Trace Id is missing

Zdravstveni sektor SAD-a u opasnosti: Jačanje otpornosti protiv ransomver napada

Deljenje
Grupa medicinskih stručnjaka gleda u tablet

Zdravstveni sektor se suočava sa rastućim opsegom kibernetičkih pretnji, među kojima ransomver napadi postaju jedna od najznačajnijih. Kombinacija dragocenih podataka pacijenata, umreženih medicinskih uređaja i malog broja osoblja zaduženih za IT/kibernetičku bezbednost, što dovodi do nedovoljnih resursa, može da izloži zdravstvene organizacije kao glavne mete zlonamernih aktera. Kako zdravstvene delatnosti postaju sve više digitalizovane – od elektronskih zdravstvenih kartona (EHR) do telemedicinskih platformi i umreženih medicinskih uređaja – površina bolnica izložena napadima postaje sve kompleksnija, što dalje povećava njihovu ranjivost napadima.

Sledeći odeljci predstavljaju pregled trenutnog okruženja kibernetičke bezbednosti u zdravstvenom sektoru ističući status industrije kao glavne mete napada, rastuću učestalost ransomver napada, i ozbiljne posledice koje ove pretnje ostavljaju na finansije i negu pacijenata.

Video diskusija koju je održao Sherrod DeGrippo, strateški direktor za Microsoft informacije o pretnjama, dalje otkriva kritične probleme, nudi uvide stručnjaka za zlonamerne aktere, strategije za oporavak i ranjivosti zdravstvenog sektora.

Brifing službe Microsoft informacije o pretnjama: Zdravstveni sektor

Sherrod DeGrippo, strateški direktor za Microsoft informacije o pretnjama, vodi živahnu diskusiju za okruglim stolom sa stručnjacima za informacije o pretnjama i bezbednost zdravstvenog sektora koji ispituju šta to čini zdravstveni sektor jedinstveno podložnim ransomver napadima, koje taktike koriste grupe zlonamernih aktera, kako održati otpornost i još toga.
  • Prema službi Microsoft informacije o pretnjama, privatni/javni zdravstveni sektor je jedna od 10 industrija koje su najviše pogođene u drugom kvartalu 2024. godine.1
  • Ransomver kao usluga (RaaS) je spustila barijeru za napadače koji nisu tehnički stručni, dok Rusija pruža utočište ransomver grupama. Kao rezultat, broj ransomver napada se povećao za 300% od 2015. godine.2
  • Ove fiskalne godine, 389 zdravstvenih institucija u SAD-u je bilo pogođeno ransomver napadom, što je izazvalo isključivanja mreže, nedostupne sisteme, zakašnjenja u kritičnim medicinskim procedurama i odlaganje pregleda3. Ovi napadi skupo koštaju, gde jedan izveštaj industrije navodi da zdravstvene organizacije izgube i do 900.000 USD dnevno samo zbog prekida rada.4
  • Od 99 zdravstvenih organizacija koje su priznale plaćanje otkupnine i otkrile plaćenu količinu, srednja vrednost (medijana) iznosi 1,5 miliona USD, dok je prosečna otkupnina bila 4,4 miliona USD.5

Ozbiljan uticaj na negu pacijenata

Ometanje zdravstvenih delatnosti izazvano ransomver napadom može drastično da utiče na sposobnost efektivnog lečenja pacijenata – na samo u ugroženim bolnicama, nego i u onim u neposrednoj blizini, koje preuzimaju prekomerni broj izmeštenih pacijenata hitne službe.6

Razmotrite nalaze nedavnog istraživanja koji pokazuju kako je ransomver napad na četiri bolnice (dve napadnute i dve netaknute) doveo do uvećanja prekomernog broja pacijenata hitne službe, dužih vremena čekanja i dodatnog opterećenja resursa, posebno za vremenski kritičnu negu kao što je lečenje od šloga, u dve netaknute bolnice u okolini.7
Porast u broju slučajeva moždanog udara: Ransomver napad dodaje značajno opterećenje na celokupan zdravstveni ekosistem zbog toga što netaknute bolnice moraju da preuzmu pacijente od ugroženih bolnica. Aktivacije šifre za moždane udare u okolnim bolnicama su se skoro udvostručile, sa 59 na 103, dok su se potvrđeni moždani udari uvećali za 113,6%, povećanjem sa 22 na 47 slučaja.
Povećani broj srčanih udara: Napad je opteretio sistem zdravstvenog sektora dok je broj slučajeva srčanog udara u netaknutim bolnicama skočio sa 21 na 38, uvećanje za 81%. Ovo je primer kaskadnog uticaja ugrožavanja jednog objekta, što je primoralo okolne bolnice da preuzmu više kritičnih slučaja.
Pad broja preživelih u slučajevima sa pozitivnim neurološkim ishodom: Procenat preživelih u slučajevima srčanog udara koji su vanbolnički lečeni sa pozitivnim neurološkim ishodima drastično je opao za netaknute bolnice tokom napada, spustivši se sa 40% pre napada na 4,5% tokom perioda napada.
Porast u vremenu odziva ambulantnih kola: Javio se porast od 35,2% u odzivu hitnih ambulantnih službi (EMS) kod „netaknutih“ bolnica tokom perioda napada, Što ukazuje na značajno preusmeravanje ambulantnog saobraćaja zbog pometnji koje je ransomver napad izazvao u napadnutim bolnicama.
Broj pacijenata naglo raste: Zbog toga što je napad ugrozio četiri okružne bolnice (dve napadnute i dve nataknute), hitne službe (ED) u netaknutim bolnicama iskusile su značajan priliv pacijenata. Dnevni cenzus u ovim netaknutim bolnicama bio je povećan za 15,1% tokom perioda napada u poređenju sa periodom pre napada.
Dodatni prekidi u zdravstvenoj nezi: Tokom napada, netaknute bolnice su iskusile značajno povećanje u broju pacijenata koji su odlazili bez pregleda, uvećano vreme čekanja i ukupnog vremena koje su primljeni pacijenti provodili u bolnici. Na primer, srednja vrednost vremena provedenog u čekaonici uvećalo se sa 21 minut pre napada na 31 minut tokom napada.

