Пора проверить кибербезопасность в медицине 

Или как пандемия повлияла на безопасность медицинских учреждений. Отрасль здравоохранения долгое время была основной целью киберпреступников, но с момента появления COVID-19 организации, находящиеся на переднем фронте борьбы с пандемией, испытали рост инцидентов и атак, связанных с кибербезопасностью. Кибербезопасность в медицине действительно выходит на более важное место.
В период с февраля по июнь 2020 года организации, имеющие отношение к HIPAA, сообщили о 192 крупномасштабных утечках данных в Управление по гражданским правам (OCR) Министерства здравоохранения и социальных служб США — более чем в два раза больше, чем было зарегистрировано за тот же период в 2019 году.

Хотя типы киберугроз, с которыми медицинские организации столкнулись во время пандемии COVID-19, не являются чем-то неожиданным, такие факторы, как быстрый переход к удаленной работе, расширение телемедицины и дополнительная нагрузка на ресурсы, испытываемые многими организациями, объединились, чтобы создать новые уязвимости и проблемы кибербезопасности. 

Например, в последние месяцы некоторые медицинские организации, временно ослабили правила брандмауэра (безопасность операционной системы Windows), чтобы облегчить дополнительные возможности работы из дома, сократили количество поставщиков или заключили новые контракты, чтобы быстро развернуть или расширить возможности телемедицины. 

Развитие киберугроз в медицине в связи с COVID-19

Хотя типы киберугроз, с которыми медицинские организации столкнулись во время пандемии COVID-19, во многом аналогичны ситуации до COVID-19, мошенники используют страх, связанный с пандемией, а также новые уязвимости, созданные переходом на виртуальную среду.

Центр жалоб на интернет-преступления сообщил, что за март он получил 1200 жалоб, связанных с кибератаками, связанными с коронавирусом, что намного превышает количество жалоб, полученных им в отношении всех видов интернет-мошенничества в 2019 году.
Власти предупредили, что киберпреступники нацелены на органы здравоохранения, фармацевтические компании, научные сообщества, медицинские исследовательские организации и местные органы власти, а также на других лиц, участвующих в национальных работах по вопросам пандемии. 

Помимо попытки кражи информации в коммерческих целях, хакеры могут попытаться украсть ценную информацию, связанную с пандемией, например конфиденциальные исследования по  COVID-19, или сведения о национальной и международной политике в области здравоохранения.

Изощренные хакеры, которые используют кризис COVID-19, имеют глобальный характер. В марте Канадский центр кибербезопасности предупредил о злонамеренных хакерах, нацеленных на их сектор здравоохранения. Они атакуют учреждения,  чтобы получить несанкционированный доступ к интеллектуальной собственности, исследованиям и разработкам, связанным с COVID-19.

Чешская Республика также столкнулась с серией инцидентов в области кибербезопасности, в том числе с атакой на один из крупнейших центров тестирования COVID-19, в результате чего он прекратил работу и перевел пациентов в другие больницы. Опасность для здоровья и безопасности населения, возникающая в результате такой злонамеренной деятельности, побудила Государственный департамент США предпринять  глобальные действия.

Ниже приведены несколько примеров киберугроз в эпоху COVID-19, а также некоторые практические шаги, которые организации могут предпринять для управления кибер рисками в сегодняшней все более виртуальной среде.

Угрозы программ-вымогателей, нацеленные на медицинские организации

На ранних этапах пандемии хакерские группы обещали оградить больницы и медицинские учреждения от своих кибератак. Эти «обещания» были недолгими. В марте хакеры использовали вариант вируса вымогателя, известный как Maze, для атаки на британскую лабораторию, которая тестировала вакцины против COVID. Maze имеет возможность извлекать файлы из системы и заставляет жертву заплатить выкуп, угрожая опубликовать данные в темной сети интернета. К счастью, учреждению удалось восстановить свои системы, но это не помешало хакерам заставить их заплатить выкуп, опубликовав в Интернете тысячи записей пациентов, содержащих медицинские анкеты и копии паспортов  (само же учреждение ничего не заплатило).
В июне Калифорнийский университет в Сан-Франциско сообщил, что заплатил выкуп в размере 1,14 миллиона долларов после того, как вредоносное ПО зашифровало определенные серверы в его медицинской школе.

