Trace Id is missing
Перейти до основного
Security Insider

Система охорони здоров'я США під загрозою: Посилення стійкості до атак зловмисних програм з вимогою викупу

Поділитися
Група медичних працівників дивиться у планшет

Система охорони здоров’я стикається зі стрімко зростаючим спектром загроз кібербезпеці, серед яких атаки зловмисних програм з вимогою викупу стають одними з найбільш значущих. Поєднання цінних даних про пацієнтів, взаємопов’язаних медичних пристроїв і певного персоналу з інформаційних технологій /кібербезпеки, що розподіляє ресурси, може зробити медичні організації головними цілями для загроз. По мірі того як операції у системі охорони здоров’я стають все більш оцифрованими — від електронних медичних записів (EHR) до телемедичних платформ і мережевих медичних пристроїв — поверхня для атак медичних закладів стає все більш складною, що ще більше підвищує їхню вразливість до атак.

У наступних розділах наведено огляд поточного ландшафту кібернетичної безпеки у системі охорони здоров’я, що підкреслює статус галузі як головної цілі, зростаючу частоту атак зловмисних програм з вимогою викупу і серйозні наслідки для фінансування і лікування пацієнтів, які ці загрози завдають.

Відеобговорення під керівництвом Шеррода ДеГріппо, директора відділу стратегії аналізу загроз у корпорації Майкрософт, що детально досліджує ці критичні проблеми, пропонуючи експертну думку про джерела загрози, стратегії відновлення та вразливі місця в системі охорони здоров’я.

Брифінг Аналізу загроз Microsoft: Системам охорони здоров’я

Шеррод ДеГріппо, директор стратегії з аналізу загроз для Аналізу загроз Microsoft, веде жваву дискусію за круглим столом з експертами з аналізу загроз і безпеки системи охорони здоров’я, які досліджують, що надає системі охорони здоров’я унікальну чутливість до атак зловмисних програм з вимогою викупу, яку тактику використовують групи джерел загрози, як залишатися стійкими тощо.
  • За даними Аналізу загроз Microsoft, у другому кварталі 2024 року система охорони здоров’я/державний сектор системи охорони здоров’я був однією з 10 найбільш постраждалих галузей.1
  • Надання зловмисних програм з вимогою викупу як послуги (RaaS)зменшило перешкоди для зловмисників, які не мають технічного досвіду, а Росія надає безпечну місце групам людей, що створюють зловмисні програми з вимогою викупу. У результаті кількість атак зловмисних програм з вимогою викупу зросла на 300% з 2015 року.2
  • Цього фінансового року 389 закладів системи охорони здоров’я США постраждали від зловмисної програми з вимогою викупу, що призвело до відключення мережі, оффлайн-систем, затримок важливих медичних процедур і перенесення призначень на прийом3. Атаки коштують дорого: один галузевий звіт показує, що організації системи охорони здоров’я втрачають до USD$900,000 на день тільки через простої.4
  • З 99 медичних організацій, які визнали сплату викупу та розкрили сплачений викуп, середній платіж становив USD$1,5 мільйона, а середній виплати – USD$4,4 мільйона.5

Серйозний вплив на догляд за пацієнтами

Збій у роботі системи охорони здоров’я, спричинений атакою зловмисних програм з вимогою викупу, може серйозно вплинути на здатність ефективного лікування пацієнтів — не лише в постраждалих лікарнях, а й у найближчих районах, які приймають значну кількість пацієнтів у відділеннях невідкладної допомоги.6

Розглянемо результати нещодавнього дослідження, яке показує, як атака зловмисної програми з вимогою викупу проти чотирьох лікарень (дві атаковані та дві не постраждали) призвела до збільшення кількості пацієнтів у відділенні невідкладної допомоги, довшого часу очікування та додаткового навантаження на ресурси, особливо в невідкладній допомозі, як-от лікування інсульту, у двох сусідніх лікарнях, що не постраждали.7
Зростання випадків інсульту: Атака зловмисних програм з вимогою викупу створила значне навантаження на загальну екосистему охорони здоров’я, оскільки лікарні, що не постраждали, мали прийняти пацієнтів із постраждалих лікарень. Кількість прийнятих з інсультом пацієнтів в найближчих лікарнях майже подвоїлася, з 59 до 103, тоді як число підтверджених інсультів зросло на 113,6%, збільшившись з 22 до 47 випадків.
Збільшення частоти зупинок серця: Атака завантажила систему охорони здоров'я, оскільки кількість випадків зупинки серця в лікарні, що не постраждала, зросла з 21 до 38, що є збільшенням на 81%. Це відображає каскадний вплив компрометації одного закладу, змушуючи прилеглі лікарні брати на себе більше критичних випадків.
Зниження ймовірності вижити зі сприятливими неврологічними результатами: Рівень виживаності при зупинках серця поза лікарнею зі сприятливими неврологічними результатами різко впав лікарнях, що не постраждали під час нападу, впавши з 40% до нападу до 4,5% під час здійснення атаки.
Час прибуття швидкої допомоги збільшується: Під час здійснення атаки кількість випадків прибуття служб екстреної медичної допомоги (ЕМД) до лікарень, що не постраждали, зросла на 35,2%, що свідчить про значне перенаправлення швидких через порушення роботи постраждалих лікарень, спричинене атакою зловмисних програмам з вимогою викупу.
Зростання кількості пацієнтів: Через те, що атака вивела з ладу чотири лікарні в цьому районі (дві піддалися атаці, дві не постраждали), відділення невідкладної допомоги (ВНД) у лікарнях, що не постраждали, зазнали значного напливу пацієнтів. Щоденна кількість пацієнтів у цих лікарнях, що не постраждали, зросла на 15,1% під час фази атаки порівняно з періодом до атаки.
Додаткові збої в наданні медичної допомоги: Під час атак в лікарнях, що не постраждали, спостерігалося значне збільшення кількості пацієнтів, які залишали лікарню, не дочекавшись прийому, часу очікування в приймальних відділеннях та загальної тривалості перебування госпіталізованих пацієнтів. Наприклад, медіана часу очікування в приймальні зросла з 21 хвилини до атаки до 31 хвилини під час здійснення атаки.

