Trace Id is missing

Den amerikanska sjukvården i fara: Stärk motståndskraften mot utpressningstrojaner

Dela
En grupp med sjukvårdspersonal tittar på en surfplatta

Sjukvårdssektorn står inför en snabbt ökande förekomst av cybersäkerhetshot, där utpressningstrojansattacker framstår som en av de mest betydande. En kombination av värdefulla patientdata, sammankopplad medicinsk utrustning och en begränsad personalgrupp för IT-/cybersäkerhet, riskerar att tunna ut resurserna, vilket kan göra sjukvårdsorganisationer till primära mål för hotaktörer. I takt med att sjukvården blir allt mer digitaliserad – i allt från elektroniska journaler (EHR) till telemedicinska plattformar och nätverksansluten medicinsk utrustning – blir sjukhusens attackyta mer komplex, vilket ytterligare ökar deras sårbarhet för attacker.

Följande avsnitt ger en översikt över det nuvarande cybersäkerhetslandskapet inom hälso- och sjukvården, och lyfter fram branschens status som ett stort angreppsmål, den ökande förekomsten av utpressningstrojansattacker och vilka allvarliga ekonomiska konsekvenser för ekonomi och patientvård dessa hot medför.

I en videodiskussion ledd av Sherrod DeGrippo, Director of Threat Intelligence Strategy för Microsoft, utforskas dessa kritiska frågor ytterligare med bidrag och insikter från experter på hotaktörer, återställningsstrategier och sårbarheter inom sjukvården.

Microsoft Threat Intelligence-sammanfattning: Sjukvård

Sherrod DeGrippo, Director of Threat Intelligence Strategy för Microsoft Threat Intelligence, leder en livlig rundabordsdiskussion med experter på hotinformation och sjukvårdssäkerhet där man diskuterar vad som gör vården så unikt mottaglig för utpressningstrojansattacker, vilken taktik hotaktörsgrupperna använder, hur man förblir motståndskraftig och mycket annat.
  • Enligt Microsoft Threat Intelligence var hälso- och sjukvårdssektorn en av de 10 mest påverkade branscherna under andra kvartalet 2024.1
  • Utpressningstrojaner som en tjänst (RaaS) har sänkt inträdeströsklarna för angripare som saknar teknisk expertis, samtidigt som Ryssland erbjuder en fristad för utpressningstrojansgrupper. Som ett resultat har attacker med utpressningstrojaner ökat med 300 % sedan 2015.2
  • Det här räkenskapsåret drabbades 389 amerikanska sjukvårdsinstitutioner av utpressningstrojaner, vilket orsakade nedstängningar av nätverk, offlinesystem, förseningar i kritiska medicinska procedurer och ombokade möten3. Attackerna är kostsamma. En branschrapport som visar exempelvis att sjukvårdsorganisationer förlorar upp till 900 000 USD per dag enbart på grund av driftstopp.4
  • Av de 99 hälsovårdsorganisationer som bekräftat att de betalat lösensummor och avslöjat vilka belopp det handlat om, så framgår det att medianbetalningen var 1,5 miljoner USD och den genomsnittliga betalningen var 4,4 miljoner USD.5

Allvarlig påverkan på patientvården

Störningar i sjukvårdsverksamheter som orsakas av en utpressningstrojansattack kan allvarligt påverka sjukvårdens förmåga att effektivt behandla sina patienter – inte bara på de sjukhus som drabbas, utan även på sjukhus i närliggande områden, som får en tillströmning av patienter på sina akutmottagningningar.6

Resultatet från en nyligen genomförd studie visar exempelvis hur en utpressningstrojansattack mot fyra sjukhus (två attackerade och två opåverkade) ledde till ökad patientvolym på akutmottagningarna, längre väntetider och ytterligare påfrestningar på resurser, särskilt inom tidskänsliga områden som strokebehandling, på två opåverkade närliggande sjukhus.7
Ökning av strokefall: Utpressningstrojansattacken utsatte hälsovårdens övergripande ekosystem för en betydande belastning eftersom de opåverkade sjukhusen var tvungna att absorbera patienter från de drabbade sjukhusen. Antalet strokeaktiveringar på de närliggande sjukhusen nästan fördubblades, från 59 till 103, medan bekräftade strokefallen ökade med 113,6 %, från 22 till 47 fall.
Ökning av antalet hjärtstillestånd: Attacken satte stor press på hälso- och sjukvården eftersom antalet fall av hjärtstillestånd ökade från 21 till 38 på det opåverkade sjukhuset – en ökning på 81 %. Detta återspeglar den övergripande effekten när en sjukvårdsinrättning komprometteras, och närliggande sjukhus tvingas hantera de mer kritiska fallen.
Nedgång i antalet fall med överlevnad med gynnsamma neurologiska resultat: Överlevnadsgraden i fall av hjärtstillestånd med gynnsamt neurologiskt utfall utanför sjukhus sjönk drastiskt för de opåverkade sjukhusen under attacken, från 40 % före attacken till 4,5 % under attackfasen.
Ökning av antalet ambulanstransporter: Antalet akutsjukvårdstransporter (EMS) som anlände till "opåverkade" sjukhus under attackfasen ökade med 35,2 %, vilket tyder på en betydande omdirigering av ambulanstrafiken på grund av de störningar som utpressningstrojansattacken orsakade på de drabbade sjukhusen.
Dramatisk ökning av patientvolymen: Eftersom attacken äventyrade fyra områdessjukhus (två attackerade och två opåverkade), så drabbades de opåverkade sjukhusens akutmottagningar av en betydande patienttillströmning. Antalet patienter per dag på dessa opåverkade sjukhus ökade med 15,1 % under attackfasen jämfört med tiden före attacken.
Ytterligare störningar i vården: Under dessa attacker drabbades de opåverkade sjukhusen av en anmärkningsvärd ökning av antalet patienter som avvek från sjukhusen utan att ha blivit undersökta, längre väntrumstider och längre total vistelsetid för inlagda patienter. Mediantiden för väntan i väntrummen ökade exempelvis från 21 minuter före attacken till 31 minuter under attacken.

