la acestea. Dameff și Tully de la Centrul pentru securitate cibernetică în serviciile medicale al Universității din California, San Diego, recomandă stabilirea unui cadru de guvernanță solid, cu roluri clare, instruire regulată și colaborare interdisciplinară. Astfel, organizațiile medicale își pot îmbunătăți reziliența împotriva atacurilor ransomware și pot asigura continuitatea îngrijirii pacienților, chiar și atunci când se confruntă cu perturbări semnificative.

Un aspect cheie al acestui cadru implică împărțirea silozurilor între personalul medical, echipele de securitate în tehnologia informației și profesioniștii în gestionarea urgențelor, pentru a dezvolta planuri de răspuns la incidente coerente. Această colaborare între departamente este esențială pentru menținerea siguranței pacienților și a calității îngrijirii atunci când sunt compromise sistemele tehnologice.

Dameff și Tully evidențiază și necesitatea existenței unui organ de guvernanță dedicat sau a unui consiliu care se întrunește în mod regulat pentru revizuirea și actualizarea planurilor de răspuns la incidente. Aceștia recomandă împuternicirea acestor organe de guvernanță să testeze planurile de răspuns prin exerciții și simulări realiste, asigurându-se că toți membrii personalului sunt pregătiți să funcționeze eficient fără instrumente digitale, inclusiv clinicienii mai tineri care s-ar putea să nu fie familiarizați cu înregistrările pe suport de hârtie.

În plus, Dameff și Tully subliniază importanța colaborării externe. Amândoi susțin existența unor cadre de lucru naționale și regionale care să permită spitalelor să se sprijine reciproc în timpul incidentelor pe scară largă, reiterând nevoia unei "rezerve naționale strategice" de tehnologie care poate să înlocuiască temporar sistemele compromise.

Reziliență și răspunsuri strategice

Reziliența securității cibernetice a serviciilor medicale merge dincolo de simpla protecție a datelor, până la asigurarea că întregi sisteme pot rezista atacurilor și se pot recupera în urma lor. Este esențială o abordare cuprinzătoare a rezilienței, concentrându-se nu doar pe protejarea datelor pacienților, ci și pe consolidarea întregii infrastructuri care susține operațiunile serviciilor medicale. Aceasta include întregul sistem: rețea, lanț de aprovizionare, dispozitive medicale și multe altele.

Adoptarea unei strategii de apărare în profunzime este esențială pentru crearea unei posturi de securitate stratificate, care poate combate în mod eficient atacurile cu ransomware.

Adoptarea unei strategii de apărare în profunzime este esențială pentru crearea unei posturi de securitate stratificate, care poate combate în mod eficient atacurile cu ransomware. Această strategie implică securizarea fiecărui nivel al infrastructurii serviciilor medicale, de la rețea la punctele finale și cloud. Asigurându-se că au implementate mai multe niveluri de apărare, organizațiile medicale pot reduce riscul unui atac ransomware reușit.

Ca parte a acestei abordări pe niveluri pentru clienții Microsoft, echipele de Investigare a amenințărilor Microsoft monitorizează activ comportamentul adversarilor. Atunci când se detectează o asemenea activitate, se trimite o notificare directă.

Acesta nu este un serviciu plătit sau pe niveluri – toate firmele primesc aceeași atenție, oricât de mici ar fi. Scopul este să se emită imediat o avertizare atunci când se detectează amenințări potențiale, inclusiv ransomware, și să se ofere asistență pentru luarea măsurilor de protejare a organizației.

Pe lângă implementarea acestor niveluri de apărare, este esențial să existe un plan eficient de detectare și răspuns la incidente. Nu este suficient să existe un plan; organizațiile medicale trebuie să fie pregătite și să-l execute eficient în timpul unui atac real, pentru a minimiza daunele și a asigura o recuperare rapidă.

În cele din urmă, monitorizarea continuă și capacitățile de detectare în timp real sunt componente esențiale ale unui cadru robust de răspuns la incidente, asigurându-se că amenințările potențiale pot fi identificate și adresate prompt.

Pentru informații suplimentare despre reziliența cibernetică în serviciile medicale, Departamentul de sănătate și servicii sociale (HHS) a publicat Obiective de performanță în securitatea cibernetică (CPG) specifice serviciilor medicale, neobligatorii dar recomandate, pentru a ajuta organizațiile medicale să prioritizeze implementarea practicilor de securitate cibernetică cu impact ridicat.

Create printr-un proces de parteneriat public/privat în colaborare, utilizând cadre de lucru comune pentru securitatea cibernetică, îndrumări, cele mai bune practici și strategii specifice sectorului de activitate, aceste obiective de performanță reprezintă un subset al practicilor de securitate cibernetică pe care organizațiile medicale le pot utiliza pentru a-și consolida pregătirea cibernetică, a-și îmbunătăți reziliența și a proteja siguranța și informațiile privind sănătatea pacienților.