Тематичні дослідження зловмисних програм з вимогою викупу

Атаки зловмисних програм з вимогою викупу на систему охорони здоров'я можуть мати руйнівні наслідки не лише для цільових організацій, але й для надання медичної допомоги та стабільності операційних процесів. Наступні тематичні дослідження ілюструють далекосяжні наслідки зловмисних програм з вимогою викупу для різних типів медичних організацій, від великих лікарняних систем до малих сільських постачальників, підкреслюючи різні способи, якими зловмисники проникають у мережі, та спричинені ними порушення в наданні необхідних медичних послуг.
  • Зловмисники використали скомпрометовані облікові дані для доступу до мережі через вразливий шлюз віддаленого доступу без багатофакторної автентифікації. Вони зашифрували критичну інфраструктуру та викрали чутливі дані в рамках схеми подвійного вимагання, погрожуючи їх оприлюдненням, якщо викуп не буде сплачено.

    Вплив:     Атака спричинила порушення, що завадили 80% постачальників медичних послуг та аптек перевіряти страховку або обробляти вимоги. 
  • Зловмисники використали уразливість у застарілому програмному забезпеченні лікарні, що не було оновлено, і перемістилися вбік, щоб скомпрометувати запис пацієнтів і медичні записи. Використовуючи тактику подвійного вимагання, вони вивели чутливі дані та погрожували їх опублікувати, якщо викуп не буде сплачено.

    Вплив: Атака порушила роботу, що призвело до скасування прийомів, затримки хірургічних втручань та переходу на ручні процеси, що перевантажило персонал і затримало надання медичної допомоги. 
  • Зловмисники використовували фішингові електронні листи для доступу до мережі лікарень і використовували невиправлені вразливості для розгортання зловмисних програм з вимогою викупу, шифруючи електронні медичні записи та системи догляду за пацієнтами. Використовуючи тактику подвійного вимагання, вони викрали конфіденційні дані пацієнтів і фінансові дані, погрожуючи їх витоком, якщо викуп не буде сплачено. 

    Вплив:     Атака порушила роботу чотирьох лікарень і понад 30 клінік, затримуючи лікування та перенаправляючи пацієнтів екстреної допомоги, викликаючи проблеми з розкриттям даних. 
  • У лютому 2021 року атака зловмисної програми з вимогою викупу пошкодила комп’ютерні системи сільської лікарні на 44 місця, змусивши виконувати операції вручну протягом трьох місяців і серйозно затримавши страхові вимоги.

    Вплив:     Неспроможність лікарні своєчасно збирати платежі призвела до фінансових труднощів, залишивши місцеву сільську громаду без критично важливих медичних послуг. 

Американська система охорони здоров'я є привабливою ціллю для фінансово мотивованих кібернетичних злочинців через свою широку поверхню для здійснення атак, застарілі системи та непослідовні протоколи безпеки. Комбінація залежності системи охорони здоров'я від цифрових технологій, чутливих даних та ресурсних обмежень, з якими стикаються багато організацій—часто через надзвичайно малі прибутки—може обмежити їх можливості повністю інвестувати в кібербезпеку, роблячи їх особливо вразливими. Крім того, організації системи охорони здоров'я у пріоритеті ставлять догляд за пацієнтами, що може призвести до готовності платити викуп, щоб уникнути перебоїв у роботі.

Репутація платника викупу

Однією з причин того, що зловмисні програми з вимогою викупу стали такою серйозною проблемою для системи охорони здоров’я, є послужний список виплати викупу в цьому секторі. Організації системи охорони здоров’я надають перевагу догляду за пацієнтами понад усе, і якщо їм потрібно заплатити мільйони доларів, щоб уникнути збоїв, вони часто готові це зробити.