Utpressningstrojansfallstudier

Utpressningstrojansattacker inom vården kan få förödande konsekvenser, inte bara för de institutioner som utsätts för attackerna, utan även för patientvården och driftstabiliteten som helhet. Följande fallstudier illustrerar de långtgående effekterna av utpressningstrojaner på olika typer av sjukvårdsorganisationer, från stora sjukhussystem till små vårdcentraler på landsbygden, och belyser de olika sätt på vilka angriparna infiltrerar sjukvårdens nätverk och vilka störningar detta orsakar i viktiga sjukvårdstjänster.
  • Angriparna använde sig av komprometterade autentiseringsuppgifter för att infiltrera nätverket via en sårbar fjärråtkomstgateway utan multifaktorautentisering. De krypterade kritisk infrastruktur och exfiltrerade känsliga data i en dubbel utpressningsplan, och hotade att offentliggöra informationen om inte en lösensumma betalades.

    Påverkan:     Attacken orsakade störningar, vilket hindrade 80 % av vårdgivarna och apoteken från att verifiera försäkringar eller behandla anspråk. 
  • Angriparna utnyttjade en sårbarhet i sjukhusets ej uppdaterade äldre programvara och rörde sig lateralt så att de kunde kompromettera patientschemaläggning och medicinska journaler. Genom att använda sig av en dubbel utpressningstaktik exfiltrerade de känsliga data och hotade att offentliggöra dem om inte en lösensumma betalades.

    Påverkan: Attacken störde verksamheten, orsakade inställda möten, försenade operationer och framtvingade en övergång till manuella processer, utsatte personalen för påfrestningar och skapade förseningar i vården. 
  • Angripare använde sig av nätfiske via e-post för att få åtkomst till sjukhusets nätverk och utnyttjade ej åtgärdade sårbarheter till att distribuera utpressningstrojaner, samt kryptera elektroniska patientjournaler och patientvårdssystem. I en taktik med dubbel utpressning, exfiltrerade de känsliga patientuppgifter och finansiell information och hotade att läcka detta om lösensumman inte betalades. 

    Påverkan:     Attacken påverkade fyra sjukhus och mer än 30 kliniker, försenade behandlingar och akutpatienter avvisades med hänsyn till risken för dataexponering. 
  • I februari 2021 förlamade en utpressningstrojansattack datorsystemet på ett regionalt 44-bäddssjukhus, vilket innebar att man tvingades genomföra manuella operationer under tre månader med kraftigt försenade försäkringskrav som följd.

    Påverkan:     Sjukhusets oförmåga att ta emot betalningar i tid ledde till en ekonomisk kris, vilket resulterade i att lokalbefolkningen stod utan livsviktiga sjukvårdstjänster. 

Den amerikanska sjukvårdssektorn är ett attraktivt mål för ekonomiskt motiverade cyberbrottslingar på grund av dess breda attackyta, föråldrade system och inkonsekventa säkerhetsprotokoll. Kombinationen av sjukvårdens beroende Kombinationen av beroendet av digital teknik, känsliga data och begränsade resurser inom stora delar av sjukvården, ofta orsakade av snäva ekonomiska marginaler, riskerar att begränsa sjukvårdens förmåga att investera fullt ut i cybersäkerhet, vilket gör den särskilt sårbar. Dessutom prioriterar sjukvårdens organisationer patientvård till varje pris, vilket kan leda till att man är villig att betala lösensummor bara för att undvika störningar.

Ett rykte om sig att betala lösensummor

En del av anledningen till att utpressningstrojaner har blivit ett så uttalat problem för sjukvården är sektorns historik av att betala ut lösensummor. Sjukvårdsorganisationerna prioriterar patientvård över allt annat, och om de måste betala miljontals dollar för att undvika störningar, så är de ofta villiga att göra det.