Istraženi slučajevi ransomver napada

Ransomver napadi u zdravstvenom sektoru mogu da imaju katastrofalne posledice, ne samo na ciljne organizacije već i na negu pacijenata i operativnu stabilnost. Sledeći istraženi slučajevi ilustruju duboke posledice ransomver napada na razne tipove zdravstvenih organizacija, od velikih kliničkih centara do malih seoskih ordinacija, ističući razne načine na koje napadači infiltriraju mreže i ometanja osnovnih zdravstvenih službi kao rezultat istih.
  • Napadači su upotrebili ugrožene akreditive da pristupe mreži kroz izloženi mrežni prolaz za daljinski pristup bez višestruke potvrde identiteta. Šifrovali su kritičnu infrastrukturu i izvukli osetljive podatke u sklopu dvostrukog plana ucene, preteći da obelodane podatke ako se ne plati otkupnina.

    Uticaj:     Napad je doveo do prekida, što je sprečilo 80% zdravstvenih ustanova i apoteka da potvrde osiguranje ili obrade zahteve. 
  • Napadači su zloupotrebili ranjivost nezakrpljenog starog bolničkog softvera, krećući se lateralno kako bi ugrozili zakazivanje pacijenata i medicinske zapise. Koristeći taktiku duple ucene, izvukli su osetljive podatke i pretili da ih obelodane ako se ne plati otkupnina.

    Uticaj: Napad je ometao delatnosti, uzrokujući otkazane preglede, odložene operacije i prelaz na ručne procese, što je opteretilo osoblje i usporilo pružanje nege. 
  • Napadači su koristili phishing poruke u e-pošti kako bi pristupili bolničkoj mreži i zloupotrebili nezakrpljenu ranjivost i primenili ransomver, i time šifrirali sisteme za EHR negu pacijenata. U taktici duple ucene, izvukli su osetljive podatke o pacijentima i finansijama, preteći da ih obelodane ako se otkupnina ne plati. 

    Uticaj:     Napad je uveo pometnju u četiri bolnice i više od 30 klinika, odlaganjem lečenja i preusmeravanjem hitnih pacijenata, zbog zabrinutosti oko otkrivanja podataka. 
  • Februara 2021. godine, ransomver napad je onesposobio kompjuterske sisteme 44-krevetne seoske bolnice, što ih je primoralo na ručne procese tokom tri meseca i ozbiljno usporilo zahteve zdravstvenog osiguranja.

    Uticaj:     Nemogućnost bolnice da prikupi naknade na vreme dovelo je do finansijskih poteškoća, što je ostavilo seosku zajednicu bez neophodnih zdravstvenih službi. 

Američki zdravstveni sektor predstavlja privlačnu metu za finansijski motivisane kibernetičke kriminalce zbog svoje široke površine izložene napadu, zastarelim sistemima i nedoslednim bezbednosnim protokolima. Kombinacija oslanjanja zdravstvenog sektora na digitalne tehnologije, osetljivih podataka i ograničenost resursa sa kojom su suočene mnoge organizacije – često zbog vrlo uskih margina – može da ograniči njihovu mogućnost da potpuno ulože u kibernetičku bezbednost, što ih čini posebno ranjivim. Dodatno, zdravstvene organizacije daju prioritet nezi pacijenata po svaku cenu, što može da dovede do spremnosti da plate otkupninu kako bi izbegli prekide u radu.

Reputacija plaćanja otkupnina

Deo razloga zašto je ransomver postao toliko izražen problem za zdravstveni sektor je što isti ima istoriju plaćanja otkupnina. Zdravstvene organizacije daju prioritet nezi pacijenata iznad svega ostalog, pa ako moraju da plate milione dolara kako bi izbegli prekide u radu, često su spremni da to i urade.