Фактично, згідно з нещодавнім звітом, заснованим на опитуванні 402 організацій системи охорони здоров’я, 67% зазнали атаки зловмисних програм з вимогою викупу минулого року. Серед цих організацій 53% визнали, що сплачували викуп у 2024 році, порівняно з 42% у 2023 році. У звіті також наголошується на фінансових наслідках: середня визнана виплата викупу становить USD$4,4 мільйона.12

Обмежені ресурси безпеки та інвестиції

Іншою значною проблемою є обмежені бюджети та ресурси для кібернетичної безпеки в системі охорони здоров’я. Відповідно до нещодавнього звіту «Кібербезпека охорони здоров’я потребує перевірки»13 від CSC 2.0 (групи, що продовжує роботу, розпочату Конгресом у рамках Комісії з кіберпростору), "через обмежені бюджети та необхідність надавати пріоритет витратам на основні послуги для пацієнтів, кібербезпека часто недофінансовується, що робить організації системи охорони здоров'я більш вразливими до атак."

Окрім того, незважаючи на серйозність проблеми, постачальники медичних послуг не інвестують достатньо в кібербезпеку. Через ряд складних факторів, включаючи непряму модель оплати, яка часто призводить до пріоритету термінових клінічних потреб над менш помітними інвестиціями, такими як кібербезпека, система охорони здоров'я значно недоінвестувала в кібербезпеку протягом останніх двох десятиліть.10

Крім того, Закон про переносимість і підзвітність медичного страхування (HIPAA) призвів до пріоритету інвестицій у конфіденційність даних, що часто залишає цілісність і доступність даних другорядними питаннями. Цей підхід може призвести до зменшення уваги до організаційної стійкості, особливо в зниженні цілей часу відновлення (RTO) та цілей точки відновлення (RPO).

Системи старого зразка та вразливості інфраструктури

Одним із наслідків недостатніх інвестицій у кібербезпеку є залежність від застарілих, важких для оновлення спадкових систем, які стали основними цілями для експлуатації. Крім того, використання різних технологій створює мозаїчну інфраструктуру з прогалинами в безпеці, що підвищує ризик атак.

Ця вразлива інфраструктура стає ще складнішою через нещодавню тенденцію до консолідації в системі охорони здоров'я. Об'єднання лікарень, що зросло на 23% порівняно з 2022 роком і на найвищому рівні з 2020 року14, створює організації з комплексними інфраструктурами, розкиданими по кількох місцях. Без достатніх інвестицій у кібербезпеку ці інфраструктури стають вкрай вразливими до атак.

Вектори зовнішніх атак

Хоча клінічно інтегровані мережі догляду, що складаються з підключених пристроїв і медичних технологій, сприяють покращенню результатів лікування та рятують життя, вони також розширили цифрову поверхню атаки — це те, що все більше використовують зловмисники.

Лікарні більше ніж коли-небудь підключені до Інтернету, з'єднуючи критично важливі медичні пристрої, такі як КТ-сканери, системи моніторингу пацієнтів та інфузійні насоси з мережами, але не завжди мають необхідний рівень видимості для виявлення та усунення вразливостей, які можуть суттєво вплинути на догляд за пацієнтами.

Лікарі Крістіан Дамефф і Джефф Таллі, спільні директори та засновники Центру кібербезпеки системи охорони здоров’я в Університеті Каліфорнії в Сан-Дієго, зазначають, що в середньому 70% точок доступу в лікарні - це не комп'ютери, а пристрої.   
Лікарняна палата з медичним обладнанням, білою шухлядою та синьою завісою.

Організації системи охорони здоров’я також передають величезні обсяги даних. Згідно з даними Офісу національного координатора з питань охорони здоров’я в інформаційних технологіях, більше 88% лікарень повідомляють про електронну передачу та отримання інформації про здоров'я пацієнтів, а більше 60% повідомляють про інтеграцію цієї інформації у свої електронні медичні записи (EMR).15

Невеликі сільські постачальники стикаються з унікальними викликами

Сільські лікарні критичного доступу особливо вразливі до атак зловмисних програм з вимогою викупу, оскільки часто мають обмежені можливості для запобігання та усунення ризиків безпеки. Це може стати катастрофою для громади, оскільки ці лікарні часто є єдиним варіантом медичної допомоги на багато кілометрів у межах обслуговуваних ними громад.

За словами Дамеффа та Таллі, сільські лікарні, як правило, не мають такого рівня кібербезпеки чи експертних знань, як їхні більші міські колеги. Вони також зазначають, що багато планів безперервності бізнесу цих лікарень можуть бути застарілими або недостатніми для вирішення сучасних кібернетичних загроз, таких як зловмисні програми з вимогою викупу.

Багато невеликих або сільських лікарень стикаються зі значними фінансовими обмеженнями, працюючи з дуже малими рівнями прибутку. Ця фінансова реальність ускладнює для них інвестування в надійні заходи кібербезпеки. Часто ці заклади покладаються на одного IT-спеціаліста загального профілю — людину, яка добре справляється з повсякденними технічними проблемами, але не має спеціалізованих знань у сфері кібербезпеки.