Enligt en färsk rapport baserad på en undersökning som omfattar 402 vårdorganisationer, hade faktiskt 67 % av dem drabbats av utpressningstrojansattacker under det senaste året. Bland dessa organisationer medgav 53 % att de betalat lösensummor 2024, vilket var en ökning från 42 % år 2023. Rapporten belyser också de ekonomiska konsekvenserna, med en uppgiven genomsnittlig lösensumma på 4,4 miljoner USD.12

Begränsade säkerhetsresurser och investeringar

En annan betydande utmaning är de begränsade budgetarna och resurserna för inom sjukvårdssektorn när det gäller cybersäkerhet. Enligt rapporten Healthcare Cybersecurity Needs a Check-Up 13 som nyligen publicerades av CSC 2.0 (en grupp som fortsätter det arbete som utfördes av den av kongressen tillsatta Cyberspace Solarium Commission), "måste sjukvårdens aktörer, på grund av begränsade budgetar, prioritera utgifter för de grundläggande patienttjänsterna, vilket resulterat att cybersäkerheten har fått för lite pengar, vilket i sin tur gjort sjukvårdsorganisationerna ännu sårbarare för attacker."

Dessutom, trots problemets allvarlighetsgrad, så investerar inte sjukvården tillräckligt mycket i cybersäkerhet. På grund av en rad komplexa faktorer, bland annat en indirekt betalningsmodell som ofta leder till att omedelbara kliniska behov prioriteras framför mindre synliga investeringar som cybersäkerhet, så har sjukvården under de senaste två decennierna underinvesterat betydligt när det gäller cybersäkerhet.10

Dessutom har HIPAA (Health Insurance Portability and Accountability Act) lett till att investeringar i datakonfidentialitet prioriteras, varvid dataintegritet och tillgänglighet ofta hanteras som sekundära problem. Det här tillvägagångssättet kan resultera i ett minskat fokus på organisationers motståndskraft, särskilt när det gäller att sänka målen för återhämtningstid (RTO) och målen för återställningspunkt (RPO).

Sårbarheter i äldre system och infrastruktur

Ett konsekvens av dessa underinvesteringar i cybersäkerhet är att man blir beroende av föråldrade, svåruppdaterade äldre system, som nu blivit ett primärt mål för cyberbrottslingar att exploatera. Dessutom skapar användningen av olika teknologier en lappverksliknande infrastruktur full av säkerhetsluckor, vilket ökar risken för attacker.

Denna sårbara infrastruktur görs ännu mer komplex av sjukvårdsbranschens senaste trend mot konsolidering. Sammanslagningen av olika sjukhus, vilket är en utveckling som är i tilltagande (med en ökning på 23 % under 2022, vilket är på en nivå som är den högsta sedan 202014), har lett till organisationer med komplexa infrastrukturer spridda över flera platser. Utan tillräckliga investeringar i cybersäkerhet blir dessa infrastrukturer mycket sårbara för attacker.

Utökar attackytan

Samtidigt som kliniskt integrerade vårdnätverk med anslutna enheter och medicinsk teknik bidrar till att förbättra patientresultaten och rädda liv, så har de också breddat den digitala attackytan – något hotaktörer utnyttjar alltmer.

Sjukhusen är mer verksamma online än någonsin tidigare, och ansluter viktig medicinsk utrustning som datortomografer, patientövervakningssystem och infusionspumpar till sina nätverk, men har inte alltid den synlighetsnivå som krävs för att identifiera och begränsa de sårbarheter som allvarligt kan påverka patientvården.

Läkarna Christian Dameff och Jeff Tully, chefer för och medgrundare av University of California San Diego Center for Healthcare Cybersecurity, noterar att i genomsnitt är 70 % av sjukhusens slutpunkter inte datorer, utan snarare apparater.   
Ett rum i ett sjukhus med medicinsk utrustning, ett vitt skåp och ett blått draperi.

Sjukvårdsorganisationer överför även stora mängder data. Enligt uppgifter från Office of the National Coordinator for Health IT rapporterar mer än 88 % av sjukhusen att de skickar och tar emot patienthälsoinformation elektroniskt och mer än 60 % rapporterar att de integrerar denna information i sina elektroniska journaler (EHR).15

Små sjukhus på landsbygden står inför unika utmaningar

Små lokala sjukhus på den amerikanska landsbygden (Critical Access Hospitals) är särskilt sårbara för incidenter med utpressningstrojaner eftersom de ofta har begränsade resurser för att förebygga och åtgärda säkerhetsrisker. Detta kan vara förödande för små samhällen eftersom dessa sjukhus ofta är de enda hälsovårdsalternativen på flera mils avstånd i de samhällen de betjänar.

Enligt Dameff och Tully saknar sjukhusen på landsbygden en cybersäkerhetsinfrastruktur eller expertis på samma nivå som deras större, urbana motsvarigheter. De noterar också att många av dessa sjukhus har affärskontinuitetsplaner är föråldrade eller otillräckliga för att kunna hantera moderna cyberhot som utpressningstrojaner.

