Ataki ransomware na sektor opieki zdrowotnej

Ostatnio głośno było o atakach ransomware na instytucje opieki zdrowotnej, dlatego przypominamy porady pozwalające zapewnić ochronę przed tym zagrożeniem.

Cyberatak na klinikę lub szpital to dosłownie kwestia życia lub śmierci. W 2020 roku systemy opieki zdrowotnej na całym świecie były mocno przeciążone ze względu na skutki pandemii COVID-19, a sytuację pogarszał aktywność cyberprzestępców. Jednym z największych zagrożeń dla instytucji medycznych w ciągu ostatniego roku były ataki z użyciem ransomware, w których cyberprzestępcy szyfrowali dane i czasami grozili ich opublikowaniem.

Konsekwencje takich ataków bywają różne. Oprócz oczywistych i niebezpiecznych, czyli zakłóceniu w świadczeniu usług medycznych, przedsiębiorstwa opieki zdrowotnej mogą doświadczyć takie problemy jak grzywny od organów regulacyjnych czy roszczenia pacjentów, których dane osobowe wyciekły.

Głośne incydenty związane z ransomware

Jeden z przypadków, o których w minionym roku mówiło się najczęściej i które pokazują skalę problemu, był atak ransomware o nazwie Ryuk na Universal Health Services (UHS) we wrześniu ubiegłego roku. Grupa ta prowadzi 400 placówek medycznych w Stanach Zjednoczonych, Wielkiej Brytanii i innych krajach. Na szczęście nie wszystkie szpitale i kliniki ucierpiały, jednak atak uderzył w obiekty UHS w kilku stanach USA. Do zdarzenia doszło wczesnym rankiem w niedzielę, gdy nie udało się uruchomić komputerów firmowych, a niektórzy pracownicy zobaczyli na swoich ekranach notatkę z żądaniem okupu. Atak dosięgnął również sieć telefoniczną. Dział IT musiał poprosić pracowników o zmianę charakteru wykonywania pracy — czyli tak, jak to miało miejsce przed informatyzacją. Oczywiście spowodowało to poważne zakłócenia w działaniu kliniki, miało wpływ na opiekę nad pacjentami, wykonywanie testów laboratoryjnych itd. Niektóre placówki musiały skierować pacjentów do innych szpitali.

W oficjalnym oświadczeniu organizacja UHS stwierdziła, że nie znaleziono dowodów na nieautoryzowany dostęp, kopiowanie lub niewłaściwe wykorzystanie jakichkolwiek danych. W marcu bieżącego roku firma ta opublikowała raport stwierdzający, że atak spowodował szkody warte 67 milionów dolarów, na co złożyły się m.in. koszty odzyskiwania danych, utracone przychody z powodu przestoju w działalności, zmniejszony przepływ pacjentów itp.

Tymczasem incydent w klinice Ascend Clinical, która specjalizuje się w testowaniu usług związanych z rozpoznaniem chorób nerek, doprowadziła do wycieku danych. Objął on ponad 77 000 pacjentów. Przyczyna infekcji jest znana: pracownik kliknął link w wiadomości e-mail wyłudzającej informacje. Po przeniknięciu do systemu napastnicy uzyskali dostęp m.in. do danych osobowych pacjentów — a dokładnie ich imiona i nazwiska, daty urodzenia i numery ubezpieczenia społecznego.

Atak na organizację Magellan Health miał miejsce w kwietniu 2020 r. i naruszył dane osobowe zarówno pracowników, jak i pacjentów (według doniesień medialnych liczba ofiar sięgnęła 365 000). Stosując inżynierię społeczną, cyberprzestępcy podszyli się pod klienta, uzyskali dostęp do sieci wewnętrznej, za pomocą złośliwego oprogramowania przechwycili dane logowania i ostatecznie zaszyfrowali dane na serwerze.

Ogólnie podczas ataku na placówkę służby zdrowia cyberprzestępcy wolą szyfrować i kraść dane z serwerów, a nie ze stacji roboczych. Tak postąpili z serwerami należącymi do przedsiębiorstwa Florida Orthopedic Institute — atakujący zaszyfrowali (wcześniej skradzione) dane należące do 640 000 pacjentów. W efekcie zorganizowano pozew zbiorowy.

Powyższe przykłady są zaledwie ułamkiem głośnych incydentów z zeszłego roku; w rzeczywistości było ich ok. kilkadziesiąt.

W jaki sposób instytucje opieki zdrowotnej mogą się zabezpieczyć

Szkodliwe oprogramowanie może przenikać do systemu na różne sposoby: za pośrednictwem załączników w wiadomościach e-mail, łączy phishingowych czy zainfekowanych stron internetowych. Osoby atakujące mogą wykraść dane logowania umożliwiające dostęp zdalny, użyć socjotechniki lub ataku siłowego. Stare powiedzenie, że zapobieganie jest lepsze niż leczenie, odnosi się również do cyberbezpieczeństwa — i to nie tylko do ochrony przed oprogramowaniem wymuszającym okup. Oto nasze wskazówki dotyczące profilaktyki:

  • Chroń wszystkie urządzenia, nie tylko komputery. Dotyczy to firmowych smartfonów, tabletów, terminali, kiosków informacyjnych, sprzętu medycznego i wszystkiego innego, co ma dostęp do sieci korporacyjnej i internetu.
  • Dbaj o aktualność wszystkich urządzeń. Ta porada również nie odnosi się wyłącznie komputerów. Być może trudno wyobrazić sobie cyberochronę dla np. tomografu, ale zasadniczo rzecz ujmując, to też jest komputer z systemem operacyjnym, który może mieć luki w zabezpieczeniach. Najlepiej byłoby, gdyby na etapie wybierania sprzętu ważną rolę odgrywało bezpieczeństwo — przed zakupem należy przynajmniej upewnić się, że aktualizacje dla tego oprogramowania będą się regularnie pojawiać.
  • Zainstaluj rozwiązanie zabezpieczające pocztę e-mail. Ochrona łączności elektronicznej ma kluczowe znaczenie, gdyż organizacje medyczne otrzymują wiele e-maili, w tym spam, który może zawierać nie tylko nieszkodliwe śmieci, ale także niebezpieczne załączniki.
  • Zadbaj o to, aby wszyscy pracownicy — czyli również administratorzy, lekarze oraz wszystkie osoby, które mają do czynienia z technologiami — przeszli szkolenie zwiększające świadomość cyberbezpieczeństwa. Opieka medyczna w coraz większym stopniu korzysta ze świata cyfrowego (digitalizacja dokumentacji medycznej, internetowe wideokonsultacje), a zatem aspekty związane z cyberbezpieczeństwem muszą być stosowane tak rutynowo, jak stosowanie masek podczas zabiegu.
  • Wiele nowoczesnych ataków ransomware odbywa się w sposób „ręczny”. Innymi słowy, dziś cyberprzestępcy stojący za infekcjami z użyciem ransomware raczej nie atakują masowo, ale raczej szukają sposobów na zainfekowanie komputerów i serwerów konkretnych ofiar, często przy użyciu socjotechniki. Czasami po przedostaniu się do sieci badają infrastrukturę w poszukiwaniu najcenniejszych danych. Aby wykryć takie ataki, dla których ochrona punktów końcowych może nie wystarczyć, zalecamy stosowanie zarządzanej usługi reagowania i wykrywania w celu zdalnego monitorowania infrastruktury firmowej.

Porady