Звіт Робочої групи з кібербезпеки системи охорони здоров'я Департаменту охорони здоров'я та соціальних служб, створений у рамках Закону про кібербезпеку 2015 року, підкреслює, що значна частина сільських лікарень критичного доступу не мають штатного працівника, зосередженого на кібербезпеці, що свідчить про ширші ресурсні проблеми, з якими стикаються менші медичні заклади.

«Ці IT-спеціалісти загального профілю, зазвичай це просто хтось, хто добре розбирається в управлінні мережею та комп'ютерами, зазвичай вирішують такі питання, як: "Я не можу роздрукувати, я не можу увійти в систему, який мій пароль?"» — пояснює Дамефф. «Вони не є експертами з кібербезпеки. У них немає персоналу, немає бюджету, і вони навіть не знають, з чого почати.»

Процес атаки кіберзлочинця зазвичай складається з двох етапів: спочатку отримання початкового доступу до мережі, часто через фішинг або пошук вразливостей, а потім розгортання зловмисних програм з вимогою викупу для шифрування критичних систем і даних. Еволюція цих тактик, включаючи використання легітимних інструментів і поширення RaaS (зловмисна програма з вимогою викупу як послуга), зробила атаки більш доступними та частими.

Початковий етап атаки зловмисної програми з вимогою викупу: Отримання доступу до мережі системи охорони здоров'я

Джек Мотт, який раніше очолював команду, що займалася розвідкою загроз електронної пошти та інженерією виявлення на підприємствах у корпорації Майкрософт, зазначає, що "Електронна пошта залишається одним із найбільших векторів для доставки шкідливого програмного забезпечення та фішингових атак для зловмисних програм з вимогою викупу”16

У Аналізі загроз Microsoft, що охоплює 13 лікарняних систем, які представляють кілька операцій, включаючи сільські лікарні, 93% виявленої шкідливої кібернетичної діяльності були пов'язані з фішинговими кампаніями та зловмисними програми з вимогою викупу, причому більшість активності була створена загрозами, що були передані через електронну пошту.17
"Електронна пошта залишається одним із найбільших векторів для доставки шкідливого програмного забезпечення та фішингових атак для зловмисних програм з вимогою викупу."
Джек Мотт 
Аналіз загроз Microsoft

Кампанії, спрямовані на організації системи охорони здоров'я, часто використовують дуже специфічні приманки. Мотт підкреслює, наприклад, як зловмисники створюють електронні листи з медичною термінологією, такою як згадки про звіти про аутопсії, щоб підвищити свою достовірність і успішно обманути медичних працівників. 

Такі тактики соціальної інженерії, особливо в умовах високого тиску, таких як система охорони здоров'я, використовують терміновість, яку часто відчувають медичні працівники, що може призвести до потенційних порушень безпеки. 

Мотт також зазначає, що зловмисники стають все більш витонченими у своїх методах, часто використовуючи" справжні імена, законні служби та інструменти, які зазвичай використовуються в ІТ-відділах (наприклад, інструменти віддаленого керування), "щоб уникнути виявлення. Завдяки такій тактиці системам безпеки важко відрізнити зловмисну ​​діяльність від законної. 

Дані Аналізу загроз Microsoft також показують, що зловмисники часто використовують відомі вразливості в програмному забезпеченні або системах організації, які були виявлені в минулому. Ці Загальні вразливості та експозиції (CVEs) добре задокументовані, мають доступні патчі або виправлення, і зловмисники часто націлюються на ці старі вразливості, оскільки знають, що багато організацій ще не усунули ці слабкості.18 

Отримавши початковий доступ, зловмисники часто проводять розвідку мережі, яку можна визначити за такими показниками, як незвична активність сканування. Ці дії допомагають джерелам загрози скласти карту мережі, визначити критичні системи та підготуватися до наступного етапу атаки: розгортання зловмисних програм з вимогою викупу.

Останній етап атаки зловмисної програми з вимогою викупу: Розгортання зловмисних програм з вимогою викупу для шифрування критичних систем

Після отримання початкового доступу, зазвичай через фішинг або зловмисне програмне забезпечення, надіслане електронною поштою, зловмисники переходять до другого етапу: розгортання зловмисних програм з вимогою викупу.