Många mindre sjukhus och sjukhus på landsbygden står inför betydande ekonomiska begränsningar, och arbetar med mycket små vinstmarginaler. Denna ekonomiska verklighet innebär att det är en utmaning för dem att investera i robusta cybersäkerhetsåtgärder. Ofta förlitar sig dessa sjukhus på en enda IT-generalist – någon som är skicklig på att hantera vardagliga tekniska problem, men saknar specialiserad kunskap inom cybersäkerhet.

En rapport från The Department of Health and Human Services Health Care Industry Cybersecurity Task Force, som skapades som en del av Cybersecurity Act 2015, visar att en betydande del av Critical Access-sjukhusen på landsbygden saknar en heltidsanställd person för cybersäkerhet, vilket understryker vilka enorma resursutmaningar de mindre sjukhusen står inför.

”Dessa IT-generalister, vilket oftast är liktydigt med någon som är skicklig på att hantera nätverk och datorer, är vana vid att hantera frågor som ”Jag kan inte skriva ut”, ”jag kan inte logga in”, ”vilket är mitt lösenord?”, förklarar Dameff. ”De är inte cybersäkerhetsexperter. De har inte rätt personal, de har inte rätt budget och de vet inte ens var de ska börja.”

Cyberbrottslingarnas attacker följer vanligtvis en tvåstegsprocess: det första steget är att få åtkomst till nätverket, ofta genom nätfiske eller utnyttjande av sårbarheter, och det andra steget är att placera ut utpressningstrojaner som kan kryptera kritiska system och data. Utvecklingen av dessa taktiker, inklusive användningen av legitima verktyg och spridningen av utpressningstrojaner som en tjänst, har gjort attackerna mer tillgängliga och frekventa.

Den initiala fasen i en utpressningstrojansattack: Få åtkomst till sjukvårdssystemets nätverk

Jack Mott, som tidigare ledde ett Microsoft-team fokuserat på hantering av hot via företags e-postsystem och detektionsteknik, påpekar att "e-post fortfarande är en av de största vektorerna för att sprida skadlig programvara och nätfiskeattacker för utpressningstrojansattacker.”16

I en Microsoft Threat Intelligence-analys av 13 sjukhussystem som representerar flera olika verksamheter, däribland sjukhus på landsbygden, var 93 % av den observerade skadliga cyberaktiviteten relaterad till nätfiskekampanjer och utpressningstrojaner, och merparten av denna aktivitet stod e-postbaserade hot för.17
"E-post är fortfarande en av de största vektorerna för att sprida skadlig programvara och nätfiskeattacker för utpressningstrojansattacker."
Jack Mott 
Microsoft Threat Intelligence

Kampanjer riktade mot sjukvårdsorganisationer använder ofta mycket specifika beten. Mott lyfter exempelvis fram hur hotaktörer skapar e-postmeddelanden med sjukvårdsspecifik jargong, exempelvis med hänvisningar till obduktionsrapporter, så att deras trovärdighet ökas och därmed lyckas lura vårdpersonalen. 

Taktiker för social manipulering som dessa, särskilt i miljöer med hög stressfaktor, som sjukvården, utnyttjar den brådska som vårdpersonalen ofta känner, vilket kan leda till potentiella förbiseenden vad gäller säkerheten. 

Mott noterar också att angriparna blir allt mer sofistikerade i sina metoder och ofta använder "riktiga namn, legitima tjänster och verktyg som vanligtvis används på IT-avdelningar (t.ex. verktyg för fjärrhantering)" i syfte att undvika att bli upptäckta. Dessa taktiker gör det utmanande för säkerhetssystemen att skilja mellan skadlig och legitim aktivitet. 

Microsoft Threat Intelligence-data visar också att angriparna ofta utnyttjar kända sårbarheter i organisationens programvara eller system, vilka har identifierats tidigare. Dessa standardiserade namn på sår­bar­heter och exponeringar (CVE:er) är väldokumenterade, har tillgängliga korrigeringar eller fixar, och angriparna fokuserar ofta på dessa äldre sårbarheter eftersom de vet att många organisationer ännu inte har åtgärdat de här svagheterna.18 

Efter att ha tillskansat sig initial åtkomst genomför angriparna ofta nätverksspaning, vilken kan identifieras genom indikatorer som ovanlig genomsökningsaktivitet. De här åtgärderna hjälper hotaktörerna att kartlägga nätverket, identifiera kritiska system och förbereda sig för nästa attackfas: att placera ut utpressningstrojaner.

Den slutliga fasen i en utpressningstrojansattack: Använda utpressningstrojaner för att kryptera kritiska system

När den initiala åtkomsten har uppnåtts, vanligtvis genom nätfiske eller skadlig programvara som levereras via e-post, går hotaktören vidare till den andra fasen: att placera ut utpressningstrojaner.