Pași pentru restaurarea rapidă a operațiunilor și întărirea securității în urma atacului

Recuperarea în urma unui atac cu ransomware necesită o abordare sistematică pentru a asigura o revenire rapidă la funcționarea normală, prevenind totodată incidentele viitoare. Mai jos, găsiți pași practici care vă ajută să evaluați pagubele, să restaurați sistemele afectate și să întăriți măsurile de securitate. Urmând aceste îndrumări, organizațiile medicale pot reduce impactul unui atac și își pot consolida apărarea împotriva amenințărilor viitoare.
Evaluați impactul și limitați atacul

Izolați imediat sistemele afectate pentru a împiedica răspândirea.
Restaurați din copii de rezervă pe care le știți a fi bune

Asigurați-vă că sunt disponibile copii de rezervă curate și verificați-le înainte de a restaura operațiunile. Păstrați copii de rezervă offline pentru a evita criptarea cu ransomware.
Reconstruiți sistemele

Luați în calcul reconstruirea sistemelor compromise în loc să aplicați corecții, pentru a elimina orice malware potențial persistent. Utilizați îndrumarea echipei Răspuns la incidente Microsoft despre reconstruirea sistemelor în siguranță. 
Întăriți controalele de securitate în urma atacului

Consolidați postura de securitate în urma atacului, adresând vulnerabilitățile, aplicând corecții sistemelor și îmbunătățind instrumentele de detectare în puncte finale.
Efectuați o evaluare în urma incidentului

Lucrând cu un furnizor de securitate extern, analizați atacul pentru a identifica punctele slabe și a îmbunătăți apărarea pentru incidentele viitoare.

Formarea unei forțe de muncă ce pune pe primul loc securitatea

Un bărbat și o femeie uitându-se la fața unei femei.

Crearea unei forțe de muncă ce pune pe primul loc securitatea necesită o colaborare continuă între specializări.

Crearea unei forțe de muncă ce pune pe primul loc securitatea necesită o colaborare continuă între specializări. Este important să împărțiți silozurile între echipele de securitate în tehnologia informației, managerii pentru situații de urgență și personalul medical, pentru a dezvolta planuri de răspuns la incidente coerente. Fără această colaborare, restul spitalului s-ar putea să nu fie pregătit adecvat pentru a răspunde eficient în timpul unui incident cibernetic.

Educație și conștientizare

Instruirea eficientă și o cultură de raportare solidă sunt componente esențiale ale apărării unei organizații medicale împotriva ransomware-ului. Întrucât cadrele medicale pun deseori pe primul loc îngrijirea pacienților, este posibil să nu fie întotdeauna la fel de atenția la securitatea cibernetică, ceea ce le face mai vulnerabile în fața amenințărilor cibernetice.

Pentru a adresa această problemă, instruirea continuă trebuie să includă informații de bază privind securitatea cibernetică, cum ar fi depistarea e-mailurilor de phishing, evitarea clicului pe linkuri suspecte și recunoașterea tacticilor comune de inginerie socială.

Resursele Microsoft pentru Conștientizarea securității cibernetice pot ajuta în acest demers.

"Este esențială să încurajați personalul să raporteze problemele de securitate fără ca aceștia să se teamă că vor fi învinovățiți," explică Mott de la Microsoft. "Cu cât puteți raporta ceva mai curând, cu atât mai bine. În cel mai bun caz, este ceva inofensiv."

Simulările și exercițiile regulate trebuie să imite atacurile din lumea reală, cum ar fi cele de phishing sau ransomware, ajutând personalul să-și exerseze răspunsul într-un mediu controlat.

Împărtășirea informațiilor, colaborarea și apărarea colectivă

Întrucât frecvența atacurilor ransomware crește (Microsoft a observat o creștere de 2,75 ori față de anul precedent în rândul clienților noștri16), o strategie de apărare colectivă devine esențială. Colaborarea, între echipele interne, partenerii regionali și rețelele mai vaste la nivel național/global, este decisivă pentru securizarea operațiunilor serviciilor medicale și a siguranței pacienților.

Aducând laolaltă aceste grupuri pentru proiectarea și implementarea unor planuri de răspuns la incidente cuprinzătoare, se poate preveni haosul operațional din timpul atacurilor.

Dameff și Tully subliniază importanța unirii echipelor interne, adică medicii, managerii situațiilor de urgență și personalul de securitate în tehnologia informației, care adesea lucrează izolat. Aducând laolaltă aceste grupuri pentru proiectarea și implementarea unor planuri de răspuns la incidente cuprinzătoare, se poate preveni haosul operațional din timpul atacurilor.