Šta više, prema nedavnom izveštaju zasnovanom na anketi 402 zdravstvene organizacije, 67% njih je iskusilo ransomver napad u poslednjih godinu dana. Među ovim organizacijama, 53% je priznalo plaćanje otkupnine u 2024. godini, što je više u odnosu na 42% iz 2023. godine. Izveštaj takođe ističe finansijski uticaj, sa prosečnom priznatom otkupninom u visini od 4,4 miliona USD.12

Ograničeni resursi i ulaganja u bezbednost

Još jedan bitan izazov su ograničeni budžeti i resursi za kibernetičku bezbednost kroz ceo zdravstveni sektor. Prema nedavnom izveštaju13 „Healthcare Cybersecurity Needs a Check-Up“ koji je objavio CSC 2.0 (grupa koja nastavlja rad Cyberspace Solarium komisije po direktivi kongresa), "zbog tesnih budžeta i davanja prioriteta osnovnim uslugama za pacijente, kibernetička bezbednost je često nedovoljno finansirana, što ostavlja zdravstvene organizacije ranjivim na napade."

Dalje, uprkos ozbiljnosti problema, zdravstvene organizacije ne ulažu dovoljno u kibernetičku bezbednost. Zbog niza kompleksnih faktora, uključujući i posrednički model plaćanja koji često dovodi do davanja prioriteta trenutnim kliničkim potrebama umesto manje vidljivim investicijama kao što je kibernetička bezbednost, zdravstveni sektor je značajno zapostavio ulaganje u istu tokom poslednje dve decenije.10

Takođe, „Health Insurance Portability and Accountability Act“ (HIPAA) je doveo do davanja prioriteta investicijama u poverljivost podataka, što često ostavlja brigu o integritetu i dostupnosti podataka u drugi plan. Ovaj pristup može da dovede do umanjenog fokusa na otpornost organizacije, posebno kada je u pitanju umanjenje ciljnog vremena oporavka (RTO) i ciljne tačke oporavka (RPO).

Zastareli sistemi i ranjivosti infrastrukture

Jedna posledica nedovoljnog ulaganja u kibernetičku bezbednost je oslanjanje na zastarele sisteme koji se teško ažuriraju i koji su postali primarna meta za zloupotrebu. Dodatno, upotreba različitih tehnologija stvara infrastrukturu od zakrpa i rupa u bezbednosti. što uvećava rizik od napada.

Ova ranjiva infrastruktura je još više iskomplikovana nedavnim trendom zdravstvene industrije ka konsolidaciji. Spajanja bolnica, koja su u porastu (povećanje od 23% u odnosu na 2022. godinu i najviši nivo od 2020. godine14), stvara organizacije sa kompleksnim infrastrukturama koje su raštrkane na više lokacija. Bez dovoljnog ulaganja u kibernetičku bezbednost, ove infrastrukture postaju veoma ranjive na napad.

Rastuća površina napada

Dok klinički integrisane mreže povezanih uređaja i medicinskih tehnologija koje služe za negu pomažu u poboljšanju ishoda slučajeva i spašavaju živote, takođe su i proširile površinu za digitalne napade – nešto što zlonamerni akteri sve češće zloupotrebljavaju.

Bolnice su u većem broju nego ikada na mreži, povezujući kritične medicinske uređaje kao što su CT skeneri, sistemi za nadzor pacijenata i pumpe za infuziju u mreže, ali koje nemaju uvek odgovarajući nivo preglednosti da identifikuju i umanje ranjivosti koje mogu ozbiljno da ugroze negu pacijenata.

Doktori Christian Dameff i Jeff Tully, ko-direktori i suosnivači Centra za kibernetičku bezbednost zdravstva na kalifornijskom univerzitetu u San Dijegu, napominju da, u proseku, 70% krajnjih tačaka bolnica nisu računari nego uređaji.   
Bolnička soba sa medicinskom opremom, belom natkasnom i plavom zavesom.

Zdravstvene organizacije takođe razmenjuju velike količine podataka. Prema podacima iz kancelarije nacionalnog koordinatora za IT u zdravstvu, više od 88% bolnica prijavljuje da elektronski šalje i prima zdravstvene informacije pacijenata i više od 60% prijavljuje da integriše te informacije u svoje elektronske zdravstvene kartone (EHR).15

Male seoske ordinacije se suočavaju sa jedinstvenim izazovima

Seoske bolnice za kritičnu dostupnost su posebno ranjive ransomver napadima zato što često imaju ograničena sredstva za sprečavanje i saniranje bezbednosnih rizika. Ovo može da bude katastrofalno za zajednicu zato što ove bolnice često predstavljaju jedinu opciju zdravstvene nege u širokom okrugu zajednica koje služe.

Kako navode Dameff i Tully, seoske bolnice nemaju nivo infrastrukture i stručnosti za kibernetičku bezbednost koju poseduju veće, gradske alternative. Takođe napominju da planovi za kontinuitet poslovanja mnogih ovih bolnica mogu biti zastareli ili da se nedovoljno bave rešavanjem modernih kibernetičkih pretnji kao što je ransomver.