Джек Мотт пояснює, що розвиток моделей RaaS суттєво сприяв збільшенню частоти атак зловмисних програм з вимогою викупу на систему охорони здоров’я. "Платформи RaaS мають демократизований доступ до складних інструментів зловмисних програм з вимогою викупу, що дозволяє навіть тим, хто має мінімальні технічні навички, запускати високоефективні атаки,"зазначає Мотт. Ця модель зменшує перешкоди доступу для зловмисників, роблячи атаки зловмисних програм з вимогою викупу більш доступними та ефективними.
"Платформи RaaS мають демократизований доступ до складних інструментів зловмисних програм з вимогою викупу, дозволяючи навіть тим, хто має мінімальні технічні навички, запускати високоефективні атаки.» 
Джек Мотт 
Аналіз загроз Microsoft

Далі Мотт розповідає про те, як працює RaaS, заявляючи:"«Ці платформи часто включають повний набір інструментів, включаючи програмне забезпечення для шифрування, обробку платежів і навіть обслуговування клієнтів для переговорів про виплату викупу». Цей готовий підхід дає змогу ширшому колу джерел загрози здійснювати кампанії зловмисних програм з вимогою викупу, що призводить до зростання кількості та серйозності атак."

Крім того, Мотт підкреслює скоординований характер цих атак, наголошуючи на тому, що"після розгортання зловмисних програм з вимогою викупу зловмисники зазвичай швидко шифрують критичні системи та дані, часто протягом кількох годин. Вони націлені на важливу інфраструктуру, таку як записи пацієнтів, діагностичні системи та навіть операції виставлення рахунків, щоб максимізувати вплив і тиск на організації системи охорони здоров’я щодо сплати викупу."

Атаки зловмисних програм з вимогою викупу на систему охорони здоров'я: Профіль основних груп джерел загрози

Атаки зловмисних програм з вимогою викупу на систему охорони здоров’я часто здійснюються високоорганізованими та спеціалізованими групами джерел загрози. Ці групи, до складу яких входять як фінансово вмотивовані кібернетичні злочинці, так і складні джерела загрози на державному та національному рівнях, використовують передові інструменти та стратегії для проникнення в мережі, шифрування даних і вимагання викупу від організацій.

Повідомляється, що серед цих джерел загрози спонсоровані урядом хакери з авторитарних країн використовували зловмисні програми з вимогою викупу та навіть співпрацювали з групами, що застосовують зловмисні програми з вимогою викупу, у шпигунських цілях. Наприклад, підозрюють, що зловмисники китайського уряду все частіше використовують зловмисні програми з вимогою викупу як прикриття для шпигунської діяльності.19

Іранські загрози, схоже, є найактивнішими у націленні на організації системи охорони здоров'я в 2024 році.20Насправді, у серпні 2024 року уряд США видав попередження для сектора охорони здоров'я про іранського зловмисника, відомого як Lemon Sandstorm. Ця група «використовувала несанкціонований доступ до мереж американських організацій, включаючи медичні заклади, щоб полегшити, виконувати та отримувати прибуток від майбутніх атак зловмисних програм з вимогою викупу, ймовірно, у співпраці з російськими групами вимагачів.»21

Наступні профілі надають уявлення про деякі з найбільш відомих фінансово мотивованих груп вимагачів, які націлені на систему охорони здоров'я, детально описуючи їхні методи, мотивації та вплив їхньої діяльності на галузь.
  • Lace Tempest — це продуктивна група вимагачів, яка націлюється на систему охорону здоров'я. Використовуючи модель RaaS, вони дозволяють афілійованим особам легко розгортати зловмисні програми з вимогою викупу. Група пов'язана з атаками великого масштабу на лікарняні системи, шифруючи критично важливі дані пацієнтів і вимагаючи викуп. Відомі подвійним вимаганням, вони не лише шифрують дані, але й викрадають їх, погрожуючи витоком конфіденційної інформації, якщо викуп не буде сплачено.
  • Sangria Tempest сумно відома розширеними атаками зловмисних програм з вимогою викупу на організації системи охорони здоров’я. Використовуючи складне шифрування, вони роблять відновлення даних майже неможливим без сплати викупу. Вони також використовують подвійне вимагання, викрадаючи дані пацієнтів і погрожуючи їх витоком. Їхні атаки спричиняють масові збої в роботі, змушуючи систему охорони здоров’я відволікати ресурси, що негативно впливає на обслуговування пацієнтів.
  • Cadenza Tempest, відома своїми розподіленими атаками типу «відмова в обслуговуванні» (DDoS), все більше переходить на операції зі зловмисними програмами з вимогою викупу для системи охорони здоров’я. Ідентифіковані як проросійська хактивістська група, вони націлені на системи охорони здоров’я в регіонах, ворожих інтересам Росії. Їхні атаки переповнюють системи лікарень, порушуючи критичні операції та створюючи хаос, особливо в поєднанні з кампаніями зловмисних програм з вимогою викупу.
  • Активна з липня 2022 року фінансово мотивована група Vanilla Tempest нещодавно почала використовувати зловмисні програми з вимогою викупу INC, придбані через постачальників RaaS, для націлювання на систему охорони здоров’я США. Вони використовують вразливості, користувацькі сценарії та стандартні інструменти Windows для викрадення облікових даних, переміщення вбік і розгортання зловмисних програм з вимогою викупу. Група також використовує подвійне вимагання, вимагаючи викуп за розблокування систем і запобігання видачі вкрадених даних.