В ответ на продолжающуюся угрозу атак программ-вымогателей, нацеленных на сектор здравоохранения, группа аналитиков защиты от угроз Microsoft предупредила больницы, что их сетевые устройства и виртуальные частные сети являются конкретными целями, поскольку организация переходит к удаленной работе персонала, а значит получают больше угроз в обеспечении кибербезопасности при удаленной работе.

Агентство по кибербезопасности и безопасности инфраструктуры (CISA) 22 мая выпустило предупреждение, в котором агентство сообщило, что не защищенные VPN возглавляют список уязвимостей, которые регулярно используются опытными кибер-преступниками в 2020 году.
The REvil  — одна из кампаний программ-вымогателей, которые активно используют эти уязвимости для проникновения в инфраструктуру организации. После успешной эксплуатации, хакеры могут украсть учетные данные, повысить уровни доступа и перемещаться по взломанным сетям, устанавливая программы-вымогатели или другое вредоносное ПО.
В отличие от самораспространяющихся программ -вымогателей, таких как WannaCry или NotPetya, в которых хакеры используют методы кражи учетных данных и особого перемещения, Maze и REvil представляют собой управляемые человеком программ-вымогателей, которые включают в себя тактику социальной инженерии, которая использует страх пользователей и их потребность в информации. Вот почему хакеры, стоящие за этими вирусами вымогателями, нацелены на организации, которые наиболее уязвимы для проникновения. Например, те, у которых не было времени или ресурсов для оценки угроз кибербезопасности, установки последних обновлений, обновления межсетевых экранов или проверки уровней доступов пользователей в административную часть информационных сетей. В эпоху COVID-19 организации здравоохранения оказались особенно уязвимыми.

Фишинговые атаки, связанные с COVID

Злоумышленники, осуществляющие фишинговые атаки по электронной почте, использовали страхи по поводу коронавируса и старались выдать себя за другого человека, например, за сотрудника государственных органов, таких как Центр по контролю за заболеваниями или Всемирной организации здравоохранения, чтобы заставить пользователей ввести учетные данные или нажать на ссылки, которые устанавливают вредоносное ПО и помещают конфиденциальные данные и информацию под пароль.
По данным Bitdefender, больницы и клиники, фармацевтические учреждения и дистрибьюторы медицинского оборудования являются наиболее частыми целями фишинговых кампаний по электронной почте с сообщениями о лечении и терапии COVID или о средствах индивидуальной защиты (СИЗ).
Фактически, американские, канадские и европейские организации, которые спешат разработать вакцину против коронавируса, стали мишенью киберпреступников, которые стремились украсть данные исследований и медицинских цепочек поставок, чтобы выиграть гонку за вакциной. И здесь точно отслеживается государственный след хакеров.

По данным Агентства национальной безопасности, хакеры, ответственные за этот шпионаж медицинских учреждений, известны как ART29 и Cozy Bear — те же группы, которые были связаны со взломом серверов Национального комитета Демократической партии во время выборов 2016 года.

Другой метод фишинга — это фишинг голосовой почты (Вишинг). Некоторые медицинские организации используют устаревшие телефонные системы, известные как Private Branch Exchange (PBX), для автоматизации вызовов и записи сообщений голосовой почты, которые отправляются в почтовые ящики пользователей, чтобы сотрудники не пропустили важные сообщения при удаленной работе.
Схема предполагает, что злоумышленники подделывают сообщения из системы PBX и информируют сотрудника о том, что у них есть новое сообщение голосовой почты. Чтобы услышать сообщение, пользователь попадает на веб-сайт, который имитирует интеграцию с АТС с целью кражи учетных данных.
Хакеры полагаются на тот факт, что пользователи имеют одинаковые учетные данные для доступа на нескольких платформах, которые могут содержать личную или конфиденциальную информацию.