Jack Mott förklarar att framväxten av RaaS-modeller (utpressningstrojaner som en tjänst) avsevärt har bidragit till den ökade frekvensen av utpressningstrojansattacker inom sjukvårdssektorn. "RaaS-plattformar har demokratiserat tillgången till sofistikerade utpressningstrojansverktyg, vilket gör att även aktörer med minimala tekniska färdigheter kan starta mycket effektiva attacker," kommenterar Mott. Denna modell sänker inträdesbarriären för angripare, vilket gör utpressningstrojansattackerna mer tillgängliga och effektiva.
"RaaS-plattformar har demokratiserat tillgången till sofistikerade utpressningstrojansverktyg, vilket gör att även aktörer med minimala tekniska färdigheter kan starta mycket effektiva attacker.” 
Jack Mott 
Microsoft Threat Intelligence

Mott utvecklar ytterligare hur RaaS fungerar och fastslår att "dessa plattformar ofta är utrustade med en omfattande uppsättning verktyg, som krypteringsmjukvara, betalningshanteringsverktyg och till och med kundtjänstfunktioner vid förhandling om lösensummor. Denna nyckelfärdighetsmetod gör det möjligt för ett större antal hotaktörer att genomföra utpressningstrojanskampanjer, vilket leder till en ökning av såväl attackernas antal som deras allvarlighetsgrad."

Dessutom lyfter Mott fram de här attackernas koordinerade karaktär och betonar att "när utpressningstrojanerna väl har distribuerats agerar angriparna vanligtvis snabbt med att kryptera kritiska system och data – ofta sker det redan inom några timmar. De riktar in sig på viktig infrastruktur, såsom patientjournaler, diagnostiska system och till och med faktureringshanteringen, för att på så vis kunna maximera påverkan och pressen på sjukvårdsorganisationerna att betala lösensummorna."

Angrepp med utpressningstrojaner inom sjukvården: En profil av stora hotaktörsgrupper

Utpressningstrojansattacker inom sjukvårdssektorn utförs ofta av välorganiserade och specialiserade hotaktörsgrupper. Dessa grupper, som omfattar både ekonomiskt motiverade cyberbrottslingar och sofistikerade nationalstatliga hotaktörer, använder avancerade verktyg och strategier för att infiltrera nätverk, kryptera data och kräva lösensummor från organisationer.

Bland dessa hotaktörer har regeringsunderstödda hackare från auktoritära länder enligt vad som påstås använt sig av utpressningstrojaner, och till och med samarbetat med utpressningstrojansgrupper i spionagesyfte. Hotaktörer understödda av kinesiska myndigheter misstänks exempelvis för att i allt större utsträckning använda utpressningstrojaner som täckmantel för spionageverksamhet.19

Iranska hotaktörer verkar vara de mest aktiva när det gäller att rikta in sig på hälsovårdsorganisationer under 2024.20 Faktum är att under augusti 2024 utfärdade den amerikanska regeringen en varning till hälsosektorn om en Iran-baserad hotaktör känd som Lemon Sandstorm. Den här gruppen ”utnyttjade obehörig nätverksåtkomst till amerikanska organisationer, t.ex. inom hälsovården, för att underlätta, genomföra och dra nytta av framtida utpressningstrojansattacker från, som det verkar, rysslandsanslutna utpressningstrojansgrupper.”21

Följande profiler ger insikter om några av de mest ökända ekonomiskt motiverade utpressningstrojansgrupperna som fokuserar på hälso- och sjukvården, och här beskrivs deras metoder och motiv och vilka effekter deras aktiviteter på branschen.
  • Lace Tempest är en produktiv utpressningstrojansgrupp med fokus på sjukvården. Genom att använda en RaaS-modell gör de det möjligt för andra grupper att enkelt distribuera utpressningstrojaner. Gruppen länkas till attacker med hög påverkan på sjukhussystem, med kryptering av kritiska patientdata och utkrävande av lösensummor. De är kända för dubbel utpressning, och krypterar inte bara data, utan exfiltrerar dem och hotar att läcka känslig information om en lösensumma inte betalas.
  • Sangria Tempest är ökänt för sina avancerade utpressningstrojansattacker mot sjukvårdsorganisationer. Genom att använda sofistikerad kryptering gör de det nästan omöjligt att återställa data utan att betala en lösensumma. De använder sig också av dubbel utpressning genom att exfiltrera patientdata och hota att läcka dem. Deras attacker orsakar omfattande driftstörningar, vilket tvingar sjukvårdssystemen att avleda resurser, vilket i sin tur påverkar patientvården negativt.
  • Cadenza Tempest, känd för DDoS-attacker (Distributed Denial-of-Services), har i allt högre grad övergått till utpressningstrojansoperationer inom sjukvården. De har identifierats som en pro-rysk hacktivistgrupp, och riktar in sig mot sjukvårdssystem i regioner som är fientliga mot ryska intressen. Deras attacker överväldigar sjukhusens system, stör kritiska operationer och skapar kaos, särskilt i kombination med utpressningstrojanskampanjer.
  • Den ekonomiskt motiverade gruppen Vanilla Tempest, som har varit aktiv sedan juli 2022, har nyligen börjat använda INC-utpressningstrojaner som köpts in via RaaS-leverantörer i syfte att angripa amerikansk sjukvård. De utnyttjar sårbarheter, använder anpassade skript och använder Windows-standardverktyg för att stjäla referenser, flytta lateralt och distribuera utpressningstrojaner. Gruppen använder också dubbel utpressning och kräver lösen för att låsa upp system och förhindra att stulna data offentliggörs.