У світлі дедалі складніших атак зловмисних програм з вимогою викупу організаціям охорони здоров'я необхідно впроваджувати багатосторонній підхід до кібербезпеки. Вони повинні бути готовими витримувати, реагувати на та відновлюватися після кібернетичних інцидентів, зберігаючи при цьому безперервність медичного обслуговування пацієнтів.

Наступні рекомендації надають всебічну основу для підвищення стійкості, забезпечення швидкого відновлення, сприяння формуванню безпечного робочого середовища та просування співпраці в системі охорони здоров'я.

Управління: Забезпечення готовності та стійкості

Будівля з багатьма вікнами під блакитним небом із хмарами

Ефективне управління кібербезпекою системи охорони здоров’я має важливе значення для підготовки та реагування на атаки зловмисних програм з вимогою викупу. Дамефф і Таллі з Центру кібербезпеки охорони здоров’я Каліфорнійського університету в Сан-Дієго рекомендують створити надійну структуру управління з чіткими ролями, регулярним навчанням і міждисциплінарною співпрацею. Це допомагає організаціям системи охорони здоров’я підвищити стійкість проти атак зловмисних програм з вимогою викупу і забезпечити безперервність догляду за пацієнтами навіть за умов значних збоїв.

Ключовим аспектом цієї структури є усунення розривів між клінічним персоналом, групами ІТ-безпеки та фахівцями з управління надзвичайними ситуаціями для розробки узгоджених планів реагування на інциденти. Ця міжвідомча співпраця має життєво важливе значення для підтримки безпеки пацієнтів і якості лікування, коли технологічні системи скомпрометовані.

Дамефф і Таллі також наголошують на необхідності мати спеціалізований керівний орган або раду, яка регулярно збирається для перегляду та оновлення планів реагування на інциденти. Вони рекомендують надати цим керівним органам повноваження перевіряти плани реагування за допомогою реалістичного моделювання та тренувань, гарантуючи, що весь персонал, включаючи молодих клініцистів, які, можливо, не знайомі з паперовими документами, готові ефективно працювати без цифрових інструментів.

Крім того, Дамефф і Таллі наголошують на важливості зовнішньої співпраці. Вони виступають за регіональні та національні рамки, які дозволяють лікарням підтримувати одна одну під час великомасштабних інцидентів, повторюючи необхідність створення"стратегічного національного запасу"технологій, які можуть тимчасово замінити скомпрометовані системи.

Стійкість і стратегічні відповіді

Стійкість кібербезпеки системи охорони здоров’я виходить за рамки простого захисту даних — це передбачає забезпечення того, що цілі системи можуть протистояти атакам і відновлюватися після них. Важливим є комплексний підхід до стійкості, який зосереджується не лише на захисті даних пацієнтів, а й на зміцненні всієї інфраструктури, яка підтримує діяльність системи охорони здоров’я. Це включає всю систему — мережу, ланцюжок поставок, медичне обладнання тощо.

Прийняття стратегії поглибленого захисту має вирішальне значення для створення багаторівневої системи безпеки, яка може ефективно перешкоджати атакам зловмисних програм з вимогою викупу.

Прийняття стратегії поглибленого захисту має вирішальне значення для створення багаторівневої системи безпеки, яка може ефективно перешкоджати атакам зловмисних програм з вимогою викупу. Ця стратегія передбачає захист кожного рівня інфраструктури системи охорони здоров’я — від мережі до кінцевих точок і хмарного середовища. Забезпечивши наявність кількох рівнів захисту, організації системи охорони здоров’я можуть зменшити ризик успішної атаки зловмисних програм з вимогою викупу.

У рамках цього багаторівневого підходу до клієнтів корпорації Майкрософт команди Аналізу загроз Microsoft активно відстежують поведінку зловмисників. У разі виявлення такої активності надається пряме сповіщення.

Це не платна чи багаторівнева послуга — підприємства будь-якого розміру отримують однакову увагу. Мета полягає в тому, щоб миттєво надати сповіщення про виявлення потенційних загроз, у тому числі зловмисних програм з вимогою викупу, і допомогти вжити заходів для захисту організації.

Окрім впровадження цих рівнів захисту, надзвичайно важливо мати ефективне реагування на інциденти та план виявлення. Мати план недостатньо; організації системи охорони здоров’я повинні бути готові ефективно виконати його під час фактичної атаки, щоб мінімізувати шкоду та забезпечити швидке відновлення.

Нарешті, безперервний моніторинг і можливості виявлення в реальному часі є важливими компонентами надійної системи реагування на інциденти, що гарантує, що потенційні загрози можуть бути виявлені та оперативно усунені.

Для отримання додаткової інформації про кібернетичну стійкість у сфері охорони здоров'я Міністерство охорони здоров'я та соціальних служб (HHS) опублікувало добровільні специфічні для охорони здоров'я цілі кібербезпеки(CPGs), щоб допомогти організаціям системи охорони здоров'я визначати пріоритети впровадження високоефективних методів кібербезпеки.