Подбор паролей (и добавление учетных данных) в организациях здравоохранения

Подбор паролей — это тип атаки методом перебора, при котором хакеры пытаются получить пароли сразу нескольких учетных записей, вводя множество имен пользователей или адресов электронной почты в программу, которая пытается сопоставить эти учетные записи с часто используемыми паролями. Совместные уведомления, выпущенное CISA и Национальным центром кибербезопасности Великобритании (NCSC), предупреждает об этой угрозе, направленной на здравоохранение и медицинские организации, и рекомендует пользователям сменить все пароли, которые можно было бы подобрать, на более сложные пароли, созданные например из трех случайных слов.

Точно так же заполнение учетных данных включает автоматическое введение комбинаций имен пользователей и паролей, которые ранее были украдены, обычно в результате утечки старых данных, для получения доступа к учетным записям пользователей. 

В апреле более 500000 учетных данных Zoom, которые были собраны путем подбора учетных данных, были проданы в даркнете менее чем за доллар, а в некоторых случаях были отданы бесплатно.
Последствия этого проявились в росте масштабных бомбардировок и других злонамеренных действий, связанных с безопасностью видеоконференций. Чтобы снизить риск атак такого типа, организациям настоятельно рекомендуется внедрять многофакторную аутентификацию и настаивать на том, чтобы сотрудники периодически меняли свои пароли.

Советы по улучшению кибербезопасности в медицине

• Обновите свои планы анализа рисков кибербезопасности и управления рисками.
  

  Убедитесь, что ваш анализ рисков безопасности обновлен с учетом технологических и операционных изменений, внесенных в ответ на пандемию, и реализует все соответствующие планы обработки рисков, чтобы снизить вероятность воздействия инцидента кибербезопасности, такого как атака программы-вымогателя .
  В частности, не забудьте определить потенциальные риски и уязвимости, связанные с расширением удаленной работы, развертыванием новых возможностей и технологий телемедицины и разработкой дополнительных мест для тестирования и лечения.

• Подтвердите полное соответствие операциям при телемедицине.
  

  Организации, которые развернули услуги телемедицины способом, который, возможно, не полностью соответствовал стандартам HIPAA в соответствии с Уведомлением OCR о соблюдении норм безопасности, должны убедиться, что они, как минимум, выполнили все рекомендации (например, включение всех доступных настроек шифрования и конфиденциальности, уведомление пациентов о потенциальных рисках конфиденциальности, заключение соответствующего соглашения о сотрудничестве с поставщиком технологий кибербезопасности на предоставление услуг).
  В соответствии с основными принципами добровольной кибербезопасности Министерства здравоохранения и социальных служб для медицинских организаций, поставщики должны также выявлять недочеты в законодательстве о HIPAA и других законах о конфиденциальности и безопасности, а также разработать план по устранению любых уязвимостей как можно скорее чтобы вывести на новый уровень кибербезопасность в медицине.

  Ознакомьтесь с политиками и процедурами конфиденциальности и кибербезопасности.

• Изучите и, при необходимости и расширьте свои политики и процедуры конфиденциальности и безопасности, чтобы убедиться, что они адекватно отражают текущие операции, особенно в отношении удаленной работы, телемедицины и любых других новых расширенных операций. Дополнительная информация от Katten о передовых методах удаленной работы доступна здесь.

• Возобновите обучение сотрудников

• Чтобы сотрудники знали о своих обязательствах по обеспечению конфиденциальности и безопасности в эпоху COVID, регулярно проводите обучение по своим политикам и публикуйте политики во внутренней сети организации или рассылайте их персоналу по электронной почте (как защитить почту от взлома). Обучение должно быть практическим и отражать сегодняшнюю виртуальную среду — от использования безопасных инструментов для совместной работы до выявления фишинговых писем и мошенничества COVID и безопасного удаления документов при работе из дома.
• Ваш Datami.