Mnoge manje ili seoske bolnice su suočene sa značajno ograničenim finansijama i posluju sa vrlo malim profitnim marginama. Ova finansijska realnost im otežava mogućnost da ulože u jake mere kibernetičke bezbednosti. Ove službe se često oslanjaju samo na jednog generalistu za IT – nekog ko je vešt u rešavanju svakodnevnih tehničkih problema ali ne poseduje stručno znanje o kibernetičkoj bezbednosti.

Jedinica za kibernetičku bezbednost zdravstvene industrije koju je osnovalo ministarstvo za zdravlje i socijalnu zaštitu kao deo Akta o kibernetičkoj bezbednosti 2015. godine, izdvaja u izveštaju da značajan deo seoskih bolnica za kritičnu dostupnost nema osobu u stalnom radnom odnosu koja je zadužena za kibernetičku bezbednost, što naglašava šire probleme sa resursima sa kojima se suočavaju manje zdravstvene organizacije.

Dameff objašnjava, „Ovi generalisti za IT, je često samo neko vešt sa upravljanjem mreža i računara i navikli su da rešavaju probleme kao, ‚ne mogu da štampam, ne mogu da se prijavim, koja mi je lozinka?‘“ „Oni nisu stručnjaci za kibernetičku bezbednost. Nemaju osoblje, nemaju budžet, a ne znaju ni kako bi počeli.“

Proces napada jednog kibernetičkog kriminalca tipično predstavlja pristup u dva koraka: dobijanje pristupa mreži, često putem phishing ili zloupotrebom ranjivosti, što se zatim prati primenom ransomver programa kako bi se šifrovali kritični sistemi i podaci. Evolucija ovih taktika, uključujući i korišćenje legitimnih alatki i širenje RaaS-a, povećalo je dostupnost i učestalost ovih napada.

Početna faza ransomver napada: Dobijanje pristupa mreži zdravstvene organizacije

Jack Mott, ko je prethodno vodio tim fokusiran na informacije i tehnike otkrivanja kibernetičkih pretnji u e-pošti organizacija za Microsoft, ističe da, "„E-pošta ostaje jedan od glavnih putanji za širenje malver i phishing napada kada su u pitanju ransomver napadi.“16

Služba Microsoft informacije o pretnjama je u analizi 13 bolničkih sistema koji predstavljaju mnoštvo delatnosti, uključujući i seoske bolnice, 93% od zapaženih zlonamernih kibernetičkih aktivnosti bilo je povezano sa phishing kampanjama i ransomver napadima, gde je većina aktivnosti bila u vidu pretnji preko e-pošte.17
"E-pošta ostaje jedna od glavnih putanji za širenje malver i phishing napada kada su u pitanju ransomver napadi."
Jack Mott 
Microsoft informacije o pretnjama

Kampanje usmerene na zdravstvene organizacije često koriste veoma specifične mamce. Mott izdvaja, na primer, kako zlonamerni akteri pišu poruke koristeći žargon koji je specifičan za zdravstveni sektor, kao što su reference na izveštaje autopsija, kako bi povećali svoj kredibilitet i uspešno prevarili zdravstvene stručnjake. 

Taktike društvenog inženjeringa kao što su ove navedene, zloupotrebljavaju hitnost sa kojom se zdravstveni radnici često suočavaju, kako bi izazvali potencijalne bezbednosne propuste, posebno u okruženjima pod velikim pritiskom kao što je zdravstvo. 

Mott takođe navodi da napadači postaju sve sofisticiraniji sa metodama, često koristeći "prava imena, legitimne servise i alatke koje IT odeljenja obično upotrebljavaju (npr. alatke za daljinsko upravljanje)" kako bi izbegli da budu otkriveni. Ove taktike otežavaju bezbednosnim sistemima da prve razliku između zlonamernih i legitimnih aktivnosti. 

Podaci službe Microsoft informacije o pretnjama takođe pokazuju da napadači često zloupotrebljavaju poznate ranjivosti u softveru ili sistemima organizacija koje su bile u prošlosti otkrivene. Ove opšte ranjivosti i izloženosti (CVE), su pažljivo dokumentovane, imaju dostupne zakrpe ili ispravke, i napadači često ciljaju ove starije ranjivosti zato što znaju da mnoge organizacije još uvek nisu regulisale ove slabosti.18 

Posle dobijanja početnog pristupa, napadači često sprovode istraživanje mreže, što se može prepoznati pomoću pokazatelja kao što je neobična aktivnost skeniranja. Ove radnje pomažu zlonamernim akterima da mapiraju mrežu, otkriju kritične sisteme i da se pripreme za sledeću fazu napada: primene ransomver programa.

Poslednja faza ransomver napada: Primena ransomver programa za šifrovanje kritičnih sistema

Kada jednom dobiju početni pristup, tipično kroz phishing ili malver isporučen kroz poruku e-pošte, zlonamerni akteri prelaze na drugu fazu: primena ransomver programa.