Створені в рамках процесу спільного державно-приватного партнерства з використанням загальноприйнятих галузевих структур кібербезпеки, рекомендацій, найкращих практик і стратегій, CPG  містять підмножину практик кібербезпеки, які організації системи охорони здоров’я можуть використовувати для посилення кібернетичної готовності, покращення кібернетичної стійкості та захисту інформації про здоров’я пацієнтів і безпеки.

Кроки для швидкого відновлення роботи та посилення безпеки після атаки

Відновлення після атаки зловмисних програм з вимогою викупу потребує систематичного підходу, щоб забезпечити швидке повернення до нормальної роботи та запобігти майбутнім інцидентам. Нижче наведено дії, які допоможуть оцінити збитки, відновити уражені системи та посилити заходи безпеки. Дотримуючись цих вказівок, організації системи охорони здоров’я можуть допомогти пом’якшити наслідки атаки та зміцнити свій захист від майбутніх загроз.
Оцініть вплив і стримайте атаку

Негайно ізолюйте уражені системи, щоб запобігти подальшому поширенню.
Відновлення з відомих надійних резервних копій

Переконайтеся, що чисті резервні копії доступні та перевірені перед відновленням операцій. Зберігайте резервні копії в оффлайн-режимі, щоб уникнути шифрування зловмисними програмами з вимогою викупу.
Відновлення систем

Розгляньте можливість відновлення скомпрометованих систем замість їх виправлення, щоб усунути будь-яке залишкове шкідливе програмне забезпечення. Використовуйтерекомендації команди Реагування на інциденти Microsoftщодо безпечного відновлення систем. 
Зміцніть рівень безпеки після атаки

Зміцніть рівень безпеки після атаки, усунувши вразливості, встановивши виправлення систем і вдосконаливши інструменти виявлення кінцевих точок.
Проведіть огляд після інциденту

Співпрацюючи зі стороннім постачальником засобів безпеки, проаналізуйте атаку, щоб виявити слабкі місця та покращити захист від майбутніх інцидентів.

Формування робочої сили з пріоритетом на безпеку

Чоловік і жінка дивляться на обличчя жінки.

Створення робочої сили, яка в першу чергу займається безпекою, вимагає постійної співпраці між різними дисциплінами.

Створення робочої сили, яка в першу чергу займається безпекою, вимагає постійної співпраці між різними дисциплінами. Важливо подолати бар'єри між командами з безпеки IT, менеджерами з надзвичайних ситуацій та клінічним персоналом, щоб розробити злагоджені плани реагування на інциденти. Без цієї співпраці решта лікарні може виявитися недостатньо підготовленою для ефективної реакції під час кібернетичного інциденту.

Навчання й обізнаність

Ефективне навчання та міцна культура звітності є необхідними компонентами захисту організації системи охорони здоров'я від зловмисних програм з вимогою викупу. Оскільки медичні працівники часто ставлять на перше місце догляд за пацієнтами, вони можуть не завжди бути настільки уважними до кібербезпеки, що може зробити їх більш вразливими до кібернетичних загроз.

Щоб вирішити цю проблему, безперервне навчання має включати основи кібербезпеки, такі як вміння розпізнавати фішингові електронні листи, уникати переходу за підозріліми посиланнями та розпізнавати поширені тактики соціальної інженерії.

Ресурси Microsoft з підвищення обізнаності в галузі кібербезпекиможуть допомогти в цьому.

"За словами Мотта з корпорації Майкрософт, важливо заохочувати співробітників" повідомляти про проблеми з безпекою без страху бути покараними. "Чим швидше ви зможете повідомити про проблему, тим краще. Якщо це безпечна ситуація, це найкращий варіант."

Регулярні тренування та симуляції також повинні імітувати реальні атаки, такі як фішинг або зловмисні програми з вимогою викупу, допомагаючи співробітникам практикувати свою реакцію в контрольованому середовищі.

Обмін інформацією, співпраця та колективний захист

Оскільки атаки зловмисних програм з вимогою викупу загалом зростають за частотою (корпорація Майкрософт спостерігає збільшення на 2,75% щороку серед наших клієнтів16), колективна стратегія захисту стає дуже важливою. Співпраця — між внутрішніми командами, регіональними партнерами та ширшими національними/глобальними мережами — є критично важливою для забезпечення безпеки медичних операцій та безпеки пацієнтів.

Об'єднання цих груп для розробки та впровадження комплексних планів реагування на інциденти може запобігти оперативному хаосу під час атак.

Дамефф і Таллі підкреслюють важливість об'єднання внутрішніх команд, таких як лікарі, менеджери з надзвичайних ситуацій та співробітники служби безпеки IT, які часто працюють ізольовано. Об'єднання цих груп для розробки та впровадження комплексних планів реагування на інциденти може запобігти оперативному хаосу під час атак.