Med tanke på de allt mer sofistikerade utpressningstrojansattackerna måste sjukvårdsbranschen anta ett mångfacetterat förhållningssätt till cybersäkerhet. De måste vara beredda att stå emot, svara på och återhämta sig från cyberincidenter, samtidigt som de har förmågan att bibehålla kontinuiteten i patientvården.

Följande vägledning ger klara riktlinjer för hur man kan förbättra motståndskraften, säkerställa snabb återhämtning, främja en säkerhetsinriktad arbetsstyrka och stärka samarbetet inom sjukvårdssektorn.

Styrning: Säkerställa beredskap och motståndskraft

En byggnad med många fönster under en molnbeströdd blå himmel

Effektiv styrning när det gäller cybersäkerhet inom sjukvården är avgörande för hur väl man kan förbereda sig för och reagera på utpressningstrojansattacker. Dameff och Tully från UC San Diego Center for Healthcare Cybersecurity rekommenderar att man upprättar ett robust styrningsramverk med tydliga roller, regelbunden utbildning och tvärvetenskapligt samarbete. Detta hjälper sjukvårdorganisationerna att förbättra sin motståndskraft mot utpressningstrojansattacker och säkerställa patientvårdens kontinuitet, även vid förekomsten av betydande störningar.

En viktig aspekt av detta ramverk handlar om att bryta ned barriärerna mellan klinisk personal, IT-säkerhetsteam och räddningspersonal, så att man kan utveckla enhetliga incidentresponsplaner. Detta samarbete mellan olika avdelningar är avgörande för om man ska kunna upprätthålla patientsäkerhet och vårdkvalitet när de tekniska system komprometteras.

Dameff och Tully lyfter också fram nödvändigheten av att ha en dedikerad ledningsgrupp som regelbundet träffas för att granska och uppdatera incidentåtgärdsplanerna. De rekommenderar att dessa ledningsgrupper ges befogenhet att testa responsplaner genom realistiska simuleringar och övningar, vilket säkerställer att all personal, inklusive yngre läkare som kanske inte är bekanta med pappersjournaler, är förberedda att kunna arbeta effektivt utan hjälp av digitala verktyg.

Dameff and Tully betonar dessutom vikten av externt samarbete. De förespråkar regionala och nationella ramverk som tillåter sjukhusen att stödja varandra under storskaliga incidenter, och betonar behovet av ett "strategiskt nationellt tekniklager" som tillfälligt kan ersätta de system som komprometterats.

Motståndskraft och strategiska svar

Motståndskraft när det gäller cybersäkerhet inom sjukvården handlar om mer än att bara skydda data – det handlar om att säkerställa att hela system kan motstå och återhämta sig efter attacker. En övergripande plan för motståndskraft är av avgörande betydelse, med fokus inte bara på att skydda patientdata utan också på att förstärka hela den infrastruktur som stöder sjukvårdens verksamhet. Detta omfattar hela systemet – nätverk, leveranskedja, medicinsk utrustning och annat.

Att anta en djupgående försvarsstrategi är avgörande om man ska kunna skapa en säkerhetsställning i flera lager som effektivt kan förhindra utpressningstrojansattacker.

Att anta en djupgående försvarsstrategi är avgörande om man ska kunna skapa en säkerhetsställning i flera lager som effektivt kan förhindra utpressningstrojansattacker. Den här strategin innebär att man säkra varje lager i sjukvårdens infrastruktur – från nätverk och slutpunkter till molnet. Om man inom sjukvården ser till att flera försvarslager finns på plats kan man minska risken för en utpressningstrojansattack lyckas.

Som en del av denna metod i flera lager avsedd för Microsofts kunder övervakar Microsoft Threat Intelligence-teamen aktivt de fientliga krafternas beteende. När sådan aktivitet upptäcks skickas ett direktmeddelande.

Det här är inte en betald tjänst eller en nivåbaserad tjänst – tvärtom, så får företag av alla storlekar samma uppmärksamhet. Syftet är att snabbt kunna ge varningar när potentiella hot, t.ex. utpressningstrojaner, upptäcks och bidra till att vidta åtgärder som skyddar organisationen.

Förutom att man implementerar dessa försvarslager är det av avgörande betydelse att man också har en effektiv plan för incidentrespons och detektion. Det räcker inte att bara ha en plan. Vårdorganisationerna måste vara beredda att genomföra arbetet effektivt under en faktisk attack, så att skador minimeras och en snabb återhämtning säkerställs.