Jack Mott objašnjava da je porast RaaS modela značajno doprineo povećanoj učestalosti ransomver napada u zdravstvenom sektoru. "RaaS platforme su pružile otvoren pristup složenim ransomver alatkama, dozvoljavajući i onima sa minimalnim tehničkim sposobnostima da pokrenu vrlo efektivne napade," Mott kaže. Ovaj model spušta ulaznu barijeru za napadače, što čini ransomver napade pristupačnijim i efikasnijim.
"„RaaS platforme su pružile otvoren pristup složenim ransomver alatkama, dozvoljavajući i onima sa minimalnim tehničkim sposobnostima da pokrenu vrlo efektivne napade.“ 
Jack Mott 
Microsoft informacije o pretnjama

Mott dalje objašnjava kako RaaS funkcioniše, i kaže: "„Ove platforme često uključuju opširni programski paket alatki, zajedno sa softverom za šifrovanje, obradom uplate, čak i korisničkom uslugom za pregovaranje oko plaćanja otkupnine. Ovaj pristup gotovog rešenja omogućava širem opsegu zlonamernih aktera da sprovode ransomver kampanje, što dovodi do porasta broja i ozbiljnosti napada.“"

Dodatno, Mott izdvaja koordinisanu prirodu ovih napada, naglašavajući da "„Kada se jednom primeni ransomver program, napadači tipično reaguju brzo da šifriraju kritične sisteme i podatke, često u roku od nekoliko sati. Oni ciljaju ključnu infrastrukturu, kao što su podaci pacijenata, dijagnostički sistemi, pa čak i naplatne postupke, kako bi maksimalno uvećali uticaj i pritisak na zdravstvene organizacije da plate otkupninu."“

Ransomver napadi u zdravstvenom sektoru: Profil glavnih grupa zlonamernih aktera

Ransomver napade u zdravstvenom sektoru često sprovode veoma organizovane i specijalizovane grupe zlonamernih aktera. Ove grupe, koje uključuju i finansijski motivisane kibernetičke kriminalce i sofisticirane zlonamerne aktere na državnom nivou, koriste napredne alatke i strategije kako bi infiltrirali mreže, šifrovali podatke i zahtevali otkupnine od organizacija.

Među ovim zlonamernim akterima, hakeri koje finansiraju vlasti autoritarnih zemalja su navodno koristili ransomver i čak sarađivali sa ransomver grupama radi špijunaže. Na primer, sumnja se da zlonamerni akteri kineske vlade sve češće koriste ransomver da prikriju aktivnosti špijunaže.19

Iranski zlonamerni akteri izgledaju kao najaktivniji u ciljanju zdravstvenih organizacija tokom 2024. godine.20 Naime, avgusta 2024. godine, vlada SAD-a je uputila upozorenje zdravstvenom sektoru o zlonamernim akterima iz Irana poznatim kao Lemon Sandstorm. Ova grupa je „koristila neovlašćeni pristup mrežama američkih organizacija, uključujući zdravstvene organizacije, kako bi omogućili, sproveli i profitirali od budućih ransomver napada od strane ransomver grupa koje us navodno povezane sa Rusijom.“21

Sledeći profili nude uvide u neke od najozloglašenijih finansijski motivisanih ransomver grupa koje ciljaju zdravstveni sektor, sa detaljima o njihovim metodama, motivacijama i uticajem njihovih aktivnosti na industriju.
  • Lace Tempest je uspešna ransomver grupa koje cilja zdravstveni sektor. Koristeći RaaS model, oni omogućavaju saradnicima da sa lakoćom primene ransomver. Ova grupa je povezana sa napadima visokog uticaja na bolničke sisteme, šifriranje kritičnih podataka pacijenata i zahtevanje otkupnine. Poznati po dvostrukoj uceni, pored šifrovanja podataka oni ih takođe i izvlače, sa pretnjom da će obelodaniti osetljive informacije ako se otkupnina ne plati.
  • Sangria Tempest je ozloglašen za napredne ransomver napade na zdravstvene organizacije. Zbog toga što koriste sofisticirano šifrovanje, povratak podataka je gotovo nemoguć bez plaćanja otkupnine. Oni takođe koriste dvostruku ucenu, izvlačenjem podataka i pretnjama da će ih razotkriti. Njihovi napadi izazivaju rasprostranjene prekide u radu, primoravajući zdravstvene sisteme da preusmere resurse, što negativno utiče na negu pacijenata.
  • Cadenza Tempest poznati po napadima radi onemogućavanja usluga (DDoS), se sve više preusmeravaju na ransomver napade zdravstvenog sektora. Identifikovani kao proruska grupa haktivista, oni gađaju zdravstvene sisteme u regionima koji su neprijateljski nastrojeni prema ruskim interesima. Njihovi napadi preopterećuju bolničke sisteme, ometajući kritične delatnosti i stvarajući haos, posebno u kombinaciji sa ransomver kampanjama.
  • Aktivni od jula 2022. godine, finansijski motivisana grupa Vanilla Tempest je skoro počela sa korišćenjem INC ransomver paketa nabavljenog preko RaaS distributera kako bi gađali zdravstveni sektor SAD-a. Oni zloupotrebljavaju ranjivosti, koriste prilagođene skripte i oslanjaju se na standardne Windows alatke kako bi krali akreditive, kretali se lateralno i primenili ransomver. Ta grupa takođe koristi dvostruku ucenu, tražeći otkupninu za otključavanje sistema i sprečavanje razotkrivanja ukradenih podataka.