На регіональному рівні організації системи охорони здоров'я повинні встановлювати партнерства, які дозволяють медичним закладам ділитися потужностями та ресурсами, забезпечуючи продовження догляду за пацієнтами, навіть коли деякі лікарні постраждали від зловмисних програм з вимогою викупу. Ця форма колективного захисту також може допомогти управляти переповненням пацієнтів і розподілити навантаження між постачальниками медичних послуг.

Поза регіональною співпрацею, національні та глобальні мережі обміну інформацією є вирішальними. Центри обміну та аналізу інформації (ISAC), такі якHealth-ISAC, слугують платформами для медичних організацій для обміну важливою інформацією про загрози. Еррол Вейс, головний фахівець із безпеки в Health-ISAC, порівнює ці організації з "віртуальними програмами сусідського спостереження,"де члени організацій можуть швидко обмінюватися деталями про атаки та перевіреними методами пом'якшення. Цей обмін інформацією допомагає іншим підготуватися до подібних загроз або ліквідувати їх, зміцнюючи колективний захист на вищому рівні.

  1. [1]
    Внутрішні дані аналізу загроз Microsoft, за II квартал 2024 року
  2. [2]
    (Резюме для керівників інформаційної безпеки (CISO): Актуальний та новий ландшафт кібернетичних загроз у системі охорони здоров'я; Health-ISAC та Американська асоціація лікарень (AHA)  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    ТРАНСКРИПЦІЯ: Слухання Комітету Палати для оцінки недоліків у кібербезпеці корпорації Майкрософт, " Tech Policy Press", 15 червня 2024 року
  4. [4]
    "В середньому медичні організації втрачають USD$900 000 на день через простої внаслідок атак зловмисних програм з вимогою викупу,"  Comparitech,  6 березня 2024 року
  5. [5]
    "Кількість та тяжкість атак зловмисних програм з вимогою викупу на систему охорони здоров'я продовжує зростати," The HIPAA Journal, вересень 2024 року
  6. [6]
    Зламано на частини? Вплив атак зловмисних програм з вимогою викупу на лікарні та пацієнтів; https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    Атака зловмисних програм з вимогою викупу, пов’язана зі збоями в сусідніх відділеннях екстреної допомоги в США;  Атака зловмисних програм з вимогою викупу, пов’язана зі збоями в роботі сусідніх відділень швидкої допомоги в США | Невідкладна медицина | JAMA Network Open | JAMA Network
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    "Атака зловмисних програм з вимогою викупу Ascension заважає фінансовому відновленню," The HIPAA Journal, 20 вересня 2024 року
  10. [10]
    "Дані пацієнтів були скомпрометовані внаслідок фішингової атаки на UC San Diego Health," The HIPAA Journal,  13 березня 2024 року
  11. [11]
    "Атака зловмисних програм з вимогою викупу стала ключовим фактором у рішенні закрити лікарню в сільській місцевості Іллінойсу," The HIPAA Journal, 14 червня 2023 року
  12. [12]
    "Кількість та тяжкість атак зловмисних програм з вимогою викупу на систему охорони здоров'я продовжує зростати," The HIPAA Journal, вересень 2024 року
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    У 2023 році відбулося більше об'єднань лікарень, а фінансові труднощі сприяють збільшенню кількості угод (chiefhealthcareexecutive.com)
  15. [15]
    Сумісність і методи обміну між лікарнями у 2021 році | HealthIT.gov
  16. [16]
    Звіт про цифровий захист Microsoft 2024,Microsoft, сторінка 27
  17. [17]
    Діагностичні дані Аналізу загроз Microsoft, 2024
  18. [18]
    «Каталог відомих використовуваних уразливостей», CISA, 2024
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    Дані про кібернетичні загрози в системі охорони здоров’я з Аналізу загроз Microsoft, 2024
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
Зловмисні програми з вимогою викупу Кіберзлочинність

Більше від Безпеки

Посібник із кібернетичної гігієни та стійкості до кібернетичних загроз

Базова кібернетична гігієна як і раніше є найкращим способом захисту персональних даних, пристроїв, даних, програм, інфраструктури та мереж організації від 98% усіх кібернетичних загроз. Перегляньте практичні поради в цьому докладному посібнику.
Дізнайтеся більше

Всередині боротьби з хакерами, які порушили роботу лікарень і поставили під загрозу життя

Дізнайтеся про останні нові загрози з даних про загрози та досліджень корпорації Майкрософт. Отримайте аналіз тенденцій і дієві вказівки для зміцнення своєї першої лінії захисту.
Дізнайтеся більше

Наживання на довірі: шахрайство з використанням соціотехніки

Дізнайтеся про цифрове середовище, яке постійно розвивається й у якому довіра – це одночасно і валюта, і вразливість. Дізнайтеся про тактику шахрайства соціальної інженерії, якою найчастіше користуються кібернетичні зловмисники, і перегляньте стратегії, які можуть допомогти вам визначити та перевершити загрози соціальної інженерії, спрямовані на маніпулювання людьми.
Дізнайтеся більше

Підпишіться на новини про Захисний комплекс Microsoft