Программы-вымогатели являются основным вектором атак на организации здравоохранения. Хотя большинство корпоративных данных являются конфиденциальными, данные о здравоохранении особенно чувствительны. Эта информация жизненно важна для здоровья и безопасности пациентов, а организации здравоохранения часто считаются частью критической инфраструктуры страны. Атака программ- вымогателей на эти организации может иметь серьезные, даже роковые последствия.
Что такое программа-вымогатель?
Злоумышленники проникают в сети и системы организаций здравоохранения с помощью вредоносного ПО, используя различные методы и тактики, такие как социальная инженерия, угнанные учетные данные, уязвимости сети и другие векторы исходного доступа.
Атака с использованием программ-вымогателей происходит, когда злоумышленники шифруют или ограничивают доступ к системам или данным медицинской организации и требуют выплатить выкуп за восстановление доступа. Вредоносное ПО используется для шифрования или блокировки доступа к критически важным данным до тех пор, пока атакованная организация не перескажет злоумышленникам средства, выкуп, обычно в виде криптовалюты. (Конечно, даже после выплаты выкупа медицинская организация может не получить свои данные обратно от злоумышленника, или злоумышленник вернет доступ к данным, одновременно продавая их в даркнете, чтобы получить большую прибыль).
Почему организации здравоохранения становятся приоритетными целями
Медицинские организации становятся мишенями по четырем основным причинам:
- Медицинские учреждения являются частью критической инфраструктуры страны.
- Кибербезопасность в организациях здравоохранения часто недофинансируется, а осведомленность сотрудников о киберугрозах часто низкая
- Богатые коллекции данных по конфиденциальной личной информации (PII)
- Доступ к интеллектуальной собственности
Медицинские учреждения, включая больницы, клиники и организации здравоохранения, считаются критической инфраструктурой, поскольку они предоставляют необходимые услуги, особенно во время чрезвычайных ситуаций.
В случае атаки хакеров больницы должны немедленно возобновить свою работу. У них нет времени на борьбу с угрозой – они должны быстро возобновить работу, чтобы лечить и спасать жизнь.
Бюджетные приоритеты также играют важную роль, когда речь идет об атаках программ-вымогателей в сфере здравоохранения. Организации здравоохранения часто придают приоритет достижениям, направленным на пациентов, и уделяют меньше внимания инфраструктуре больниц, особенно защите кибербезопасности. Больница может иметь новейший и совершенный аппарат МРТ стоимостью 2 миллиона долларов, но ответственный за информационную безопасность может потребовать одобрения от трех уровней руководства, чтобы начать проверку концепции новой внешней платформы анализа угроз. Кроме того, многие ИТ-системы больниц являются устаревшими, в них все еще используются мейнфреймы, что создает многочисленные, легкодоступные каналы для атак.
Медицинские учреждения обладают большим объемом данных, включая медицинские записи, информацию о кредитных картах и банковских счетах, информацию о страховании и другие типы персональных данных. Они могут иметь прямой доступ к системам страховых компаний, что дает злоумышленникам еще больше стимулов для осуществления атак с использованием программ-вымогателей на медицинские учреждения.
Некоторые медицинские сайты выступают в качестве исследовательских центров, что означает, что их данные могут содержать конфиденциальную интеллектуальную собственность, результаты исследований, статистику вакцин и т.д. Субъекты национальных государств могут требовать от связанных с ними группировок, занимающихся похищением данных, собирать эти данные для собственного использования, выходя за пределы «традиционной» деятельности по похищению данных.
Тедрос Адханом Гебреесус, генеральный директор Всемирной организации здравоохранения (ВОЗ), неоднократно говорил об опасности программ-вымогателей в сфере здравоохранения. Он отмечает, что даже если организация здравоохранения оплатит выкуп, группировки, стоящие по программам- вымогателей, могут не выполнить свою часть соглашения, не расшифровав данные и продолжая атаковать ту же организацию в будущем.
Атаки на медицинские учреждения оказывают значительное влияние на отдельных лиц и медицинскую организацию в целом. Они могут создать значительные риски безопасности пациентов, включая задержку операций, неправильные диагнозы и препятствование доступу к критически важным видам лечения, таким как лучевая терапия или переливание крови. Кроме того, атаки программ-вымогателей на медицинские учреждения могут поставить под угрозу конфиденциальность данных, привести к потере доверия пациентов и подвергать заведения судебным искам и вреду репутации.
Группировки, использующие программы- вымогатели, остаются движущей силой этих атак, постоянно меняя тактику и ребрендинг, чтобы опережать средства защиты. Как показывают следующие данные, некоторые банды особенно активно атакуют организации здравоохранения, что подчеркивает, насколько упорными и организованными стали эти преступные операции.