Suočeni sa sve sofisticiranijim ransomver napadima, zdravstvene organizacije moraju da primene višestruki pristup kibernetičkoj bezbednosti. Moraju biti spremne da izdrže, odgovore na i oporave se od kibernetičkih incidenta dok uporedo održavaju kontinuitet nege pacijenata.

Uputstva koja slede pružaju opširni radni okvir za poboljšane otpornosti, osigurani brzi oporavak, podsticanje radne snage sa fokusom na bezbednost i promovisanje saradnje unutar zdravstvenog sektora.

Upravljanje: Osiguravanje pripravnosti i otpornosti

Zgrada sa mnogo prozora pod plavim nebom sa oblacima

Efektivno upravljanje u kibernetičkoj bezbednosti zdravstva je neophodno za pripravnost i odgovor na ransomver napade. Dameff i Tully iz centra za kibernetičku bezbednost u zdravstvu kalifornijskog univerziteta u San Dijegu preporučuju uspostavljanje jakog radnog okvira za upravljanje sa jasnim ulogama, redovnom obukom i među-disciplinarnom saradnjom. Ovo pomaže zdravstvenim organizacijama da pojačaju otpornost protiv ransomver napada i osiguraju kontinuitet nege pacijenata, čak i u slučaju značajnih prekida u radu.

Ključni aspekt ovog radnog okvira podrazumeva uklanjanje silosa između kliničkog osoblja, timova za IT bezbednost i stručnjaka za upravljanje vanrednim situacijama kako bi se razvili kohezivni planovi za reagovanje na incidente. Ova saradnja između departmana je ključna za održavanje kvaliteta bezbednosti i nege pacijenata u slučaju da tehnološki sistemi budu ugroženi.

Dameff i Tully takođe izdvajaju da je neophodno imati namenski upravljački organ ili veće koje se redovno sastaje da pregleda i ažurira planove za reagovanje na incidente. Oni preporučuju da se omogući ovim upravljačkim organima da testiraju planove za reagovanje pomoću realističkih simulacija i vežbi, kako bi se osiguralo da svo osoblje bude spremno da obavlja delatnosti efektivno bez digitalnih alatki, uključujući i mlađe kliničko osoblje koje možda nije upoznato sa zapisima u papirnom formatu.

Dalje, Dameff i Tully ističu važnost eksterne saradnje. Oni se zalažu za regionalne i nacionalne radne okvire koji dozvoljavaju bolnicama da se podržavaju međusobno tokom većih incidenta, odražavajući potrebu za "strateškim nacionalnim rezervama" tehnologija koje mogu privremeno da zamene ugrožene sisteme.

Otpornost i strateški odgovori

Otpornost kibernetičke bezbednosti zdravstva je više od jednostavne zaštite podataka – ona podrazumeva osiguranje da celokupni sistem može da izdrži i da se oporavi od napada. Opširan pristup otpornosti je neophodan, sa fokusom na ojačavanje celokupne infrastrukture koja podržava zdravstvene službe, a ne samo na čuvanje podataka pacijenata. Ovo uključuje celokupan sistem – mrežu, lanac snabdevanja, medicinske uređaje i još toga.

Primena strategije dubinske odbrane je ključna u pravljenju slojevitog stanja bezbednosti koje može efektivno da spreči ransomver napade.

Primena strategije dubinske odbrane je ključna u pravljenju slojevitog stanja bezbednosti koje može efektivno da spreči ransomver napade. Ova strategija podrazumeva obezbeđenje svakog sloja zdravstvene infrastrukture – od mreže do krajnjih tačaka do oblaka. Osiguravanjem da su višestruki slojevi odbrane postavljeni, zdravstvene organizacije mogu da umanje rizik od uspešnog ransomver napada.

Kao deo ovog slojevitog pristupa za Microsoft klijente, timovi službe Microsoft informacije o pretnjama aktivno prate zlonamerno ponašanje. Kada se otkrije takva aktivnost, šalje se direktno obaveštenje.

Ovo nije plaćena ili slojevita usluga – preduzeća raznih veličina dobijaju isti nivo pažnje. Cilj je da se brzo pošalje obaveštenje kada se otkrije potencijalna pretnja, uključujući ransomver, kao i da se pomogne sa preduzimanjem koraka da se organizacija zaštiti.

Pored implementacije ovih zaštitnih slojeva, važno je imati efektivan plan za detekciju i reagovanje na incident. Nije dovoljno samo imati plan; zdravstvene organizacije moraju biti spremne da ga efikasno sprovedu tokom stvarnog napada kako bi umanjile štetu i osigurale brz oporavak.

Konačno, stalno praćenje i mogućnost detekcije u realnom vremenu su ključne komponente jakog radnog okvira za reagovanje na incident, što omogućava brzo otkrivanje i rešavanje potencijalnih pretnji.