La nivel regional, organizațiile medicale trebuie să formeze parteneriate care să permită unităților medicale să-și pună la comun capacitatea și resursele, asigurând îngrijirea continuă a pacienților chiar și atunci când unele spitale sunt afectate de ransomware. Această formă de apărare colectivă poate ajuta și la gestionarea surplusului de pacienți și la distribuirea sarcinilor între furnizorii de servicii medicale.

Dincolo de colaborarea regională, sunt esențiale rețelele de împărtășire a informațiilor la nivel național și global. Centrele de analiză și partajare a informațiilor (ISAC), așa cum este Health-ISAC, servesc drept platforme pe care organizațiile medicale să facă schimb de informații vitale privind investigarea amenințărilor. Errol Weiss, director de securitate la Health-ISAC, compară aceste organizații cu niște "programe virtuale de monitorizare a cartierelor," în care organizațiile membre pot împărtăși rapid detalii despre atacuri și tehnicile de atenuare dovedite a fi utile. Această partajare a informațiilor îi ajută pe ceilalți să se pregătească pentru amenințări similare sau chiar să le elimine, consolidând apărarea colectivă la scară mai largă.

  1. [1]
    Date de investigare a amenințărilor interne Microsoft, trimestrul II, 2024
  2. [2]
    (Rezumatul executiv pentru CISO: Peisajul amenințărilor cibernetice curente și în curs de dezvoltare pentru serviciile medicale; Health-ISAC și American Hospital Association (AHA))  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    TRANSCRIERE: Audiere în comisia Camerei Deputaților pentru evaluarea deficitelor securității cibernetice Microsoft,” Tech Policy Press, 15 iunie 2024
  4. [4]
    În medie, organizațiile medicale pierd 900.000 USD pe zi din cauza întreruperii activității în urma atacurilor ransomware,” Comparitech, 6 martie 2024
  5. [5]
    Atacurile cu ransomware asupra serviciilor medicale continuă să crească în număr și gravitate,” The HIPAA Journal, septembrie 2024
  6. [6]
    Hackuit în bucăți? Efectele atacurilor ransomware asupra spitalelor și a pacienților; https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    Atac ransomware asociat cu perturbări la departamentele de urgență adiacente din Statele Unite; Atac ransomware asociat cu perturbări la departamentele de urgență adiacente din Statele Unite | Medicină de urgență | JAMA Network Open | JAMA Network
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    Atacul cu ransomware la Ascension afectează recuperarea financiară,” The HIPPA Journal, 20 septembrie 2024
  10. [10]
    Datele pacienților au fost expuse într-un atac de phishing asupra UC San Diego Health,” The HIPPA Journal, 13 martie 2024
  11. [11]
    Un atac ransomware este factorul cheie în decizia de închidere a unui spital rural din Illinois,” The HIPPA Journal, 14 iunie 2023
  12. [12]
    Atacurile cu ransomware asupra serviciilor medicale continuă să crească în număr și gravitate,” The HIPAA Journal, septembrie 2024
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    Au existat mai multe fuzionări de spitale în 2023, iar presiunea financiară determină și mai multe tranzacții (chiefhealthcareexecutive.com)
  15. [15]
    Interoperabilitatea și metodele de schimb între spitale în 2021 | HealthIT.gov
  16. [16]
    Raportul de protecție digitală Microsoft 2024, Microsoft, pagina 27
  17. [17]
    Telemetrie Investigarea amenințărilor Microsoft, 2024
  18. [18]
    Catalogul vulnerabilităților exploatate cunoscute,” CISA, 2024
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    Date din Investigarea amenințărilor Microsoft cu privire la amenințările cibernetice din sectorul serviciilor medicale, 2024
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
Ransomware Infracțiuni cibernetice

Mai multe din Securitate

Ghid de igienă pentru reziliența cibernetică

Principiile de bază ale igienei cibernetice rămân cel mai bun mod de a apăra identitățile, dispozitivele, datele, aplicațiile, infrastructura și rețelele unei organizații împotriva a 98% din totalul amenințărilor cibernetice. Descoperiți sfaturi practice într-un ghid cuprinzător.
Aflați mai multe

În ce constă lupta împotriva hackerilor care au perturbat activitatea spitalelor și au pus vieți în pericol

Aflați mai multe despre cele mai recente amenințări în curs din cercetarea și datele Microsoft privind amenințările. Obțineți o analiză a tendințelor și îndrumări utile pentru a vă fortifica prima linie de apărare.
Aflați mai multe

Alimentarea din economia bazată pe încredere: frauda prin inginerie socială

Explorați un peisaj digital în evoluție în care încrederea este atât o valoare, cât și o vulnerabilitate. Descoperiți tacticile de fraudă prin inginerie socială pe care atacatorii cibernetici le utilizează cel mai frecvent și analizați strategiile care vă pot ajuta să identificați și să depășiți amenințările de inginerie socială concepute pentru a manipula natura umană.
Aflați mai multe

Urmăriți Microsoft Security