Slutligen, så är kontinuerlig övervakning och detektering i realtid viktiga komponenter i ett robust ramverk för incidentrespons, vilket säkerställer att potentiella hot kan identifieras och åtgärdas snabbt.

Mer information om cybermotståndskraft inom hälso- och sjukvården finns i de av USA:s hälso- och socialdepartement publicerade frivilliga hälso- och sjukvårdsspecifika prestandamålen för cybersäkerhet, vars mål är att hjälpa hälsovårdsorganisationer att prioritera implementeringen av effektiva cybersäkerhetsmetoder.

Dessa prestandamål för cybersäkerhet, som skapats genom en offentlig/privat samarbetsprocess, med hjälp av gemensamma ramverk för cybersäkerhet, riktlinjer, bästa praxis och strategier, utgör en delmängd av den cybersäkerhetspraxis som hälsovårdsorganisationer kan använda för att stärka sin cyberberedskap, förbättra sin cybermotståndskraft och skydda patienthälsoinformation och säkerhet.

Åtgärder för att snabbt återställa verksamheten och stärka säkerheten efter en attack

Att återhämta sig från en utpressningstrojansattack kräver ett systematiskt tillvägagångssätt som säkerställer en snabb återgång till normal verksamhet samtidigt som framtida incidenter förhindras. Nedan följer ett antal åtgärder avsedda att hjälpa till att bedöma skadan, återställa drabbade system och förstärka säkerhetsåtgärderna. Genom att följa dessa riktlinjer kan sjukvårdsorganisationerna bidra till att mildra effekterna av en attack och stärka sitt försvar mot framtida hot.
Utvärdera påverkan och begränsa attacken

Förhindra ytterligare spridning genom att omedelbart isolera de system som drabbats.
Återställ från kända bra säkerhetskopior

Se till att rena säkerhetskopior är tillgängliga och verifierade innan du återställer operationer. Undvik kryptering av utpressningstrojaner genom att underhålla säkerhetskopior offline.
Återuppbygg systemen

Överväg att bygga om komprometterade system istället för att enbart uppdatera dem, för att på så vis eliminera kvardröjande skadlig programvara. Ta hjälp av Microsoft incidentsvar-teamets vägledning om hur man återuppbygger system på ett säkert sätt. 
Förstärk säkerhetskontrollerna efter attacken

Stärk säkerhetsstatusen efter attacken genom att åtgärda sårbarheter, korrigera systemen och förbättra verktygen för slutpunktsdetektering.
Genomför en postincidentsgranskning

Arbeta med en extern säkerhetsleverantör, analysera attacken för att identifiera svaga punkter och förbättra försvaret inför framtida incidenter.

Skapa en arbetsstyrka som sätter säkerheten i första rummet

En man och en kvinna tittar på en kvinnas ansikte.

Att skapa en arbetsstyrka som sätter säkerheten i första rummet kräver kontinuerligt samarbete mellan olika verksamhetsgrenar.

Att skapa en arbetsstyrka som sätter säkerheten i första rummet kräver kontinuerligt samarbete mellan olika verksamhetsgrenar. Det är viktigt att bryta ner eventuella barriärer mellan IT-säkerhetsteam, akutavdelning och klinisk personal så att man kan utveckla enhetliga incidenthanteringsplaner. Utan ett sådant samarbete kanske sjukhusets olika avdelningar inte är tillräckligt förberedda för att agera effektivt under en cyberincident.

Utbildning och medvetenhet

Effektiv utbildning och en stark rapporteringskultur är väsentliga komponenter i en sjukvårdorganisations försvar mot utpressningstrojaner. Med tanke på att vårdpersonal ofta prioriterar patientvård är de kanske inte alltid lika uppmärksamma på cybersäkerheten, vilket kan göra dem mer mottagliga för cyberhot.

Det här problemet kan bara åtgärdas genom kontinuerlig utbildning som omfattar grundläggande cybersäkerhet, exempelvis om hur man upptäcker nätfiskehot i e-post, undviker att klicka på misstänkta länkar och känner igen vanliga taktiker för social manipulering.

Microsofts Cybersecurity Awareness-resurser kan hjälpa oss med detta.

"Att uppmuntra personalen att rapportera säkerhetsproblem utan rädslan för att bli skuldbelagd är nyckeln," förklarar Microsofts Mott. "Ju tidigare man kan rapportera något, desto bättre. Det bästa scenariot är att hotet är godartat."

Regelbundna övningar och simuleringar bör också efterlikna verkliga attacker genom nätfiske eller utpressningstrojaner, och hjälpa personalen att öva på sina svarsåtgärder i en kontrollerad miljö.

Informationsdelning, samarbete och ett kollektivt försvar

Eftersom utpressningstrojansattacker generellt sett ökar i frekvens (Microsoft har observerat en 2,75-gångers ökning bland våra kunder under året16), så är en kollektiv försvarsstrategi mycket viktig. Samarbete – mellan interna team, regionala partner och bredare nationella/globala nätverk – är avgörande om man ska kunna säkra vårdens verksamhet och patienternas säkerhet.