Za više informacija o kibernetičkoj otpornosti u zdravstvu, ministarstvo za zdravlje i socijalnu zaštitu (HHS) je objavilo dobrovoljne ciljeve učinka kibernetičke bezbednosti (CPG) specifično za zdravstvo kako bi pomogli zdravstvenim organizacijama da daju prednost uvođenju izuzetno uticajnih praksi kibernetičke bezbednosti.

Kreirani kroz proces saradnje javnih/privatnih partnerstva, korišćenjem standardnih radnih okvira za kibernetičku bezbednost iz industrije, vodiča, najboljih praksi i strategija, CPG-ovi se sastoje iz skupa praksi za kibernetičku bezbednost koje zdravstvene organizacije mogu da upotrebe kako bi ojačale kibernetičku pripravnost, poboljšali kibernetičku otpornost i zaštitili zdravstvene informacije i bezbednost pacijenata.

Koraci da se brzo povrate delatnosti i ojača bezbednost nakon napada

Oporavak od ransomver napada iziskuje sistematičan pristup kako bi se osigurao brz povratak normalnim delatnostima i sprečavanje budućih incidenata. Ispod su akcioni koraci koji pomažu u proceni štete, oporavku ugroženih sistema i ojačavanju bezbednosnih mera. Praćenjem ovih smernica, zdravstvene organizacije mogu da umanje uticaj napada i pojačaju svoju odbranu protiv budućih pretnji.
Procenite uticaj i suzdržite napad

Izolujte ugrožene sisteme odmah kako bi sprečili dalje širenje.
Povratite stanje iz dobrih rezervnih kopija

Osigurajte da čiste rezervne kopije budu dostupne i proverene pre povratka delatnosti. Održavajte rezervne kopije van mreže kako bi izbegli ransomver šifrovanje.
Obnovite sisteme

Razmotrite obnovu ugroženih sistema umesto primene zakrpa, kako bi uklonili sav preostali malver. Koristite smernice tima službe Microsoft reagovanje na incident o tome kako da bezbedno obnovite sisteme. 
Ojačajte bezbednosne kontrole nakon napada

Ojačajte stanje bezbednosti nakon napada otklanjanjem ranjivosti, primenom zakrpa na sistemima i poboljšanjem alatki za otkrivanje krajnjih tačaka.
Sprovedite recenziju nakon incidenta

Radeći sa eksternim snabdevačem bezbednosti, analizirajte napad kako bi otkrili slabe tačke i pojačali odbranu od budućih incidenata.

Formiranje radne snage sa fokusom na bezbednost

Muškarac i žena gledaju u lice žene.

Formiranje radne snage sa fokusom na bezbednost zahteva trajnu saradnju različitih disciplina.

Formiranje radne snage sa fokusom na bezbednost zahteva trajnu saradnju različitih disciplina. Važno je ukloniti silose između IT timova za bezbednost, upravitelja za vanredne situacije i kliničkog osoblja kako bi se razvili kohezivni planovi za reagovanje na incidente. Bez ove saradnje, ostatak bolnice neće biti adekvatno pripremljen da reaguje efektivno tokom kibernetičkog incidenta.

Edukacija i svest o bezbednosti

Efektivna obuka i jaka kultura prijavljivanja su ključne komponente odbrane jedne zdravstvene organizacije protiv ransomver napada. S obzirom da zdravstveni stručnjaci često daju prioritet nezi pacijenata, možda nisu uvek pažljivi u vezi kibernetičke bezbednosti, što ih čini podložnijim kibernetičkim pretnjama.

Da bi se to rešilo, redovna obuka mora da sadrži osnovne principe kibernetičke bezbednosti, kao što je kako prepoznati phishing poruke e-pošte, izbegnuti kliktanje sumnjivih veza i prepoznati uobičajene taktike društvenog inženjeringa.

Microsoft resursi za obaveštenost o kibernetičkoj bezbednosti mogu biti od pomoći ovde.

"Podsticanje osoblja da prijavljuju bezbednosne probleme bez straha da će snositi krivicu je ključno," objašnjava Mott iz Microsoft korporacije. "Što ranije se nešto prijavi, to bolje. Ako je bezazleno, to je najbolji scenario."

Redovne vežbe i simulacije bi takođe trebalo da imitiraju realistične napade kao što su phishing ili ransomver, kako bi pomogli osoblju da vežbaju reagovanje u kontrolisanom okruženju.

Deljenje informacija, saradnja i kolektivna odbrana

Zbog toga što su ransomver napadi generalno sve učestaliji (Microsoft je primetio uvećanje za 2,75 tokom godinu dana među našim klijentima16), kolektivna odbrambena strategija postaje neophodna. Saradnja – između internih timova, regionalnih partnera i širih nacionalnih/globalnih mreža – je ključna kako bi se zaštitile zdravstvene službe i bezbednost pacijenata.

Objedinjavanjem ovih grupa kako bi dizajnirale i sprovele opširne planove za reagovanje na incidente može da spreči operativni haos tokom napada.

Dameff i Tully naglašavaju važnost ujedinjavanja internih timova, kao što su doktori, upravitelji za vanredne situacije i IT osoblje za bezbednost, koji često rade u izolaciji. Objedinjavanjem ovih grupa kako bi dizajnirale i sprovele opširne planove za reagovanje na incidente može da spreči operativni haos tokom napada.