Программы- вымогатели и нормативные акты по кибербезопасности в области здравоохранения
Недавние атаки на больницы и клиники влекут за собой значительные изменения в политике. В 2024 году атака программы- вымогатели на британскую компанию Synnovis, партнерскую организацию Национальной службы здравоохранения Великобритании и SYNLAB, занимающейся патологией, нарушила лечение пациентов и привела к смерти пациента, поскольку не удалось своевременно провести важные обследования.
Чтобы решить эти проблемы и предотвратить будущие атаки,Директива NIS2 ЕС сосредотачивается на здравоохранении как критической инфраструктуре. Она требует безопасного доступа к ИТ-системам, строгому контролю систем безопасности и усилению обучения по вопросам кибербезопасности с акцентом на соблюдение требований и их выполнении. Цель состоит в лучшей защите данных пациентов и предотвращении перебоев в предоставлении медицинских услуг.
Другой регламент ЕС,Закон об устойчивости цифровых операций (DORA),направленный на усиление устойчивости и уменьшение уязвимости критически важных объектов, таких как медицинские учреждения.
Соединенные Штаты обновили HIPAA и дают более четкие указания от Федеральной комиссии по торговле, а также ввели обязательное уведомление о нарушениях, чтобы еще больше защитить сектор здравоохранения. Правила безопасности HIPAA требуют внедрения конкретных мер безопасности для предотвращения атак программ-вымогателей, включая внедрение процедур защиты и выявления вредоносного программного обеспечения, усиление обучения и внедрение процесса управления безопасностью.
Во все большем количестве стран мира к организациям могут применяться значительные финансовые санкции за невыполнение требований в случае ненадлежащего внедрения мер по предотвращению атак или ненадлежащего сообщения об инцидентах в соответствующие органы.
Как LUMINAR защищает организации здравоохранения от программ-вымогателей
Хотя существует клише, что знание – это сила, на самом деле силой являются только применимые знания. Это справедливо для организаций здравоохранения, которые используют LUMINAR что последовательно, непрерывно и точно предоставляет информацию о внешних угрозах.
LUMINAR представляет конкретные угрозы, которые могут повлиять на организацию здравоохранения, включая практические сведения о группах злоумышленников и кампаниях, направленных против их страны и отрасли здравоохранения. Он дает анализ на основе искусственного интеллекта, используя собственные ресурсы, коммерчески доступные каналы и традиционные киберисследования, охватывающие глубокую, темную и поверхностную сети. Постоянный мониторинг угроз LUMINAR позволяет организациям здравоохранения находиться впереди злоумышленников.
LUMINAR – это единственное унифицированное решение, включающее функции цифровой защиты от рисков(DRP),управление внешними поверхностями атаки(ASM) и анализа киберугроз (CTI). Оно начинает приносить пользу уже через пять минут после установки. Более того, полезные данные из LUMINAR легко интегрируются с различными системами SIEM (управление информацией и событиями безопасности) и SOAR (оркестрирование, автоматизация и реагирование на угрозы безопасности), что обеспечивает многоуровневую защиту от киберугроз.
LUMINAR обеспечивает круглосуточный мониторинг, благодаря чему организации здравоохранения никогда не пропускают критические сигналы об угрозах, включая сайты с утечками данных, принадлежащих группам злоумышленников, использующих программы- вымогатели, в даркнете. Актуальные индикаторы компрометации (IOC) платформы обнаруживают новейшие варианты программ-вымогателей, что позволяет быстро их обнаруживать и реагировать на них. В то же время глубокое профилирование злоумышленников обеспечивает детальный анализ тактики, техник и процедур (TTP) групп, занимающихся угоном данных, целевых отраслей и географического фокуса, а также предоставляет информацию о прошлых атаках.
Вывод: Предотвращение похищения данных в сфере здравоохранения
Благодаря пониманию тактики, техник и процедур (TTP), которые используют группировки, занимающиеся похищением данных, и другие киберпреступники, индикаторов компрометации (IOC), а также раннее выявление киберугроз, организациям в сфере здравоохранения легче применять проактивный подход к кибербезопасности.
Имея четкое представление о том, какие из их активов и ресурсов уязвимы, легче их защитить. Для организаций здравоохранения программы- вымогатели относятся к категории «когда», а не «если». Меры предосторожности имеют решающее значение для здоровой среды кибербезопасности и здоровья пациентов.
Источник: Ransomware Will Make Your Healthcare Organization Sick