Att sammanföra dessa grupper för att designa och implementera omfattande planer för incidentrespons kan förhindra att det uppstår operativt kaos när attacker sker.

Dameff och Tully understryker vikten av att för samman interna team, som läkare, akutvårdschefer och IT-säkerhetspersonal, som ofta arbetar isolerat. Att sammanföra dessa grupper för att designa och implementera omfattande planer för incidentrespons kan förhindra att det uppstår operativt kaos när attacker sker.

På regional nivå bör hälso- och sjukvårdsorganisationerna skapa partnerskap som gör det möjligt för vårdinrättningarna att dela kapacitet och resurser, för att på så vis säkerställa att patientvården fortsätter även när vissa sjukhus drabbas av utpressningstrojaner. Den här formen av kollektivt försvar kan också hjälpa till att hantera kraftig tillströmning av patienter och fördela bördan mellan olika vårdgivare.

Utöver regionalt samarbete är nationella och globala nätverk för informationsutbyte avgörande. ISAC-center (Information Sharing and Analysis Centers), såsom Health-ISAC, fungerar som plattformar där vårdorganisationer kan utbyta viktig hotinformation. Errol Weiss, Chief Security Officer på Health-ISAC, jämför dessa organisationer med virtuella "program för grannsamverkan," där medlemsorganisationer snabbt kan dela information om attacker och beprövade begränsningstekniker. Denna informationsdelning hjälper andra att förbereda sig för eller eliminera liknande hot, vilket stärker det kollektiva försvaret i större skala.

  1. [1]
    Microsoft internal threat intelligence-data, Kv2, 2024
  2. [2]
    (Sammanfattning för IT-säkerhetschefer: Current and Emerging Healthcare Cyber Threat Landscape; Health-ISAC and the American Hospital Association (AHA))  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    TRANSKRIPTION: House Committee Hearing to Assess Microsoft’s Cybersecurity Shortfalls”, Tech Policy Press, 15 juni 2024
  4. [4]
    Sjukvårdsorganisationer förlorar i genomsnitt 900 000 USD per dag på grund av driftstopp orsakade av utpressningstrojansattacker”, Comparitech, March 6, 2024
  5. [5]
    Healthcare Ransomware Attacks Continue to Increase in Number and Severity”, The HIPAA Journal, September 2024
  6. [6]
    Hackad sönder och samman? Effekterna av utpressningstrojansattacker för sjukhus och patienter, https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    Utpressningstrojansattack kopplade till störningar vid angränsande akutmottagningar i USA, utpressningstrojansattack kopplad till störningar vid angränsande akutmottagningar i USA | Akutmedicin | JAMA Network Open | JAMA Network
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    Ascension Ransomware Attack Hurts Financial Recovery,” The HIPPA Journal, 20 september 2024
  10. [10]
    Patient Data Exposed in Phishing Attack on UC San Diego Health,” The HIPPA Journal, 13 mars 2024
  11. [11]
    Ransomware Attack Key Factor in Decision to Close Rural Illinois Hospital,” The HIPPA Journal, 14 juni 2023
  12. [12]
    Healthcare Ransomware Attacks Continue to Increase in Number and Severity”, The HIPAA Journal, September 2024
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    Antalet sammanslagningar av sjukhus ökade under 2023, och den ekonomiska oron driver ytterligare sammanslagningar (chiefhealthcareexecutive.com)
  15. [15]
    Metoder för interoperabilitet och utbyte mellan sjukhus 2021 | HealthIT.gov
  16. [16]
    Microsofts rapport om digitalt försvar 2024, Microsoft, sida 27
  17. [17]
    Microsoft Threat Intelligence-telemetri, 2024
  18. [18]
    Known Exploited Vulnerabilities Catalog”, CISA, 2024
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    Microsoft Threat Intelligence-data om cyberhot inom sjukvårdssektorn, 2024
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
Utpressningstrojaner Cyberbrott

Mer om säkerhet

Cyber Resilience-hygienguide

Grundläggande cyberhygien är det bästa sättet att försvara en organisations identiteter, enheter, data, appar, infrastruktur och nätverk mot 98 % av alla cyberhot. Utforska praktiska tips i en omfattande guide.
Mer information

En inblick i kampen mot hackare som orsakat störningar på sjukhus och äventyrat liv

Mer information om de senaste hoten baserat på Microsofts hotdata och forskning. Få analyser om trender och praktisk vägledning för att stärka det främsta ledet i försvaret.
Mer information

Livnär sig på förtroendeekonomin: bedrägeri med social manipulering

Utforska ett digitalt landskap under ständig utveckling där tillit både är hårdvaluta och sårbarhet. Upptäck de metoder för social manipulering som cyberkriminella använder mest, och gå igenom strategier som kan hjälpa dig att identifiera och utmanövrera hot via social manipulering som har för avsikt att lura människor.
Mer information

Följ Microsoft Security