Na regionalnom nivou, zdravstvene organizacije bi trebalo da sklapaju partnerstva koja omogućavaju zdravstvenim ordinacijama da dele kapacitet i resurse, što će osigurati da se nega pacijenata nastavi čak i u slučaju da su neke bolnice ugrožene ransomver napadom. Ovaj oblik kolektivne odbrane može takođe da pomogne sa upravljanjem viška pacijenata i raspodelom tereta drugim zdravstvenim službama.

Pored regionalne saradnje, mreže za deljenje informacija na nacionalnom i globalnom nivou su ključ. ISAC-ovi (centri za deljenje i analizu informacija), kao što je Health-ISAC, služe kao platforme da zdravstvene organizacije razmenjuju ključne informacije o pretnjama. Errol Weiss, glavni direktor za bezbednost za Health-ISAC, upoređuje ove organizacije sa "programima za nadzor komšiluka," gde organizacije ako članovi mogu brzo da podele detalje o napadima i proverenim tehnikama ublažavanja. Ova razmena informisanosti pomaže drugima da se pripreme za ili uklone slične pretnje, što ojačava kolektivnu odbranu na višem nivou.

  1. [1]
    Interni podaci službe Microsoft informacije o pretnjama za drugu četvrtinu 2024. godine
  2. [2]
    (Izvršni rezime namenjen direktorima za bezbednost informacija: Okruženje trenutnih i novih kibernetičkih pretnji za zdravstveni sektor; Health-ISAC i Udruženje američkih bolnica (AHA))  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    TRANSCRIPT: House Committee Hearing to Assess Microsoft’s Cybersecurity Shortfalls,“ Tech Policy Press, 15. jun 2024. godine
  4. [4]
    On average, healthcare organizations lose USD$900,000 per day to downtime from ransomware attacks,“ Comparitech, 6. mart 2024. godine
  5. [5]
    Healthcare Ransomware Attacks Continue to Increase in Number and Severity,“ The HIPAA Journal, septembar 2024. godine
  6. [6]
    Hacked to Pieces? The Effects of Ransomware Attacks on Hospitals and Patients; https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    Ransomware Attack Associated With Disruptions at Adjacent Emergency Departments in the US; Ransomware Attack Associated With Disruptions at Adjacent Emergency Departments in the US | Emergency Medicine | JAMA Network Open | JAMA Network
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    Ascension Ransomware Attack Hurts Financial Recovery,“ The HIPPA Journal, 20. septembar 2024. godine
  10. [10]
    Patient Data Exposed in Phishing Attack on UC San Diego Health,“ The HIPPA Journal, 13. mart 2024. godine
  11. [11]
    Ransomware Attack Key Factor in Decision to Close Rural Illinois Hospital,“ The HIPPA Journal, 14. jun 2023. godine
  12. [12]
    Healthcare Ransomware Attacks Continue to Increase in Number and Severity,“ The HIPAA Journal, septembar 2024. godine
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    There were more hospital mergers in 2023, and financial distress is driving more deals (chiefhealthcareexecutive.com)
  15. [15]
    Interoperability and Methods of Exchange among Hospitals in 2021 | HealthIT.gov
  16. [16]
    Microsoft izveštaj o digitalnoj bezbednosti za 2024. godinu Microsoft, strana 27
  17. [17]
    Telemetrija službe Microsoft informacije o pretnjama, za 2024. godinu
  18. [18]
    Known Exploited Vulnerabilities Catalog,“ CISA, 2024. godina
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    Podaci službe Microsoft informacije o pretnjama o kibernetičkim pretnjama u zdravstvenom sektoru, za 2024. godinu
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
Ransomver Kibernetički kriminal

Više informacija iz oblasti o bezbednosti

Vodič za higijenu radi kibernetičke otpornosti

Osnovna kibernetička higijena i dalje je najbolji način za odbranu identiteta, uređaja, podataka, aplikacija, infrastrukture i mreža organizacije od 98% svih kibernetičkih pretnji. Pronađite praktične savete u sveobuhvatnom vodiču.
Saznaj više

Šta se dešava unutar borbe protiv hakera koji su poremetili rad bolnica i ugrozili živote

Saznajte više o najnovijim kibernetičkim pretnjama iz podataka i istraživanja o kibernetičkim pretnjama koje pruža korporacija Microsoft. Dobijte analizu trendova i akciona uputstva pomoću kojih ćete ojačati vašu prvu liniju odbrane.
Saznaj više

Iskorišćavanje ekonomije poverenja: prevara putem društvenog inženjeringa

Istražite razvoj digitalnog okruženja u kojem je poverenje istovremeno i valuta i ranjivost. Pronađite taktike prevare putem društvenog inženjeringa koje kibernetički napadači najčešće koriste i pregledajte strategije koje će vam omogućiti da lakše identifikujete i nadmudrite pretnje u oblasti društvenog inženjeringa osmišljene sa ciljem manipulisanja ljudskom prirodom.
Saznaj više

Pratite Microsoft bezbednost